扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:51cto 2008年11月8日
关键字:
OpenVAS是开放式漏洞评估系统,也可以说它是一个包含着相关工具的网络扫描器。其核心部件是一个服务器,包括一套网络漏洞测试程序,可以检测远程系统和应用程序中的安全问题。其架构如下图1所示:
图1
用户需要一种自动测试的方法,并确保正在运行一种最恰当的最新测试。OpenVAS包括一个中央服务器和一个图形化的前端。这个服务器准许用户运行几种不同的网络漏洞测试(以Nessus攻击脚本语言编写),而且OpenVAS可以经常对其进行更新。OpenVAS所有的代码都符合GPL规范。
建立架构
OpenVAS是一个客户端/服务器架构,它由几个组件组成。在服务器上(仅限于Linux),用户需要四个程序包:
OpenVAS-Server: 实现基本的扫描功能
OpenVAS-Plugins: 一套网络漏洞测试程序
OpenVAS-LibNASL 和OpenVAS-Libraries: 实现服务器功能所需要的组件
而在客户端上(Windows或Linux均可),用户仅需要OpenVAS客户端。如图2显示的便是客户端的扫描结果:
图2
许多Linux发行版本都包括OpenVAS。笔者使用的是openSUSE,并且安装openvas-server、openvas-manual、 openvas-plugins 、openvas-libraries openvas-client,一切准备就绪。用户可以从下载网站(http://wald.intevation.org/frs/?group_id=29&release_id=197)下载独立的程序包,根据安装指南进行安装。
下一步,用户需要在防火墙上打开1241端口,这样客户端才能连接到服务器。然后添加用户,然后指定登录、身份验证方法(口令或证书)及访问规则等。系统接受以IP地址/子网掩码形式存在的规则(例如,192.168.0.229/224),也可以拒绝以这种形式存在的一台计算机。前两种规则指定了用户希望OpenVAS扫描哪一个IP地址,一个特定的客户端IP地址参数代表了用户登录的IP地址。后两种规则提供了默认值。如果用户希望扫描一个以前的接受或拒绝规则没有涉及到的IP地址,默认的规则就会发生作用。例如,仅拥有单一默认的接受规则意味着用户可以扫描每一台机器。
OpenVAS将用户配置信息存储在/var/lib/openvas/users/中,每一个用户有一个目录,这样用户就可拥有每一个用户的不同规则。虽然标准的默认值对用户来说可能已经足够了,OpenVAS将其它的服务器配置项目存储在/etc/openvas/openvasd.conf中。配置文件有很好的注释,这使得更改起来更加容易。
然后就进入了一个重要阶段,即运行测试阶段。为了测试自身的安全性,用户必须拥有最新的网络漏洞测试。用户应当经常运行openvas-nvt-sync,用以更新本地服务器测试。此实用程序使用rsvnc及md5sum,用户必须安装这些程序。用户必须检查在线的文档,并添加新的网络漏洞测试资源或证书。
一旦用户更新了网络漏洞测试,用户就可以使用下面的命令:
openvasd –D准备启动服务器。
获取网络漏洞测试并运行测试
用户可以检查/usr/sbin/openvas-nvt-sync脚本,它包括这样一行:
FEED=rsync://rsync.openvas.org:/nvt-feed
为了运行客户端,就得运行OpenVAS客户端即OpenVAS-Client,一定要小心地使用大写字母。(在openSUSE中,客户端是通过“Utilities ” -> “ Security”安装的,不同的发行版本略有不同。)
主窗口分为两部分,左侧的树形列表拥有任务、范围、报告等内容,右侧的几个标签选项用户配置自己的扫描。如下图3所示:
图3
在用户首次运行客户端时,用户仅拥有唯一一个登录入口:拥有默认配置的全局设置(Global Settings)。用户必须连接到一个服务器,才能更改参数。
“scope”意味着任务的整体配置。从主菜单下,选择“Scope ” -> “ New”。这时在任务名称的边上,会出现一个称为“unconnected(未连接)”的图标。单击工具栏上的“connect”图标,指定用户希望连接的服务,并输入用户名和口令。用户会得到关于服务器证书的一些对话框,而客户端会从服务器上下载所有可用的网络漏洞测试程序。
如果用户在定义了任务和范围之后希望实施一次快速的标准检查,可单击工具栏上的“Execute”按钮(也可以选择“Scope”主菜单下的“Execute”),OpenVAS会运行所有的测试。完成测试后,在“Scope”选项下会出现一份报告登录,给出了详细的测试信息。对于每一个问题,用户都会得到一个常见漏洞及暴露程度号码,例如CVE-2008-1336。用户可以在CVE查看其完整描述。此报告还给出了一些特定的链接,以及所建议的解决方案,还包括一个对所发现漏洞的风险水平评估。
要查看更多选项,可选择“Scope”,在右侧的列表中选择以下一些信息:
要“攻击”哪一台主机
要检查的端口,用户需要从用逗号隔开的范围列表中选择(25,80,1000-1023),-1(意味着不检查),也可以使用默认的检查(不管你用全局设置定义了什么内容)。
同时运行的主机和检查可有多少?
是否运行安全检查。如果一项安全检查可能会引起一种服务无法使用,那么OpenVAS将不会执行检查。用户可以禁用此选项,但这要冒着使OpenVAS禁用某服务的风险。
要运行的插件是哪些, 也包括这些插件的选项(虽然很少有哪个插件有选项)。插件是成组出现的,而潜在的不安全检查都被赋与一个恰当的图标。
最后,OpenVAS会以HTML(包括几个图形)、LaTeX、pdf等形式生成一份报告,供管理人员据以作出安全决策。虽然商业类的Nessus拥有更多的一些测试,但OpenVAS总能执行最新的检查。因此,在在使用闭源的扫描程序之前,不妨先试试这个开源的扫描工具。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。