Server audit.cesnet.cz nabízí uživatelům sítě CESNET snadnou kontrolu zabezpečení jejich strojů. Využívá programu NESSUS (pravděpodobně nejrozšířenější aktivní bezpečnostní síťový scanner; v červnu 2014 nabízí asi 63 tisíc bezpečnostních testů) a poštovního rozhraní vytvořeného v rámci CESNETu.
Další známý bezpečnostní scanner OpenVAS (Open Vulnerability Assessment System) vychází ze starší verse programu NESSUS a je šířen v rámci licence GPL. Systém CESNET AUDIT nabízí jeho služby od roku 2009 poté, co se jeho správci dostal do rukou dokument se zajímavým srovnáním vlastností NESSUSu a OpenVASu. OpenVAS nabízí v červnu 2014 přes 28 tisíc bezpečnostních testů.
Auditační server CESNETu v Praze - Dejvicích je v současnosti až do odvolání mimo provoz. Opětovné zprovoznění bude včas oznámeno. Správci akademických sítí připojených k CESNETu2 mohou i nadále požádat o zapůjčení licence NESSUSu, aby auditační server na omezenou dobu sami zprovoznili uvnitř své vlastní sítě.
Bezpečnostní audit svého stroje nebo své skupiny strojů může spustit autorisovaný správce kdykoli a s nastavitelným zpožděním. Po skončení auditu obdrží výsledky elektronickou poštou ve zvoleném formátu (html, text). Správce může zvolit, zda poběží jen bezpečné, nebo i potenciálně nebezpečné testy. Program NESSUS je spuštěn v každém případě; program OpenVAS, jen pokud si ho uživatel vyžádá.
Auditační server je určen převážně pro testování strojů v dejvické síti CESNETu. Správci strojů z jiných sítí mohou požádat o přístup zejména pro vyzkoušení možností auditu, aby pak - pokud možno - zřídili podobný server ve svých institucích.
Uživatel test@example.cz potřeboval otestovat zabezpečení svého stroje 10.0.0.127 pomocí serveru CESNET AUDIT. Chtěl:
Odeslal tedy tento dopis opatřený platným podpisem PGP na adresu serveru:
From: test@example.cz To: audit@audit.cesnet.cz Subject: TEST 10.0.0.127 Date: Wed, 9 Dec 2009 15:00:18 +0100 CONFIG: full FORMAT: html TCPSCAN:all OPENVAS:yes TARGET: 10.0.0.127 DELAY: 1 h 5 m END
O 8 sekund později dostal první odpověď podepsanou PGP klíčem serveru:
From: CESNET AUDIT <audit@audit.cesnet.cz> To: test@example.cz Subject: Re: TEST 10.0.0.127 Date: Wed, 9 Dec 2009 14:00:26 +0000 AUDIT v. 83 (7.12.2009) start: Wed Dec 9 14:00:21 2009 GMT Permitted TARGET: 10.0.0.127 10.0.1.25 10.0.2.3 Audit configuration requested in Qfile: CONFIG: full FORMAT: html OPENVAS: yes TCPSCAN: all TARGET: 10.0.0.127 DELAY: 3900 seconds (-> Wed Dec 9 15:05:24 2009 GMT) Audit request `xxxxxxxxxx.yyyyyyyyyy.zzzz' queued.
Dopis obsahoval tyto důležité údaje:
Tuto frontu prohlíží každou minutu program, jenž ve vhodném okamžiku spustí NESSUS s parametry nalezenými v nejstarším souboru ve frontě. Když skončí NESSUS, spustí se program OpenVAS, pokud si to uživatel přál. Server CESNET AUDIT nakonec odešle uživateli druhý dopis, který je také podepsán PGP klíčem serveru:
To: test@example.cz From: CESNET AUDIT <audit@audit.cesnet.cz> Subject: Re: TEST 10.0.0.127 Date: Wed, 9 Dec 2009 15:31:54 +0000 Hello, please find the results of your security audit in the attached file. Audit request queued on Wed Dec 9 14:00:24 2009 GMT. Launch scheduled for Wed Dec 9 15:05:24 2009 GMT. Launching audit on Wed Dec 9 15:05:01 2009 - 23 second(s) ahead of schedule. Parameters supplied in `xxxxxxxxxx.yyyyyyyyyy.zzzz': CONFIG: full FORMAT: html OPENVAS: yes TCPSCAN: all TARGET: 10.0.0.127 Best regards, the CESNET AUDIT robot.
Výsledky auditu jsou v příloze. Protože uživatel žádal o bezpečnostní audit pomocí NESSUSu i OpenVASu, příloha obsahuje archiv RESULTS.yymmdd_hhmm.zip s výsledky jednotlivých auditů NESSUS.yymmdd_hhmm.html a OPENVAS.yymmdd_hhmm.html (yymmdd_hhmm udává datum a čas spuštění bezpečnostního auditu).
Pokud by uživatel požadoval jen audit programem NESSUS, příloha by obsahovala přímo soubor NESSUS.yymmdd_hhmm.html.
Výsledky bezpečnostního auditu obsahují mj. i tyto užitečné údaje:
Information about this scan : Nessus version : 4.2.0 Plugin feed version : 200912091234 Type of plugin feed : ProfessionalFeed (Direct) Port scanner(s) : nessus_tcp_scanner Port range : 0-65535 Thorough tests : yes Experimental tests : no Paranoia level : 1 Report Verbosity : 1 Safe checks : no Optimize the test : no CGI scanning : enabled Max hosts : 8 Max checks : 8 Recv timeout : 5 Backports : Detected Scan Start Date : 2009/12/9 15:06 Scan duration : 547 sec
… a případně také
Information about this scan : OpenVAS version : 2.0.2 Plugin feed version : 200912091356 Type of plugin feed : OpenVAS NVT Feed Port scanner(s) : openvas_tcp_scanner Port range : 0-65535 Thorough tests : no Experimental tests : no Paranoia level : 1 Report Verbosity : 1 Safe checks : no Max hosts : 8 Max checks : 8 Scan Start Date : 2009/12/9 15:16 Scan duration : 551 sec
Testy začaly o 23 sekund dříve, než uživatel žádal. Výsledky ve formátu HTML jsou velmi přehledné a dobře je zobrazí libovolný prohlížeč.
Pokud nemáte své PGP klíče, vygenerujte si je pomocí GnuPG. Svůj veřejný PGP klíč a seznam strojů, které chcete testovat, přineste správci auditačního serveru. Vaše osobní přítomnost je nutná. Po zaregistrování můžete spustit bezpečnostní audit svých strojů, kdykoli si budete přát.
Na adresu audit@audit.cesnet.cz odešlete dopis podepsaný svým PGP klíčem. Dopis může obsahovat tyto údaje:
CONFIG: typ testů (prozatím SAFE, FULL nebo PREVIOUS) DELAY: požadované zpoždění začátku auditu v hodinách a minutách FORMAT: formát souboru s výsledky (např. TEXT, HTML nebo PREVIOUS) OPENVAS: požadavek na spuštění auditu programen OpenVAS. Možné odpovědi: YES, YES-UX, YES-WIN, NO nebo PREVIOUS) TARGET: seznam IP adres testovaných strojů nebo PREVIOUS (oddělovač = mezera) TCPSCAN: hledání otevřených TCP portů ve standardním (DEFAULT) rozsahu, v celém rozsahu 0 - 65535 (ALL) nebo PREVIOUS END - konec dat (případné další řádky se ignorují).
Nejdůležitější parametry jsou CONFIG:, FORMAT:, TCPSCAN: a TARGET:. V každém dopise musíte uvést alespoň jeden z těchto parametrů; ostatní se doplní z údajů zadaných v předešlém dopise. Pokud nechcete zadat zpoždění, nemusíte parametr DELAY: uvádět. END je užitečný např. v případě, že poštovní klient automaticky přidává Váš podpis.
V rámci ochrany před spamem auditační server přijímá poštu jen z některých adres.
Počítejte s tím, že routery mezi auditačním serverem a Vaší institucí mohou některé porty úmyslně blokovat a tím zkreslit výsledky auditu. Pokud přesto máte zájem o povolení přístupu, přineste laskavě dopis se svým jménem, veřejným PGP klíčem a seznamem testovaných strojů; tento dopis bude vytištěn na hlavičkovém papíře a bude podepsán představitelem Vaší instituce.
O individuální přístup mohou požádat jen správci těchto sítí. University by si měly zřídit vlastní auditační servery podle návodu uvedeného v této technické zprávě.
Správci velkých universit si také mohou po domluvě s CESNETem NESSUS oficiálně zapůjčit a na nezbytně nutnou dobu ho nainstalovat na vlastní server; pak mohou otestovat zabezpečení strojů ve své síti ve vlastní režii.
Měly by to být všechny, které podporují PGP/inline nebo PGP/MIME. Server NESSUS odpovídá v tom formátu, který přijal. Pokud zjistíte nějaký problém, prosím, napište laskavě administrátorovi serveru.
V současnosti využíváme testů, které jsou zveřejňované v rámci placené licence DIRECT FEED; znamená to, že všechny bezpečnostní testy jsou dostupné okamžitě po zveřejnění. Auditační server stahuje nové bezpečnostní testy každých 12 hodin.
Všechny požadavky na testování se zařazují do jediné fronty, jejíž obsah se kontroluje každou minutu. Pokud neběží test jiných strojů, začne Váš test s tolerancí +/- 30 sekund od požadovaného termínu spuštění, nebo nejbližší celou minutu, pokud jste žádné zpoždění nezadali. Pokud ještě běží testy jiných strojů, začne Váš test bezprostředně poté, co všechny předchozí testy skončí.
SAFE spouští jen takové testy, které jsou považovány za bezpečné (neprovádí operace, o kterých je známo, že mohou způsobit výpadek služby nebo systému). Některé problémy tedy mohou zůstat neodhaleny. FULL spouští všechny bezpečnostní testy včetně potenciálně nebezpečných (takových, které mohou způsobit výpadek služby nebo operačního systému). Jeho výsledky jsou spolehlivější.
Pokud Vám nevyhovují přednastavené konfigurace SAFE a FULL a přitom chcete užívat poštovního rozhraní, kontaktujte administrátora serveru a domluvte se na vhodném řešení.
Jistě. Přineste administrátorovi serveru seznam IP adres strojů, které chcete testovat.
Firma Tenable dává na provoz programu NESSUS minimální záruku:
„TENABLE MAKES NO WARRANTY THAT THE SOFTWARE WILL OPERATE ERROR-FREE, FREE OF ANY SECURITY DEFECTS OR IN AN UNINTERRUPTED MANNER.“
„YOU EXPRESSLY AGREE THAT USE OF THE PLUGINS (WHETHER AS PART OF THE INCLUSIVE PLUGINS OR A SUBSCRIPTION) IS AT YOUR SOLE RISK. THE PLUGINS ARE AVAILABLE STRICTLY ON AN „AS IS“ AND „AS AVAILABLE“ BASIS. TENABLE DOES NOT MAKE ANY WARRANTIES OF ANY KIND, WHETHER EXPRESS, IMPLIED, OR STATUTORY, INCLUDING ANY WARRANTIES OF TITLE, NON-INFRINGEMENT, MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, INTEGRATION, PERFORMANCE AND ACCURACY, AND ANY IMPLIED WARRANTIES ARISING FROM STATUTE, COURSE OF DEALING, COURSE OF PERFORMANCE OR USAGE OF TRADE, OTHER THAN THOSE WARRANTIES WHICH ARE IMPLIED BY AND INCAPABLE OF EXCLUSION, RESTRICTION, OR MODIFICATION UNDER APPLICABLE LAW. TENABLE MAKES NO WARRANTY THAT THE PLUGINS WILL OPERATE ERROR-FREE, FREE OF ANY SECURITY DEFECTS OR IN AN UNINTERRUPTED MANNER.“
Plný text licence pro NESSUS verse 4 je uveden zde
Konfigurace FULL a SAFE v poštovním rozhraní zahrnují všechny bezpečnostní testy bez ohledu na testovaný operační systém. Ve spolupráci s uživateli je možné vybrat soubory vhodných testů pro jednotlivé operační systémy a vytvořit nové konfigurace NESSUSu.
Pokročilí uživatelé, kteří chtějí na vlastním stroji provozovat grafického klienta NESSUSu, si mohou vytvářet vlastní soubory testů interaktivně podle potřeby. Grafický klient NESSUSu existuje pro Un*x/Linux a MS Windows.
PGP klíč je zveřejněn na těchto keyserverech:
wwwkeys.eu.pgp.net www.keyserver.net Type bits/keyID Date User ID pub 1024D/6279F9C4 2007-01-03 CESNET AUDIT <audit@audit.cesnet.cz> Fingerprint = EB6E 4EB8 973B F265 5248 4FEF F40F F75F 6279 F9C4
Použijte příkaz OPENVAS: yes-win.
CESNET, z. s. p. o.
Zikova 4, 160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz