Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS

Transcrição

1 Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS Tiago da S. Pasa 1 1 Faculdade de Tecnologia Senac Pelotas(FATEC) Rua Gonçalves Chaves, 602 Centro CEP: Pelotas RS Brasil Curso Superior de Tecnologia em Redes de Computadores tiagopasa@hotmail.com Resumo. Este artigo apresenta o estudo de ferramentas de escaneamento de vulnerabilidades de sistemas, onde são apresentadas duas ferramentas muito utilizadas atualmente por administradores de redes, Nessus e OpenVAS. Devido à vasta gama de vulnerabilidades em aplicações e sistemas que colocam em risco a segurança da informação e que podem gerar grandes prejuízos para uma empresa e seus clientes, a utilização destas ferramentas é de grande importância para um monitoramento preventivo do ambiente. Abstract. This paper presents the study of vulnerability scanning tools systems, where it is presented two current tools widely used by network administrators, Nessus and OpenVAS. Because of the wide range of vulnerabilities in applications and systems that put in risk the security of information and can generate large losses for a company and its customers, the use of these tools is of great importance for a preventive monitoring of the environment. 1. INTRODUÇÃO O crescente avanço tecnológico da Internet vem tornando-a cada vez mais perigosa, a cada dia surgem novas ameaças e ataques sofisticados que são elaborados por grupos hackers. O nível de atenção que se deve dar em torno da segurança é alto, para evitar futuros imprevistos. Os problemas a serem resolvidos em ambientes corporativos refletem a situação de muitas organizações atuais que buscam uma vantagem competitiva por meio da utilização dessa tecnologia. O ambiente corporativo é complexo e a segurança necessária a ser implantada é critica, envolvendo aspectos de negócios, humanos, tecnológicos, processuais e jurídicos. Não existe rede ou mesmo informação 100% segura. Todas as vezes em que é utilizada a Internet para buscar e disponibilizar informações existem riscos, uma vez que ela é uma enorme rede pública, fora de controle e sujeita a diversos tipos de ataques. Conforme [MORAES 2010], apenas nos Estados Unidos e Canadá, 200 milhões de pessoas acessam a internet e desse número 10% já demonstrou algum interesse em realizar hacking, 10% já usou alguma vez uma ferramenta para hacking, outros 10% já desenvolveu alguma ferramenta para hackers e apenas 1% são hackers talentosos. Examinando esses números, fica evidente que não existe apenas um grande número de pessoas envolvidas em crimes de computadores, mas um grupo significativo capaz de criar organizações voltadas a esse tipo de crime.

2 2. INCIDENTES DE SEGURANÇA Segundo [CERT 2013], a quantidade de incidentes reportados em 2011 foi de , contra no ano de 2012, ou seja, houve um aumento de 17%. Na figura 1 é possível acompanhar a evolução dessas ameaças ao longo dos anos, a qual demonstra que as ameaças relacionadas a problemas de segurança estão cada dia mais presentes. Figura 1. Incidentes Reportados Quanto aos tipos de ataque, a figura 2 mostra que de abril a junho de 2013 houve um crescimento contínuo de fraudes na rede e de ataques de reconhecimento, que buscam coletar informações sobre os computadores alvo, antes de desfechar um ataque contra eles. Figura 2. Tipos de Ataque Acumulado 3. NESSUS É um scanner de vulnerabilidade que inicialmente teve código aberto, mas desde outubro de 2005 a empresa proprietária Tenable [TENABLE 2013] decidiu alterar sua licença para uso comercial, passando a ser código fechado. Possui vasta biblioteca de vulnerabilidades conhecidas e mantém-se em constante atualização. Sempre que uma falha é divulgada pelas entidades de segurança ( e a equipe de desenvolvimento rapidamente cria um plugin para detecção da vulnerabilidade. Atualmente, o Nessus está disponível em duas versões, Home Feed A licença desta versão

3 é gratuita e seu único benefício são as atualizações em tempo real, é utilizada normalmente por usuários interessados em aprender sobre a ferramenta, geralmente estudantes e Professional Feed Versão profissional utilizada por empresas e custa dólares por ano, oferece suporte técnico completo, atualizações de vulnerabilidades em tempo real, auditoria de dados sensíveis e outros benefícios Instalação A instalação se dá de forma fácil e rápida, podendo ser realizada a partir de um pacote deb para distribuições baseadas em Debian. A ferramenta é instalada em ambiente virtualizado com Linux Debian 6. Após a instalação, é obrigatória a atualização dos plugins de segurança, o que demora um tempo razoável. Dúvidas podem ser consultadas no site do desenvolvedor, onde é disponibilizado o manual completo em português com passos de instalação e configurações. A figura 3 mostra a tela de login da ferramenta. Figura 3. Tela de Login Nessus 3.2. Usabilidade A autenticação na ferramenta é realizada via browser de forma segura com https. Apresenta uma interface Web muito amigável, que se mostrou com uma usabilidade bem melhor que o OpenVAS [OPENVAS 2013]. Suas funções e menus são bem compreensíveis e de fácil utilização Eficiência Em testes preliminares observou-se que o Nessus é bastante eficiente na detecção de vulnerabilidades e possui uma opção adicional para realizar análise de vulnerabilidades em aplicações Web. Emite um relatório completo reportando a CVE (Common Vulnerabilities and Exposures)[CVE 2013] das falhas, relata se a falha pode ser explorada ou não, e também sugere ferramentas para explorar as vulnerabilidades encontradas, por exemplo Metasploit [METASPLOIT 2013]. Sugere correções e link para patches que podem resolver os problemas de vulnerabilidades. Os relatórios gerados podem ser enviados via através de um servidor SMTP com autenticação, bem como serem exportados em formatos HTML, CSV e outros padrões próprios do Nessus. A ferramenta também possibilita o agendamento de scans de hosts específicos, podendo determinar dia, hora e com que frequência é executado.

4 4. OPENVAS O OpenVAS é um scanner de vulnerabilidades desenvolvido por Tim Brown a partir de um fork livre do Nessus, licenciado sob a licença GPL. Atualmente, possui uma comunidade crescente, com contribuição de indivíduos e corporações de todo o mundo. É baseado no modelo cliente-servidor, onde um componente do servidor é responsável pelo agendamento e pela execução de buscas e o cliente é utilizado para configurar essas buscas e acessar os resultados. O componente servidor normalmente é instalado em uma plataforma Linux e trabalha em conjunto com a ferramenta nmap [NMAP 2013]. O cliente pode acessá-lo por meio de interface Web com autenticação https a partir de qualquer estação de trabalho, normalmente a do administrador da rede Instalação A instalação é bem mais demorada do que a do Nessus, realizada através da adição do repositório do OpenVAS no sourcelist e após com o comando apt-get install. É instalada em ambiente virtualizado com Linux Debian 6. O processo deve seguir uma série de passos para que funcione corretamente, a atualização dos plugins NVT(Network Vulnerability Test) é bem demorada e requer atenção redobrada para ter êxito na instalação. Todos os passos para instalação são fornecidos no site do desenvolvedor, devendo também observar em qual distribuição e versão deseja-se instalar, pois no site os passos são sempre para as últimas versões de sistemas operacionais Linux. A figura 4 mostra a tela de login da ferramenta. Figura 4. Tela de Login OpenVAS 4.2. Usabilidade A interface do OpenVAS é menos amigável, requer um estudo mais detalhado dos menus para começar a utilizar a ferramenta, sendo esta de código aberto. Existem muitas opções que podem ser personalizadas de acordo com a necessidade do administrador de rede, inclusive o desenvolvimentos de plugins NVT próprios para inclusão no scan Eficiência Em testes preliminares observou-se que a ferramenta OpenVAS [OPENVAS 2013] possui uma ótima eficiência na detecção das vulnerabilidades, quando escolhida a opção de escaneamento Full and Very Deep Ultimate, ao invés da opção padrão que é Full and Fast, porém não é recomendado utilizar a primeira opção principalmente em ambientes de produção, pois pode ocorrer travamentos em serviços ativos no host em questão durante o processo de coleta das informações.

5 Possui relatórios completos reportando CVE (Common Vulnerabilities and Exposures) das falhas, mas não indica ferramentas para explorá-las, entretanto sugere sites com exploits para explorar as vulnerabilidades encontradas, por exemplo, [MILW0RM 2013]. Além disso, realiza um fingerprint completo do host alvo. Sugere correções e link para patches que podem resolver os problemas de vulnerabilidades. Os relatórios podem ser exportados para vários padrões como HTML, PDF, TXT, XML, La- TeX entre outros. 5. DESEMPENHO DE HARDWARE E REDE Durante os testes de vulnerabilidade foram realizados monitoramentos dos recursos de processamento e rede de ambas as ferramentas, através dos utilitários ksar [KSAR 2013] e munin [MUNIN 2013] instalados no mesmo ambiente das mesmas. Foi observado que um dos pontos mais críticos é o maior consumo de processamento que o OpenVAS necessitou para realizar os testes, chegando até em 100% de CPU, enquanto o Nessus utilizou recursos de processamento de forma mais moderada como mostra a figura 5. O recurso de rede também teve uma variação de tráfego de entrada e saída entre 60 e 450 kbits/s chegando a picos com até 2Mbit/s nas duas ferramentas como mostrado na figura 6. Figura 5. Monitor CPU Figura 6. Tráfego de Rede Nessus e OpenVAS 6. COMPARAÇÃO DOS RESULTADOS Para a execução dos testes, ambas as ferramentas foram configuradas para trabalhar com o mesmo nível de intensidade no escaneamento e com um perfil de análise similar. A partir de distribuições Linux e Windows com vulnerabilidades conhecidas, foram montados os cenários para realizar os testes de comparação entre as

6 duas ferramentas. Estas distribuições estão disponíveis para download nos endereços [PENTESTERLAB 2013], [VULNHUB 2013], oferecidas de forma gratuita, com intuito de promover o aprendizado na área de pentest. A distribuição Windows pode ser baixada do próprio site da Microsoft e executada como trial. Dentre as vulnerabilidades conhecidas em aplicações rodando sobre sistema Linux estão: Cross-Site Scripting, SQL injections, Directory traversal, Command injection, Code injection, XML attacks, LDAP attacks, File upload [VULNHUB 2013]. Em sistemas Windows, as vulnerabilidades mais conhecidas estão nos protocolos TCP, SMB, RDP, HTTP e aplicações ASP.NET. O tempo de execução dos testes pode variar de acordo com perfil escolhido, número de serviços ativos e com o número de falhas que as aplicações que rodam no host alvo possuem Cenário 1 (LiveCD Web For Pentester) Na distribução LiveCD Web For Pentester estão presentes diversas vulnerabilidades Web, tais como XSS, SQL Injection, Command injection. Figura 7. Nessus Figura 8. OpenVAS Conforme figura 7, o Nessus detectou várias vulnerabilidades a nível de aplicação Web e nada a nível de sistema operacional, enquanto o OpenVAS (figura 8) detectou vulnerabilidades apenas a nível de sistema operacional e serviços que rodam no mesmo Cenário 2 (LiveCD Damn Vulnerable WordPress) No cenário 2, utilizando LiveCD Damn Vulnerable WordPress, entre os diversos aplicativos com falhas que estão presentes nesta distribuição está o Wordpress [WORDPRESS 2013], que é um aplicativo gratuito muito popular de gerenciamento de conteúdo Web, No cenário 2, as ferramentas produziram resultados semelhantes, identificando falhas severas em versões do PHP e no phpmyadmin [PHPMYADMIN 2013], que possibilitam a execução remota de comandos sem ter permissão, e falhas em XSS, onde o OpenVAS apresentou nível alto e o Nessus nível médio de risco de segurança.

7 Figura 9. Nessus Figura 10. OpenVAS 6.3. Cenário 3 (Windows 2008 R2 Server) No cenário utilizando o Windows 2008 R2 Server não atualizado para simular falhas em serviços conhecidos que possuem vulnerabilidades de segurança como servidor Web(IIS6), terminal server(rdp) e compartilhamento de arquivos(smb). Figura 11. OpenVAS A partir das informações coletados, pode-se ver que as duas ferramentas obtiveram resultados com enumeração da criticidade um pouco diferentes na detecção de falhas dos serviços ativos. Cada uma expõe os resultados com uma formatação diferente, enquanto o OpenVAS atribuiu quatro falhas de nível crítico para o procotolo SMB (figura 11), o Nessus atribuiu somente uma falha de nível crítico e outra de nível médio conforme 12. Para o protocolo RDP, o OpenVAS atribuiu duas falhas críticas contra duas de nível médio encontradas pelo Nessus. As falhas de SSL encontradas pelo Nessus que não

8 Figura 12. Nessus foram reportadas pelo OpenVAS mostram que existem problemas nas configurações dos certificados de criptografia e na versão do protocolo version2 do SSL. 7. ANÁLISE DOS RESULTADOS Nas duas ferramentas é possível realizar um ajuste fino selecionando plugins NVT s (Network Vulnerability Test), conforme exemplificado por [PRITCHETT and SMET 2013]. O ajuste específico nos perfis de escaneamento podem ser feitos de acordo com o sistema operacional e serviços que se deseja analisar. Esta personalização evita que a ferramenta realize testes desnecessários e ajude na validação dos resultados. As figuras 13 e 14 mostram a personalização que pode ser realizada no Nessus e no OpenVAS, selecionando apenas plugins específicos de acordo com a necessidade de cada caso. Figura 13. Nessus Plugins

9 Figura 14. OpenVAS Plugins 7.1. VALIDAÇÃO DOS RESULTADOS Segundo [BROWN and GALITZ 2010], a validação dos resultados é um processo que deve ser avaliado com cuidado, pois em qualquer tarefa automatizada o perigo de falso positivo pode se revelar nos primeiros testes. Às vezes, o falso positivo é resultado de uma alteração local do software feita pela equipe de desenvolvimento, como quando fornecedores fazem backport de patches em um versão suportada de um pacote. Um método rápido de levantar os resultados é comparando a versão do software em execução no sistema alvo com as versões listadas em vários bancos de dados de vulnerabilidades. Caso os resultados parecerem válidos, deve-se seguir os passos apresentados no relatório para correção das vulnerabilidades. 8. CONCLUSÃO As ferramentas testadas mostraram-se eficientes na detecção de vulnerabilidades e nos relatórios gerados. Ambas possuem funcionamento semelhante, agendamento e personalização do perfil de escaneamento, possibilitando escolher os filtros que vão ser utilizados na detecção de vulnerabilidades. Esta opção é muito útil quando é necessário personalizar o perfil de testes para um determinado sistema ou aplicação. Conclui-se que através dos testes realizados nos cenários foi possível verificar que em alguns casos a ferramenta Nessus foi mais eficiente para detectar vulnerabilidades em sistemas Web do que a ferramenta OpenVAS. Na detecção de vulnerabilidade de sistemas operacionais Windows, Linux e serviços que rodam em ambos, os resultados são semelhantes, porém às vezes resultados que são divulgados por uma ferramenta não são divulgados pela outra. A decisão de escolha de qual utilizar está pelo custo, pois a ferramenta OpenVAS é gratuita e pode suprir as necessidades de uma empresa que não visa detectar falhas em aplicações Web, que é um diferencial a mais que o Nessus possui, porém para este tipo de detecção de falhas existem ferramentas mais específicas. Referências BROWN, T. and GALITZ, G. (2010). O farejador de vulnerabilidades OpenVAS. Linux Magazine, São Paulo.

10 CERT (2013). Site. Acesso em ago CVE (2013). Site. Acesso em ago GIAVAROTO, S. C. R. and dos SANTOS, G. R. (2013). Backtrack Linux Auditoria e Teste de Invasão em Redes de Computadores. Ciência Moderna, Rio de Janeiro. KSAR (2013). Site. Acesso em dez METASPLOIT (2013). Site. Acesso em ago MILW0RM (2013). Site. Acesso em ago MORAES, A. F. (2010). Segurança em Redes - Fundamentos 1. ed. Editora Érica Ltda, São Paulo. MUNIN (2013). Site. Acesso em ago NMAP (2013). Site. Acesso em ago OPENVAS (2013). Site. Acesso em ago PENTESTERLAB (2013). Site. Acesso em out PHPMYADMIN (2013). Site. Acesso em out PRITCHETT, W. L. and SMET, D. D. (2013). Kali Linux CookBook. Packt Publishing Ltd., Birmingham. ROGERS, R. (2008). Nessus Network Auditing, Second Edition. Syngress Publishing, Birmingham. TENABLE (2013). Site. Acesso em ago VULNHUB (2013). Site. Acesso em out WORDPRESS (2013). Site. Acesso em out