Lý do mà Nessus có yêu thích như vậy bởi vì chúng có một cơ sở dữ liệu rất lớn về lổ hổng hệ thống được nâng cấp liên tục, hình thức dễ trải nghiệm và kết quả có thể được lưu lại dưới các dạng khác nhau như biểu đồ, XML hay PDF cho phép có thể dễ dàng tham khảo. Ngoài ra khi sử dụng Nessus các bạn không phải bận tâm về vấn đề bản quyền vì đây là một chương trình không tốn tiền. Trong bài viết này tôi sẽ trình bày phương pháp cấu hình và cài đặt nessus trên một Quản trị hệ thống Linux Linux FC2 và tiến hành kiểm tra lỗi của một số server chạy hệ điều hành Windows, cùng với giải pháp phòng chống Nessus cũng như những trường hợp tấn công DOS dựa vào honeypot.
Phần I: Cài đặt và thiết lập chương trình kiểm tra lỗi hệ thống Nessus
Đầu tiên chúng mình tải về bốn tập tin nessus-libraries-2.0.9.tar.gz, libnasl-2.0.9.tar.gz, nessus-core-2.0.9.tar.gz, nessus-plugins-2.0.9.tar.gz từ trang web www.nessus.org và tiến hành setup theo thứ tự sau:
#tar –zxvf nessus-libraries-2.0.9.tar.gz
#cd ../nessus-libraries-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf libnasl-2.0.9.tar.gz
#cd libnasl-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-core-2.0.9.tar.gz
#cd nessus-core-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-plugins-2.0.9.tar.gz
#cd nessus-plugins-2.0.9
#./configure && make && make install
Những dòng lệnh trên có tác dụng giải nén và lần lượt setup nhiều gói tin thư viện ">Quản trị hệ thống Linux và các plug-in cần thiết cho quá trình quét lỗi. Khi tiến trình setup hoàn tất bạn hãy cùng dùng trình soạn thảo vi, hay emac thêm dòng /usr/local/lib vào tập tin ld.so.conf trong thư mục /etc, lưu lại và chạy lệnh ldconfig.
Để connect với máy chủ nessus bằng giao thức an toàn SSL thì chúng mình cần tạo nhiều SSL certificate cho nessus thông qua lệnh nessus-mkcert và tiến hành theo các chỉ thị đưa ra.
Tiếp theo ta cần tạo tài khoản dùng cho phép Quan tri he thong linux chạy nessus bằng tiện ích nessus-addusr. Điều này có khả năng giúp chúng mình tạo ra nhiều tài khoản chỉ có cơ hội quét lỗi trên lớp mạng con mà mình quản lý.
# nessus-adduser
Addition of a new nessusd user
------------------------------
Login : secureprof
Authentication (pass/cert) [pass] : pass
Password : uncrackable
Như vậy ta đã hoàn thành các bước cài đặt cho máy chủ nessus, cùng khởi động bằng lệnh nessusd &, sau đó chạy trình khách nessus thông qua dòng lệnh nessus ở bất kỳ terminal gì và thiết lập nhiều tham số cần thiết cho chu trình quét lỗi.
- Lưu ý: máy chủ nessus cần được cấu hình trên nhiều Quan tri he thong linux Linux-like, nhưng chương trình giao tiếp (nessus client) có khả năng cài trên nhiều hệ thống Windows OS hoặc Linux.
Đầu tiên chúng mình cần log-in vào server nessus qua trang đang nhập với tài khoản đã tạo ra. Tiếp theo là chọn các plug-in cho phép tiến hành quét lỗi, càng rất nhiều plug-in được chọn thì kết quả thu có sẽ tốt hơn tuy nhiên thời giờ cũng có tác dụng lâu hơn, hãy click chuột vào ô check-box bên phải cho phép chọn các plug-in mình muốn:
Cuối cùng là nhập địa chỉ nhiều máy cần kiểm tra lổi thời điểm trang Target selection rồi lưu lại với tùy chọn Save this section, nhấn phím Start the scan nhằm nessus bắt đầu hoạt động:
Tùy vào số lượng máy được quét và số plug-in bạn chọn mà thời gian tiến hành lâu hoặc mau. Kết quả thu được có tác dụng được mô tả như khung sau:
Dựa trên kết quả thu có chúng mình có khả năng xác định những điểm nhạy cảm cũng như những lổ hổng mà nhiều hacker có khả năng lợi dụng mục đích tấn công hệ thống, ví dụ có một máy chủ Windows OS bị lỗi bảo mật Rpc dcom có khả năng cho những hacker chiếm quyền điều khiển từ xa hay những cổng TCP 139 đang mở trên phần lớn nhiều máy của nhân viên phòng Kinh Doanh có khả năng bị tấn công bằng cơ chế brute force… Và đương nhiên là chúng mình hay vá chúng lại càng sớm càng tốt thông qua website của nhà đưa ra hoặc đặt password theo cơ chế phức tạp để ngăn ngừa các phương pháp đoán password như brute force, yêu cầu khách hàng thay đổi password sau một thời gian sử dụng...
Nhằm Quản trị hệ thống linux phòng chống những dạng tấn công này thì chúng mình cần kịp thời cập nhật các bản vá hệ thống khi chúng có công bố, hoặc trên nhiều mạng và hệ thống áp dụng Windwos 2000 về sau chúng mình chắc hẳn thông tin nhiều bản vá từ trang web Microsoft Update hay setup WSUS server nhằm thông tin cho khá nhiều máy cùng lúc mỗi khi có các lổ hổng hệ thống mới được công bố. Đăng kí nhiều bản tin cảnh báo từ nhiều trang web của nhiều nhà đưa ra giải pháp bảo mật (ví dụ như www.eeye.com) để có cơ hội đưa ra những giải pháp một cách kịp thời. Bên cạnh đó ta hay mỗi lúc giám sát các hệ thống máy chủ quan trọng, cài đặt các chương trình diệt Virus và Trojan (đối với nhiều hệ thống Windows OS chúng mình hay cài Microsoft Anti Spyware, chương trình này cho kết quả rất tốt khi chạy), xây dựng hệ thống dò tìm và phát hiện xâm nhập như Snort IDS, GFI Server Monitor hoặc là dùng kế nghi binh “Vườn Không Nhà Trống” để đánh lừa và dẫn dụ những hacker tấn công vào nhiều server ảo có tạo ra qua những HoneyPot Server.
.jpg)
0 nhận xét:
Đăng nhận xét