dla początkujących
Nessus  skaner
bezpieczeństwa
Piotr Machej
dy podłączamy nasz kom- puter jednego z nich padł ofiarą ataku.
puter do Internetu, uzysku- Jak się okazało, zainstalował on Linuk-
jemy dostęp do nieprzebra- sa i będąc święcie przekonany, że to
Gnych zasobów. Równocze- bezpieczny system, nie podjął żadnych
śnie nasz komputer staje się dostępny dla dodatkowych kroków w celu jego zabez-
innych użytkowników. Nie wszyscy z nich pieczenia. Oczywiście, gdy w wyniku
są nastawieni pokojowo. Trudno zresztą na ataku script-kiddies stracił dane na dysku,
to liczyć, biorąc pod uwagę wciąż rosną- był pełen pretensji do naszego ulubione-
cą liczbę mieszkańców globalnej wioski. go systemu. Wytłumaczyliśmy mu, że
Z tego powodu bardzo ważne jest, aby system dopiero wtedy jest bezpieczny,
zdawać sobie sprawę z zagrożeń, które gdy się o to samemu zadba. I że nie ma
mogą na nas czekać. Jeszcze ważniejsze tu większego znaczenia, czy jest to Linux,
jest, aby potrafić się przed nimi ochronić. czy Windows. Przy okazji postanowili-
W łataniu powszechnie znanych luk śmy sprawdzić, który z naszych kompute-
bezpieczeństwa znacznie mogą nam rów jest lepiej zabezpieczony. Do testów
pomóc wszelkiego typu skanery bezpie- wykorzystaliśmy Nessusa i okazało się, że
czeństwa. Programy takie mają za zada- mój system zajął dopiero trzecie miejsce
nie przetestowanie, czy system jest podat- (na pięć możliwych). Jak to mówią, leni-
ny na określoną metodę ataku. Powinni- stwo nie popłaca. Oczywiście, od razu
śmy skorzystać ze skanera (lub kilku ska- załatałem najgroz
niejsze ze znalezionych
nerów) bezpieczeństwa zaraz po zain- luk bezpieczeństwa i obiecałem sobie,
stalowaniu systemu. Póz
niej powinni- że będę częściej kontrolował system.
śmy powtarzać tę czynność co jakiś
czas (np. co miesiąc). Pozwoli to wykryć Analiza zabezpieczeń
znane już luki, więc będziemy mieli moż- Przede wszystkim musimy odpowie-
liwość załatać je zanim wykorzysta je wła- dzieć sobie na pytanie, czy nasz system
mywacz. Pamiętajmy bowiem, że rów- jest dobrze zabezpieczony. Odpowiedz

nież "czarne charaktery" mogą korzystać nie jest taka prosta. Włamywacz ma do
z takiego oprogramowania. dyspozycji szereg różnych technik, z któ-
Jednym z bardziej uniwersalnych rych warto wymienić wykorzystanie sła-
(a przy tym otwartym i bezpłatnym) ska- bych haseł, dziur w oprogramowaniu lub
nerem jest Nessus. Jego wielką zaletą błędów w konfiguracji. Nie należy rów-
jest aktualność oraz łatwość rozbudowy. nież zapominać o tym, że zwykle najsłab-
Opiera się na wtyczkach, dzięki czemu szym ogniwem jest człowiek  to my sami
możemy dodać do niego własne testy.
Oprócz tego, możemy automatycznie uak-
tualniać listę wtyczek, dzięki czemu zosta-
ną one dołączone od razu po udostępnie-
niu. Niniejszy artykuł ma na celu popro-
wadzenie Czytelników przez instalację
i konfigurację Nessusa, a także zwróce-
nie uwagi na różne aspekty bezpieczeń-
stwa systemu.
Na płycie CD/DVD
Na płycie CD/DVD zamieścili-
Rysunek 1. Nowe wersje Nessusa
śmy oprogramowanie omawiane Przykład użycia
pozwalają przeprowadzać również testy
w artykule.
Około rok temu, rozmawiając ze znajo-
lokalne i przyrostowe
mymi na IRC, dowiedziałem się, że kom-
52
styczeń 2005
dla początkujących
nessus
możemy nieumyślnie podać intruzowi to musimy być święcie przekonani, że tej
hasło lub wykonać przysłany przez niego konkretnej osobie możemy zaufać.
kod, otwierając mu drogę do systemu. Wspomniałem o błędach konfigu-
Hasła powinny być łatwe do zapamię- racji. Tu w zasadzie również wchodzi
tania i trudne do odgadnięcia. Nie zawsze w grę czynnik ludzki, gdyż błąd w kon-
trudność odgadnięcia hasła będzie warun- figuracji jest zwykle wynikiem nasze-
kiem wystarczającym, gdyż jeśli jest ono go przeoczenia, pomyłki w planowaniu
przesyłane przez sieć (np. w celu zalogo- lub po prostu nieznajomości niektórych
wania się na zdalną maszynę lub autory- dostępnych opcji. Wyobraz
my sobie sytu-
zowania się w serwisie WWW), to może ację, gdy wydaje nam się, że zabezpieczy-
zostać podsłuchane. Z tego powodu lepiej liśmy dobrze nasz komputer. Założyliśmy Rysunek 2. Nessus potrafi
jest używać oprogramowania korzystającego dobre hasła, uruchomiliśmy zaporę sieciową przeprowadzać równoczesne testy na
z szyfrowanej transmisji, a w dodatku nigdy i udostępniliśmy na zewnątrz tylko wybrane różnych komputerach
nie używać hasła systemowego do autoryza- usługi. I wszystko byłoby w porządku, ale...
cji w innych serwisach. w zaporze sieciowej pomyliliśmy kolejność jemy hasło użytkownika root (przy pyta-
Z błędami w oprogramowaniu trzeba dwóch regułek. I to wystarczy, aby działa- niu o Root Password). Instalator pyta nas
zawsze się liczyć. Praktycznie każdy pro- ła nie do końca zgodnie z naszymi oczeki- o katalog, w którym chcemy zainstalo-
gram, bardziej skomplikowany niż popu- waniami  może przykładowo dawać dostęp wać Nessusa. Klawiszem [Enter] zatwier-
larny Hello World, może zawierać błąd  jest do portu, który miał być zablokowany. dzamy domyślny wybór (chyba, że
to sprawa naturalna. Odpowiednie wyko- A włamywacz tylko czeka na takie okazje. z jakiegoś powodu chcemy go zmie-
rzystanie niektórych błędów może pro- nić  wówczas wpisujemy naszą ścieżkę).
wadzić do uzyskania przez intruza więk- Instalacja Nessusa Po kolejnym wciśnięciu klawisza [Enter]
szych uprawnień w systemie niż miałby Przed zainstalowaniem Nessusa warto następuje kompilacja i instalacja programu
normalnie. Może też pozwolić na uzyska- zadbać o to, aby w systemie były zain- (w razie konieczności poprzedzona usu-
nie dostępu do systemu, do którego intruz stalowane biblioteki i pliki nagłówkowe nięciem starszej wersji). Na koniec zostają
w zwykłych okolicznościach nie powinien OpenSSL. W przypadku Auroksa jest to wyświetlone ostatnie wskazówki i możemy
mieć wcale dostępu. Takie błędy są wcześniej pakiet openssl-devel. opuścić instalator ponownym wciśnięciem
lub póz
niej ujawniane, a jeśli autorzy progra- Zaczynamy od wejścia na stronę do- klawisza [Enter]. Jak widać, dzięki instalato-
mu opiekują się swoim projektem, to publi- mową programu (http://www.nessus.org/ ). rowi mogliśmy ograniczyć się do wciskania
kują odpowiednie poprawki. W przypad- Wybieramy sekcję Download, a następ- tylko jednego klawisza, chociaż pozostało
ku programów Open Source mogą to zrobić nie odnośnik Nessus 2.2 (w chwili pisa- przed nami jeszcze kilka czynności.
również inni programiści, a nawet my sami nia artykułu była to wersja najnowsza). Najpierw musimy wygenerować cer-
(o ile posiadamy odpowiednie umiejętności). Z wyświetlonej strony możemy dowie- tyfikat, który będzie wykorzystywa-
Warto więc dbać o to, aby w systemie były dzieć się o trzech metodach instalacji Nessu- ny do szyfrowania komunikacji pomię-
zainstalowane jak najnowsze wersje oprogra- sa. My zdecydujemy się na drugą  prostą, dzy serwerem i klientem Nessusa. W tym
mowania  szczególnie chodzi tu o progra- a równocześnie bezpieczniejszą od najła- celu wydajemy polecenie /usr/local/
my najbardziej narażone na atak, takie jak twiejszej metody. W sekcji The easy and sbin/nessus-mkcert (do tego już potrze-
serwery WWW czy programy pocztowe. less dangerous way znajdziemy spis adre- bujemy uprawnień superużytkowni-
Bardzo często zdarza się, że użytkow- sów, pod którymi możemy znalez
ć insta- ka, więc najpierw korzystamy z polecenia
nik przez własną nieuwagę lub niewiedzę lator. Wybieramy jeden z nich (np. http:// su - i podajemy hasło użytkownika root).
staje się ofiarą włamania lub zwykłej utraty ftp.gwdg.de/pub/linux/misc/nessus/ Oczywiście, jeśli zainstalowaliśmy Nessusa w
danych. Swego czasu wiele osób korzystają- nessus-2.2.0/nessus-installer/ ) i pobieramy innym katalogu niż domyślny, to ścieżka do
cych z IRC miało zwyczaj doradzać nowym z niego plik nessus-installer.sh. Teraz programu nessus-mkcert będzie odpowied-
użytkownikom Linuksa zalogowanie się na już wystarczy wejść do katalogu, nio inna. Kolejno będziemy musieli podać
konto root i wydanie polecenia rm -rf / Jeśli w którym zapisaliśmy plik i uruchomić następujące informacje:
.
delikwent był łatwowierny, a na dodatek nie go poleceniem sh nessus-installer.sh. Tę
znał jeszcze podstawowych poleceń linukso- operację wykonujemy z poziomu zwykłe- " termin ważności certyfikatu CA
wych, mogło skończyć się to dla niego nie- go użytkownika (nie wchodzimy na konto (w dniach),
zbyt przyjemnie (wspomniane polecenie root). " termin ważności certyfikatu serwera
bez pytania kasuje wszystkie pliki na dysku). Po przeczytaniu informacji powital- (w dniach),
Jak widać, należy mieć mocno ograniczo- nej możemy wcisnąć klawisz [Enter]. Pro- " kod naszego państwa (np. dla Polski
ne zaufanie do tego, co mówią inni  czy gram zostaje rozpakowany, a następnie  PL),
to na IRC, w listach elektronicznych, czy za jesteśmy powiadomieni, że zostanie utwo- " nazwa naszego województwa lub
pośrednictwem komunikatora. Nie należy rzona tymczasowa powłoka z ustawio- powiatu,
też bez namysłu uruchamiać zasłyszanych nym bitem SUID. Pozwoli to instalatorowi " nazwa miasta,
poleceń czy programów nadesłanych przez w razie potrzeby na automatyczne korzysta- " nazwa naszej organizacji.
nie do końca zaufane osoby. To samo zresztą nie z uprawnień użytkownika uprzywile-
dotyczy podawania haseł czy udostępniania jowanego. Przyjmujemy to do wiadomości Jeśli mamy wątpliwości, co powinniśmy
naszego komputera innym  jeśli to robimy, wciskając klawisz [Enter], a następnie poda- wpisać, możemy skorzystać z wartości
53
www.lpmagazine.org
dla początkujących
adresu komputera. W jego miejsce pod- gdzie możemy zapoznać się ze wszyst-
stawiany jest adres komputera, z którego kimi dostępnymi wtyczkami. Biorąc pod
łączy się użytkownik korzystający z Nes- uwagę, że jest ich obecnie sporo ponad 5
susa. Dzięki temu łatwo można pozwolić tysięcy, mamy lekturę na dłuższy czas. Na
użytkownikowi tylko na testowanie jego szczęście, jeśli chcemy przeprowadzić
własnego komputera. Odpowiednie reguł- kompletny test, nie musimy czytać opisu
ki wyglądają następująco: wszystkich wtyczek (opisy są dostęp-
ne po wskazaniu konkretnej wtyczki).
accept client_ip W górnej części znajduje się spis grup,
Rysunek 3. Te systemy wymagają default deny natomiast w dolnej spis wtyczek nale-
wprowadzenia jeszcze kilku zabezpieczeń żących do danej grupy. Możemy zazna-
Wpisywanie regułek kończymy znaną już czyć wszystkie wtyczki wciskając przy-
domyślnych. Po przeczytaniu informa- kombinacją [Ctrl]+[d]. Wprowadzone dane cisk Enable all. Należy zwrócić uwagę, że
cji o nazwach plików, w których zosta- potwierdzamy wpisując y. niektóre testy mają na celu destabilizację
ły zapisane poszczególne certyfikaty, Przed uruchomieniem serwera warto testowanego systemu (tzw. ataki odmowy
możemy wcisnąć [Enter]. sprawdzić, czy nie pojawiły się nowe usługi). Jeśli wolimy nie przeprowadzać
Teraz musimy dodać użytkownika, wtyczki. Wydajemy polecenie /usr/local/ aż tak niebezpiecznych testów, możemy
który będzie mógł korzystać z Nessusa. sbin/nessus-update-plugins  jeśli zosta- je wyłączyć przyciskiem Enable all but
Nie opuszczając konta użytkownika root, ną znalezione nowe wtyczki, program je dangerous plugins. Dodatkowo możemy
wydajemy polecenie /usr/local/sbin/ zainstaluje. Oczywiście, do wykonania wyłączyć całą grupę testów związanych
nessus-adduser. Podajemy nazwę użyt- tego polecenia potrzebujemy połączenia z odmową usługi (Denial of Service).
kownika, a następnie wybieramy sposób z Internetem. Oczywiście, nic nie stoi na przeszko-
uwierzytelniania. Prostsze jest korzysta- Teraz możemy już uruchomić serwer dzie, aby przeprowadzić tylko pojedyn-
nie z hasła niż z certyfikatu, więc wybie- Nessusa poleceniem /usr/local/sbin/ cze, wybrane testy. W tym celu wystar-
ramy tę pierwszą metodę (pass). Oczywi- nessusd -D. Pojawi się informacja o łado- czy najpierw wcisnąć przycisk Disable
ście, należy też podać nasze hasło. Pamię- waniu wtyczek (ang. plugins). Jeśli nie all, a następnie ze spisu wybrać potrzeb-
tajmy jednak, aby nie było to takie samo zadbaliśmy o skompilowanie Nessusa ne nam wtyczki. Warto przy tym zazna-
hasło, jak do któregoś z naszych kont. Jeśli z obsługą OpenSSL, to może pojawić się czyć opcję Enable dependencies at runti-
wybraliśmy metodę uwierzytelniania za kilka ostrzeżeń. Jeśli zainstalowaliśmy me, dzięki czemu w razie potrzeby zosta-
pomocą certyfikatu, to będziemy musieli wcześniej wspomniany pakiet openssl- ną zaznaczone inne potrzebne wtyczki
odpowiedzieć na te same pytania, co przy devel, to powinniśmy zobaczyć napis All (jeśli są potrzebne do działania wybra-
tworzeniu certyfikatu Nessusa (a oprócz plugins loaded. Klienta Nessusa urucha- nych przez nas testów). Dostępny przycisk
tego, na dwa dodatkowe  o nazwisko miamy już z konta zwykłego użytkownika Filter pozwala nam na wyświetlenie tylko
i imię oraz o adres e-mail). poleceniem /usr/local/bin/nessus. wtyczek spełniających określone kryteria
Tworząc użytkownika możemy od (np. w nazwie lub opisie zawierających
razu nałożyć na niego ograniczenia. Doty- Konfiguracja Nessusa słowo ssh).
czą one adresów komputerów, które Po uruchomieniu pokazuje się nam okno Następne dwie zakładki (Prefs.
może testować dany użytkownik. Jeśli programu z kilkoma zakładkami. Na i Scan options) służą do ustawie-
nie chcemy ustalać żadnych ograniczeń, razie interesuje nas tylko pierwsza, gdyż nia dokładniejszych opcji. Możemy tu
to po prostu możemy wcisnąć kombi- musimy połączyć się z serwerem Nessu- zdecydować, jaka technika skanowa-
nację klawiszy [Ctrl]+[d]. W innym przy- sa. W polu Nessusd Host wpisujemy nazwę nia portów ma być zastosowana, jakie
padku możemy wpisać szereg reguł komputera, na którym jest uruchomiony
(po jednej w każdej linii), np.: serwer. Jeśli jest uruchomiony na kompu-
Ostrzeżenie
terze, z którego korzystamy, możemy po
Skaner systemowy możemy stosować
accept 192.168.100.0/24 prostu wpisać localhost. Pole Port pozo-
tylko względem systemów komputero-
accept 192.168.5.1 stawiamy bez zmian  Nessus standardo-
wych i sieci, które należą do nas lub co
default deny wo nasłuchuje na porcie 1241. W polach
do których uzyskaliśmy stosowną zgodę.
Login i Password wpisujemy nazwę i hasło
Niezastosowanie się do tej zasady może
Powyższe linie pozwalają użytkow- użytkownika Nessusa (te, które wpisywa-
grozić niezbyt przyjemnymi konsekwen-
nikowi na testowanie komputerów liśmy po wydaniu polecenia nessus-addu-
cjami, z odpowiedzialnością karną włącz-
w sieci 192.168.100.0/24 oraz kompute- ser). Teraz wystarczy wcisnąć przycisk Log
nie. O ile bowiem trudno podstawowe
ra 192.168.5.1. Żadnego innego kompu- in. Przy pierwszym uruchomieniu pojawi skanowanie jednoznacznie uznać za
próbę ataku, o tyle niektórzy administra-
tera nie będzie mógł przetestować, gdyż się informacja o certyfikacie. Sprawdzamy,
torzy są na tym punkcie mocno przewraż-
domyślna reguła odmawia mu dostępu czy jest on poprawny, tzn. wyświetlone
liwieni. Ponadto, niektóre testy mogą
(default deny). Oczywiście, reguły można wartości zgadzają się z tym, co podawali-
doprowadzić do zawieszenia niektórych
zbudować inaczej  zabronić dostępu do śmy podczas jego tworzenia, a następnie
usług, a to w przypadku systemów pro-
określonych komputerów i pozwolić do zatwierdzamy go wciskając Yes.
dukcyjnych nie może już być traktowane
wszystkich pozostałych. Ciekawostką jest Po zalogowaniu się zostaniemy prze-
w kategorii żartu.
możliwość użycia słowa client_ip zamiast niesieni do drugiej zakładki (Plugins),
54
styczeń 2005
dla początkujących
nessus
nazwy użytkowników i hasła mają być terów i kilka zakresów oddzielając je
użyte przy logowaniu się do poszcze- przecinkami.
gólnych usług oraz możemy określić Te opcje powinny nam wystarczyć.
liczbę testów wykonywanych w tym Teraz już możemy wcisnąć widoczny na
samym czasie. Jest tu też dostępna dole okna przycisk Start the scan. Otwo-
opcja Safe checks (domyślnie włączona). rzy się kolejne okno, w którym będziemy
Powoduje ona, że potencjalnie groz
ne mogli obserwować przebieg skanowania
wtyczki wykonują "łagodniejsze" testy, poszczególnych komputerów. Gdy ska-
np. opierając się na rozpoznaniu wersji nowanie zakończy się, otwarte zostanie
oprogramowania, zamiast na własnych okno z raportem.
Rysunek 4. Z pomocą obszernego
testach. Należy pamiętać, że nie wszyst-
podręcznika możemy napisać własne
kie wtyczki uwzględniają tę opcję. Jej Analiza wyników
wtyczki do Nessusa
użycie może też prowadzić do pojawie- Pora sprawdzić, co znalazł Nessus na
nia się większej liczby fałszywych alar- naszym systemie. Okno raportu podzie-
mów (więcej informacji w ramce Fałszy- lone jest na pięć części. Po lewej stro- pierwszy rzut oka ocenić, który kompu-
we alarmy). Jeśli nie wiemy, do czego nie widzimy adresy testowanych podsieci ter jest najbardziej zagrożony. Po zazna-
służy dana opcja, lepiej pozostawić ją (Subnet). Przy ich adresach można zauwa- czeniu adresu komputera w umiesz-
w domyślnym ustawieniu. żyć znaczek określający, czy Nessus wykrył czonym na górze oknie Port, pojawi się
W zakładce Target selection może- jakieś problemy. Ikona żarówki oznacza spis znalezionych portów (ponownie
my wreszcie określić, który kompu- informację, znak ostrzeżenia z wykrzyk- z informacją o zagrożeniach). Wybranie
ter chcemy skanować. Jego adres wpi- nikiem oznacza ostrzeżenie dotyczące jednego z nich sprawia, że w umieszczo-
sujemy w polu Target(s). Oczywiście, bezpieczeństwa, a znak zakazu wjazdu nym obok okienku Severity zobaczymy
zamiast pojedynczego adresu (np. oznacza potencjalną lukę w bezpieczeń- listę zagrożeń uporządkowaną względem
127.0.0.1) możemy od razu wpisać cały stwie. Po wybraniu konkretnej podsieci powagi. Dopiero, gdy wskażemy jedno
zakres (np. 192.168.0.1-192.168.2.50 w okienku poniżej (Host) pojawi się spis z nich, w głównej części okna zobaczy-
lub 192.168.10.1/24). Możemy też przetestowanych komputerów należących my szczegółowy opis luki. Metody sorto-
wymienić kilka pojedynczych kompu- do tej podsieci. Również tutaj możemy na wania w poszczególnych oknach możemy
R E K L A M A
55
www.lpmagazine.org
dla początkujących
dowolnie zmieniać, dzięki czemu znaj- nowszej. Dalej możemy dowiedzieć się,
dywać luki w inny sposób. Przykłado- jak duże ryzyko (Risk factor) jest związane
wo, warto zamienić miejscami pola Port z danym błędem. W tym przypadku
i Severity, ale również inne kombina- ryzyko jest wysokie (High). Najlepiej jak
cje mogą dać ciekawe efekty  wszystko najszybciej uaktualnić oprogramowanie.
zależy od tego, jakie informacje bardziej W przypadku innych ostrzeżeń, ryzyko
nas interesują. może być średnie (Medium) lub niskie
Istotne jest, abyśmy zapoznali się (Low), a w przypadku informacji o bez-
ze wszystkimi informacjami zawartymi pieczeństwie  nawet zerowe (None). Nie-
w głównym oknie. W przypadku ostrzeżeń mniej, powinniśmy zapoznać się ze wszy-
Rysunek 5. W serwisie SecurityFocus
i powiadomień o lukach w bezpieczeń- stkimi informacjami, gdyż każda z nich
możemy wyszukiwać informacje o lukach
stwie otrzymujemy opis zagrożenia. Przy- może być istotna. Przykładowo, może
na podstawie różnych kryteriów
kładowo, w sytuacji wykrycia przez Nes- okazać się, że jedna z usług, pomimo
susa serwera WWW Apache w wersji star- naszych starań, nadal jest dostępna z Inter-
szej niż 2.0.51, jesteśmy powiadamiani o netu, a nie tylko z sieci lokalnej. Nie należy Dodatkowe
jego wrażliwości na zdalny atak odmowy od razu podejmować czynności opisanych oprogramowanie
usługi (DoS  Denial of Service). Wersje w Solution bez zapoznania się z całym Nessus, oprócz własnych wewnętrz-
te są również podatne na atak z wyko- opisem problemu. Może bowiem okazać nych testów, może wykorzystywać kilka
rzystaniem przepełnienia bufora. Oprócz się, że w ten sposób zablokujemy sobie innych programów. Przykładowo, pro-
takiego opisu, możemy też zobaczyć usługę, na której nam zależało, a co do gram Nmap może być użyty do skano-
kilka dodatkowych rubryk. Adres podany której tylko dostaliśmy pewne pouczenie wania portów i wielu bardziej zaawan-
w See also pozwala nam zapoznać się (jak ma to miejsce w przypadku zainstalo- sowanych operacji, takich jak rozpozna-
z szerszym opisem błędu. Najważniej- wanego oidentd, potrzebnego do łączenia wanie systemu operacyjnego. Jeśli zależy
sza dla nas jest zawartość rubryki Solu- z niektórymi serwerami IRC). nam na przeprowadzeniu testów odpor-
tion, gdyż opisuje ona możliwe rozwiąza- Jeśli chcemy uzyskać jeszcze więcej ności haseł na złamanie, możemy zain-
nie problemu. W przypadku wspomnia- informacji na temat błędu, możemy sko- stalować program Hydra. Pozwoli on na
nego błędu rozwiązaniem jest uaktualnie- rzystać z wartości podanych w rubrykach wykonanie prób brutalnego złamania
nie serwera Apache do wersji 2.0.51 lub CVE i BID. Pierwsza z nich podaje sym- haseł (bruteforce attack) w takich usłu-
bole, według których możemy wyszuki- gach, jak Telnet, WWW, POP3, IMAP
wać informacje na stronie Common Vul- i inne. Oprócz tego, można wykorzy-
Fałszywe alarmy
nerabilities and Exposures (pod adre- stać program Nikto  zapewnia on obsłu-
Należy pamiętać, że Nessus przepro-
sem http://www.cve.mitre.org/cve/index gę specyficznych ataków i testów doty-
wadza analizę na podstawie dostępnych
.html wpisujemy symbol w polu CVE czących serwerów WWW i usług skryp-
informacji. Może się okazać, że będą
Name). Druga podaje identyfikator błędu tów CGI.
one niewystarczające lub doprowadzą do
na liście BugTraq (możemy go wpisać O ile program Nmap możemy zna-
błędnych wniosków. Z tego powodu część
w polu Bugtraq ID na stronie http:// lez
ć w większości dystrybucji Linuksa,
ostrzeżeń, a nawet powiadomień o lukach
www.securityfocus.com/bid/bugtraqid/ ). o tyle pozostałe programy raczej
w zabezpieczeniach, może okazać się fał-
Raport ze skanu możemy zapisać na musimy zainstalować osobno. Nie są
szywa.
dysku korzystając z przycisku Save report. one niezbędne do działania Nessusa,
Może się tak przykładowo zdarzyć
w sytuacji, gdy Nessus jest w stanie roz- Do wyboru mamy kilka różnych forma- ale zwiększają jego funkcjonalność.
poznać oprogramowanie nasłuchujące tów zapisu danych. Jeśli zdecydujemy się Adresy ich stron domowych znajdują się
na określonym porcie, ale nie umie usta- zapisać raport w formacie NBE, to póz
niej w ramce W Internecie.
lić jego wersji. W tym przypadku może
będziemy mogli go ponownie otworzyć
ostrzec o błędach, które dotyczą wcze-
w kliencie Nessusa. Jeśli natomiast chcemy Przykładowe testy
śniejszych wersji tego programu niż zain-
póz
niej obejrzeć raport wraz z różnymi W rozdziale Analiza wyników mogliśmy
stalowana w naszym systemie.
wykresami i zestawieniami w przeglądar- zapoznać się ze sposobem odczytywania
Inna sytuacja, gdy ostrzeżenie może
ce internetowej, to powinniśmy wybrać wyników testów. Spróbujmy teraz zoba-
być fałszywe, to przypadek, gdy błąd
format HTML with Pies and Graphs. czyć kilka wyników z prawdziwego ska-
sam w sobie jest groz
ny, ale ze wzglę-
Wyniki skanowania zależą od tego, nowania i zastanowić się, jak je trakto-
du na podjęte przez nas inne czynności
jakie opcje dobierzemy. Warto zapoznać wać. Analizie został poddany kompu-
(np. odpowiedni podział dysku na party-
się z obszerną dokumentacją dostępną ter z dosyć dawno instalowanym sys-
cje), w naszym systemie okazuje się być
nieszkodliwy. na stronie domowej Nessusa, aby lepiej temem, tylko w razie potrzeby uzupeł-
Nie da się wyliczyć wszystkich sytu- poznać jego możliwości i zastosowa- nianym nowymi pakietami, więc zgło-
acji, gdy Nessus może zwrócić fałszy-
nie poszczególnych opcji konfiguracyj- szeń błędów było dosyć dużo (7 luk, 18
we alarmy. Dobrze jest uważnie czytać
nych. Z pewnością sprawi to, że będzie- ostrzeżeń i 39 informacji). Raport został
opisy zgłoszeń i starannie je analizować.
my mogli lepiej dobierać ustawienia do zapisany w formacie HTML with Pies and
Nessus zwraca stosunkowo mało fałszy-
naszych potrzeb, co w rezultacie pozwo- Graphs.
wych alarmów, ale nie należy mu ufać
li skuteczniej zwiększyć bezpieczeństwo Na pierwszej stronie raportu został
bezgranicznie.
systemu i sieci. przedstawiony w formie graficznej pro-
56
styczeń 2005
dla początkujących
nessus
centowy udział poszczególnych pozio- Obie te luki umożliwiają atak zaporze sieciowej możemy po prostu
mów ryzyka. Ponieważ poziomy High z zewnątrz, więc należą do najbardziej wyłączyć SWAT (o ile go nie potrze-
i Medium uzyskały odpowiednio po niebezpiecznej grupy. O ile w przypad- bujemy).
11% i 28%, to odpowiednie kroki ku pierwszej z nich nie potwierdzono Jak widać, w celu wyrobienia sobie
powinno podjąć się jak najszybciej. Naj- istnienia działających eksploitów, o tyle obrazu tego, co musimy zrobić, powin-
bardziej zagrożonymi usługami oka- w przypadku drugiej taki kod istnieje. niśmy zapoznać się ze wszystkimi opi-
zały się CVSpserver i usługa działają- Oprócz nich, Nessus zgłosił dwa sami błędów, ostrzeżeniami, a nawet
ca na porcie 5432 (zidentyfikowana ostrzeżenia dotyczące serwera CVS. zwykłymi informacjami. W przypad-
póz
niej jako PostgreSQL). co przedsta- Pierwszy z nich (http://cgi.nessus.org/ ku, gdy chodzi o bezpieczeństwo, nie
wił kolejny wykres. W celu uzyskania plugins/dump.php3?id=11947) dotyczy powinniśmy pozwalać sobie na nie-
dokładniejszych informacji powinniśmy błędu sprawdzania wprowadzanych dbałość. Poza tym, szkoda naszej pracy
przejść do części drugiej raportu, wska- danych, mogącego pozwolić intruzo-  gdybyśmy działali od razu po przeczy-
zując nazwę testowanego komputera. wi na tworzenie katalogów i plików taniu każdej informacji, to serwer CVS
Tu możemy zobaczyć listę otwar- w głównym katalogu systemu plików uaktualnialibyśmy w najgorszym przy-
tych portów. Okazuje się, że jest ich przechowującego drzewo CVS. Drugi padku cztery razy.
aż 34, z czego na pięciu Nessus zna- z kolei (http://cgi.nessus.org/plugins/
lazł luki bezpieczeństwa (CVSpserver, dump.php3?id=12212) może pozwalać Zakończenie
MySQL, HTTPS, Microsoft-ds i port na pobieranie plików RCS nawet spoza Zabezpieczanie komputerów i sieci to
5432, wykorzystywany przez Postgre- głównego katalogu CVS. Do poprawie- wyścig bez końca. Należy pamiętać, że
SQL), a dla sześciu wyświetlił ostrzeże- nia tych błędów powinno wystarczyć istnieje pewna granica, której podczas
nia. Poza tym jedenaście portów zosta- uaktualnienie CVS do wersji 1.11.15 lub zabezpieczania nie możemy lub nie
ło opatrzonych informacjami, a pozo- wyższej. powinniśmy przekroczyć. Jest to grani-
stałe zostały tylko zakomunikowane Korzystając z informacji zawartych ca wygody naszej lub naszych klientów
jako nasłuchujące. Zapoznajmy się naj- we wszystkich czterech zgłoszeniach, w korzystaniu z systemu lub sieci.
pierw z dwoma lukami dotyczącymi ostatecznie powinniśmy się zdecydo- Nie ulega bowiem wątpliwości, że nie
serwera CVS. wać na wersję 1.11.17 lub wyższą. ma sensu zabezpieczać komputera do
Pierwsza z nich została wykryta Warto zwracać uwagę na komuni- tego stopnia, że nikt nie będzie chciał
przez wtyczkę opisaną na stronie katy informacyjne. Właśnie odnośnie z niego korzystać. Jakie dane będzie-
http://cgi.nessus.org/plugins/dump.php3?id serwera CVS został wyświetlony jeden my wtedy chronić? Znalezienie kom-
=11970. Do opisów wtyczek prowadzą taki komunikat (http://cgi.nessus.org/ promisu pomiędzy wygodą i bezpie-
odnośniki umieszczone w polu Nessus plugins/dump.php3?id=10051). Sugeruje czeństwem to właśnie nasze zada-
ID. Jest to ostrzeżenie przed błędem ist- on, aby zablokować dostęp z zewnątrz nie. Należy do niego nie tylko zabez-
niejącym w CVS do wersji 1.11.10, mogą- dla portu CVS. Jest to mądre, i o ile pieczenie sprzętu i oprogramowania,
cym pozwolić intruzowi na wykonywa- tylko nie musimy udostępniać serwera ale również odpowiednie wychowa-
nie w systemie poleceń z uprawnienia- CVS osobom z sieci, powinniśmy dopi- nie użytkowników. Pamiętajmy zawsze
mi użytkownika root. Ponieważ Nessus sać odpowiednią regułkę w zaporze sie- o tym, że łańcuch zabezpieczeń jest
nie był w stanie określić numeru wyko- ciowej. Jeśli koniecznie musimy udo- tak silny, jak jego najsłabsze ogniwo.
rzystywanej wersji CVS, pojawiło się stępnić serwer, to powinniśmy przy- A najsłabszym ogniwem bardzo często
ostrzeżenie, że może to być fałszywy najmniej ograniczyć liczbę komputerów, okazuje się człowiek.
alarm. Niestety, sprawdzenie w testowa- które mogą się z nim łączyć. Warto też
nym systemie (rpm -q cvs) wykazało, że zauważyć, że powinno to automatycz-
jednak jest on narażony na atak  zain- nie zniwelować możliwość wykorzysta-
W Internecie:
stalowana wersja CVS to 1.11.2-10. Zale- nia przez włamywacza wymienionych
canym przez Nessusa (i w zasadzie naj- wcześniej luk.
" Strona domowa programu Nessus:
lepszym) rozwiązaniem jest aktualiza- Innym przykładem portu, który
http://www.nessus.org/
cja oprogramowania do wersji co naj- powinien być odfiltrowany na zapo-
" Strona domowa programu Nmap:
mniej 1.11.11. rze sieciowej, jest port 901, należą-
http://www.insecure.org/nmap/
Zanim to zrobimy, zapoznajmy się cy do programu SWAT. O ile bowiem
index.html
z opisem drugiej luki. Ta została wykry- błąd przedstawiony w ostrzeżeniu
" Strona domowa programu Hydra:
ta przez wtyczkę opisaną na stro- (http://cgi.nessus.org/plugins/dump. http://www.thc.org/releases.php
" Strona domowa programu Nikto:
nie http://cgi.nessus.org/plugins/dump. php3?id=10273) dotyczy dosyć starej
http://www.cirt.net/code/nikto.shtml
php3?id=12265. Również ta luka nie wersji 2.0.7 (więcej informacji na stro-
" Wprowadzenie do Nessusa (artykuł
jest mała  ze względu na brak termi- nie http://www.securityfocus.com/bid/
autorstwa Harry'ego Andersona):
natora NULL w z
le sformatowanych cią- 1872). o tyle rzeczywiście możliwe jest
http://www.securityfocus.com/
gach tekstowych, intruz może wykony- wykonanie brutalnego ataku na tę
infocus/1741
wać pewne polecenia w naszym sys- usługę. Może to być szczególnie nie-
" Lista BugTraq:
temie. Zalecana jest aktualizacja aż do bezpieczne, jeśli hasła Samby są zsyn-
http://www.securityfocus.com/
wersji 1.11.17, a więc wyższej niż przy chronizowane z hasłami systemowymi.
archive/1
poprzedniej luce. Oczywiście, zamiast filtrować port na
57
www.lpmagazine.org