Настройка и использование сканера уязвимостей OpenVAS

Размещено на http://www.allbest.ru/

Федеральное агентство связи

Федеральное государственное бюджетное образовательное учреждение высшего образования

"Поволжский государственный университет телекоммуникаций и информатики"

Факультет Телекоммуникаций и радиотехники

Направление (специальность) Информационная безопасность телекоммуникационных систем

Кафедра Мультисервисных сетей и информационной безопасности

Выпускная квалификационная работа (дипломная работа)

Настройка и использование сканера уязвимостей OpenVAS

Зинкин И.Ю.

Самара 2017

Реферат

Название	Настройка и использование сканера уязвимостей OpenVAS (Лабораторная работа)
Автор	Зинкин Илья Юрьевич
Научный руководитель	Раков Александр Сергеевич
Ключевые слова	Сканеры уязвимостей, OpenVAS, сетевая безопасность, сетевые атаки, поиск уязвимостей
Дата публикации	2017
Библиографическое описание	Зинкин И.Ю. Настройка и использование сканера уязвимостей OpenVAS (Лабораторная работа) [Текст]: дипломная работа / И.Ю. Зинкин. Поволжский государственный университет телекоммуникаций и информатики (ПГУТИ). Факультет телекоммуникаций и радиотехники (ФТР). Кафедра мультисервисных сетей и информационной безопасности (МСИБ): науч. рук. А.С. Раков - Самара. 2017. - 126 с.
Аннотация	В данной работе выполнялась настройка и подготовка к работе сканера уязвимостей OpenVAS. Были рассмотрены теоретические сведения, относящиеся к сетевой безопасности. Производилось сканирование различных операционных систем и оценка найденных уязвимостей. Рассматривалась общая система оценки уязвимостей (CVSS). Было создано методическое пособие, которое в дальнейшем будет использоваться студентами на кафедре МСИБ.

План

Введение

1. Общие сведения о сетевой безопасности, сетевых атаках, сканерах уязвимостей и их назначении

1.1 Понятие сетевой безопасности

1.2 Источники возникновения уязвимостей

1.3 Сетевые атаки. Обобщенный сценарий атаки

1.4 Место сканеров безопасности в комплексе защиты сетей

1.5 Классификация сканеров уязвимостей

1.6 Сетевые узлы и их защищенность

2. Анализ защищенности сетевых узлов. Установка и настройка сканера уязвимостей OpenVAS. Поиск уязвимостей

2.1 Создание тестового стенда сети

2.2 Установка и запуск сканера уязвимостей OpenVAS

2.3 Настройка сканера уязвимостей OpenVAS

2.4 Анализ отчетов сканирования

3. Общая система оценки уязвимостей (CVSS- Common Vulnerabilities Scoring System)

3.1 Определение CVSS вектора

3.2 Уравнения оценок CVSS

3.3 Расчет базового вектора CVSS для одной из найденных уязвимостей

4. Методические рекомендации к выполнению лабораторной работы

4.1 Разработка структуры лабораторной работы

4.2 Разработка лабораторной работы "Настройка и использование сканера уязвимостей OpenVAS"

Заключение

Список использованных источников

Введение

В двадцать первом веке движущей силой и главным объектом всех отраслей деятельности человека становятся информационные ресурсы, и состояние каналов, сетей и серверная безопасность постепенно начинают становиться основой экономического развития. По всеобщему мнению многих аналитиков информация становится одной из главных валют мира. Но на данный момент ситуация с сетевой безопасностью достаточно не простая. Сложные сетевые технологии достаточно уязвимы и поэтому очень часто становятся целью для атак злоумышленников. Причем такие атаки не имеют ограничений в расстоянии от атакуемого объекта и фактически могут производиться из любой точки планеты. Все это ставит новые проблемы перед разработчиками и строителями информационной инфраструктуры. Некоторые современные формы бизнеса полностью базируются на сетевых технологиях (электронная торговля, IP-телефония, сетевые провайдеры и т.д.) и по этой причине особенно уязвимы.

В настоящее время большинство организации в большей или меньшей степени пользуется локальными сетями. В пределах одного офиса компьютеры связываются между собой с помощью локальной сети. Кроме того, все локальные сети организации в большинстве случаев имеют выход в глобальную сеть Интернет. Для организаций, которые находятся на расстоянии друг от друга, данный способ очень удобен и практичен в плане совместного взаимодействия всех офисов организации, однако с другой стороны возникают серьезные проблемы, связанные с защитой важной информации передающейся по сети. Эта информация может быть изменена, утеряна, либо украдена злоумышленником, если руководство компании не обеспечило должный уровень безопасности своей корпоративной сети. Информация может быть модифицирована, или уничтожена в трёх случаях:

· сотрудниками, непреднамеренно или намеренно, внутри локальной сети организации;

· злоумышленником, проникшим в локальную сеть организации извне;

· злоумышленником, перехватившим информацию в глобальной сети Интернет, при ее передаче от одного офиса к другому.

При реализации любого из вышеперечисленных случаев, компания получит значительные убытки. Для того чтобы избежать этого необходимо хорошо продумать и организовать систему безопасности, позволяющей избежать или хотя бы минимизировать потерю важной информации организации, тем самым свести к минимуму возможные дополнительные затраты компании.

Сетевые атаки и убытки при их удачной реализации привлекают общественное внимание к сетевой безопасности. Злоумышленники наносят убытки организациям на сотни миллионов долларов в год. Важность развития сетевой безопасности увеличивается ежегодно, так как зависимость всех сфер деятельности человека от компьютеров и возможностей сетей постоянно растет. При этом появляется огромное количество новых приложений, подверженных уязвимостям, и обнаруживаются новые уязвимости в уже существующих приложениях, и в результате, количество атак на сетевые ресурсы растет в геометрической прогрессии.

Другой тенденцией является увеличение доступности инструментов для сетевых атак и вторжений. Атаки с использованием нескольких компьютеров и удаленные атаки становятся все более распространенными. Однако, в то же время, защита сети, инструменты, также становятся все более сложными и разнообразными. Все это, вызывает большой интерес к сетевой безопасности, уязвимостям сети, и поиску их причин. Средства и инструменты для создания безопасной системы, а также и для анализа безопасности разнообразны. В этой работе будет рассмотрен один из способов анализа безопасности сетей с применением широко распространенного сканера уязвимостей OpenVAS.

В образовательном стандарте по специальности ИБТС предусмотрены компетенции, относящиеся к оценке уровней риска и осуществления аудита уровня защищенности телекоммуникационных систем. В связи с чем лабораторная работа по данной тематике является актуальной.

Все вышесказанное определило актуальность темы работы.

Целью дипломной работы является разработка и паспортизация лабораторной работы "Настройка и использование сканера уязвимостей OpenVAS".

Для достижения поставленной цели необходимо решить следующие основные задачи:

· создать тестовый стенд сети для сканирования;

· настроить и подготовить к работе сканер уязвимостей OpenVAS;

· определить перечень уязвимостей различных операционных систем;

· создать методическое пособие для выполнения лабораторной работы.

Объектом исследования является сканер уязвимостей OpenVAS.

Предметом исследования является анализ операционных систем на наличие уязвимостей.

Основными источниками информации для написания работы послужили материалы известных специалистов в области информационной безопасности, такие как Семенов Ю.А., Жигулин Г.П., статьи с известных сайтов, а также информация, взятая с официальных источников продуктов, рассматриваемых в данной работе, таких как openvas.org, first.org и т.д.

Цель и задачи написания работы определили ее структуру, которая состоит из введения, четырех основных глав, заключения, списка используемых источников и приложений.

Во введении обосновывается актуальность работы, цель, задачи, объект и предмет исследования.

Первая глава рассматривает общие теоретические сведения о сетевой безопасности, сетевых атаках, сканерах уязвимостей и их назначении.

Во второй главе осуществляется установка и настройка сканера уязвимостей OpenVAS, его практическое применение, проводится анализ полученных результатов сканирования.

В третьей главе происходит знакомство с общей системой оценки уязвимостей (CVSS - Common Vulnerabilities Scoring System), показан алгоритм определения CVSS вектора.

В четвертой главе предлагается ознакомиться с методическими рекомендациями по выполнению лабораторной работы.

В заключении сделаны основные выводы и результаты по проделанной работе.

1. Общие сведения о сетевой безопасности, сетевых атаках, сканерах уязвимостей и их назначении

1.1 Понятие сетевой безопасности

В современном глобальном мире сетевая безопасность имеет решающее значение. Предприятиям необходимо обеспечивать безопасный доступ для сотрудников к сетевым ресурсам в любое время, для чего современная стратегия обеспечения сетевой безопасности должна учитывать ряд таких факторов, как увеличение надежности сети, эффективное управление безопасностью и защиту от постоянно эволюционирующих угроз и новых методов атак. Для многих компаний проблема обеспечения сетевой безопасности становится все более сложной, т.к. сегодняшние мобильные сотрудники, использующие личные смартфоны, ноутбуки и планшеты для работы, привносят новые потенциальные проблемы. При этом, хакеры делают компьютерные угрозы все более изощренными.

Сетевая безопасность часто используется как синоним информационной безопасности в целом, что неверно. Под сетевой безопасностью правильно понимать защиту информационной инфраструктуры организации от вторжений злоумышленников извне (при помощи аутентификации, авторизации, сетевых экранов, IDS/IPS, VPN и т.д.), а также защиту от случайных ошибок персонала или намеренных действий инсайдеров изнутри самой организации (защиту от утечек - DLP).

Важно понимать формулировку таких терминов как уязвимость, риск, угроза, воздействие, а также как они взаимодействуют между собой.

Уязвимость - это присущие объекту информатизации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информатизации, свойствами архитектуры автоматизированной системы, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации.

Риск - это вероятность того, что источник угрозы воспользуется уязвимостью, что приведет к негативному воздействию на предприятие. Если межсетевой экран имеет несколько открытых портов, существует высокая вероятность, что злоумышленник воспользуется одним из них для несанкционированного доступа к сети. Если пользователи не обучены правильным процессам и процедурам, существует высокая вероятность совершения ими умышленных и неумышленных ошибок, которые могут привести к уничтожению данных. Если в сети не внедрена система IDS (Intrusion Detection Systems - система обнаружения вторжения), существует высокая вероятность того, что факт проведенной атаки останется не выявленным, пока уже не будет слишком поздно.

Угроза - это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации.

Воздействие - это нечто, приводящее к потерям в связи с действиями источника угрозы. Уязвимости воздействуют на компанию, приводя к потенциальной возможности нанесения ей ущерба. Если управление паролями слабое, а требования к паролям не внедрены, компания подвержена возможному воздействию в результате компрометации паролей пользователей и их использования для несанкционированного доступа.

Контрмеры (или защитные меры) - это меры, внедрение которых позволяет снизить уровень потенциального риска. Контрмерами может быть настройка ПО, оборудования или процедур, устраняющая уязвимости или снижающая вероятность того, что источник угрозы сможет воспользоваться уязвимостью. Примером контрмер является строгое управление паролями, охрана, механизмы контроля доступа ОС, установка паролей BIOS, проведение тренингов персонала по вопросам безопасности [1].

1.2 Источники возникновения уязвимостей

Часть уязвимостей закладывается ещё на этапе проектирования. В качестве примера можно привести сервис telnet, в котором имя пользователя и пароль передаются по сети в открытом виде. Это явный недостаток, заложенный на этапе проектирования. Некоторые уязвимости подобного рода трудно назвать недостатками, скорее это особенности проектирования. Например, особенность сетей Ethernet - общая среда передачи.

Другая часть уязвимостей возникает на этапе реализации (программирования). К таким уязвимостям относятся, например, ошибки программирования стека TCP/IP, приводящие к отказу в обслуживании. Сюда следует отнести и ошибки при написании приложений, приводящие к переполнению буфера. сетевой безопасность сканер

Кроме того, уязвимости могут быть следствием ошибок, допущенных в процессе эксплуатации информационной системы. Сюда относятся неверное конфигурирование операционных систем, протоколов и служб, нестойкие пароли пользователей и др. [2].

1.3 Сетевые атаки. Обобщенный сценарий атаки

Сетевая атака - действие, целью которого является захват контроля (повышение прав) над удаленной/локальной вычислительной системой, либо ее дестабилизация, либо отказ в обслуживании, а также получение данных пользователей пользующихся этой удаленной/локальной вычислительной системой.

На данный момент выделяют следующие атаки: mailbombing, переполнение буфера, использование специализированных программ (вирусов, снифферов, троянских коней, почтовых червей, rootkit-ов и т.д.), сетевая разведка, IP-спуфинг, атак прослушивания канала, инъекции (SQL-инъекция, PHP-инъекция, межсайтовый скриптинг или XSS-атака, XPath-инъекция), отказ в обслуживании (DoS- и DDoS- атаки), phishing-атаки.

Обобщенный сценарий атаки:

Стадия 1: внешняя разведка. Злоумышленник скрытно собирает как можно больше информации об атакуемой системе. Он делает это, выуживая информацию, находящуюся в открытом доступе, либо маскируясь под обычного пользователя. На данной стадии объекту атаки очень сложно выявить нарушителя в своей сети. Злоумышленник будет расставлять приоритеты, чтобы собрать как можно больше полезной информации о сети. Нарушитель, вероятно, попытается просмотреть DNS-таблицы с помощью специальных утилит, чтобы узнать имена устройств в сети. Злоумышленник будет разыскивать любую другую доступную информацию, такую как открытые Web- и FTP- сервера с анонимным входом, а также просматривать новые статьи или пресс-релизы, связанные с вашей компанией.

Стадия 2: внутренняя разведка. Нарушитель будет использовать более действенные методы для получения нужной информации, но по-прежнему сводить риски быть обнаруженным к нулю. Он может пройти через все ваши Web-страницы или изучить CGI-скрипты, которые уязвимы перед хакерскими атаками. Он может воспользоваться командой "ping", чтобы выяснить, какие устройства активны в сети или провести сканирование UDP/TCP-портов на намеченных для атаки компьютерах для того, чтобы определить доступные сервисы. При этом все описанные действия причисляются к "обычной" работе в сети и нет ничего, что могло бы скомпрометировать нарушителя.

Стадия 3: exploit (эксплойт). Нарушитель прекращает действовать скрытно и начинает пользоваться возможными уязвимостями на намеченных компьютерах. Нарушитель может попытаться скомпрометировать CGI скрипт, посылая команды shell в поля входных данных, и использовать уязвимости "переполнения буфера", посылая большое количество данных. Нарушитель попытается получить доступ к учетным данным пользователей с легко подбираемыми паролями, затем он будет стараться сделать следующие шаги, чтобы, в конечном счете, получить доступ к учетной записи администратора.

Стадия 4: скрытие следов. На этой стадии нарушитель успешно проник в вашу сеть. Теперь его цель состоит в том, чтобы скрыть свидетельства атак, исправляя журналы регистрации. Злоумышленник может инсталлировать специальные утилиты, дающие ему удаленный доступ, возможность замены существующих сервисов на собственные "трояны", или создание своих собственных учетных записей и т.д. Системы контроля целостности (SIV) довольно часто обнаруживают нарушителя именно на данном этапе, отслеживая измененные системные файлы. Следующим шагом злоумышленника будет попытка использования системы в качестве опорной площадки для проникновения в другие системы или компьютеры, поскольку большинство сетей имеет незначительное число средств защиты от внутренних атак.

Стадия 5: прибыль. Нарушитель использует преимущества своего статуса для кражи ценных конфиденциальных данных, злоупотребления с системными ресурсами (т.е. продолжает организацию атак на другие сайты с вашего сервера) или удаляет Web-страницы [3].

Классификация сетевых атак

Mailbombing. Основной целью данной атаки является попытка переполнения почтового ящика пользователя, что в лучшем случае может привести к отказу работы почтового ящика, в худшем - всего почтового сервера. Чтобы произвести подобную атаку злоумышленник должен знать адрес сервера, позволяющего анонимно отправлять почтовые сообщения в огромном количестве, и e-mail пользователя, которому эти сообщения предназначены.

Переполнение буфера (buffer overflows). Атака на переполнение буфера основывается на поиске программных или системных уязвимостей, которые способны переполнить память и аварийно завершать работу программ или выполнить произвольный бинарный код от имени пользователя, под которым работало уязвимое приложение. Если приложение было запущено с правами администратора, то данная атака может позволить получить полный доступ к компьютеру пользователя.

Использование специализированных программ. "Троянский конь" - это не программная вставка, а настоящая программа, которая выдается за полезное приложение, а на деле выполняет вредную роль. Примером типичного "троянского коня" является программа, выглядящая как простая игра для компьютера пользователя. Однако пока пользователь играет в игру, программа отправляет свою копию по электронной почте каждому абоненту, занесенному в адресную книгу этого пользователя. Все абоненты получают по почте игру, продолжая ее дальнейшее распространение.

Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, отправляются приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).

Rootkit - программа или набор программ для скрытия следов появления злоумышленника или вредоносной программы в системе.

Большинство из реализаций современных rootkit могут прятать от пользователя файлы, папки и ключи реестра, скрывать запущенные программы, системные службы, драйверы и сетевые соединения. Т.е. злоумышленник имеет возможность создавать файлы и ключи реестра, запускать программы, работать с сетью и эта активность не будет обнаружена администратором. Кроме того, rootkits могут скрывать сетевую активность путем модификации стека протоколов TCP/IP.

IP-спуфинг. IP-спуфинг возникает, когда злоумышленник, который находится внутри предприятия или вне его, выдает себя за санкционированного пользователя. Это можно реализовать двумя способами. Злоумышленник может использовать IP-адрес, находящийся в числе санкционированных IP-адресов, или использовать авторизованный внешний адрес, который разрешает доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются начальной точкой для организации других более серьезных атак.

Атака типа Man in the Middle ("Атака прослушивания канала"). Для атаки типа Man in the Middle ("Атака прослушивания канала") нарушителю необходимо предварительно получить доступ к пакетам, передаваемым по сети. Данный доступ ко всем пакетам, идущим от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак данного типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся для кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.

SQL-инъекция - это атака, главной целью которой является изменить параметры SQL-запросов к базе данных. В конечном итоге измененный запрос приобретает совершенно иной смысл и в случае недостаточной фильтрации входных данных способен не только вывести конфиденциальную информацию, но и изменить/удалить данные.

PHP-инъекция. PHP-инъекция - один из способов взлома веб-сайтов, работающих на PHP. Он заключается в том, чтобы внедрить специально сформированный злонамеренный сценарий в код веб-приложения на серверной стороне сайта, что приведет к выполнению произвольных команд.

Межсайтовый скриптинг или XSS-атака. XSS атака - это атака на уязвимость сервера, которая позволяет внедрить в генерируемую сервером HTML-страницу некий произвольный код и передавать этот как переменную, фильтрация по которой не работает. Значение данной переменной отправляется от генерируемой на сервер HTML-страницы в вызвавший ее скрипт. РНР-скрипт в ответ на полученный запрос генерирует HTML-страницу в которой отображаются значения необходимых для злоумышленника переменных, и отправляет данную страницу на браузер злоумышленника.

Отказ в обслуживании (DoS- и DDoS- атаки). DoS является наиболее известной формой атаки, против атак данного типа очень сложно создать стопроцентную защиту. Данная атака довольно проста в реализации, но она способна нанести огромный вред любой организации. Атаки DoS не используются как средство получения доступа к вашей сети или как способ украсть из этой сети какую-либо информацию. Данный вид атаки блокирует доступ обычных пользователей к вашей сети за счет превышения допустимой нагрузки на сеть, операционную систему или приложения. Большинство атак DoS опираются не на программные ошибки или уязвимости в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов. Этот тип атак сложно парировать, так как для успешного отражения необходима тесная координация действий с провайдером. Если трафик, предназначенный для переполнения вашей сети, не сможет остановить провайдер, то вы, со своей стороны, не сможете помешать успешной атаке, так как вся полоса пропускания будет занята. Когда атака этого типа проводится одновременно через множество устройств, она называется уже распределенной атакой DoS (DDoS - distributed DoS).

Phishing-атаки. Phishing (фишинг) - процесс обмана клиентов и организаций для последующего воровства их данных, авторизации и передачи их конфиденциальной информации, преступного использования. Злоумышленники для атаки используют спам или компьютеры-боты. При этом размер компании-жертвы не имеет значения; качество личной информации, полученной преступниками в результате нападения, имеет значение само по себе [4].

1.4 Место сканеров безопасности в комплексе защиты сетей

Одним из важнейших этапов обеспечения информационной безопасности является идентификация потенциальных рисков. Ведущие специалисты по информационной безопасности используют в своей работе специализированное аппаратное или программное обеспечение, сканирующее сеть и ее устройства на предмет обнаружения слабых мест в системе безопасности. Это и есть сканеры уязвимости, или по-другому - безопасности сети. Они проверяют запущенные программы, ищут "лазейки", которые позволили бы начать атаку хакерам, и сообщают администратору все выявленные уязвимости системы. Грамотно пользуясь сканером уязвимости сети, специалист может значительно усилить сетевую безопасность.

Сетевые сканеры направлены на решение следующих задач:

· идентификация и анализ уязвимостей;

· инвентаризация ресурсов, таких как операционная система, программное обеспечение и устройства сети;

· формирование отчетов, содержащих описание уязвимостей и варианты их устранения.

Сканеры уязвимостей сети при своей работе используют два основных

механизма. Первый - зондирование - достаточно долгий, но точный механизм. Это механизм активного анализа, запускающий имитации атак, тем самым выявляя уязвимости. При зондировании применяются методы реализации атак, которые помогают подтвердить наличие уязвимости и обнаружить ранее не выявленные "провалы".

Второй механизм - сканирование - более быстрый, но менее точный механизм. Это пассивный анализ, при котором сканер ищет уязвимость без подтверждения ее наличия, используя косвенные признаки. С помощью сканирования определяются открытые порты и собираются связанные с ними заголовки. Они в дальнейшем сравниваются с таблицей правил определения сетевых устройств, ОС и возможных "дыр". После сравнения сетевой сканер безопасности сообщает информацию наличия или отсутствия уязвимости.

Большинство современных сканеров безопасности сети работает по нижеперечисленным принципам:

· сбор информации о сети, идентификация всех активных устройств и сервисов, запущенных на них;

· обнаружение потенциальных уязвимостей;

· подтверждение выбранных уязвимостей, для чего используются специфические методы и моделируются атаки;

· формирование отчетов;

· автоматическое устранение уязвимостей.

1.5 Классификация сканеров уязвимостей

Классификация по расположению относительно объекта сканирования

Сканеры безопасности с точки зрениях их расположения относительно объекта сканирования можно поделить на две группы:

· сетевые (network-based);

· локальные (host-based).

Локальные сканеры устанавливаются на самом сканируемом узле, работают с максимально допустимыми привилегиями, выполняя проверки исключительно по косвенным признакам.

Сетевые сканеры выполняют всю работу дистанционно, по сети. Такой сканер устанавливают на выделенный узел.

Хотя грань между двумя этими сканерами очень тонка, можно остановиться на их существенных различиях:

· сетевые сканеры выполняют сканирование удаленно, т.е. по сети. Это влияет на скорость сканирования, а также на достоверность результатов;

· сетевые сканеры могут использовать совершенно разные методы для обнаружения одной и той же уязвимости. Сканеры уровня сети частично выполняет проверку путем проведения реальных атак на сканируемый узел. Сканеры узла же будут руководствоваться только косвенными признаками наличия уязвимости (например, проверка версий файлов);

· сетевые сканеры при подключении к службам сканируемого узла могут использовать различные учетные записи. Локальные же - представляют собой службу, которая работает от имени одной учетной записи, которая имеет самые максимальные привилегии [5].

Классификация сканеров по назначению

Существует две категории сканеров по назначению:

· сканеры общего характера;

· специализированные сканеры.

Сетевые сканеры уязвимостей направлены в первую очередь для проверки наличия уязвимостей в сетевых службах. При этом осуществляется поиск уязвимостей операционных систем, а также некоторых приложений, устанавливаемых на сканируемом узле. Но следует отметить, что все проверки, встроенные в сетевой сканер, носят общий характер и направлены на наиболее известные уязвимости. Данные сканеры относят к сканерам общего характера.

Существование специализированных сканеров объясняется тем, что возможностей обычного сканера может не хватить для проверки уязвимостей какого-то особенного приложения.

Перечень приложений, при анализе защищенности которых могут потребоваться специализированные сканеры:

· web-приложения;

· СУБД и приложения, их использующие;

· системы электронного документооборота;

· системы управления предприятием, так называемые ERP-системы [5].

Задачи для сканеров уязвимостей

Сетевые сканеры уязвимостей могут применяться для решения следующих задач:

· инвентаризация ресурсов сети: сетевых служб, узлов, приложений. Инвентаризационное сканирование позволяет увидеть общую (базовую) информацию о сети. Также при данной задаче выполняется выявление устройств, подключенных несанкционированно;

· тестирование сети на устойчивость к взлому. Подобное тестирование возможно осуществить как изнутри сети, так и снаружи. Во втором случае это зачастую называют анализом защищенности периметра. Также не исключается применение вместе со сканером безопасности и других инструментов (сетевых анализаторов, "троянов", "руткитов" и др.), но все же главными инструментами считаются сканеры уязвимостей;

· аудит безопасности сети или отдельных ее областей на соответствие заданным требованиям. В основном осуществляется с определенной заданной целью, например, для проверки свежести установленных обновлений.

Сканеры уязвимостей можно использовать в любых сетях. Потребителями систем анализа защищенности могут быть администраторы безопасности сетей, а также сотрудники организации, которые оказывают услуги по оценки защищенности системы [5].

Сканеры уязвимостей MaxPatrol и OpenVAS

Уникальный программный продукт MaxPatrol разработан с ориентиром на современные требования российских компаний, для которых особенно важно получение объективной оценки состояния защищенности корпоративной информационной системы. В MaxPatrol предусмотрены механизмы тестирования на проникновение (Pentest), системных проверок (Audit) и контроля соответствия стандартам (Compliance) в сочетании с поддержкой анализа различных операционных систем, СУБД и веб-приложений. MaxPatrol обеспечивает непрерывный технический мониторинг безопасности на всех уровнях информационной системы - от администратора до руководителя предприятия, позволяя проводить аудит соответствия рекомендациям государственных стандартов.

Возможности и особенности MaxPatrol:

· оценка эффективности процессов информационной безопасности;

· контроль политик безопасности, изменений и инвентаризация;

· проактивная защита;

· оценка защищенности. Пользователь получает максимальную картинку защищенности сети за счет сочетания функций сетевых и системных сканеров, а также оценки защищенности СУБД и веб-приложений;

· комплексный анализ сложных систем. Сканер анализирует широкий спектр различных систем: различное сетевое оборудование, ОС Windows, Linux, SQL, сетевые приложения и т.д;

· соответствие международным и отраслевым стандартам;

· поддержка базы знаний;

· снижение затрат;

Стоит отметить, что MaxPatrol является отличным инструментом для поддержания безопасности сети на должном уровне, но обладает платной лицензией [6].

Open Vulnerability Assessment System (OpenVAS) представляет собой структуру из нескольких сервисов и инструментов, которая предлагает мощное решение по проведению сканирования системы на наличие уязвимостей. Сканер уязвимостей регулярно обновляет список уязвимостей через Network Vulnerability Tests (NVTs), база уязвимостей в общей сложности насчитывает уже более 47000 позиций (по состоянию на июль 2016 года) и поэтому считается одним из самых лучших бесплатных сканеров. Все продукты OpenVAS находятся в свободном доступе.

Рис. 1.1 - Архитектура OpenVAS

Рис. 1.2 - Архитектура OpenVAS

OpenVAS Manager является центральной службой, объединяющей простое сканирование уязвимостей и полноценное решение по управлению уязвимостями. Manager управляет сканером через OTP (OpenVAS Transfer Protocol), используя OpenVAS Management Protocol (OMP). Кроме того, OpenVAS Manager управляет базой данных SQL (на основе SQLite), где централизованно хранятся все настройки и данные результатов сканирования.

Greenbone Security Assistant (GSA) - веб-сервис, представляющий пользовательский интерфейс для web-браузеров. GSA использует преобразование XSL стилей, чтобы преобразовать OMP ответы в HTML.

OpenVAS CLI содержит инструмент командной строки "omp", которая позволяет создавать пакетные процессы выполнения OpenVAS Manager. Другим инструментом этого пакета является плагин Nagios.

OpenVAS Administrator работает в режиме командной строки или как служба-демон. Он выполняет наиболее важные задачи управления пользования и RSS управления.

OpenVAS Scanner предлагает для использования протокол OTP (OpenVAS Transfer Protocol), который позволяет контролировать сканирование. Однако этот протокол можно заменить [7].

В связи с доступностью полнофункциональных возможностей сканера уязвимостей был выбран OpenVAS.

1.6 Сетевые узлы и их защищенность

Узел или хост сети - это любое устройство, соединенное с другими устройствами этой сети, и являющееся ее частью. Среди устройств могут быть как отдельные компьютеры, мобильные телефоны и другие физические устройства (коммутаторы, маршрутизаторы, телевизоры и так далее), так и виртуальные устройства, которые функционируют как узлы сети в пределах одного или нескольких физических устройств.

В данной работе будет проанализирована защищенность следующих узлов сети:

· персональный компьютер, с установленной операционной системой Kali Linux;

· персональный компьютер, с установленной операционной системой Windows XP;

· персональный компьютер, с установленной операционной системой Windows 2000;

· персональный компьютер, с установленной операционной системой Debian 6;

· персональный компьютер, с установленной операционной системой Debian 8;

· персональный компьютер, с установленной операционной системой DVL.

Наиболее распространённая в настоящее время операционная система Microsoft Windows содержит большое количество опасных уязвимостей. Чаще всего злоумышленники используют уязвимости в IIS, MS SQL и Internet Explorer, а также в системах обработки файлов и сервисах сообщений самой операционной системы.

Все операционные системы содержат уязвимости и неправильные настройки, которыми могут воспользоваться злоумышленники и создатели вирусов для выполнения своих личных целей. Хотя уязвимости Windows наиболее освещены из-за огромного числа компьютеров, работающих под управлением данного семейства операционных систем, свои слабые места есть и у Linux. Поэтому в этой работе будут анализироваться представители обоих семейств. Кроме того будет просканирована операционная система DVL, содержащая огромное количество уязвимостей различного уровня, которая создавалась для обучения студентов практическим навыкам IT-безопасности.

Текущее состояние защищенности системы может иметь одно из двух состояний: полностью защищена, либо полностью незащищена. Переход системы из одного состояние в другое осуществляется при обнаружении хотя бы одной уязвимости, возвращение в исходное состояние - при устранении известной уязвимости. Именно, исходя из этого, будут сделаны выводы о защищенности сетевых узлов с установленными операционными системами.

Как системы безопасности, так и инструменты взлома развиваются быстрыми темпами, пытаясь, обогнать друг друга. В данной работе будут рассмотрены операционные системы, часто используемые для малых офисов или для частного использования, защищенность которых должна находиться на должном уровне. Однако, как было описано в этой главе, существует масса возможных типов атак, и с каждым днем они становятся все более изощреннее.

2. Анализ защищенности сетевых узлов. Установка и настройка сканера уязвимостей OpenVAS. Поиск уязвимостей

2.1 Создание тестового стенда сети

Для практического применения сканера уязвимостей OpenVAS необходимо организовать локальную сеть из нескольких компьютеров. Мы воспользуемся эмуляцией виртуальной компьютерной сети.

Существует множество программ специально созданных для подобных задач, они называются виртуальными машинами. Виртуальная машина использует часть ресурсов компьютера, предварительно выставленных пользователем, например, при создании виртуальной машины можно выбрать максимальный объем задействования оперативной памяти, видеопамяти и жесткого диска, а также установить количество процессоров CPU, участвующих в работе с программой. Затем, на созданную виртуальную машину производится установка необходимой операционной системы или программных продуктов необходимых для работы, таким образом - появляется возможность работать с ними из своей же операционной системы. Для создания и настройки виртуальных машин будем использовать программу Oracle VM VirtualBox.

Для создания тестового стенда было принято решения установить следующие виртуальные машины: Windows 2000, Windows XP, Kali Linux, Debian 6, Debian 8, Dawn Vulnerable Linux Infectious Disease (DVL).

Чтобы создать виртуальную машину необходимо нажать "Создать" в меню Virtual Box. (рис. 2.1)

Рис. 2.1 - Меню Virtual Box

В следующем окне нам предложат ввести имя машины и выбрать тип и версию устанавливаемой операционной системы. (рис. 2.2)

Рис. 2.2 - Выбор типа операционной системы

Затем появится окно с выбором объема оперативной памяти компьютера для работы выбранной операционной системы. В Windows XP по умолчанию будет предложено 192 МБ RAM. (рис. 2.3)

Рис. 2.3 - Выбор объема оперативной памяти

После выбора объема RAM нам предложат использовать существующий виртуальный жесткий диск или создать новый. Мы остановимся на втором варианте "Создать новый виртуальный жесткий диск". (рис. 2.4)

Рис. 2.4 - Выбор загрузочного диска для виртуальной машины

При создании нового виртуального жесткого диска на экране будут появляться запросы выбора типа жесткого диска, формата хранения, а также максимально отведенный размер (рис. 2.5). После применения всех данных параметров необходимо нажать на кнопку "Создать" и дождаться окончания создания виртуального жесткого диска.

Рис. 2.5 - Выбор размера виртуального жесткого диска

В меню "Свойства" (см. рис. 2.1) можно внести изменения в настройки созданной виртуальной машины. Для того чтобы установить на нее операционную систему Windows XP требуется перейти в раздел "Носители", добавить образ установочного диска данной операционной системы, сохранить изменения (рис. 2.6), запустить виртуальную машину и установить операционную систему, как на обычный персональный компьютер, или же указать путь к установочному образу при первом запуске машины.

Рис. 2.6 - Настройки виртуальной машины. Носители

Аналогично описанному выше способу, создадим еще 5 виртуальных машин с разными операционными системами: Kali Linux, Windows 2000, Debian 6, Debian 8, DVL (рис. 2.7).

Для того чтобы созданные виртуальные машины объединились в сеть в свойствах каждой машины в разделе "Сеть" укажем тип подключения "сетевой мост", за исключением виртуальной машины Kali Linux - тип подключения "NAT".



Рис. 2.7 - Виртуальная сеть из шести машин

Созданная вычислительная сеть будет являться экспериментальным полем для дальнейшей работы.

2.2 Установка и запуск сканера уязвимостей OpenVAS

Сканер уязвимостей OpenVAS устанавливается на любую Linux-ориентированную систему. OpenVAS - это фреймворк нескольких служб и инструментов, предлагающих всестороннее и мощное решение по управлению сканированием уязвимостей. В данной работе мы будем использовать OpenVAS 8.0, установленный на виртуальную машину Kali Linux.

Запустим виртуальную машину Kali Linux. Kali Linux - это дистрибутив, содержащий множество специальных утилит для проведения тестирования на проникновение - от анализа уязвимостей веб-приложений, до взлома сетей и сервисов и закрепления в системе.

Для начала нам необходимо произвести установку OpenVAS. Устанавливать сканер будем через приложение "Терминал", последовательно вводя следующие команды: "apt-get update", "apt-get dist-upgrade", "apt-get install openvas", "openvas-setup" [8].

Установка может занять весьма продолжительное время, так как будет производиться обновление множества продуктов, сертификатов и выпусков NVT (описаний уязвимостей) для OpenVAS. В конце установки будет сгенерирован пароль для авторизации в веб-интерфейсе Greenbone Security Assistant (GSA). (рис. 2.8)

Рис. 2.8 - Сгенерированный пароль веб-интерфейса сканера уязвимостей

Когда openvas-setup завершит свои операции, OpenVAS manager, сканер и службы GSAD должны прослушивать порты. Чтобы узнать статус прослушки портов введем команду "netstat -antp" (рис. 2.9).

Рис. 2.9 - Вид команды "netstat -antp"

Для работы со сканером уязвимостей нужно воспользоваться инструментом Greenbone Security Assistant (GSA).

Чтобы зайти в Greenbone Security Assistant (GSA) необходимо запустить службы OpenVAS командой "openvas-start" в приложении "Терминал", открыть любой установленный веб-браузер и перейти по ссылке https://127.0.0.1:9392 и принять сертификат. Должно появиться окно авторизации, где необходимо ввести логин admin и сгенерированный пароль (рис. 2.10).

Рис. 2.10 - Окно авторизации Greenbone Security Assistant

Чтобы управлять учетными записями GSA, необходимо воспользоваться следующими командами:

· "openvasmd --get-users" - узнать список пользователей;

· "openvasmd --user=admin --new-password=1" - изменить пароль учетной записи;

· "openvasmd --create-user=mial" - создание нового пользователя mial, для него будет сгенерирован новый пароль.

После успешной авторизации - необходимо подготовить сканер безопасности для сканирования исследуемых узлов в сети.

2.3 Настройка сканера уязвимостей OpenVAS

Для настройки сканирования наведем курсор мыши на меню Configuration (Конфигурация) и выберем подпункт Targets (Цели). Чтобы создать новую цель нажмем кнопку .

Создадим цель для сканирования виртуальной машины Windows XP, введем имя цели, комментарий (необязательно), ip-адрес хоста сканируемой виртуальной машины. А так же укажем список сканируемых портов (Port List) (рис. 2.11).

Рис. 2.11 - Создание новой цели

После создания цели нам необходимо перейти в меню Scan Management (Управление сканированием) и выбрать подпункт Tasks (Задачи) для создания новой задачи. Чтобы создать задачу необходимо нажать на кнопку , ввести имя задачи, комментарий (необязательно), в Scan Targets (Целях сканирования) нужно выбрать созданную ранее цель - Windows XP, в Scan conf (Конфигурации сканирования) - конфигурацию full and very deep (полная и очень глубокая) (рис. 2.12).

Рис. 2.12 - Создание новой задачи

Проделав предыдущие операции, запустим сканирование созданной задачи нажатием кнопки . Операция будет выполняться несколько минут. Статус выполнения можно посмотреть в меню Tasks (Задачи) в поле Status (Статус).

Количество обнаруженных уязвимостей и степень их опасности можно посмотреть в разделе Reports (Отчеты) (рис. 2.13).

Рис. 2.13 - Вид меню Reports (Отчеты)

Чтобы загрузить полный отчет сканирования необходимо кликнуть на дату выполнения необходимой задачи в разделе Reports (Отчеты). В открывшемся разделе есть возможность сохранить отчет в удобном для нас формате (рис. 2.14).

Рис. 2.14 - Сохранение отчета сканирования

После сохранения отчет можно просмотреть в любой программе, поддерживающей сохраненный формат. Каждая уязвимость оценивается по степени опасности, в отчете приводится ее описание и последствия для системы в случае ее реализация. Кроме того отчет содержит общие сведения о сканируемой системе, например, открытые порты, используемые сервисы и др. Вид отчета сканирования машины Windows XP представлен на рис. 2.15.

Таким же образом будут просканированы все виртуальные машины [9].

Рис. 2.15 - Часть отчета сканирования машины Windows XP

2.4 Анализ отчетов сканирования

Произведя сканирование всех сетевых узлов, рассматриваемых в данной работе, необходимо проанализировать полученные данные об уязвимостях затронутых операционных систем.

Персональные компьютеры с установленными операционными системами

Операционная система Windows XP. В отчете сканирования представлена 1 угроза высокого уровня и 17 общих замечаний по данной системе:

· обнаружена уязвимость окончания жизненного цикла данной ОС (CVSS: 10.0), имеющая наивысший уровень опасности в системе оценок CVSS. Операционная система (cpe:/o:microsoft:windows_xp) не поддерживается разработчиками с 4 апреля 2014 года и не желательна для использования.

· 17 общих замечаний по данной системе сообщают о некоторых доступных системных сведениях и лазейках для хакеров. Среди них, неактуальная версия HTTP сервера, использование DIRP в некоторых каталогах и директориях, сведения о потенциальном проведении некоторых атак, подотчет от встроенного в OpenVAS сканера уязвимостей Nikto, приходит ответ хоста на запрос временной метки ICMP, что может позволить использовать генераторы подбора случайных чисел в службах ОС. Отчет о сканировании содержит информацию, о том, что за операционная система установлена на сканируемом узле (Windows 5.1), перечень открытых tcp и udp портов, информация об отключенных подписях SMB, выявлены открытые порты работы CIFS/SMB.

Операционная система Windows 2000. В отчете сканирования представлено несколько угроз среднего и низкого уровня и 9 общих замечаний о системе:

· уязвимость сервиса DCE (Distributed Computing Environment - Распределенная среда обработки данных) (CVSS: 5.0), имеющая средний уровень опасности в системе оценок CVSS. Описание: DCE сервисы, запущенные на удаленном хосте могут быть идентифицированы, если злоумышленник подключится к 135 порту и начнет посылать специальные запросы. Получив доступ, злоумышленник сможет собрать больше сведений об удаленном хосте. Чтобы устранить данную уязвимость необходимо установить фильтр входящего трафика на уязвимый порт;

· уязвимость сервиса DCE (CVSS: 5.0), имеющая средний уровень опасности в системе оценок CVSS. Описание: это все та же уязвимость, описанная выше, но на этот раз сканер уязвимости получил доступ к 135 порту и предоставил всю полученную информацию в обработанном виде. Были обнаружены DCE сервисы, работающие на открытом порту 1025/tcp. Злоумышленник, воспользовавшись полученной информацией, может создать эксплойт для уязвимого сервиса, чтобы попытаться провести атаку на удаленный хост;

· уязвимость относительной IP идентификации номера загрузки (CVSS: 2.6), имеющая низкий уровень опасности в системе оценок CVSS. Воспользовавшись данной уязвимостью, злоумышленник может проводить сканирование портов других сетей с вашего сервера. Для закрытия лазейки необходимо установить патч;

· 9 общих замечаний о системе содержат сведения об: использовании SMB, перечне открытых tcp и udp портов, отключенной проверке SMB подписи, возможности извлекать сведения из ОС, домена и сервера SMB из пакета, генерирующегося во время NTLM аутентификации.

Операционная система Debian 6. В отчете сканирования представлено 7 общих замечаний о системе, среди которых существующие открытые порты, подотчет Nikto и общие сведения о развернутых сервисах.

Операционная система Debian 8. В отчете сканирования представлено 2 угрозы высокого уровня и 13 общих замечаний по данной системе:

· уязвимость окончания срока действия сертификата SSL/TLS (CVSS: 5.0), имеющая средний уровень опасности в системе оценок CVSS. Для решения данной уязвимости требуется обновить сертификат SSL/TLS;

· уязвимость слабых шифров SSL/TLS (CVSS: 4.3), имеющая средний уровень опасности в системе оценок CVSS. Рекомендуется сконфигурировать данные сервисы таким образом, чтобы они перестали использовать слабые шифры;

· общие замечания о системе содержат: полный список слабых шифров принятый сервисами SSL/TLS, некоторые выявленные сертификаты SSL/TLS, OpenVAS Manager работающий на порту 9390/tcp, все принятые SSL/TLS шифры, отчет об успешной идентификации установленной ОС.

Операционная система Kali Linux. Так как на данной ОС установлен сканер уязвимостей OpenVAS, то для ее сканирования мы будем использовать IP-адрес 127.0.0.1 - localhost. В момент сканирования на ОС были развернуты компоненты сканера уязвимостей OpenVAS, и сканирование по большей части затронуло его компоненты. Каких либо серьезных уязвимостей обнаружено не было, найдено 15 основных замечаний по системе.

Отчеты сканирования, представленных выше ОС, можно посмотреть в Приложении Б.

Damn Vulnerable Linux (DVL) 1.5 Infectious Disease - данная система обладает практически всеми видами уязвимостей ПО и настроена со всеми грубыми ошибками, которые только было возможно допустить. Автором данного релиза является Торстен Шнайдер, преподаватель с факультета технологий Университета Билефельда (Германия), который создал этот дистрибутив Linux для обучения студентов навыкам IT-безопасности. В результате сканирования было выявлено 19 уязвимостей высокого уровня, 20 уязвимостей среднего уровня, 5 уязвимостей низкого уровня и множество общих замечаний по системе. Найденные уязвимости высокого уровня:

· уязвимость X-сервера (CVSS: 10.0). Описание: неправильно сконфигурированный X-сервер будет принимать соединения от пользователей из любой точки мира. Это позволит злоумышленнику заставить клиента подключиться к X-серверу, чтобы записывать нажатия клавиш пользователя, которые могут содержать конфиденциальную информацию, такую как пароли к учетным записям;

· уязвимость phpMyAdmin (CVSS: 10.0). Описание: phpMyAdmin создает временные каталоги и файлы небезопасным способом. Злоумышленник может воспользоваться данной лазейкой через удаленный доступ и перезаписать произвольные файлы, что может привести к отказу сервисных приложений. Решение: установить необходимые обновления;

· множественные уязвимости "wp-admin" в WordPress (CVSS: 10.0). Описание: на хосте запущен WordPress, который уязвим для множества атак. Злоумышленник может отправить несколько вредоносных сценариев в каталог wp-admin, чтобы получить права администратора. В результате операции могут быть украдены конфиденциальные данные или стороннее лицо получит более высокие привилегии. Решение: обновить WordPress до версии 2.8.3;

· уязвимость обхода каталогов в WordPress (CVSS: 9.3). Описание: хост с установленным WordPress имеет склонность к уязвимости обхода каталогов. Успешная атака может привести к выполнению произвольного кода PHP и к получению конфиденциальной информации. Решение: обновить ПО до версии 2.5.1 или более поздней;

...