Lý do mà Nessus có yêu thích như vậy do là chúng có một cơ sở dữ liệu rất lớn về lổ hổng hệ thống được thông tin liên tục, bố cục dễ dùng và kết quả có thể được lưu lại dưới các dạng khác nhau như biểu đồ, XML hay PDF nhằm có cơ hội dễ dàng tham khảo. Ngoài ra khi tận dụng Nessus chúng ta không phải bận tâm về vấn đề bản quyền vì đây là một chương trình miễn phí. Trong bài viết này tôi sẽ trình bày phương pháp cấu hình và cài đặt nessus trên một Quan tri he thong linux Linux FC2 và tiến hành kiểm tra lỗi của một số server chạy hệ điều hành Windows, cùng với giải pháp phòng chống Nessus cũng như nhiều trường hợp tấn công DOS dựa vào honeypot.
Phần I: Setup và cấu hình chương trình kiểm tra lỗi hệ thống Nessus
Đầu tiên các bạn tải về bốn tập tin nessus-libraries-2.0.9.tar.gz, libnasl-2.0.9.tar.gz, nessus-core-2.0.9.tar.gz, nessus-plugins-2.0.9.tar.gz từ trang web www.nessus.org và tiến hành setup theo thứ tự sau:
#tar –zxvf nessus-libraries-2.0.9.tar.gz
#cd ../nessus-libraries-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf libnasl-2.0.9.tar.gz
#cd libnasl-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-core-2.0.9.tar.gz
#cd nessus-core-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-plugins-2.0.9.tar.gz
#cd nessus-plugins-2.0.9
#./configure && make && make install
Các dòng lệnh trên có tác dụng giải nén và lần lượt cài đặt nhiều gói tin thư viện ">Quan tri he thong Linux và những plug-in cần thiết cho chu trình quét lỗi. Khi tiến trình cài đặt hoàn tất bạn hãy dùng trình soạn thảo vi, hoặc emac thêm dòng /usr/local/lib vào tập tin ld.so.conf vào lúc thư mục /etc, lưu lại và chạy lệnh ldconfig.
Cho phép kết nối với server nessus bằng giao thức an toàn SSL thì chúng mình cần tạo những SSL certificate cho nessus qua lệnh nessus-mkcert và tiến hành theo các chỉ thị đưa ra.
Tiếp theo ta cần tạo tài khoản dùng nhằm Nghề quản trị hệ thống linux chạy nessus bằng tiện ích nessus-addusr. Điều này có khả năng giúp các bạn tạo ra nhiều tài khoản chỉ có cơ hội quét lỗi trên lớp mạng con mà mình quản lý.
# nessus-adduser
Addition of a new nessusd user
------------------------------
Login : secureprof
Authentication (pass/cert) [pass] : pass
Password : uncrackable
Như vậy ta đã hoàn thành những bước cài đặt cho máy chủ nessus, nào cùng khởi động bằng lệnh nessusd &, sau đó chạy trình khách nessus qua dòng lệnh nessus ở bất kỳ terminal gì và cấu hình các tham số cần thiết cho quá trình quét lỗi.
- Lưu ý: máy chủ nessus cần được thiết lập trên nhiều Quản trị hệ thống Linux Linux-like, nhưng chương trình giao tiếp (nessus client) có khả năng cài trên nhiều hệ thống Windows OS hoặc Linux.
Đầu tiên các bạn cần log-in vào máy chủ nessus thông qua trang đang nhập với tài khoản đã tạo ra. Tiếp theo là chọn các plug-in để tiến hành quét lỗi, càng những plug-in có chọn thì kết quả thu có sẽ tốt hơn tuy nhiên thời gian cũng sẽ lâu hơn, nào cùng click chuột vào ô check-box bên phải để chọn các plug-in mình muốn:
Cuối cùng là nhập địa chỉ những máy cần kiểm tra lổi vào lúc trang Target selection rồi lưu lại với tùy chọn Save this section, nhấn phím Start the scan để nessus bắt đầu kinh doanh:
Tùy vào số lượng máy có quét và số plug-in bạn chọn mà thời giờ tiến hành lâu hoặc mau. Kết quả thu có có tác dụng được mô tả như khung sau:
Dựa trên kết quả thu được các bạn có thể xác định nhiều điểm nhạy cảm cũng như các lổ hổng mà các hacker có thể lợi dụng mục đích tấn công hệ thống, ví dụ có một server Windows OS bị lỗi bảo mật Rpc dcom có cơ hội cho những hacker chiếm quyền điều khiển từ xa nên những cổng TCP 139 đang mở trên phần lớn các máy của nhân viên phòng Kinh Doanh có cơ hội bị tấn công bằng cách thức hoạt động brute force… Và đương nhiên là chúng mình hay vá chúng lại càng sớm càng tốt thông qua website của nhà cung cấp hoặc đặt password theo cách thức hoạt động phức tạp mục đích ngăn ngừa các phương pháp đoán password như brute force, yêu cầu người dùng thay đổi password sau một thời giờ tận dụng...
Cho phép Quản trị hệ thống Linux phòng chống các kiểu tấn công này thì chúng mình cần kịp thời nâng cấp những bản vá hệ thống khi chúng có công bố, hoặc trên các mạng và hệ thống áp dụng Windwos 2000 về sau chúng mình có thể cập nhật các bản vá từ trang web Microsoft Update hoặc cài đặt WSUS server để nâng cấp cho các máy cùng lúc mỗi khi có nhiều lổ hổng hệ thống mới có công bố. Đăng kí nhiều bản tin cảnh báo từ nhiều trang web của nhiều nhà cung cấp giải pháp bảo mật (ví dụ như www.eeye.com) để có cơ hội đưa ra các giải pháp một cách kịp thời. Bên cạnh đó ta nên mỗi lúc giám sát những hệ thống máy chủ quan trọng, setup nhiều chương trình diệt Virus và Trojan (đối với những hệ thống Windows OS các bạn hay cài Microsoft Anti Spyware, chương trình này cho kết quả rất tốt khi chạy), hình thành hệ thống dò tìm và phát hiện xâm nhập như Snort IDS, GFI Server Monitor hoặc là sử dụng kế nghi binh “Vườn Không Nhà Trống” để đánh lừa và dẫn dụ những hacker tấn công vào nhiều server ảo được tạo ra qua những HoneyPot Server.
0 nhận xét:
Đăng nhận xét