Quản trị hệ thống Linux - Dùng Nessus thành công có tin dùng
Một vào lúc những mối quan tâm hàng đầu của nhiều nhà Quản trị hệ thống linux là làm sao biết có Nghề quản trị hệ thống linux của mình bị hổng ở chổ như thế nào để chắc hẳn vá lại hoặc nhằm tấn công hay đột nhập vào nếu người quan tâm đến chúng là nhiều hacker. Có rất nhiều công cụ trợ giúp vào lúc việc xác định những lỗi bảo mất và nhiều điểm nhạy cảm của Quan tri he thong linux như Retina của Eeye, nên GFI N.S.S của GFI… Nhưng công cụ được những hacker và nhiều nhà quản trị hệ thống yêu thích hơn cả vẫn là nessus, công cụ có xếp hạng thứ nhất trong 75 công cụ bảo mật có đánh giá bởi sắp xếp Insecure .
Lý do mà Nessus được yêu thích như vậy do là chúng có một cơ sở dữ liệu rất lớn về lổ hổng hệ thống có cập nhật thường xuyên, hình thức dễ sử dụng và kết quả có thể được lưu lại dưới nhiều dạng khác nhau như biểu đồ, XML hay PDF nhằm chắc hẳn đơn giản tham khảo. Ngoài ra khi áp dụng Nessus chúng ta không phải lo lắng về việc bản quyền vì đây là một chương trình miễn phí. Trong bài viết này tôi sẽ mô tả phương pháp cấu hình và setup nessus trên một Quản trị hệ thống linux Linux FC2 và tiến hành kiểm tra lỗi của một số máy chủ chạy hệ điều hành Windows, cùng với giải pháp phòng chống Nessus cũng như những trường hợp tấn công DOS dựa vào honeypot.
Phần I: Cài đặt và thiết lập chương trình kiểm tra lỗi hệ thống Nessus
Đầu tiên chúng ta tải về bốn tập tin nessus-libraries-2.0.9.tar.gz, libnasl-2.0.9.tar.gz, nessus-core-2.0.9.tar.gz, nessus-plugins-2.0.9.tar.gz từ trang web www.nessus.org và tiến hành setup theo thứ tự sau:
#tar –zxvf nessus-libraries-2.0.9.tar.gz
#cd ../nessus-libraries-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf libnasl-2.0.9.tar.gz
#cd libnasl-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-core-2.0.9.tar.gz
#cd nessus-core-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-plugins-2.0.9.tar.gz
#cd nessus-plugins-2.0.9
#./configure && make && make install
Nhiều dòng lệnh trên sẽ giải nén và lần lượt setup các gói tin thư viện ">Quản trị hệ thống Linux và những plug-in cần thiết cho quá trình quét lỗi. Khi tiến trình setup hoàn tất bạn hãy dùng trình soạn thảo vi, hoặc emac thêm dòng /usr/local/lib vào tập tin ld.so.conf vào lúc thư mục /etc, lưu lại và chạy lệnh ldconfig.
Nhằm connect với server nessus bằng giao thức an toàn SSL thì chúng ta cần tạo những SSL certificate cho nessus thông qua lệnh nessus-mkcert và tiến hành theo những chỉ thị đưa ra.
Tiếp theo ta cần tạo tài khoản dùng cho phép Nghề quản trị hệ thống linux chạy nessus bằng tiện ích nessus-addusr. Điều này có cơ hội giúp chúng ta tạo ra các tài khoản chỉ có khả năng quét lỗi trên lớp mạng con mà mình quản lý.
# nessus-adduser
Addition of a new nessusd user
------------------------------
Login : secureprof
Authentication (pass/cert) [pass] : pass
Password : uncrackable
Như vậy ta đã hoàn thành những bước cài đặt cho máy chủ nessus, hãy cùng khởi động bằng lệnh nessusd &, sau đó chạy trình khách nessus qua dòng lệnh nessus ở bất kỳ terminal như thế nào và cấu hình nhiều tham số cần thiết cho chu trình quét lỗi.
- Lưu ý: server nessus cần được thiết lập trên những Quan tri he thong Linux Linux-like, nhưng chương trình giao tiếp (nessus client) có khả năng cài trên nhiều hệ thống Windows OS hoặc Linux.
Đầu tiên chúng mình cần log-in vào máy chủ nessus qua trang đang nhập với tài khoản đã tạo ra. Tiếp theo là chọn các plug-in để tiến hành quét lỗi, càng các plug-in có chọn thì kết quả thu được có tác dụng tốt hơn tuy nhiên thời giờ cũng có tác dụng lâu hơn, hãy click chuột vào ô check-box bên phải cho phép chọn nhiều plug-in mình muốn:
Cuối cùng là nhập địa chỉ những máy cần kiểm tra lổi vào lúc trang Target selection rồi lưu lại với tùy chọn Save this section, nhấn phím Start the scan để nessus bắt đầu hoạt động:
Tùy vào số lượng máy được quét và số plug-in bạn chọn mà thời gian tiến hành lâu hoặc mau. Kết quả thu có sẽ có trình bày như khung sau:
Dựa trên kết quả thu có các bạn có khả năng xác định các điểm nhạy cảm cũng như nhiều lổ hổng mà những hacker có thể lợi dụng nhằm tấn công hệ thống, ví dụ có một máy chủ Windows OS bị lỗi bảo mật Rpc dcom có khả năng cho nhiều hacker chiếm quyền điều khiển từ xa nên các cổng TCP 139 đang mở trên hầu như những máy của nhân viên phòng Kinh Doanh chắc hẳn bị tấn công bằng cách thức hoạt động brute force… Và đương nhiên là chúng ta nên vá chúng lại càng sớm càng tốt thông qua website của nhà cung cấp hoặc đặt password theo cách thức hoạt động phức tạp mục đích ngăn ngừa những phương pháp đoán password như brute force, yêu cầu người dùng thay đổi password sau một thời gian sử dụng...
Cho phép Quan tri he thong Linux phòng chống những dạng tấn công này thì chúng ta cần kịp thời nâng cấp các bản vá hệ thống khi chúng được công bố, hoặc trên nhiều mạng và hệ thống dùng Windwos 2000 về sau chúng mình có thể cập nhật nhiều bản vá từ trang web Microsoft Update hoặc cài đặt WSUS server mục đích nâng cấp cho nhiều máy cùng lúc mỗi khi có các lổ hổng hệ thống mới được công bố. Đăng kí nhiều bản tin cảnh báo từ các trang web của những nhà cung cấp giải pháp bảo mật (ví dụ www.eeye.com) cho phép có cơ hội đưa ra các giải pháp một cách kịp thời. Bên cạnh đó ta hay thường xuyên giám sát những hệ thống server quan trọng, setup các chương trình diệt Virus và Trojan (đối với nhiều hệ thống Windows OS chúng ta hay cài Microsoft Anti Spyware, chương trình này cho kết quả rất tốt khi chạy), dựng hệ thống dò tìm và phát hiện xâm nhập như Snort IDS, GFI Server Monitor hoặc là tận dụng kế nghi binh “Vườn Không Nhà Trống” cho phép đánh lừa và dẫn dụ nhiều hacker tấn công vào nhiều server ảo được tạo ra qua nhiều HoneyPot Server.
Lý do mà Nessus được yêu thích như vậy do là chúng có một cơ sở dữ liệu rất lớn về lổ hổng hệ thống có cập nhật thường xuyên, hình thức dễ sử dụng và kết quả có thể được lưu lại dưới nhiều dạng khác nhau như biểu đồ, XML hay PDF nhằm chắc hẳn đơn giản tham khảo. Ngoài ra khi áp dụng Nessus chúng ta không phải lo lắng về việc bản quyền vì đây là một chương trình miễn phí. Trong bài viết này tôi sẽ mô tả phương pháp cấu hình và setup nessus trên một Quản trị hệ thống linux Linux FC2 và tiến hành kiểm tra lỗi của một số máy chủ chạy hệ điều hành Windows, cùng với giải pháp phòng chống Nessus cũng như những trường hợp tấn công DOS dựa vào honeypot.
Phần I: Cài đặt và thiết lập chương trình kiểm tra lỗi hệ thống Nessus
Đầu tiên chúng ta tải về bốn tập tin nessus-libraries-2.0.9.tar.gz, libnasl-2.0.9.tar.gz, nessus-core-2.0.9.tar.gz, nessus-plugins-2.0.9.tar.gz từ trang web www.nessus.org và tiến hành setup theo thứ tự sau:
#tar –zxvf nessus-libraries-2.0.9.tar.gz
#cd ../nessus-libraries-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf libnasl-2.0.9.tar.gz
#cd libnasl-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-core-2.0.9.tar.gz
#cd nessus-core-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-plugins-2.0.9.tar.gz
#cd nessus-plugins-2.0.9
#./configure && make && make install
Nhiều dòng lệnh trên sẽ giải nén và lần lượt setup các gói tin thư viện ">Quản trị hệ thống Linux và những plug-in cần thiết cho quá trình quét lỗi. Khi tiến trình setup hoàn tất bạn hãy dùng trình soạn thảo vi, hoặc emac thêm dòng /usr/local/lib vào tập tin ld.so.conf vào lúc thư mục /etc, lưu lại và chạy lệnh ldconfig.
Nhằm connect với server nessus bằng giao thức an toàn SSL thì chúng ta cần tạo những SSL certificate cho nessus thông qua lệnh nessus-mkcert và tiến hành theo những chỉ thị đưa ra.
Tiếp theo ta cần tạo tài khoản dùng cho phép Nghề quản trị hệ thống linux chạy nessus bằng tiện ích nessus-addusr. Điều này có cơ hội giúp chúng ta tạo ra các tài khoản chỉ có khả năng quét lỗi trên lớp mạng con mà mình quản lý.
# nessus-adduser
Addition of a new nessusd user
------------------------------
Login : secureprof
Authentication (pass/cert) [pass] : pass
Password : uncrackable
Như vậy ta đã hoàn thành những bước cài đặt cho máy chủ nessus, hãy cùng khởi động bằng lệnh nessusd &, sau đó chạy trình khách nessus qua dòng lệnh nessus ở bất kỳ terminal như thế nào và cấu hình nhiều tham số cần thiết cho chu trình quét lỗi.
- Lưu ý: server nessus cần được thiết lập trên những Quan tri he thong Linux Linux-like, nhưng chương trình giao tiếp (nessus client) có khả năng cài trên nhiều hệ thống Windows OS hoặc Linux.
Đầu tiên chúng mình cần log-in vào máy chủ nessus qua trang đang nhập với tài khoản đã tạo ra. Tiếp theo là chọn các plug-in để tiến hành quét lỗi, càng các plug-in có chọn thì kết quả thu được có tác dụng tốt hơn tuy nhiên thời giờ cũng có tác dụng lâu hơn, hãy click chuột vào ô check-box bên phải cho phép chọn nhiều plug-in mình muốn:
Cuối cùng là nhập địa chỉ những máy cần kiểm tra lổi vào lúc trang Target selection rồi lưu lại với tùy chọn Save this section, nhấn phím Start the scan để nessus bắt đầu hoạt động:
Tùy vào số lượng máy được quét và số plug-in bạn chọn mà thời gian tiến hành lâu hoặc mau. Kết quả thu có sẽ có trình bày như khung sau:
Dựa trên kết quả thu có các bạn có khả năng xác định các điểm nhạy cảm cũng như nhiều lổ hổng mà những hacker có thể lợi dụng nhằm tấn công hệ thống, ví dụ có một máy chủ Windows OS bị lỗi bảo mật Rpc dcom có khả năng cho nhiều hacker chiếm quyền điều khiển từ xa nên các cổng TCP 139 đang mở trên hầu như những máy của nhân viên phòng Kinh Doanh chắc hẳn bị tấn công bằng cách thức hoạt động brute force… Và đương nhiên là chúng ta nên vá chúng lại càng sớm càng tốt thông qua website của nhà cung cấp hoặc đặt password theo cách thức hoạt động phức tạp mục đích ngăn ngừa những phương pháp đoán password như brute force, yêu cầu người dùng thay đổi password sau một thời gian sử dụng...
Cho phép Quan tri he thong Linux phòng chống những dạng tấn công này thì chúng ta cần kịp thời nâng cấp các bản vá hệ thống khi chúng được công bố, hoặc trên nhiều mạng và hệ thống dùng Windwos 2000 về sau chúng mình có thể cập nhật nhiều bản vá từ trang web Microsoft Update hoặc cài đặt WSUS server mục đích nâng cấp cho nhiều máy cùng lúc mỗi khi có các lổ hổng hệ thống mới được công bố. Đăng kí nhiều bản tin cảnh báo từ các trang web của những nhà cung cấp giải pháp bảo mật (ví dụ www.eeye.com) cho phép có cơ hội đưa ra các giải pháp một cách kịp thời. Bên cạnh đó ta hay thường xuyên giám sát những hệ thống server quan trọng, setup các chương trình diệt Virus và Trojan (đối với nhiều hệ thống Windows OS chúng ta hay cài Microsoft Anti Spyware, chương trình này cho kết quả rất tốt khi chạy), dựng hệ thống dò tìm và phát hiện xâm nhập như Snort IDS, GFI Server Monitor hoặc là tận dụng kế nghi binh “Vườn Không Nhà Trống” cho phép đánh lừa và dẫn dụ nhiều hacker tấn công vào nhiều server ảo được tạo ra qua nhiều HoneyPot Server.
0 nhận xét: