O farejador de vulnerabilidades OpenVAS

Transcrição

1 CAPA OpenVas O farejador de vulnerabilidades OpenVAS Experimente o explorador de falhas OpenVAS, um fork GPL da ferramenta de busca de vulnerabilidades Nessus. por Tim Brown e Geoff Galitz A internet vem se tornando cada vez mais perigosa, sempre com novas ameaças e ataques cada vez mais sofisticados. Assim Quadro 1: Preferências de plugin avançadas como a maioria dos profissionais de segurança, já vimos vários esquemas elaborados para subtrair dinheiro e informações de empresas. Para ajudar Na área Advanced Plugin Preferences, é possível passar mais parâmetros para os módulos configurados anteriormente. Por exemplo, é possível ativar pacotes fragmentados, varreduras NULL e muitos outros parâmetros específicos do Nmap, caso o Nmap seja selecionado como varredor de portas. No geral, quando configurações adicionais são necessárias para qualquer módulo específico do OpenVAS, a seção Advanced Plugin Preferences é o lugar para se encontrar respostas. a descobrir essas ameaças e lidar com elas, dependemos muito do Software Livre. Uma das ferramentas de segurança mais popular é o buscador de vulnerabilidades Nessus, da Tenable Network Security [1], usado por muitos para procurar pontos vulneráveis em redes de clientes. A decisão da Tenable de alterar a licença do Nessus para uso comercial foi vista com muita frustração pelos profissionais de segurança. O anúncio final, feito no Slashdot em outubro de 2005, de que o Nessus teria o código fechado fez Tim 34

2 OpenVAS CAPA Brown tomar a atitude de lançar um fork. O resultado desse esforço é o OpenVAS [2], um fork livre do buscador de vulnerabilidade Nessus, licenciado predominantemente sob a licença GPL. Hoje, o OpenVAS possui uma comunidade crescente, com contribuições de indivíduos e corporações de todo o mundo. O projeto Open- VAS é membro da Software in the Public Interest (Software de Interesse Público), uma organização sem fins lucrativos dedicada a ajudar no desenvolvimento do Software Livre. Uma recente e bem sucedida conferência dos desenvolvedores contou com 16 participantes de quatro continentes, e foram enviadas mais de verificações de vulnerabilidades para o repositório SVN público do projeto. Este artigo descreve o projeto OpenVAS e mostra como usá-lo para acessar os sistemas de segurança da sua rede. Arquitetura do OpenVAS Assim como o Nessus, o OpenVAS segue o modelo cliente-servidor. Um componente do servidor é responsável pelo agendamento e pela execução de buscas, e o cliente é usado para configurar essas buscas e acessar os resultados. O servidor normalmente é instalado em um servidor Linux ou Unix, e o cliente é normalmente executado a partir da estação de trabalho do administrador. O cliente deve estar conectado ao servidor durante toda a duração da busca; no entanto, alguns desenvolvedores estão trabalhando agora em um novo componente que irá suportar interfaces mais RESTful. A Autoridade de Atribuição de Números da Internet (IANA) atribuiu oficialmente a porta TCP 9390 ao OpenVAS. O programa é um projeto voltado para a segurança, e a conexão do cliente OpenVAS a essa porta é Figura 1 Seção de configuração geral. sempre tunelada por SSL com cifras fortes para garantir que apenas o u- suário determinado acesse os dados gerados pelo OpenVAS. Instalação O OpenVAS está disponível na forma de pacotes binários para a maioria das distribuições Linux e é possível obtê-lo em repositórios de terceiros ou baixá-lo diretamente do site do OpenVAS. Algumas distribuições GNU/Linux trazem versões incompatíveis do servidor e do cliente. A versão 1 do cliente não é compatível com a versão 2 do servidor. Tenha isso em mente quando for instalar as Figura 2 Diferentes opções de varredura e seus efeitos. versões do repositório da sua distribuição padrão. Caso prefira compilar o código, ele está disponível no site do Open- VAS [2] no tarball padrão ou por SVN anônimo. A compilação não é difícil, mas é necessário compilar os módulos openvas-libraries antes. Certifique-se de satisfazer as seguintes dependências para a compilação: 2gpgme-devel, gcrypt-devel, gnutlsdevel, glib2, glib2-devel, glib2-data, e Gtk+ 2.x (para o cliente Gtk). O próximo passo é incluir o primeiro usuário no OpenVAS. O servidor OpenVAS implementa contas de usuários independentemente do sistema operacional (há planos Linux Magazine #67 Junho de

3 CAPA OpenVAS Figura 3 Adição de uma nova credencial de acesso local com o Credentials Manager. para incluir suporte a LDAP em uma versão futura). Para adicionar um usuário, basta executar o script openvas-useradd: # openvas-adduser fulano E as regras serão solicitadas junto com as informações do usuário. Essas regras permitem especificar quais nós o usuário do OpenVAS pode ou não varrer em busca de vulnerabilidades. Esse recurso protege alguns sistemas sensíveis contra varreduras sem a supervisão necessária. A sintaxe para as regras é: accept deny ip/máscara Figura 4 Login no servidor OpenVAS. default accept/deny Por exemplo: accept /24 default deny Essas regras permitem ao usuário varrer todos os sistemas na rede /24, mas nega acesso a qualquer outra rede. As configurações do usuário ficam no diretório /var/lib/openvas/users. Início Como veremos mais adiante neste artigo, o OpenVAS utiliza plugins para definir cenários de varredura. Para atualizar esses plugins, basta executar o seguinte comando: # openvas-nvt-sync Se este comando for executado regularmente, seus plugins permanecerão atualizados. Caso contrário, o buscador deixará escapar novas vulnerabilidades. Após executar openvas-nvt-sync, reinicie o servidor. Se a instalação tiver sido feita por meio de um pacote binário, utilize o comando service para iniciar o servidor. Caso tenha sido instalado a partir das fontes, inicie o servidor com o comando: CAMINHO_DO_SERVIDOR/openvasd -D Configuração O OpenVAS oferece muitas opções de configuração (figura 1), mas a maioria delas possui padrões conservadores que preservam o desempenho e melhoram a funcionalidade. Algumas das opções mais importantes são: Port Range: essa opção configura a faixa de portas a ser varrida pelo servidor OpenVAS. O padrão é varrer apenas as portas definidas no arquivo openvas-services, que contém todas as portas usadas normalmente, com exceção de algumas no final da faixa. Para abranger todas as portas, especifique Varrer um número menor de portas, incluindo apenas a faixa padrão, irá acelerar o processo, mas é possível deixar escapar algum malware do tipo daemon de backdoor em uma porta alta; Hosts to test concurrently: essa opção estabelece o número de hosts que podem ser varridos em paralelo, o que tem o efeito de limitar a carga sobre o servidor OpenVAS; Checks to perform concurrently: essa opção determina o número de testes concomitantes que pode ser executado em um único alvo por vez; Safe Checks: essa opção instrui o OpenVAS a confiar em banners em vez de fazer uma checagem potencialmente invasiva do serviço alvo. Desabilitar os Safe Checks pode resultar em serviços indisponíveis para o servidor ou usuário (figura 2). Uma boa ideia seria fazer uma checagem regular com os Safe Checks habilitado e, depois, desabilitá-lo para varreduras adicionais. Por exemplo, se a varredura do OpenVAS estiver agendada para ser realizada todas as terças-feiras, a da primeira 36

4 OpenVAS CAPA terça deve ser feita com os safe checks desabilitados, e os administradores devem estar presentes para responder a qualquer problema potencial; Port scanner: há a possibilidade de escolher diferentes opções de portas para a varredura. As opções vão de simples tentativas de conexões TCP (o OpenVAS TCP scanner) até outras mais sofisticadas, como os SYN scans ou IKE scans. O primeiro exemplo detecta portas sem completar o procedimento de reconhecimento TCP. O segundo é feito para localizar pontos de conexão IPSec, VPNs e similares. O OpenVAS possui várias outras opções. Seu site traz mais informações sobre ajustes na configuração para seu ambiente. Credenciais locais Executar uma varredura com as configurações padrão leva a uma varredura puramente remota. É possível obter diversas informações úteis desta maneira, mas as configurações padrão transformam o OpenVAS em um mero buscador de portas. Tirar vantagem da capacidade de checagem local fornece resultados mais precisos. A checagem local permite que o OpenVAS determine o estado dos aplicativos que, normalmente, poderiam estar inacessíveis pela rede (como o Wireshark), mas que, mesmo assim, podem estar vulneráveis. A checagem local também ajuda a localizar aplicativos vulneráveis que podem estar sendo executados no sistema sem que se saiba. As versões e posteriores do cliente OpenVAS possuem a conveniente ferramenta Credentials Manager, que usa credenciais de acesso local para varrer sistemas alvo (figura 3). Chaves SSH são criadas no formato RSA PKCS#8 para ha- Listagem 1: Criando um plugin NASL 01 desc = Microsoft IIS FTPd NLST stack overflow O serviço Microsoft IIS FTPd pode ser vulnerável a um estouro de pilha 04 pelo comando NLST. No Microsoft IIS 5.x, esta vulnerabilidade pode ser 05 usada para ganhar acesso remoto ao SISTEMA inteiro, e no IIS 6.x ela 06 resulta numa negação de serviço. Embora esta falha seja acionável só 07 por usuários autenticados com direito de escrita no servidor FTP, esta 08 verificação determina se usuários anônimos possuem o acesso de escrita 09 necessário para dispará-la sem autenticação Nas seguitnes plataformas, recomendamos reduzir o problema da 12 seguinte forma: Microsoft IIS 5.x 15 Microsoft IIS 6.x Recomendamos reduzir o problema da seguinte forma: Filtrar o tráfego recebido na porta 21/tcp para somente máquinas da gerência. 20 Considere remover os diretórios graváveis por anonymous Solução: 23 Não conhecemos nenhuma solução aprovada por um fornecedor atualmente Veja também: Risk factor: High ; if (description) 31 { 32 script_id(100952); 33 script_cve_id( CVE ); 34 name = Microsoft IIS FTPd NLST stack overflow ; 35 script_name(name); 36 script_description(desc); 37 summary = Determines whether Microsoft IIS FTPd is accessible and whether anonymous users have write access ; 38 script_summary(summary); 39 script_category(act_gather_info); 40 family = FTP ; 41 script_family(family); 42 copyright = (c) Tim Brown, 2009 ; 43 script_copyright(copyright); 44 script_dependencie( find_service.nes, secpod_ftp_anonymous. nasl, ftp_writeable_directories.nasl ); 45 script_require_keys( ftp/writeable_dir ); 46 script_require_ports( Services/ftp, 21); 47 exit(0); 48 } include ( ftp_func.inc ); port = 21; 53 if (!get_port_state(port)) Linux Magazine #67 Junho de

5 CAPA OpenVAS Listagem 1: Continuação 54 { 55 exit(0); 56 } 57 if(!get_kb_item( ftp/writeable_dir )) 58 { 59 exit(0); 60 } 61 banner = get_ftp_banner(port); 62 if (!banner) { 63 exit(0); 64 } 65 if ( Microsoft FTP Service (Version 5.0) >< banner){ 66 security_hole(port); 67 } 68 else 69 { 70 if ( Microsoft FTP Service >< banner){ 71 security_warning(port); 72 } 73 } ver compatibilidade entre diferentes implementações de SSH. Uma vez criadas, as chaves podem ser facilmente instaladas em sistemas alvo por meio de pacotes RPM ou DEB criados pelo assistente. A localização dos pacotes é definida durante o procedimento de criação. Um instalador Windows que também é criado prepara os alvos de varredura do Windows com um usuário local baseado em SMB. Quem comecem os trabalhos Quando o sistema estiver configurado, é hora de executar uma varredura iniciando o Cliente OpenVAS. Uma caixa de diálogo pede o login do u- suário (figura 4). Caso seja o primeiro Figura 5 O OpenVAS mostra o progresso da varredura. login, pode haver uma solicitação para salvar o certificado SSL. Neste ponto, o cliente também irá checar novos plugins e novas dependências de plugins do servidor. Depois, crie uma nova tarefa chamada Test Scans. Uma tarefa é equivalente a um grupo lógico. Esse agrupamento é completamente abstrato a tarefa pode referir-se a uma rede cliente, no caso de uma consultoria, ou a um grupo de nodes dentro de uma rede local ou remota, no caso de um administrador de sistemas domésticos. O passo seguinte é criar um novo escopo chamado Internal Testing. O escopo é definido dentro do contexto de uma tarefa. Um escopo é equivalente a um perfil. Por exemplo, um escopo pode incluir todos os nós Linux ou todos os nós AIX. O escopo também pode se equiparar a serviços, tais como todas as máquinas executando daemons SSH ou serviços SMB (escopos e tarefas são totalmente abstratos. No momento, o OpenVAS não oferece meios para criação automática de um escopo e uma tarefa a partir de varreduras anteriores ou modelos). Quando tudo estiver pronto, é hora de executar a primeira varredura. Primeiramente, escolha as opções desejadas, com a varredura de portas preferidas e credenciais de acesso do alvo, e então execute-a clicando no botão Execute. A varredura se inicia neste ponto. O cliente abrirá uma janela de informação com o status atual da varredura e a verificação da porta (figura 5). Quando tudo acabar, um relatório irá destacar o número de questões com prioridades alta, moderada e baixa (figura 6). O cliente também pode exportar o relatório em vários formatos, incluindo HTML, XML e PDF. Validação dos resultados Assim como em qualquer processo automatizado que não tenha sido ajustado, o perigo de falsos positivos se revela nas primeiras varreduras do OpenVAS. A equipe técnica deve analisar cada questão para determinar se é um caso de falso positivo. Essa análise consiste, normalmente, na verificação do fato de que o serviço relatado está mesmo sendo executado em uma porta aberta e se está respondendo. Às vezes, o falso positivo é resultado de alguma modificação local do software feita pela equipe, como quando os fornecedores fazem backport de patches em uma versão suportada de um pacote. Se possível, o modo mais rápido de validar os resultados é comparando a versão do software em execução no sistema remoto às versões listadas em vários bancos de dados de vulnerabilidade. Se os resultados parecerem válidos, o próximo passo seria simplesmente 38

6 OpenVAS CAPA Figura 6 O relatório inicial, com um incidente expandido no visor. confiar no OpenVAS e seguir as recomendações dadas no relatório, o que poderia acarretar o cancelamento de um serviço ou servidor. No entanto, dependendo da sua curiosidade, é possível recriar o problema manualmente para compreender melhor seu contexto. Novos plugins com o NASL Como o Nessus, o OpenVAS permite a criação de seus próprios plugins para verificações de segurança customizadas com a Nessus Attack Scripting Language (NASL Linguagem de Script de Ataque do Nessus). Veja o Guia de Referência do NASL, disponível online [3], para maiores informações sobre o NASL. A listagem 1 mostra alguns dos recursos básicos para se trabalhar com o NASL. Na listagem 1, o bloco de descrição contém metadados sobre o plugin, incluindo uma descrição da vulnerabilidade, detalhes sobre a categoria do plugin e informações sobre quaisquer dependências que o plugin possa ter. Nesse caso, é possível perceber que a checagem é destinada ao CVE , um estouro de pilha que foi relatado no servidor FTP IIS da Microsoft. Abaixo do bloco de descrição, há uma definição da checagem em si. Como é possível ver, o script examina se a porta especificada está aberta e chama a base de conhecimento interna para garantir que um diretório com permissão de escrita seja detectado pelo plugin de dependência ftp_writeable_directories.nasl. Se for o caso, o script se conecta à Mais informações [1] Nessus: [2] OpenVAS: [3] Guia de Referência da NASL: Sobre o autor Gostou do artigo? Queremos ouvir sua opinião. Fale conosco em cartas@linuxmagazine.com.br Este artigo no nosso site: porta e busca o banner FTP. Assim que obtiver o banner, ele o compara a versões sabidamente vulneráveis e faz os relatórios necessários. A verificação sabe que a versão 5.0 é vulnerável, portanto, irá reportar uma brecha nesse caso, mas, em outros em que o servidor FTP da Microsoft estiver sendo executado, é emitido um aviso. O código da listagem 1 é uma análise razoavelmente simples de um script NASL. A NASL é uma linguagem de domínio específico com várias funções específicas de segurança. Alguns questionaram a decisão da Tenable de implementar uma linguagem totalmente nova, mas a NASL foi desenvolvida para ser segura e oferecer as ferramentas necessárias para verificar até vulnerabilidades bem complexas. A linguagem NASL inclui funções já prontas para montagem de pacotes, captura de pacotes e muitas outras tarefas úteis. n Geoff Galitz está na área de sistemas Unix há 18 anos. Gosta de escrever e ensinar. Tim Brown trabalha como consultor sênior de segurança da informação em Portcullis há cinco anos. Linux Magazine #67 Junho de