OPENVAS – CENTOS7

Indice

1 Introdução
2 Instalação
3 Antes de Iniciar
4 Pré Instalação
5 Instalação
6 Pós Instalação
7 Configuração de Atualização
8 Usando pela Primeira Vez
9 Scan Personalizado
10 Conclusão
11 Referências

Introdução

Aviso Legal: não me responsabilizo pelo mal uso da ferramenta ou erros cometidos durante ou depois da instalação.

Este guia é para explicar a instalação e o funcionamento de uma excelente ferramenta de Analise de Vulnerabilidades. OpenVAS

Nos meus guias você verá várias vezes algumas caixas em algumas cores diferentes, apenas para você entender:

ATENÇÃO

Este caixa conterá uma informação importante, que necessita de cuidado ou informando uma regra.

INFORMAÇÃO

Esta caixa informa ao leitor um dica, uma referência ou uma informação relevante para melhor entendimento.

CURIOSIDADE

Comentário do autor, apenar para trazer um pouco do conhecimento não expresso.

Instalação

OpenVAS é um framework de analise de vulnerabilidades, que a certo ponto é interessante analisar internamente suas vulnerabilidades para assim realizar as correções ou até mesmo o hardening de seus ativos. Há duas versões do OpenVAS a Community e a Enterprise que poderá ser consultado aqui.

OpenVAS possui possui um feed que é atualizado de forma regular com mais de 50,000 de NVTs (Network Vulnerability Tests). O OpenVAS é licenciado como (GNU GPL)

Diagrama básico do seu funcionamento. Fonte: aqui.

Antes de Iniciar

A instalação deste OpenVAS foi realizado em uma maquina física basicamente com

Intel Core i3 com 2 Cores de 2.6Ghz
8gb de RAM
2TB HDD
Ethernet Gigabit

Friso que OpenVAS é compatível com VirtualBOX, VMWare, etc. Requer no minimo 2GB de RAM, 2 CPU Core e no minimo 120gb de HDD

Pré Instalação

Primeiramente iremos desativar o SELINUX, pois durante a instalação com o SELINUX ativo a instalação não será realizada.

sudo vim /etc/selinux/config 

SELINUX=disabled

Abra as portas necessárias para o OpenVAS em seu firewall

Para realizar o download do OpenVAS é necessário adicionar o Repositório da Atomic, efetuando o download do arquivo BASH, executando e confirmando a instalação.

wget https://www.atomicorp.com/installers/atomic 
chmod +x atomic
./atomic

Instalação

Agora procedemos com a instalação

sudo yum install openvas

Após o download é importante editar a configuração do REDIS:

sudo vim /etc/redis.conf

Descomente as duas linhas:

unixsocket /tmp/redis.sock
unixsocketperm 700

Habilite e reinicie o serviço REDIS

systemctl enable redis && systemctl restart redis

Execute a instalação do OpenVAS conforme. Sugiro manter o Downloader como RSYNC como padrão.

openvas-setup

-- Output --
Openvas Setup, Version: 3.0

Step 1: Update NVT, CERT, and SCAP data
Please note this step could take some time.
Once completed, this will be updated automatically every 24 hours

Select download method
* wget (NVT download only)
* curl (NVT download only)
* rsync

Note: If rsync requires a proxy, you should define that before this step.
Downloader [Default: rsync]

ATENÇÃO

Caso não tenha desabilitado o SELINUX dar erro.

Hora de relaxar, esticar as pernas, tomar um café pois é bem demorado a instalação.

Após a instalação do OpenVAS irá lhe solicitar login e senha para o administrador do OpenVAS, como também se deseja permitir que o acesso ao OpenVAS sejá de qualquer origem ou apenas localhost

-- Output --
Step 2: Configure GSAD
The Greenbone Security Assistant is a Web Based front end
for managing scans. By default it is configured to only allow
connections from localhost.

Allow connections from any IP? [Default: yes]
Redirecting to /bin/systemctl restart gsad.service

Step 3: Choose the GSAD admin users password.
The admin user is used to configure accounts,
Update NVT's manually, and manage roles.

Enter administrator username [Default: admin] : 
Enter Administrator Password:
Verify Administrator Password:

Agora o OpenVAS irá reconstruir o NVT Cache… Isso demora outro bocado.

-- Output --
Rebuilding NVT cache... done.

Setup complete, you can now access GSAD at:
https://<IP>:9392

Pós Instalação

Bom, já da para usar o OpenVAS acessando ele conforme indicado, mas recomendo que execute o validador de instalação, executando:

openvas-check-setup --v9

Caso receba o seguinte Warning:

openvas-check-setup --v9
-- Output --
...
Step 10: Checking presence of optional tools ...
OK: pdflatex found.
WARNING: PDF generation failed, most likely due to missing LaTeX packages. The PDF report format will not work.
SUGGEST: Install required LaTeX packages.

It seems like your OpenVAS-9 installation is OK.

INFORMAÇÃO

OPCIONAL! Caso queira gerar relatórios via PDF no OpenVAS, proceda com a instalação dos seguintes pacotes do PDFLATEX:

sudo yum install texlive texlive-latex texlive-xetex
sudo yum install texlive-collection-latex
sudo yum install texlive-collection-fontsrecommended
sudo yum install texlive-collection-latexrecommended
sudo yum install texlive-xetex-def
sudo yum install texlive-collection-xetex
sudo yum install texlive-changepage
sudo yum install texlive-titlesec

Configuração de Atualização

Qual é a graça de ter um analisador de vulnerabilidades se ele não se atualiza?

Adicione as seguintes linhas no seu crontab para realizar a atualização automática:

sudo vim /etc/crontab
5 1 * * * /usr/sbin/greenbone-nvt-sync > /dev/null
5 2 * * * /usr/sbin/greenbone-scapdata-sync > /dev/null
5 3 * * * /usr/sbin/greenbone-certdata-sync > /dev/null

Os horários acima, será todos os dias, as uma, duas e três horas e 5 minutos para cada tarefa de atualização.

ATENÇÃO

Durante a instalação do OpenVAS no disclaimer diz “Only one sync per time, otherwise the source ip will be blocked” Ou seja, se você tentar sincronizar mais de uma vez, o seu IP será bloqueado. Cuidado!

Usando pela Primeira Vez

Acesse o seu OpenVAS pelo IP e PORTA informado no final da instalação do OpenVAS. Eis a cara de login:

ATENÇÃO

O acesso é via HTTPS:\\

Com frequência é importante verificar se os NVTs estão sendo atualizado, clique em EXTRAS –> FEED UPDATE, e verifique conforme exemplo:

A varredura de um ativo, parque, rede, etc é bastante intuitiva, para isso vá em SCANS –> TASKS –> TASK WIZARD conforme:

Informe o IP ou faixa de IP (192.168.1.0/24) para realizar a varredura, conforme exemplo:

ATENÇÃO

O analise de vulnerabilidade DEFAULT ele irá verificar tudo, inclusive Brute Force, DDoS, entre outros. Então, se o ativo não puder sofrer um ataque, recomendo que crie um Scan Customizado, veja no próximo tópico.

Quando concluído o SCANNER terá uma tela similar a esta, onde lista a tarefa criada, a data e a severidade de NVTs localizado neste ativo de exemplo

Para visualizar o detalhamento dessa tarefa/host clique em SCANS –> REPORTS, selecione a tarefa o obterá as vulnerabilidades encontradas, a exemplo:

Clicando em cima da vulnerabilidade, você obterá os detalhes, conforme exemplo:

Para baixar o Relatório em PDF (é lindo!) utilize a opção:

Outro exemplo com mais vulnerabilidades:

Scan Personalizado

No seu parque poderá ter equipamentos sensíveis que não pode receber um ataque DDoS ou até mesmo um Brute Force de senha, você poderá criar SCANNER customizados, para isso vá em CONFIGURATION –> SCAN CONFIGS

Utilize o ícone da ovelha para clonar a tarefa, a exemplo Full and Fast

Após clonar, será exibido todas as regras clonadas. Volte novamente na Tela de CONFIGURATION –> SCAN CONFIG e localize o item clonado e pressione na chave para configurar

Defina o nome da sua regra, e desmarque o itens que não deseja fazer, a exemplo Brute Force, e salve.

Conclusão

OpenVAS é uma excelente ferramenta para analise de vulnerabilidades. Você poderá definir credenciais válidas para explorar a maquina inteira, já que por Default todas as analises são de fora para dentro, ou seja, se houver alguma porta aberta ele irá analisar por essa porta. Já com as credenciais válidas fará um teste mais profundo.