Server audit.cesnet.cz nabízí uživatelům sítě CESNET snadnou kontrolu zabezpečení jejich strojů. Využívá programu NESSUS (pravděpodobně nejrozšířenější aktivní bezpečnostní síťový scanner; v červnu 2014 nabízí asi 63 tisíc bezpečnostních testů) a poštovního rozhraní vytvořeného v rámci CESNETu.

Další známý bezpečnostní scanner OpenVAS (Open Vulnerability Assessment System) vychází ze starší verse programu NESSUS a je šířen v rámci licence GPL. Systém CESNET AUDIT nabízí jeho služby od roku 2009 poté, co se jeho správci dostal do rukou dokument se zajímavým srovnáním vlastností NESSUSu a OpenVASu. OpenVAS nabízí v červnu 2014 přes 28 tisíc bezpečnostních testů.

Auditační server CESNETu v Praze - Dejvicích je v současnosti až do odvolání mimo provoz. Opětovné zprovoznění bude včas oznámeno. Správci akademických sítí připojených k CESNETu2 mohou i nadále požádat o zapůjčení licence NESSUSu, aby auditační server na omezenou dobu sami zprovoznili uvnitř své vlastní sítě.

Bezpečnostní audit svého stroje nebo své skupiny strojů může spustit autorisovaný správce kdykoli a s nastavitelným zpožděním. Po skončení auditu obdrží výsledky elektronickou poštou ve zvoleném formátu (html, text). Správce může zvolit, zda poběží jen bezpečné, nebo i potenciálně nebezpečné testy. Program NESSUS je spuštěn v každém případě; program OpenVAS, jen pokud si ho uživatel vyžádá.

Auditační server je určen převážně pro testování strojů v dejvické síti CESNETu. Správci strojů z jiných sítí mohou požádat o přístup zejména pro vyzkoušení možností auditu, aby pak - pokud možno - zřídili podobný server ve svých institucích.

Uživatel test@example.cz potřeboval otestovat zabezpečení svého stroje 10.0.0.127 pomocí serveru CESNET AUDIT. Chtěl:

• spustit všechny testy včetně potenciálně nebezpečných
• výsledky ve formátu HTML
• kromě NESSUSu spustit i OpenVAS
• hledat otevřené TCP porty v celém rozsahu 0 - 65535
• bezpečnostní testy měly začít za 1 hodinu a 5 minut.

Odeslal tedy tento dopis opatřený platným podpisem PGP na adresu serveru:

  From: test@example.cz
  To: audit@audit.cesnet.cz
  Subject: TEST 10.0.0.127
  Date: Wed, 9 Dec 2009 15:00:18 +0100
  CONFIG: full
  FORMAT: html
  TCPSCAN:all
  OPENVAS:yes
  TARGET: 10.0.0.127
  DELAY:  1 h 5 m
  END

O 8 sekund později dostal první odpověď podepsanou PGP klíčem serveru:

  From: CESNET AUDIT <audit@audit.cesnet.cz>
  To: test@example.cz
  Subject: Re: TEST 10.0.0.127
  Date: Wed, 9 Dec 2009 14:00:26 +0000

  AUDIT v. 83 (7.12.2009) start: Wed Dec  9 14:00:21 2009 GMT
  Permitted TARGET:
  10.0.0.127 10.0.1.25 10.0.2.3

  Audit configuration requested in Qfile:
  CONFIG:  full
  FORMAT:  html
  OPENVAS: yes
  TCPSCAN: all
  TARGET:  10.0.0.127
  DELAY:   3900 seconds (-> Wed Dec  9 15:05:24 2009 GMT)

  Audit request `xxxxxxxxxx.yyyyyyyyyy.zzzz' queued.

Dopis obsahoval tyto důležité údaje:

• seznam všech strojů, které tento uživatel smí testovat
• bezpečnostní testy měly být spuštěny v 15:05:24 hodin GMT
• soubor Qfile s uvedenými parametry CONFIG, FORMAT, OPENVAS, TCPSCAN a TARGET byl pod jménem xxxxxxxxxx.yyyyyyyyyy.zzzz zařazen do fronty požadavků na bezpečnostní audit.

Tuto frontu prohlíží každou minutu program, jenž ve vhodném okamžiku spustí NESSUS s parametry nalezenými v nejstarším souboru ve frontě. Když skončí NESSUS, spustí se program OpenVAS, pokud si to uživatel přál. Server CESNET AUDIT nakonec odešle uživateli druhý dopis, který je také podepsán PGP klíčem serveru:

  To: test@example.cz
  From: CESNET AUDIT <audit@audit.cesnet.cz>
  Subject: Re: TEST 10.0.0.127
  Date: Wed, 9 Dec 2009 15:31:54 +0000

  Hello,
  please find the results of your security audit
  in the attached file.

  Audit request queued on Wed Dec  9 14:00:24 2009 GMT.
  Launch scheduled for    Wed Dec  9 15:05:24 2009 GMT.
  Launching audit on      Wed Dec  9 15:05:01 2009 - 23 second(s) ahead of schedule.
  Parameters supplied in `xxxxxxxxxx.yyyyyyyyyy.zzzz':
          CONFIG:  full
          FORMAT:  html
          OPENVAS: yes
          TCPSCAN: all
          TARGET:  10.0.0.127

  Best regards,
                the CESNET AUDIT robot.

Výsledky auditu jsou v příloze. Protože uživatel žádal o bezpečnostní audit pomocí NESSUSu i OpenVASu, příloha obsahuje archiv RESULTS.yymmdd_hhmm.zip s výsledky jednotlivých auditů NESSUS.yymmdd_hhmm.html a OPENVAS.yymmdd_hhmm.html (yymmdd_hhmm udává datum a čas spuštění bezpečnostního auditu).

Pokud by uživatel požadoval jen audit programem NESSUS, příloha by obsahovala přímo soubor NESSUS.yymmdd_hhmm.html.

Výsledky bezpečnostního auditu obsahují mj. i tyto užitečné údaje:

  Information about this scan : 

  Nessus version : 4.2.0
  Plugin feed version : 200912091234
  Type of plugin feed : ProfessionalFeed (Direct)
  Port scanner(s) : nessus_tcp_scanner 
  Port range : 0-65535
  Thorough tests : yes
  Experimental tests : no
  Paranoia level : 1
  Report Verbosity : 1
  Safe checks : no
  Optimize the test : no
  CGI scanning : enabled
  Max hosts : 8
  Max checks : 8
  Recv timeout : 5
  Backports : Detected
  Scan Start Date : 2009/12/9 15:06
  Scan duration : 547 sec

… a případně také

  Information about this scan : 
 
  OpenVAS version : 2.0.2
  Plugin feed version : 200912091356
  Type of plugin feed : OpenVAS NVT Feed
  Port scanner(s) : openvas_tcp_scanner 
  Port range : 0-65535
  Thorough tests : no
  Experimental tests : no
  Paranoia level : 1
  Report Verbosity : 1
  Safe checks : no
  Max hosts : 8
  Max checks : 8
  Scan Start Date : 2009/12/9 15:16
  Scan duration : 551 sec

Testy začaly o 23 sekund dříve, než uživatel žádal. Výsledky ve formátu HTML jsou velmi přehledné a dobře je zobrazí libovolný prohlížeč.

Pokud nemáte své PGP klíče, vygenerujte si je pomocí GnuPG. Svůj veřejný PGP klíč a seznam strojů, které chcete testovat, přineste správci auditačního serveru. Vaše osobní přítomnost je nutná. Po zaregistrování můžete spustit bezpečnostní audit svých strojů, kdykoli si budete přát.

Na adresu audit@audit.cesnet.cz odešlete dopis podepsaný svým PGP klíčem. Dopis může obsahovat tyto údaje:

CONFIG: typ testů (prozatím SAFE, FULL nebo PREVIOUS)
DELAY: požadované zpoždění začátku auditu v hodinách a minutách
FORMAT: formát souboru s výsledky (např. TEXT, HTML nebo PREVIOUS)
OPENVAS: požadavek na spuštění auditu programen OpenVAS. Možné odpovědi: YES, YES-UX, YES-WIN, NO nebo PREVIOUS)
TARGET: seznam IP adres testovaných strojů nebo PREVIOUS (oddělovač = mezera)
TCPSCAN: hledání otevřených TCP portů ve standardním (DEFAULT) rozsahu, v celém rozsahu 0 - 65535 (ALL) nebo PREVIOUS
END - konec dat (případné další řádky se ignorují).

Nejdůležitější parametry jsou CONFIG:, FORMAT:, TCPSCAN: a TARGET:. V každém dopise musíte uvést alespoň jeden z těchto parametrů; ostatní se doplní z údajů zadaných v předešlém dopise. Pokud nechcete zadat zpoždění, nemusíte parametr DELAY: uvádět. END je užitečný např. v případě, že poštovní klient automaticky přidává Váš podpis.

V rámci ochrany před spamem auditační server přijímá poštu jen z některých adres.

Počítejte s tím, že routery mezi auditačním serverem a Vaší institucí mohou některé porty úmyslně blokovat a tím zkreslit výsledky auditu. Pokud přesto máte zájem o povolení přístupu, přineste laskavě dopis se svým jménem, veřejným PGP klíčem a seznamem testovaných strojů; tento dopis bude vytištěn na hlavičkovém papíře a bude podepsán představitelem Vaší instituce.

O individuální přístup mohou požádat jen správci těchto sítí. University by si měly zřídit vlastní auditační servery podle návodu uvedeného v této technické zprávě.

Správci velkých universit si také mohou po domluvě s CESNETem NESSUS oficiálně zapůjčit a na nezbytně nutnou dobu ho nainstalovat na vlastní server; pak mohou otestovat zabezpečení strojů ve své síti ve vlastní režii.

Měly by to být všechny, které podporují PGP/inline nebo PGP/MIME. Server NESSUS odpovídá v tom formátu, který přijal. Pokud zjistíte nějaký problém, prosím, napište laskavě administrátorovi serveru.

V současnosti využíváme testů, které jsou zveřejňované v rámci placené licence DIRECT FEED; znamená to, že všechny bezpečnostní testy jsou dostupné okamžitě po zveřejnění. Auditační server stahuje nové bezpečnostní testy každých 12 hodin.

Všechny požadavky na testování se zařazují do jediné fronty, jejíž obsah se kontroluje každou minutu. Pokud neběží test jiných strojů, začne Váš test s tolerancí +/- 30 sekund od požadovaného termínu spuštění, nebo nejbližší celou minutu, pokud jste žádné zpoždění nezadali. Pokud ještě běží testy jiných strojů, začne Váš test bezprostředně poté, co všechny předchozí testy skončí.

• Podle toho, jak si ceníte svých dat, případně i své profesionální pověsti.
• Kdykoli máte podezření, že něco není v pořádku.
• Před a po aplikaci bezpečnostních záplat.

SAFE spouští jen takové testy, které jsou považovány za bezpečné (neprovádí operace, o kterých je známo, že mohou způsobit výpadek služby nebo systému). Některé problémy tedy mohou zůstat neodhaleny. FULL spouští všechny bezpečnostní testy včetně potenciálně nebezpečných (takových, které mohou způsobit výpadek služby nebo operačního systému). Jeho výsledky jsou spolehlivější.

Pokud Vám nevyhovují přednastavené konfigurace SAFE a FULL a přitom chcete užívat poštovního rozhraní, kontaktujte administrátora serveru a domluvte se na vhodném řešení.

Jistě. Přineste administrátorovi serveru seznam IP adres strojů, které chcete testovat.

Firma Tenable dává na provoz programu NESSUS minimální záruku:

„TENABLE MAKES NO WARRANTY THAT THE SOFTWARE WILL OPERATE ERROR-FREE, FREE OF ANY SECURITY DEFECTS OR IN AN UNINTERRUPTED MANNER.“

„YOU EXPRESSLY AGREE THAT USE OF THE PLUGINS (WHETHER AS PART OF THE INCLUSIVE PLUGINS OR A SUBSCRIPTION) IS AT YOUR SOLE RISK. THE PLUGINS ARE AVAILABLE STRICTLY ON AN „AS IS“ AND „AS AVAILABLE“ BASIS. TENABLE DOES NOT MAKE ANY WARRANTIES OF ANY KIND, WHETHER EXPRESS, IMPLIED, OR STATUTORY, INCLUDING ANY WARRANTIES OF TITLE, NON-INFRINGEMENT, MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, INTEGRATION, PERFORMANCE AND ACCURACY, AND ANY IMPLIED WARRANTIES ARISING FROM STATUTE, COURSE OF DEALING, COURSE OF PERFORMANCE OR USAGE OF TRADE, OTHER THAN THOSE WARRANTIES WHICH ARE IMPLIED BY AND INCAPABLE OF EXCLUSION, RESTRICTION, OR MODIFICATION UNDER APPLICABLE LAW. TENABLE MAKES NO WARRANTY THAT THE PLUGINS WILL OPERATE ERROR-FREE, FREE OF ANY SECURITY DEFECTS OR IN AN UNINTERRUPTED MANNER.“

Plný text licence pro NESSUS verse 4 je uveden zde

Konfigurace FULL a SAFE v poštovním rozhraní zahrnují všechny bezpečnostní testy bez ohledu na testovaný operační systém. Ve spolupráci s uživateli je možné vybrat soubory vhodných testů pro jednotlivé operační systémy a vytvořit nové konfigurace NESSUSu.

Pokročilí uživatelé, kteří chtějí na vlastním stroji provozovat grafického klienta NESSUSu, si mohou vytvářet vlastní soubory testů interaktivně podle potřeby. Grafický klient NESSUSu existuje pro Un*x/Linux a MS Windows.

PGP klíč je zveřejněn na těchto keyserverech:

wwwkeys.eu.pgp.net
www.keyserver.net

Type bits/keyID     Date       User ID
pub  1024D/6279F9C4 2007-01-03 CESNET AUDIT  <audit@audit.cesnet.cz>
Fingerprint = EB6E 4EB8 973B F265 5248  4FEF F40F F75F 6279 F9C4

Použijte příkaz OPENVAS: yes-win.

PV2-RIPE.