iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 5
3

https://ithelp.ithome.com.tw/upload/images/20190917/20118848eF9yB3VGfB.png

在目前的網路時代,軟體漏洞時時刻刻都在威脅企業賴以生存的資訊系統,各種難以想像的漏洞與攻擊手法層出不窮,也讓 IT 管理人員追求相關事件與檢測時疲於奔命。

若能夠採用一款自動化搜集漏洞相關資訊,並排程檢測網路中的資訊系統與設備,再加上產出檢測報告提出問題狀況與解決問題的建議,將可以大幅降低 IT 維運人員的負擔,並增進企業資訊系統的安全係數。

在多年以前較為知名的 Nessus 已經不再免費,那麼有沒有什麼替代的開源軟體可以協助我們解決問題呢?


方案介紹

確實存在開源方案,而且功能亦相當不錯。

OpenVAS 是一款開源的弱點檢測管理平台,由 Greenbone 所維護,同時也具有商業支援版本,可以依據使用需求選擇。

OpenVAS Community 版本功能已經相當齊全:

  • 全 Web 網頁化操作
  • 對裝置進行弱點掃描
  • 自動更新漏洞資料庫
  • 可以設置檢測的對象或群組
  • 可將掃描作業設定排程進行
  • 掃描作業歷史記錄
  • 提供漏洞資訊與修補建議
  • 報表產製功能
  • 警報發送機制

實際上的 OpenVAS 架構拆分為三個專案,分別是:

  • Open Vulnerability Assessment Scanner (OpenVAS)
    做為漏洞掃描引擎,提供對網路裝置的漏洞檢測以及漏洞資料庫更新。

  • Greenbone Vulnerability Manager (GVM)
    做為整個框架的管理中心,管理掃描引擎與檢測結果的資料,以及指令傳遞與作業流程安排。

  • Greenbone Security Assistant (GSA)
    提供網頁操作介面,它與 GVM 連接,提供使用者全功能的 OpenVAS 功能操作。


安裝方式

嚴格來說,在我的過去經驗 OpenVAS 安裝並不容易,我建議成功機率較高的方式是採用 KALI Linux 這一套 Linux 發行版本做為基底,安裝成功的機率會大幅提高,目前我也是如此使用。

安裝好 KALI Linux 之後,即可開始用指令安裝 OpenVAS,並於安裝後執行初始設定程式。

apt install openvas
openvas-setup

待安裝完成以後,它會接著開始進行相關的設定與漏洞資料庫等下載。

確認完成後,請使用指令檢測相關的服務是否有在監聽 Port 中,如果有出現 9390、9392、80 這幾個 Port 號,表示運作正常。

netstat -tnpl | grep LISTEN

接著即可開啟瀏覽器,進入 https://ip:9392 並登入預設帳號密碼 admin/admin 即可開始使用。

https://ithelp.ithome.com.tw/upload/images/20190917/20118848g2K8WgYB7A.png
登入畫面


主要功能

登入成功後,可以到功能表的 [Extras] -> [Feed Status] 查看目前漏洞資料庫的最新資訊,以下圖為例,是觀看 CERT-Bund 所提供的相關資訊。

可以看出趨勢變化、分佈情形,以及最新的漏洞資訊等。

https://ithelp.ithome.com.tw/upload/images/20190917/201188487f19dMUQlr.png
漏洞資訊

若要快速進行一次檢測,可以點選功能表的 [Scan] -> [Tasks],點一下左上角的魔術棒圖示 (Task Wizard),進入畫面後輸入欲檢測的主機 IP 或 Hostname,即可進行。

https://ithelp.ithome.com.tw/upload/images/20190917/2011884820rFeldsLr.png
新增檢測

當掃描作業完成後,即可點選結果查看報告,OpenVAS 會以列表及優先權顯示檢測到的問題項目。

https://ithelp.ithome.com.tw/upload/images/20190917/20118848EoGd0RmhAU.png
檢測報告

在報告結果中,可以很容易的看出被找到威脅性最高的漏洞是那些,它會以分數搭配顏色突顯,紅色是高風險必需儘快處理,同時也會在後方的欄位指出在是那一個 Port 號與協定所找找到的問題。

點選任一筆漏洞結果,可以進入更詳細的畫面,它會提供許多有用的資訊供 IT 管理者參考與執行。

https://ithelp.ithome.com.tw/upload/images/20190917/201188488fsWcJ4skQ.png
漏洞細節

以上圖為例,這台主機被檢測到 443 Port 有一個中度風險存在,狀況是 SSL/TLS 憑證逾期,並且提供了關於憑證資訊的細節在畫面之中。

在問題描述之後,下方提供了解決方案,OpenVAS 給出的是請將 SSL/TLS 憑證更換成新的憑證即可解決。


結論

經過上面的初步操作,我們可以得知 OpenVAS 使用後的好處,就是自動的幫我們依據目前以知漏洞進行檢測,而且不僅僅是產出報告,更重要的是告訴我們問題的原因以及解決方法。

這就好比我們請了一位高手幫我們定期檢查主機有沒有問題,而且檢查完以後還告訴我們怎麼解決,真是太棒了。

善用開源工具,可以極大程度協助企業的資安環境掌握與改善,OpenVAS 將會是您必備的強大火力之一。

https://ithelp.ithome.com.tw/upload/images/20190917/20118848nYUEqH6stR.png
中文介面

對於英文介面若不熟悉,近期我也正在努力進行 OpenVAS 繁體中文語系的製作,目前官方 GitHub 上已經有達到 32% 的進度,希望可以讓大家早日使用到繁體中文介面的好用工具。


參考資料


上一篇
開源程式碼檢測平台:SonarQube
下一篇
開源系統安全稽核工具:Lynis
系列文
突破困境:資安開源工具應用33

1 則留言

0
skyhsiao
iT邦新手 5 級 ‧ 2019-10-16 02:16:55

Jason哥,
請問一下task是否無法設定進行內網一整個網段做scan

skyhsiao iT邦新手 5 級 ‧ 2019-10-16 02:34:04 檢舉

補充一下,我使用10.28.1.0/24

是可以指定網段掃描的

skyhsiao iT邦新手 5 級 ‧ 2019-10-16 11:45:29 檢舉

其他外網網段及192.168.1.0/24都可以,唯獨10網段/24都會報錯 Error in host specification,我在想會不會跟我用10網段主機安裝造成的問題。對了,10網段一台一台掃是正常的。

我要留言

立即登入留言