AlienVault OSSIM: сканер уязвимостей

IDS – обнаруживает вторжения, сообщает вам когда совершается вторжение или когда оно уже произошло. IPS – обнаруживает вторжения и пытается защитить вашу инфраструктуру от них. А что делать, если хочешь свести к минимуму саму возможность вторжения? Нужно самому проверять инфраструктуру на наличие известных уязвимостей и устранять их! Свои решения предлагают все: HP, McAfee, IBM, Microsoft…, но не бесплатно. Мы же рассмотрим систему AlienVault OSSIM, в состав которой входит известный сканер OpenVAS.

OpenVAS – сканер уязвимостей

OpenVAS (Open Vulnerability Assessment System) – Открытая Система Оценки Уязвимости. OpenVAS – свободное программное обеспечение, представляющее собой комплекс инструментов для выполнения сканирования удаленных систем на наличие в них известных проблем безопасности. Полную информацию и документацию по системе смотрите на официальном сайте проекта OpenVAS. Основой для данного проекта послужил Nessus 2, после того как его решили сделать проприетарным. В настоящий момент активной разработкой OpenVAS занимается компания Greenbone Networks, она использует OpenVAS как основу для своих аппаратных решений по сканированию уязвимостей.
Чтобы представить себе все возможности данной системы, предлагаю ознакомиться с составом инструментов, которые она использует для работы:

• Nikto — сканер уязвимостей веб-серверов;
• Nmap — сканер сетей и портов;
• ike-scan — сканирование IPsec VPN;
• snmpwalk — извлечение информации snmp;
• amap — инструмент определения приложений;
• ldapsearch — извлечение информации из LDAP;
• SLAD (Security Local Auditing Daemon) — выполнение локальных проверок безопасности в Linux-системах;
• ovaldi —интерпретатор языка OVAL (описание уязвимостей);
• pnscan — сканирование портов, исследование сетей;
• portbunny — сканер портов;
• strobe — сканер портов;
• w3af — платформа для организации аудита веб-приложений.

Сканирование инфраструктуры

Для начала проверки своих систем на наличие в них уже известных проблем перейдите в Environment > Vulnerabilities > Scan jobs. На что стоит обратить внимание… С правой стороны можно предварительно настроить профили сканирования “Profiles” и задать дополнительные параметры “Settings”, а с левой – создать задачу сканирования “New scan job”.

Profiles
По умолчанию в системе присутствует три профиля:

• Deep – Non destructive Full and Slow scan: полное неразрушающее медленное сканирование;
• Default – Non destructive Full and Fast scan: полное неразрушающее быстрое сканирование;
• Ultimate – Full and Fast scan including Destructive tests: полное и быстрое сканирование включая разрушающие тесты.

Я думаю, что и так всем ясно: профиль “Ultimate” желательно применять только на тестовых системах или на резервных копиях. Существуют тесты, при которых обнаружить уязвимость не навредив целевой системе невозможно, будьте внимательны!
Можно создавать и свои профили для выборочного сканирования. При редактировании профиля доступны следующие разделы:

• Autoenable. Задает название и описание профиля, а также позволяет выбрать группы плагинов по категориям или семействам;
• Plugins. Детальная корректировка списка используемых для сканирования плагинов (также отображается общее количество доступных плагинов и плагинов включенных в текущем профиле);
• Prefs. Персонализированная конфигурации для каждого профиля (эти настройки генерируются динамически и могут измениться после обновления системы);
• View Config. Просмотр окончательной конфигурации профиля.

Settings
Данный пункт позволяет настроить учетные данные пользователей для сканирования систем изнутри.

• Имя для набора учетных данных;
• Ограничение доступа: позволяет ограничить использование набора учетных данных пользователями OSSIM;
• Учетная запись пользователя;
• Пароль пользователя;
• Пара ключей (не защищенные паролем), если не используете доступ по логину/паролю;

Нажмите Create credential, для сохранения настроек. Теперь вы можете использовать эти учетные данные для организации сканирования с проверкой подлинности.

New scan job
Выбор данного пункта открывает диалог создания нового сканирования:

1. Задайте название нового сканирования;
2. Выберите профиль сканирования (для первого раза оставьте профиль Default);
3. Расписание планирования (immediately – начать немедленно);
4. В Advanced выберите созданного пользователя для проверки тестируемых систем изнутри (не обязательно);
5. Из списка активов выберите нужные объекты для данного сканирования: можно выбрать любые узлы, группы (если вы их заранее создали), сети;
6. Нажмите “Save”.

В списке задач появится созданная вами задача сканирования. Если вы выбрали немедленный старт задания, то через несколько секунд начнется его выполнение. Время выполнения сканирования зависит как от количества тестов, так и от сканируемых объектов: может потребоваться от нескольких минут, до нескольких часов. После окончания сканирования полученные результаты будут доступны в Environment > Vulnerabilities > Overview. Подробные описания найденных уязвимостей можно сразу просмотреть в html или скачать как pdf и xls.

NTV – база угроз

Сканер безопасности имеет регулярно обновляемую базу тестов уязвимостей/угроз NVT (Network Vulnerability Tests). На текущий момент (август 2016) в этой базе содержатся более 47700 описаний. OpenVAS настроен на постоянное обновление своей базы. База NVT обновляется еженедельно, однако есть возможность (за дополнительную плату) получать обновления без задержек.
Для просмотра базы угроз перейдите в Environment > Vulnerabilities > Threat database. Здесь все угрозы распределены по семействам и по уровню возможной опасности, также имеется удобный фильтр для поиска конкретных угроз, поэкспериментируйте с ним. Для оффлайн-обновлений базы угроз (ну или для её изучения) можно вручную загрузить последнюю полную версию архива описаний уязвимостей (от 25 МБ).
Для принудительного обновления NVT, выполните следующую команду:

# openvas-nvt-sync

Данная команда обновит локальную базу NVT загрузив новую версию, если такая имеется. Если после обновления вы по-прежнему не видите обновлений в NVT, перезапустить сканер:

# service openvas-scanner restart

Все тесты уязвимостей в NVT, используемые OpenVAS написаны на языке сценариев NASL (сокращенно Nessus Attack Scripting Language). В OSSIM вы найдете их здесь:

/var/lib/openvas/plugins

Рассмотрим пример простого описания из файла zyxel_pwd.nasl. Здесь определяется, что удаленный хост – это маршрутизатор Zyxel с паролем по умолчанию:

port = 23;
if(get_port_state(port))
{
 soc = open_sock_tcp(port);
 if(soc)
 {
   r = recv(socket:soc, length:8192, min:1);
   s = string("1234\r\n");
   send(socket:soc, data:s);
   r = recv(socket:soc, length:8192, min:1);
   close(soc);
   if("ZyXEL" >< r)security_message(port);
 }
}

Ещё один пример - проверка уязвимости CVE-2015-2704 для Amazon Linux. Для проверки наличия указанной уязвимости просто проверяются версии установленных пакетов. Всё просто:

if(release == "AMAZON")
{
if ((res = isrpmvuln(pkg:"realmd-debuginfo", rpm:"realmd-debuginfo~0.16.1~5.5.amzn1", rls:"AMAZON")) != NULL) {
  security_message(data:res);
  exit(0);
}
if ((res = isrpmvuln(pkg:"realmd", rpm:"realmd~0.16.1~5.5.amzn1", rls:"AMAZON")) != NULL) {
  security_message(data:res);
  exit(0);
}
if ((res = isrpmvuln(pkg:"realmd-devel-docs", rpm:"realmd-devel-docs~0.16.1~5.5.amzn1", rls:"AMAZON")) != NULL) {
  security_message(data:res);
  exit(0);
}
if (__pkg_match) exit(99); #Not vulnerable
  exit(0);
}

Помните, что информационная безопасность - не задача, а процесс: создайте расписание сканирований, настройте автоматическое создание тикетов безопасности, назначьте ответственных...