OpenVAS를 사용하여 Ubuntu 12.04에서 원격 시스템의 보안을 감사하는 방법

상태: 더 이상 사용되지 않음

이 문서에서는 더 이상 지원되지 않는 Ubuntu 버전에 대해 설명합니다. 현재 Ubuntu 12.04를 실행하는 서버를 운영 중인 경우 지원되는 Ubuntu 버전으로 업그레이드하거나 마이그레이션하는 것이 좋습니다.

• Ubuntu 14.04로 업그레이드합니다.
• Ubuntu 14.04에서 Ubuntu 16.04로 업그레이드
• 서버 데이터를 지원되는 버전으로 마이그레이션

이유:

대신 참조:

소개

서버 보안의 중요한 측면은 보안 검색에 대해 능동적으로 대처하는 것입니다. 서비스를 인터넷에 노출하는 경우 알려진 위협에 취약하지 않도록 침투 테스트가 필수적입니다.

일반적으로 OpenVAS로 알려진 Open Vulnerability Assessment System은 알려진 악용 및 약점 데이터베이스를 사용하여 클라이언트 컴퓨터에 대한 테스트를 실행하기 위해 함께 작동하는 도구 모음입니다. 목표는 서버가 알려진 공격 벡터에 대해 얼마나 잘 보호되는지 알아보는 것입니다.

이 가이드에서는 Ubuntu 12.04 VPS에 OpenVAS 제품군을 설치합니다. 그런 다음 이 시스템을 사용하여 자체 및 다른 서버를 스캔할 수 있습니다.

OpenVAS PPA 추가 및 소프트웨어 설치

Ubuntu의 기본 리포지토리에 일부 OpenVAS 구성 요소가 있지만 패키지의 업데이트된 버전을 유지 관리하는 PPA를 사용합니다.

먼저 python-software-properties 패키지를 설치해야 PPA를 쉽게 사용할 수 있습니다.

sudo apt-get update
sudo apt-get install python-software-properties

그런 다음 최신 안정 버전을 시스템에 추가할 수 있습니다.

sudo add-apt-repository ppa:openvas/openvas6

새로운 PPA를 통해 사용 가능한 패키지에 대한 정보를 수집하려면 apt 데이터베이스를 다시 빌드해야 합니다. 그런 다음 필요한 소프트웨어를 설치할 수 있습니다.

sudo apt-get update
sudo apt-get install openvas-manager openvas-scanner openvas-administrator openvas-cli greenbone-security-assistant sqlite3 xsltproc texlive-latex-base texlive-latex-extra texlive-latex-recommended htmldoc alien rpm nsis fakeroot

시작하는 데 필요한 구성 요소를 다운로드하고 설치합니다.

초기 구성

기본적으로 포함된 래퍼 유틸리티를 사용하여 OpenVAS용 SSL 인증서를 생성할 수 있습니다. 파일 시스템의 제한된 부분에 배치할 수 있도록 관리자 권한으로 이것을 호출해야 합니다.

sudo openvas-mkcert

이 서버에서 사용할 인증서 파일을 작성하는 데 도움이 되는 여러 가지 질문을 받게 됩니다.

대부분의 질문은 ENTER를 입력하여 기본값을 수락할 수 있습니다. 이것은 주로 사용자가 사용하기 위한 것이므로 사용하려는 값을 입력하십시오.

다음으로 다른 인증서를 만듭니다. 이번에는 "om\이라는 사용자에 대한 클라이언트 인증서를 생성합니다. 이것은 OpenVAS Manager를 나타냅니다. 클라이언트 부분에 대한 특정 정보가 필요하지 않으므로 자동으로 구성하고 인증서를 설치하도록 지시할 것입니다. 필요한 장소:

sudo openvas-mkcert-client -n om -i

데이터베이스 정보 구축

이제 인증서를 설치했으므로 로컬 도구가 다양한 종류의 위협과 취약성을 인식하도록 데이터베이스 구축을 시작할 수 있습니다.

다음 명령을 실행하여 네트워크 취약성 테스트 데이터베이스를 업데이트하십시오.

sudo openvas-nvt-sync

이렇게 하면 로컬 시스템에 최신 정의가 다운로드됩니다.

계속하려면 일시적으로 충돌 없이 명령을 호출할 수 있도록 관리자 및 스캐너 응용 프로그램을 중지해야 합니다.

다음을 입력하여 두 서비스를 모두 중지합니다.

sudo service openvas-manager stop
sudo service openvas-scanner stop

이제 일반적으로 호출되는 init 파일에 있는 매개 변수 없이 스캐너 응용 프로그램을 시작할 수 있습니다. 이 첫 번째 실행 중에 OpenVAS는 많은 데이터를 다운로드하고 동기화해야 합니다. 꽤 시간이 걸립니다.

sudo openvassd

이 작업이 완료되면 다음을 입력하여 스캐너에서 생성된 데이터베이스를 다시 빌드해야 합니다.

sudo openvasmd --rebuild

다음으로 보안 콘텐츠 자동화 프로토콜 데이터를 다운로드하고 업데이트합니다. 이것은 "SCAP\ 데이터로 알려져 있습니다. 이것은 OpenVAS가 보안 테스트를 위해 확인하는 또 다른 데이터베이스입니다.

sudo openvas-scapdata-sync

이것은 또 다른 긴 기다림이 될 것입니다. 일부 일반 파일을 다운로드한 다음 데이터베이스에서 업데이트합니다.

그런 다음 인증서 데이터에 대해 유사한 동기화 작업을 실행합니다.

sudo openvas-certdata-sync

이 명령을 처음 실행하면 몇 가지 오류가 표시될 수 있습니다. 다음과 같이 보일 수 있습니다.

Error: no such table: meta

이는 Ubuntu 패키지에 일부 다른 버전에 패키지된 일부 파일이 실제로 누락되어 있기 때문입니다.

관리자 구성 요소용 RPM 패키지에서 이를 얻을 수 있습니다. 홈 디렉토리에 다운로드하려면 다음을 입력하십시오.

cd
wget http://www6.atomicorp.com/channels/atomic/fedora/18/i386/RPMS/openvas-manager-4.0.2-11.fc18.art.i686.rpm

이제 파일을 다운로드했으므로 RPM 내에 있는 디렉토리 구조를 추출하고 확장할 수 있습니다. 다음을 입력하면 됩니다.

rpm2cpio openvas* | cpio -div

OpenVAS가 파일을 찾을 위치에 새 파일을 위한 디렉토리를 생성합니다. 그런 다음 파일을 해당 디렉토리로 이동합니다.

sudo mkdir /usr/share/openvas/cert
sudo cp ./usr/share/openvas/cert/* /usr/share/openvas/cert

이제 인증서 동기화 명령을 다시 안전하게 실행할 수 있으며 이번에는 예상대로 완료되어야 합니다.

sudo openvas-certdata-sync

그런 다음 홈 디렉토리에서 추출된 RPM 데이터 및 디렉토리를 삭제할 수 있습니다.

rm -rf ~/openvas* ~/usr ~/etc

OpenVAS 사용자 및 포트 설정

서비스에 로그인하려면 사용자가 필요합니다. OpenVAS 관리자 구성 요소를 사용하여 만들 수 있습니다.

여기에서 관리자 역할을 가진 "admin\이라는 사용자를 생성합니다. 새 계정에 사용할 비밀번호를 입력하라는 메시지가 표시됩니다.

sudo openvasad -c add_user -n admin -r Admin

사용자에게 무제한 액세스 권한이 부여되었음을 알립니다.

다음으로 구성 요소 중 하나가 시작되는 방식을 변경해야 합니다. Greenbone Security Assistant 구성 요소는 우리가 설치한 도구에 대한 웹 기반 인터페이스입니다.

기본적으로 인터페이스는 로컬 컴퓨터에서만 액세스할 수 있습니다. 원격 서버에 OpenVAS 제품군을 설치하고 있기 때문에 이러한 설정으로는 웹 인터페이스에 액세스할 수 없습니다. 인터넷에서 액세스할 수 있도록 해야 합니다.

원하는 텍스트 편집기에서 루트 권한으로 다음 파일을 엽니다.

sudo nano /etc/default/greenbone-security-assistant

상단 근처에 웹 인터페이스가 청취할 주소를 지정하는 매개변수가 표시되어야 합니다. 값을 127.0.0.1에서 VPS의 공용 IP 주소로 변경해야 합니다. 이렇게 하면 인터넷에서 연결을 수신할 수 있으며 다음과 같이 연결할 수 있습니다.

<예비>

위와 같이 수정했으면 파일을 저장하고 닫습니다.

서비스 시작

이제 구성한 서비스를 시작합니다. 그들 중 대부분은 이미 어느 정도 실행되고 있지만 우리가 수집한 새로운 정보를 사용하려면 다시 시작해야 합니다.

실행 중인 모든 OpenVAS 스캐너 프로세스를 종료하여 시작합니다.

sudo killall openvassd

프로세스가 실제로 종료되는 데 최대 15초 또는 20초가 걸릴 수 있습니다. 다음을 실행하여 아직 실행 중인 프로세스가 있는지 확인할 수 있습니다.

ps aux | grep openvassd | grep -v grep

반환되는 항목이 있으면 프로세스가 아직 완료되지 않은 것이므로 계속 기다려야 합니다.

프로세스가 완전히 종료되면 모든 서비스를 다시 시작할 수 있습니다.

sudo service openvas-scanner start
sudo service openvas-manager start
sudo service openvas-administrator restart
sudo service greenbone-security-assistant restart

이들 각각을 시작하는 데 약간의 시간이 걸릴 수 있습니다.

웹 인터페이스에 액세스하고 일부 테스트 실행

서비스가 모두 시작되면 웹 브라우저를 사용하여 Greenbone Security Assistant 웹 인터페이스에 액세스합니다.

여기에 액세스하려면 서버 주소 앞에 https://를 붙여야 합니다. 그런 다음 :9392 뒤에 서버의 도메인 이름 또는 IP 주소를 입력합니다.

<예비>

브라우저가 기본적으로 신뢰하는 사람이 인증서에 서명하지 않았음을 알리는 무섭게 보이는 경고 화면이 표시됩니다.

이는 예상되는 사항이며 문제가 아닙니다. 계속하려면 "진행\ 버튼을 클릭해야 합니다.

다음으로 로그인 화면이 표시됩니다.

이전에 구성한 사용자 이름과 암호를 입력해야 합니다. 이 가이드에서 사용자 이름은 \admin”이었습니다.

로그인하면 대상 컴퓨터에 대해 기본 검사를 즉시 실행할 수 있는 빠른 시작 마법사가 즉시 표시됩니다.

소유하고 있는 다른 서버에 대해 실행하는 것이 좋습니다. 제어할 수 없는 대상에 대해서는 이러한 검사를 실행하지 않는 것이 중요합니다. 다른 사용자에게 잠재적인 공격처럼 보일 수 있기 때문입니다.

테스트할 컴퓨터의 IP 주소를 입력하고 시작하려면 "검사 시작\ 버튼을 클릭하십시오.

스캔이 진행됨에 따라 페이지가 업데이트되며 진행 상황을 추적하기 위해 페이지를 수동으로 새로 고칠 수도 있습니다.

스캔이 완료되면(또는 들어오는 정보를 검토하려는 경우 이전에도) 보라색 돋보기 아이콘을 클릭하여 스캔 결과를 볼 수 있습니다. 스캔이 완료되기 전에 잠시 동안 98%에서 정지하는 것은 정상입니다.

스캔 결과의 개요로 이동합니다. 우리가 완료한 즉각적인 스캔은 우리가 사용할 수 있는 가장 심층적인 스캔이 아닙니다.

하단에서 우리가 스캔한 시스템의 잠재적인 취약점을 알려주는 OpenVAS가 생성한 보고서를 볼 수 있습니다. "위협\ 수준이 "보통\으로 분류된 것을 볼 수 있습니다.

이는 "중간\ 등급 시스템에서 적어도 하나의 취약점이 발견되었음을 의미합니다. 돋보기를 다시 클릭하면 자세한 내용을 확인할 수 있습니다.

이렇게 하면 결과에 대한 전체 보고서가 제공됩니다. 상단 부분에는 다양한 형식으로 결과를 다운로드할 수 있는 옵션이 있습니다.

중간 섹션에서 결과를 필터링할 수 있습니다. 기본적으로 인터페이스는 "높음\ 또는 "중간\으로 표시된 위협만 표시합니다. 처음에는 "위협\ 범주 아래의 모든 상자를 선택해야 합니다. "적용\을 클릭하여 다음을 구현하십시오.

하단 섹션은 발견된 특정 항목에 대해 알려줍니다. 위의 상자를 모두 선택한 경우 열린 포트 및 유사한 검색 결과에 대한 일부 정보 메시지가 표시됩니다.

위협은 버튼 색상과 일치하도록 색상으로 구분됩니다. 예를 들어, 이것은 중간 정도의 위협입니다.

이 경고는 대상이 타임스탬프 요청에 응답함을 알려줍니다. 이러한 요청을 통해 공격자는 호스트가 온라인 상태로 유지된 시간을 알 수 있습니다. 이를 통해 공격자는 호스트가 최근 악용에 취약하다는 것을 알 수 있습니다.

보시다시피 보고서에는 문제를 해결하는 방법에 대한 정보도 포함되어 있습니다.

결론

이제 호스트를 스캔하도록 완전한 기능을 갖춘 OpenVAS 서버를 설정해야 합니다. 이를 통해 취약점을 발견하고 보안을 강화할 때 집중해야 할 영역을 강조할 수 있습니다.

우리는 OpenVAS 보안 제품군의 최소한의 기능만 보여주었습니다. 다른 작업 중에서 특정 위협 수준이 생성되면 스캔을 쉽게 예약하고 자동으로 보고서를 생성하고 이메일 알림을 보낼 수 있습니다. Greenbone Security Assistant 인터페이스를 탐색하고 내장된 훌륭한 도움말 시스템을 활용하여 옵션에 대해 자세히 알아보십시오.