Lý do mà Nessus có yêu thích như vậy do là chúng có một cơ sở dữ liệu rất lớn về lổ hổng hệ thống có thông tin mỗi lúc, giao diện dễ sử dụng và kết quả chắc hẳn được lưu lại dưới những kiểu khác nhau như biểu đồ, XML hay PDF cho phép chắc hẳn dễ dàng xem thêm. Ngoài ra khi áp dụng Nessus chúng ta không phải lo lắng về việc bản quyền vì đây là một chương trình miễn phí. Vào lúc bài viết này tôi có tác dụng trình bày phương pháp cấu hình và cài đặt nessus trên một Quản trị hệ thống Linux Linux FC2 và tiến hành kiểm tra lỗi của một số máy chủ chạy hệ điều hành Windows, cùng với giải pháp phòng chống Nessus cũng như những trường hợp tấn công DOS dựa vào honeypot.
Phần I: Setup và cấu hình chương trình kiểm tra lỗi hệ thống Nessus
Đầu tiên các bạn tải về bốn tập tin nessus-libraries-2.0.9.tar.gz, libnasl-2.0.9.tar.gz, nessus-core-2.0.9.tar.gz, nessus-plugins-2.0.9.tar.gz từ trang web www.nessus.org và tiến hành cài đặt theo thứ tự sau:
#tar –zxvf nessus-libraries-2.0.9.tar.gz
#cd ../nessus-libraries-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf libnasl-2.0.9.tar.gz
#cd libnasl-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-core-2.0.9.tar.gz
#cd nessus-core-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-plugins-2.0.9.tar.gz
#cd nessus-plugins-2.0.9
#./configure && make && make install
Những dòng lệnh trên sẽ giải nén và lần lượt setup các gói tin thư viện ">Quản trị hệ thống linux và các plug-in cần thiết cho quá trình quét lỗi. Khi tiến trình cài đặt hoàn tất bạn cùng dùng trình soạn thảo vi, hoặc emac thêm dòng /usr/local/lib vào tập tin ld.so.conf thời điểm thư mục /etc, lưu lại và chạy lệnh ldconfig.
Để kết nối với máy chủ nessus bằng giao thức an toàn SSL thì các bạn cần tạo những SSL certificate cho nessus thông qua lệnh nessus-mkcert và tiến hành theo các chỉ thị đưa ra.
Tiếp theo ta cần tạo tài khoản dùng cho phép Quan tri linux chạy nessus bằng tiện ích nessus-addusr. Điều này có cơ hội giúp chúng ta tạo ra nhiều tài khoản chỉ chắc hẳn quét lỗi trên lớp mạng con mà mình quản lý.
# nessus-adduser
Addition of a new nessusd user
------------------------------
Login : secureprof
Authentication (pass/cert) [pass] : pass
Password : uncrackable
Như vậy ta đã hoàn thành nhiều bước setup cho server nessus, nào cùng khởi động bằng lệnh nessusd &, sau đó chạy trình khách nessus qua dòng lệnh nessus ở bất kỳ terminal như thế nào và cấu hình nhiều tham số cần thiết cho chu trình quét lỗi.
- Lưu ý: server nessus cần có thiết lập trên nhiều Quản trị hệ thống Linux Linux-like, nhưng chương trình giao tiếp (nessus client) có khả năng cài trên các hệ thống Windows OS hoặc Linux.
Đầu tiên chúng ta cần log-in vào server nessus qua trang đang nhập với tài khoản đã tạo ra. Tiếp theo là chọn các plug-in cho phép tiến hành quét lỗi, càng những plug-in có chọn thì kết quả thu được có tác dụng tốt hơn tuy nhiên thời giờ cũng có tác dụng lâu hơn, nào cùng click chuột vào ô check-box bên phải để chọn các plug-in mình muốn:
Cuối cùng là nhập địa chỉ những máy cần kiểm tra lổi thời điểm trang Target selection rồi lưu lại với tùy chọn Save this section, nhấn phím Start the scan nhằm nessus bắt đầu vận động:
Tùy vào số lượng máy được quét và số plug-in bạn chọn mà thời giờ tiến hành lâu nên mau. Kết quả thu có có tác dụng có mô tả như khung sau:
Dựa trên kết quả thu có chúng ta chắc hẳn xác định những điểm nhạy cảm cũng như các lổ hổng mà các hacker có cơ hội lợi dụng mục đích tấn công hệ thống, ví dụ như có một máy chủ Windows OS bị lỗi bảo mật Rpc dcom có thể cho những hacker chiếm quyền điều khiển từ xa nên những cổng TCP 139 đang mở trên hầu hết các máy của nhân viên phòng Kinh Doanh chắc hẳn bị tấn công bằng cơ chế brute force… Và đương nhiên là chúng mình hay vá chúng lại càng sớm càng tốt thông qua website của nhà cung cấp hoặc đặt password theo cách thức hoạt động phức tạp cho phép ngăn ngừa nhiều phương pháp đoán password như brute force, yêu cầu khách hàng thay đổi password sau một thời giờ trải nghiệm...
Để Quản trị hệ thống linux phòng chống các dạng tấn công này thì các bạn cần kịp thời cập nhật các bản vá hệ thống khi chúng có công bố, hoặc trên nhiều mạng và hệ thống tận dụng Windwos 2000 về sau chúng mình chắc hẳn thông tin những bản vá từ trang web Microsoft Update nên setup WSUS server cho phép thông tin cho những máy cùng lúc mỗi khi có những lổ hổng hệ thống mới có công bố. Đăng kí nhiều bản tin cảnh báo từ các trang web của các nhà cung cấp giải pháp bảo mật (ví dụ như www.eeye.com) cho phép có cơ hội đưa ra những giải pháp một cách kịp thời. Bên cạnh đó ta nên ngày càng giám sát nhiều hệ thống máy chủ quan trọng, cài đặt nhiều chương trình diệt Virus và Trojan (đối với nhiều hệ thống Windows OS các bạn hay cài Microsoft Anti Spyware, chương trình này cho kết quả rất tốt khi chạy), dựng hệ thống dò tìm và phát hiện xâm nhập như Snort IDS, GFI Server Monitor hoặc là tận dụng kế nghi binh “Vườn Không Nhà Trống” cho phép đánh lừa và dẫn dụ những hacker tấn công vào các server ảo được tạo ra thông qua các HoneyPot Server.
Không có nhận xét nào:
Đăng nhận xét