Một thời điểm các mối quan tâm hàng đầu của nhiều nhà Quan tri linux là làm sao biết được Quan tri linux của mình bị hổng ở chổ như thế nào cho phép chắc hẳn vá lại hoặc mục đích tấn công hay đột nhập vào nếu người quan tâm đến chúng là các hacker. Có rất những công cụ trợ giúp trong việc xác định các lỗi bảo mất và nhiều điểm nhạy cảm của Quản trị hệ thống linux như Retina của Eeye, hay GFI N.S.S của GFI… Nhưng công cụ được các hacker và các nhà quản trị hệ thống yêu thích hơn cả vẫn là nessus, công cụ được xếp hạng thứ nhất thời điểm 75 công cụ bảo mật có đánh giá bởi tổ chức Insecure .
Lý do mà Nessus được yêu thích như vậy tại vì chúng có một cơ sở dữ liệu rất lớn về lổ hổng hệ thống được thông tin liên tục, bố cục dễ tận dụng và kết quả chắc hẳn được lưu lại dưới những dạng khác nhau như biểu đồ, XML hoặc PDF để chắc hẳn đơn giản xem thêm. Ngoài ra khi sử dụng Nessus chúng mình không phải bận tâm về việc bản quyền vì đây là một chương trình không tốn tiền. Trong bài viết này tôi sẽ trình bày phương pháp cấu hình và cài đặt nessus trên một Quan tri he thong Linux Linux FC2 và tiến hành kiểm tra lỗi của một số máy chủ chạy hệ điều hành Windows, cùng với giải pháp phòng chống Nessus cũng như nhiều trường hợp tấn công DOS dựa vào honeypot.
Phần I: Cài đặt và cấu hình chương trình kiểm tra lỗi hệ thống Nessus
Đầu tiên chúng ta tải về bốn tập tin nessus-libraries-2.0.9.tar.gz, libnasl-2.0.9.tar.gz, nessus-core-2.0.9.tar.gz, nessus-plugins-2.0.9.tar.gz từ trang web www.nessus.org và tiến hành cài đặt theo thứ tự sau:
#tar –zxvf nessus-libraries-2.0.9.tar.gz
#cd ../nessus-libraries-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf libnasl-2.0.9.tar.gz
#cd libnasl-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-core-2.0.9.tar.gz
#cd nessus-core-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-plugins-2.0.9.tar.gz
#cd nessus-plugins-2.0.9
#./configure && make && make install
Những dòng lệnh trên sẽ giải nén và lần lượt setup các gói tin thư viện ">Quan tri he thong Linux và những plug-in cần thiết cho quá trình quét lỗi. Khi tiến trình cài đặt hoàn tất bạn nào cùng dùng trình soạn thảo vi, hay emac thêm dòng /usr/local/lib vào tập tin ld.so.conf trong thư mục /etc, lưu lại và chạy lệnh ldconfig.
Cho phép connect với máy chủ nessus bằng giao thức an toàn SSL thì các bạn cần tạo các SSL certificate cho nessus thông qua lệnh nessus-mkcert và tiến hành theo nhiều chỉ thị đưa ra.
Tiếp theo ta cần tạo tài khoản dùng cho phép Quản trị hệ thống linux chạy nessus bằng tiện ích nessus-addusr. Điều này có thể giúp các bạn tạo ra các tài khoản chỉ có thể quét lỗi trên lớp mạng con mà mình quản lý.
# nessus-adduser
Addition of a new nessusd user
------------------------------
Login : secureprof
Authentication (pass/cert) [pass] : pass
Password : uncrackable
Như vậy ta đã hoàn thành nhiều bước cài đặt cho máy chủ nessus, cùng khởi động bằng lệnh nessusd &, sau đó chạy trình khách nessus qua dòng lệnh nessus ở bất kỳ terminal gì và thiết lập những tham số cần thiết cho chu trình quét lỗi.
- Lưu ý: server nessus cần có thiết lập trên các Quan tri he thong linux Linux-like, nhưng chương trình giao tiếp (nessus client) có khả năng cài trên nhiều hệ thống Windows OS hoặc Linux.
Đầu tiên các bạn cần log-in vào máy chủ nessus thông qua trang đang nhập với tài khoản đã tạo ra. Tiếp theo là chọn nhiều plug-in cho phép tiến hành quét lỗi, càng khá nhiều plug-in có chọn thì kết quả thu được sẽ tốt hơn tuy nhiên thời giờ cũng có tác dụng lâu hơn, cùng click chuột vào ô check-box bên phải nhằm chọn những plug-in mình muốn:
Cuối cùng là nhập địa chỉ những máy cần kiểm tra lổi trong trang Target selection rồi lưu lại với tùy chọn Save this section, nhấn phím Start the scan nhằm nessus bắt đầu phát triển:
Tùy vào số lượng máy có quét và số plug-in bạn chọn mà thời gian tiến hành lâu hoặc mau. Kết quả thu có sẽ có trình bày như khung sau:
Dựa trên kết quả thu có chúng mình chắc hẳn xác định các điểm nhạy cảm cũng như những lổ hổng mà những hacker chắc hẳn lợi dụng mục đích tấn công hệ thống, ví dụ có một server Windows OS bị lỗi bảo mật Rpc dcom chắc hẳn cho những hacker chiếm quyền điều khiển từ xa hoặc các cổng TCP 139 đang mở trên hầu như nhiều máy của nhân viên phòng Kinh Doanh chắc hẳn bị tấn công bằng cơ chế brute force… Và đương nhiên là các bạn nên vá chúng lại càng sớm càng tốt qua website của nhà cung cấp hoặc đặt password theo cách thức hoạt động phức tạp cho phép ngăn ngừa những phương pháp đoán password như brute force, yêu cầu khách hàng thay đổi password sau một thời gian tận dụng...
Để Quản trị hệ thống Linux phòng chống nhiều kiểu tấn công này thì chúng mình cần kịp thời nâng cấp các bản vá hệ thống khi chúng được công bố, hoặc trên các mạng và hệ thống tận dụng Windwos 2000 về sau chúng mình có khả năng thông tin những bản vá từ trang web Microsoft Update hoặc cài đặt WSUS server nhằm nâng cấp cho khá nhiều máy cùng lúc mỗi khi có những lổ hổng hệ thống mới có công bố. Đăng kí những bản tin cảnh báo từ nhiều trang web của những nhà đưa ra giải pháp bảo mật (ví dụ như www.eeye.com) để chắc hẳn đưa ra nhiều giải pháp một cách kịp thời. Bên cạnh đó ta nên mỗi lúc giám sát nhiều hệ thống server quan trọng, setup các chương trình diệt Virus và Trojan (đối với những hệ thống Windows OS chúng mình nên cài Microsoft Anti Spyware, chương trình này cho kết quả rất tốt khi chạy), xây dựng hệ thống dò tìm và phát hiện xâm nhập như Snort IDS, GFI Server Monitor hoặc là tận dụng kế nghi binh “Vườn Không Nhà Trống” để đánh lừa và dẫn dụ những hacker tấn công vào nhiều máy chủ ảo có tạo ra thông qua những HoneyPot Server.
Subscribe to:
Post Comments (Atom)
0 comments:
Post a Comment