Lý do mà Nessus có yêu thích như vậy bởi vì chúng có một cơ sở dữ liệu rất lớn về lổ hổng hệ thống có nâng cấp liên tục, bố cục dễ áp dụng và kết quả chắc hẳn có lưu lại dưới các dạng khác nhau như biểu đồ, XML hay PDF để có khả năng đơn giản xem thêm. Ngoài ra khi tận dụng Nessus các bạn không phải lo lắng về vấn đề bản quyền vì đây là một chương trình không tốn tiền. Trong bài viết này tôi sẽ trình bày phương pháp thiết lập và setup nessus trên một Quan tri he thong Linux Linux FC2 và tiến hành kiểm tra lỗi của một số server chạy hệ điều hành Windows, cùng với giải pháp phòng chống Nessus cũng như những trường hợp tấn công DOS dựa vào honeypot.
Phần I: Cài đặt và cấu hình chương trình kiểm tra lỗi hệ thống Nessus
Đầu tiên chúng mình tải về bốn tập tin nessus-libraries-2.0.9.tar.gz, libnasl-2.0.9.tar.gz, nessus-core-2.0.9.tar.gz, nessus-plugins-2.0.9.tar.gz từ trang web www.nessus.org và tiến hành setup theo thứ tự sau:
#tar –zxvf nessus-libraries-2.0.9.tar.gz
#cd ../nessus-libraries-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf libnasl-2.0.9.tar.gz
#cd libnasl-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-core-2.0.9.tar.gz
#cd nessus-core-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-plugins-2.0.9.tar.gz
#cd nessus-plugins-2.0.9
#./configure && make && make install
Các dòng lệnh trên có tác dụng giải nén và lần lượt setup các gói tin thư viện ">Quan tri he thong Linux và những plug-in cần thiết cho chu trình quét lỗi. Khi tiến trình cài đặt hoàn tất bạn cùng dùng trình soạn thảo vi, nên emac thêm dòng /usr/local/lib vào tập tin ld.so.conf trong thư mục /etc, lưu lại và chạy lệnh ldconfig.
Nhằm connect với server nessus bằng giao thức an toàn SSL thì chúng mình cần tạo các SSL certificate cho nessus thông qua lệnh nessus-mkcert và tiến hành theo nhiều chỉ thị đưa ra.
Tiếp theo ta cần tạo tài khoản dùng nhằm Quan tri he thong linux chạy nessus bằng tiện ích nessus-addusr. Điều này chắc hẳn giúp chúng mình tạo ra nhiều tài khoản chỉ có khả năng quét lỗi trên lớp mạng con mà mình quản lý.
# nessus-adduser
Addition of a new nessusd user
------------------------------
Login : secureprof
Authentication (pass/cert) [pass] : pass
Password : uncrackable
Như vậy ta đã hoàn thành nhiều bước setup cho server nessus, hãy khởi động bằng lệnh nessusd &, sau đó chạy trình khách nessus thông qua dòng lệnh nessus ở bất kỳ terminal như thế nào và thiết lập nhiều tham số cần thiết cho quá trình quét lỗi.
- Lưu ý: server nessus cần được cấu hình trên các Quản trị hệ thống linux Linux-like, nhưng chương trình giao tiếp (nessus client) chắc hẳn cài trên các hệ thống Windows OS hoặc Linux.
Đầu tiên chúng ta cần log-in vào máy chủ nessus qua trang đang nhập với tài khoản đã tạo ra. Tiếp theo là chọn những plug-in mục đích tiến hành quét lỗi, càng những plug-in có chọn thì kết quả thu được có tác dụng tốt hơn tuy nhiên thời giờ cũng sẽ lâu hơn, nào cùng click chuột vào ô check-box bên phải mục đích chọn nhiều plug-in mình muốn:
Cuối cùng là nhập địa chỉ những máy cần kiểm tra lổi thời điểm trang Target selection rồi lưu lại với tùy chọn Save this section, nhấn phím Start the scan mục đích nessus bắt đầu hoạt động:
Tùy vào số lượng máy có quét và số plug-in bạn chọn mà thời gian tiến hành lâu hay mau. Kết quả thu có có tác dụng có mô tả như khung sau:
Dựa trên kết quả thu có các bạn có thể xác định các điểm nhạy cảm cũng như nhiều lổ hổng mà những hacker có cơ hội lợi dụng cho phép tấn công hệ thống, ví dụ có một máy chủ Windows OS bị lỗi bảo mật Rpc dcom chắc hẳn cho các hacker chiếm quyền điều khiển từ xa nên những cổng TCP 139 đang mở trên số đông nhiều máy của nhân viên phòng Kinh Doanh có khả năng bị tấn công bằng cách thức hoạt động brute force… Và đương nhiên là chúng mình hay vá chúng lại càng sớm càng tốt qua website của nhà cung cấp hoặc đặt password theo cách thức hoạt động phức tạp để ngăn ngừa các phương pháp đoán password như brute force, yêu cầu người dùng thay đổi password sau một thời gian tận dụng...
Mục đích Quản trị hệ thống Linux phòng chống nhiều kiểu tấn công này thì các bạn cần kịp thời cập nhật nhiều bản vá hệ thống khi chúng có công bố, hoặc trên nhiều mạng và hệ thống dùng Windwos 2000 về sau các bạn có khả năng nâng cấp nhiều bản vá từ trang web Microsoft Update hay setup WSUS server nhằm nâng cấp cho khá nhiều máy cùng lúc mỗi khi có những lổ hổng hệ thống mới được công bố. Đăng kí nhiều bản tin cảnh báo từ những trang web của các nhà đưa ra giải pháp bảo mật (ví dụ www.eeye.com) nhằm có thể đưa ra các giải pháp một cách kịp thời. Bên cạnh đó ta hay liên tục giám sát các hệ thống máy chủ quan trọng, setup các chương trình diệt Virus và Trojan (đối với những hệ thống Windows OS các bạn hay cài Microsoft Anti Spyware, chương trình này cho kết quả rất tốt khi chạy), hình thành hệ thống dò tìm và phát hiện xâm nhập như Snort IDS, GFI Server Monitor hoặc là dùng kế nghi binh “Vườn Không Nhà Trống” để đánh lừa và dẫn dụ nhiều hacker tấn công vào các máy chủ ảo được tạo ra qua các HoneyPot Server.
0 nhận xét:
Đăng nhận xét