OpenVAS - Scanner de vulnérabilités OpenSource et gratuit

Tous sur l'analyse des vulnérabilités "réseau" de nos SIH, sonde IDS, scanner de vulnérabilités...
Répondre
michael
Messages : 66
Enregistré le : 12 févr. 2016 13:38
Etablissement : CHU Nimes
Fonction : RSSI
CIL : Non

OpenVAS - Scanner de vulnérabilités OpenSource et gratuit

Message par michael » 24 févr. 2016 14:12

Bonjour, voici une procédure d'installation d'une instance OpenVAS. C'est un scanner de vulnérabilités des systèmes d'exploitation. Il s'agit en fait du fork OpenSource de NESSUS, qui est un scanner bien connu. J'ajoute aussi l'install d'Arachni, qui est un outil de scan de vulnérabilités applicatives, pour les sites / portails web. Normalement la procédure fonctionne en l'état.

DESCRIPTION

OPENVAS – Outil de recherche de vulnérabilités systèmes

ARACHNI – Scanner de vulnérabilités de sites web

OPENVAS: https://@IP:9392

ARACHNI: https://@IP:9292

Prérequis: pas grand chose, 2 vCPU, 2Go RAM, 20Go Stockage (ou moins).

J'installe sur une Centos 7 64 bits à jour.


INSTALLATION OPENVAS

Installation de Centos 7 en configuration minimale et mise à jour (je décris pas, je pense que vous savez faire).

Désactivation de SELinux

Code : Tout sélectionner

vi /etc/selinux/config
Ecrire "disabled".

Ajout des paquets suivants:

Code : Tout sélectionner

yum install wget

Code : Tout sélectionner

yum groupinstall « Development Tools »

Code : Tout sélectionner

yum install screen
Ajout du repository atomicorp:

Code : Tout sélectionner

wget http://www.atomicorp.com/installers/atomic

Code : Tout sélectionner

chmod +x atomic

Code : Tout sélectionner

./atomic
Lance l'installation, dire YES à tout

Installation d’Openvas:

Code : Tout sélectionner

yum install openvas
Configuration d’Openvas:

Code : Tout sélectionner

openvas-setup
Télécharge automatiquement les dernières mises à jour pour sa base de données.
Autoriser les connexions depuis n’importe quelle IP: oui.
Définir le login de l'administrateur et son mot de passe.

Se connecter sur l’interface web: https://@IP:9392

Reconfiguration du serveur Redis

Code : Tout sélectionner

echo « unixsocket /tmp/redis.sock » >> /etc/redis.conf

Code : Tout sélectionner

systemctl enable redis.service
Redémarrage du serveur.

Vérifier la bonne configuration d’Openvas

Code : Tout sélectionner

openvas-check-setup

Résolution des bugs remontés par openvas-check-setup:

Vous aurez probablement un WARNING: PDF generation failed. C'est du à un mauvais package dans Centos 7, voir ici: http://miotramemoria.blogspot.fi/2014/0 ... ports.html

Code : Tout sélectionner

yum -y install texlive-changepage texlive-titlesec
mkdir -p /usr/share/texlive/texmf-local/tex/latex/comment
cd /usr/share/texlive/texmf-local/tex/latex/comment
wget http://mirrors.ctan.org/macros/latex/contrib/comment/comment.sty
chmod 644 comment.sty
texhash

Code : Tout sélectionner

yum install texlive
-> PDF GENERATION OK

Vous aurez probablement une erreur "WARNING: Could not find alien binary", installez alien:

Code : Tout sélectionner

yum install alien
-> Alien OK

Vous aurez probablement une erreur "WARNING: Could not find netstat binary", installez les outils réseau:

yum install net-tools

-> Netstat OK

Vous aurez une erreur concernant la politique de mots de passe: "WARNING: Your password policy is empty".
On met en place une politique:

Code : Tout sélectionner

vi /etc/openvas/pwpolicy.conf
On décommente la ligne suivante:

Code : Tout sélectionner

!/^.{8,}$/     #Mot de passe minimum 8 caractères
Il est recommandé de mettre en place une vraie politique de mot de passe.

Configuration du parefeu (par défaut sur CentOS 7)

Code : Tout sélectionner

firewall-cmd –get-default-zone # liste la zone par défaut

firewall-cmd –zone=public –list-all # liste les services et ports ouverts sur la zone

services autorisés: dhcpv6-client, SSH

firewall-cmd –add-port=9392/tcp #ajout du port 9392 sur la configuration active

firewall-cmd –permanent –add-port=9392/tcp # ajout du port 9392 au redémarrage
Divers

vi /etc/hostname -> P3-129-OPEN # définition du nom d’hôte

vi /etc/sysconfig/network-scripts/ifcfg-ens192 -> ONBOOT=yes # activation automatique de la carte réseau au démarrage du système
COMMANDES UTILES
Composants d'OpenVAS:
openvasmd # manager
openvassd #scanner
redis # bdd

Changer le mot de passe d’un utilisateur ou admin:

Code : Tout sélectionner

openvasmd –user=xxxxx –new-password=xxxxx
Recréer le certificat pour le manager:

Code : Tout sélectionner

openvas-mkcert-client -n om -i # génère le certificat automatiquement, valable 365 jours

Code : Tout sélectionner

openvasmd –rebuild # reconstruction de la base de données

Code : Tout sélectionner

openvasmd # relance du service

Relancez openvas-check-setup, vous devriez obtenir une installation OK:
It seems like your OpenVAS-8 installation is OK.

INSTALLATION ARACHNI
Installation du paquet arachni:

http://sourceforge.net/projects/arachni/files/

Code : Tout sélectionner

wget http://downloads.arachni-scanner.com/arachni-1.1-0.5.7-linux-x86_64.tar.gz

tar xzvf arachni-1.1-0.5.7-linux-x86_64.tar.gz

mv arachni-1.1-0.5.7 /usr/local/.

ln -s /usr/local/arachni-1.1-0.5.7 /usr/local/arachni

ln -s /usr/local/arachni/bin/arachni* /usr/bin/

ln -s /usr/local/arachni/bin/readlink_f.sh /usr/bin/
Démarrer Arachni Web:

Code : Tout sélectionner

screen -S arachni # description du screen, « arachni » est une simple description

cd /usr/local/arachni/bin/

./arachni_web
Ctrl + A + D pour détacher la session du screen.

screen – r arachni #se rattacher au screen, « arachni » est le nom de la session défini précédemment

Configuration du parefeu pour Arachni

Code : Tout sélectionner

firewall-cmd –add-port=9292/tcp #ajout du port 9292 sur la configuration active

Code : Tout sélectionner

firewall-cmd –permanent –add-port=9292/tcp # ajout du port 9292 au redémarrage

INSTALLATION DES VM TOOLS

Les VMTools sur Linux s’installent depuis le gestionnaire de paquets:

Code : Tout sélectionner

yum install open-vm-tools
Faire entrée pour toutes les questions (choix par défaut).


TROUBLESHOOTING
Message d’erreur DIRB (NASL wrapper): NVT timed out after 320 seconds

Augmenter le time-out dans le fichier de conf:

Code : Tout sélectionner

vi /etc/openvas/openvassd.conf
# Maximum lifetime of a plugin (in seconds) :
plugins_timeout = 1500 # au lieu de 320

Code : Tout sélectionner

systemctl restart openvas-scanner.service

michael
Messages : 66
Enregistré le : 12 févr. 2016 13:38
Etablissement : CHU Nimes
Fonction : RSSI
CIL : Non

Re: OpenVAS - Scanner de vulnérabilités OpenSource et gratuit

Message par michael » 24 févr. 2016 14:22

PS: je suis pas un grand ponte de Linux, s'il y a des approximations ou des erreurs n'hésitez pas

Avatar du membre
charles
Administrateur du site
Messages : 2429
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: OpenVAS - Scanner de vulnérabilités OpenSource et gratuit

Message par charles » 24 févr. 2016 15:28

je n'ai qu'un mot à dire : MERCI

je vais tester ça dès que j'aurais un peu de temps ;)

Avatar du membre
charles
Administrateur du site
Messages : 2429
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: OpenVAS - Scanner de vulnérabilités OpenSource et gratuit

Message par charles » 30 août 2016 17:56

De nouvelles releases pour les composants d'OpenVAS 8 ont été publiées aujourd'hui 30/08/2016 :

- OpenVAS Libraries 8.0.8
- OpenVAS Scanner 5.0.6
- OpenVAS Manager 6.0.9
- GSA 6.0.11

Pour plus d'infos : https://wald.intevation.org/frs/shownot ... ase_id=874

michael
Messages : 66
Enregistré le : 12 févr. 2016 13:38
Etablissement : CHU Nimes
Fonction : RSSI
CIL : Non

Re: OpenVAS - Scanner de vulnérabilités OpenSource et gratuit

Message par michael » 15 nov. 2016 10:07

Un truc assez pénible, tous les ans il faut renouveler le certificat. Sauf qu'il y a une subtilité, ses informations sont stockées dans la base de données d'OpenVAS. Il faut donc les mettre à jour, en procédant comme suit:


L’erreur suivante est souvent causée par un certificat expiré:
Operation: Start Task
Status code: 503
Status message: Service temporarily down

On recrée les certificats serveur (l’option « -f » permet de positionner les certificats au bon endroit automatiquement, pas de copie manuelle nécessaire:
openvas-mkcert -f

On génère le certificat client:
openvas-mkcert-client -i -n

Redémarrer. Attendre qu’openvassd régénère la base.
Lancer la commande suivante pour inscrire les nouveaux certificats dans la base:

openvasmd –modify-scanner xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx –scanner-port xxxx –scanner-ca-pub /var/lib/openvas/CA/cacert.pem –scanner-key-pub /var/lib/openvas/CA/servercert.pem –scanner-key-priv /var/lib/openvas/private/CA/serverkey.pem

Le numéro du scanner se trouve dans l’interface web d’OpenVAS, Configuration, Scanner, OpenVAS Default. Il s’agit de l’ID. Le port du scanner y est également indiqué (par défaut 9391). Assez difficile de trouver ces informations sur le net, j'y ai passé pas mal de temps :)

Avatar du membre
charles
Administrateur du site
Messages : 2429
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: OpenVAS - Scanner de vulnérabilités OpenSource et gratuit

Message par charles » 15 nov. 2016 10:38

Merci pour ces infos Michael ;)

Je le fais tourner sur Kali de mon côté, j'en suis très satisfait ;)

Avatar du membre
charles
Administrateur du site
Messages : 2429
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: OpenVAS - Scanner de vulnérabilités OpenSource et gratuit

Message par charles » 08 mars 2017 12:10

La version 9 d'OpenVas, fruit de deux années de travail intensif vient d'être publiée aujourd'hui : 08/03/2017

Source : http://www.openvas.org/news.html#openvas9

michael
Messages : 66
Enregistré le : 12 févr. 2016 13:38
Etablissement : CHU Nimes
Fonction : RSSI
CIL : Non

Re: OpenVAS - Scanner de vulnérabilités OpenSource et gratuit

Message par michael » 09 mars 2017 12:13

Excellent, je teste et je mettrai à jour ce thread ;)

Avatar du membre
charles
Administrateur du site
Messages : 2429
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: OpenVAS - Scanner de vulnérabilités OpenSource et gratuit

Message par charles » 08 mai 2017 22:03

De nouvelles versions pour les composants d'OpenVAS V8 (toujours maintenues au côté de la V9) ont été publiés le 08/05/2017 :

- OpenVAS Libraries 8.0.9
- OpenVAS Scanner 5.0.8
- OpenVAS Manager 6.0.10
- GSA 6.0.12

https://lists.wald.intevation.org/piper ... 17-May.txt

Avatar du membre
charles
Administrateur du site
Messages : 2429
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: OpenVAS - Scanner de vulnérabilités OpenSource et gratuit

Message par charles » 23 août 2017 12:01

Pour les utilisateurs OpenVas :
In early June we announced upcoming feed changes which are now ready to start.

The first change is renaming the public feed from "OpenVAS NVT Feed" to
"Greenbone Community Feed" (GCF) for branding reasons. This has no impact
on functionality and there will be no license change.

The second change is surely awaited by many community users:

We will drop the current 14-day delay for the Community Feed and switch to a
daily up-to-date scheme. This includes immediate availability of "Hot NVTs"
which address security problems running fast through the Internet and through
the news. Also, reported patches/improvements will become available much
sooner.

However, we will stop adding features for large enterprise environments. We
will not remove such NVTs from the current community feed, so you will not get
inconsistent scan results for them. Naturally, the gap between GCF and GSF
regarding enterprise features will grow over time.

We think this a good balance between community needs and commercial needs.

We will change the publication scheme on September 4th, 2017.
Bonne et "mauvaise nouvelle", tout dépend ce qu'ils entendent par "features for large enterprise environments"

Répondre

Retourner vers « Analyse des vulnérabilités »