Usando o NESSUS

Voltar

fonte: guiadohardware

O Nessus é uma ferramenta de auditoria muito usada para detectar e corrigir vulnerabilidades nos PCs da rede local. Ele realiza uma varredura de portas, detectando servidores ativos e simulando invasões para detectar vulnerabilidades. Uma característica importante é que o Nessus procura por servidores ativos não apenas nas portas padrão, mas em todas as portas TCP. Ele será capaz de detectar uma vulnerabilidade no seu Apache, mesmo que ele esteja ativo na porta 46580 por exemplo.

A página oficial é a http://www.nessus.org/ – onde você pode baixar o pacote instalável e ler as instruções de instalação e uso.

A instalação do Nessus é bem simples. Baixe o pacote nessus-installer.sh aqui:
http://www.nessus.org/posix.html

Para instala-lo basta clicar sobre o arquivo e marcar a permissão de execução e em seguida usar o comando ./nessus-installer.sh (como root) para iniciar a instalação.

Se você estiver conectado à Internet, pode baixar e instalar a versão mais recente do pacote automaticamente usando o comando:

# lynx -source http://install.nessus.org| sh

Este comando instala a versão distribuída em código-fonte. Para instala-la é preciso ter instalados os pacotes da categoria desenvolvimento da sua distribuição.

Para instalar o Nessus você precisa ter instalado o pacote nmap que deve estar incluído nos CDs da sua distribuição. No Mandrake você pode instalá-lo com o comando “urpmi nmap”.

Depois de instalar, você precisa criar um login de usuário para utilizar o Nessus. Este login é válido apenas para o Nessus, não é um login de sistema.

Para criar o login, chame o programa nessus-adduser. Ele pedirá o login e senha, o tipo de autenticação (escolha sempre cipher) e permitirá que você adicione regras para o usuário. Se você quiser apenas criar o usuário usando as regras default basta pressionar Ctrl + D. Ele pedirá uma última confirmação, basta responder “y”:

# nessus-adduser

Addition of a new nessusd user

——————————

Login : seu_nome
Password : mais_que_12_caracteres:-)

Authentification type (cipher or plaintext) [cipher] : cipher
Now enter the rules for this user, and hit ctrl-D once you are done :
(the user can have an empty rule set)

^D

Login : seu_nome
Password : mais_que_12_caracteres:-)
Authentification : cipher
Rules :
Is that ok (y/n) ? [y] y

user added.

Depois de criar o usuário, rode o comando nessus-mkcert que criará um certificado SSL para o servidor Nessus. Esta etapa só é necessária se você tiver o pacote SSL instalado no sistema.

O Nessus utiliza um sistema cliente-servidor, onde uma vez iniciado o módulo servidor passa a ser possível rodar o cliente em qualquer máquina da rede (para isso é criado o login de usuário). O certificado oferece uma segurança maior ao acessar o servidor Nessus, pois garante que ele não foi substituído por outra máquina comprometida.

Finalizando, falta apenas inicializar o servidor, ainda como root, usando o comando:

# nessusd -D

Em seguida, volte ao seu login de usuário e abra o cliente, com o comando:

$ nessus

O primeiro passo é logar-se no servidor Nessus, fornecendo seu login e senha. Nas configurações do programa você tem acesso a várias opções, entre elas a faixa de portas TCP e UDP que devem ser escaneadas:

Se você quiser um teste completo, use a faixa 1-65536. Este teste é ideal para PCs da rede local, mas pode demorar bastante caso seja feito via Internet. Basicamente, ele envia um pacote TCP e outro pacote UDP para cada porta e para cada PC a ser testado. Se você quiser testar uma faixa inteira de endereços IP, com seus 255 PCs teremos nada menos que 33.423.360 pacotes, que correspondem a mais de 750 MB de dados.

Alguns testes do Nessus podem travar alguns PCs vulneráveis, como por exemplo estações Windows 95 vulneráveis ao “ping da morte”. A opção “Safe checks” desativa testes potencialmente perigosos, evitando prejuízos aos usuários. De qualquer forma, o ideal é fazer o teste à noite, ou em algum horário em que os PCs não estejam sendo utilizados.

Na seção “Target Selection” você define o alvo, fornecendo seu IP. Se você quiser testar as vulnerabilidades da própria máquina local, o endereço é o “localhost”. Se você quiser testar de uma vez toda a sua rede local, basta fornecer o endereço da rede, como em “192.168.0.0” ou “10.0.0.0”.

Concluído o teste, ele exibe uma lista com as vulnerabilidades encontradas em cada PC. Existem três níveis de alerta, o primeiro e mais grave tem o símbolo de uma luz vermelha e indica uma brecha de segurança em um servidor ativo na máquina. O screenshot abaixo por exemplo temos uma máquina Linux rodando uma versão antiga do Samba, que permite que clientes não autorizados loguem-se no servidor. Além de apontar o problema, o Nessus oferece uma descrição detalhada da vulnerabilidade e aponta uma solução. No caso a solução é simplesmente atualizar o Samba para uma versão mais recente:

O segundo nível é um alerta de que um serviço potencialmente inseguro está ativo numa determinada porta do sistema, como por exemplo um servidor Telnet ou XDMCP (para obter a tela de login do servidor, como vimos no capítulo 7). Neste caso não foi encontrada nenhuma vulnerabilidade específica, mas o fato o serviço ser fundamentalmente inseguro já representa uma brecha de segurança. Tanto o Telnet quanto o XDMCP transmitem dados de forma não encriptada, o que permite que alguém mal intecionado possa sniffar a rede, capturando os dados transmitidos, incluindo as senhas dos usuários.

O terceiro nível de alerta tem o símbolo de uma luz. Estes são apenas lembretes de que existe um servidor ativo na porta indicada mas sem que fosse detectada qualquer brecha de segurança:

Naturalmente, assim como você pode utilizar o Nessus para detectar e tapar brechas de segurança, outras pessoas podem utiliza-lo para detectar suas vulnerabilidades e lançar ataques. Hoje em dia a variedade de scripts e ferramentas gráficas prontas que exploram vulnerabilidades é tão grande que você pode encontrar algum exploit fácil de usar para praticamente qualquer vulnerabilidade que você possa encontrar. Basta saber fazer pesquisas no Google.

Estes exploits prontos são o grande perigo, pois não requerem nenhum tipo de prática ou habilidade para serem usados. Basta indicar o IP a ser atacado e pronto. Ou seja, aquele garoto com quem você brigou no chat pode muito bem fazer um estrago na sua rede caso você tenha alguma vulnerabilidade grave, por isso é importante resolver o problema antes que alguém o faça por você.

O Nessus é só o primeiro passo. Caso você rode qualquer tipo de servidor na sua máquina é importante acompanhar sites especializados em notícias relacionadas à segurança, como o http://lwn.net/– e o http://www.linuxsecurity.com/. A maioria das distribuições oferecem boletins por e-mail que avisam quando novas atualizações de segurança estão disponíveis.

Lembre-se que apesar das notícias de brechas e atualizações serem sempre muito frequêntes, você só precisa se preocupar com os servidores que você mantém ativos na sua máquina. Se você mantém apenas o SSH e o Proftp por exemplo, não precisa se preocupar com as atualizações do Apache e do Sendmail. Além dos servidores, clientes de e-mail (Evolution, Kmail, etc.) e navegadores (Konqueror, Mozilla, etc.) também costumam receber atualizações de segurança com uma certa frequência.


Voltar

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s