cs:services:audit

Obsah

CESNET AUDIT

CESNET Audit System

Server audit.cesnet.cz nabízí uživatelům sítě CESNET snadnou kontrolu zabezpečení jejich strojů. Využívá programu NESSUS (pravděpodobně nejrozšířenější aktivní bezpečnostní síťový scanner; v červnu 2014 nabízí asi 63 tisíc bezpečnostních testů) a poštovního rozhraní vytvořeného v rámci CESNETu.

Další známý bezpečnostní scanner OpenVAS (Open Vulnerability Assessment System) vychází ze starší verse programu NESSUS a je šířen v rámci licence GPL. Systém CESNET AUDIT nabízí jeho služby od roku 2009 poté, co se jeho správci dostal do rukou dokument se zajímavým srovnáním vlastností NESSUSu a OpenVASu. OpenVAS nabízí v červnu 2014 přes 28 tisíc bezpečnostních testů.

Auditační server CESNETu v Praze - Dejvicích je v současnosti až do odvolání mimo provoz. Opětovné zprovoznění bude včas oznámeno. Správci akademických sítí připojených k CESNETu2 mohou i nadále požádat o zapůjčení licence NESSUSu, aby auditační server na omezenou dobu sami zprovoznili uvnitř své vlastní sítě.

Bezpečnostní audit svého stroje nebo své skupiny strojů může spustit autorisovaný správce kdykoli a s nastavitelným zpožděním. Po skončení auditu obdrží výsledky elektronickou poštou ve zvoleném formátu (html, text). Správce může zvolit, zda poběží jen bezpečné, nebo i potenciálně nebezpečné testy. Program NESSUS je spuštěn v každém případě; program OpenVAS, jen pokud si ho uživatel vyžádá.

Auditační server je určen převážně pro testování strojů v dejvické síti CESNETu. Správci strojů z jiných sítí mohou požádat o přístup zejména pro vyzkoušení možností auditu, aby pak - pokud možno - zřídili podobný server ve svých institucích.

Ukázka spuštění a výsledku auditu

Uživatel test@example.cz potřeboval otestovat zabezpečení svého stroje 10.0.0.127 pomocí serveru CESNET AUDIT. Chtěl:

  • spustit všechny testy včetně potenciálně nebezpečných
  • výsledky ve formátu HTML
  • kromě NESSUSu spustit i OpenVAS
  • hledat otevřené TCP porty v celém rozsahu 0 - 65535
  • bezpečnostní testy měly začít za 1 hodinu a 5 minut.

Odeslal tedy tento dopis opatřený platným podpisem PGP na adresu serveru:

  From: test@example.cz
  To: audit@audit.cesnet.cz
  Subject: TEST 10.0.0.127
  Date: Wed, 9 Dec 2009 15:00:18 +0100
  CONFIG: full
  FORMAT: html
  TCPSCAN:all
  OPENVAS:yes
  TARGET: 10.0.0.127
  DELAY:  1 h 5 m
  END

O 8 sekund později dostal první odpověď podepsanou PGP klíčem serveru:

  From: CESNET AUDIT <audit@audit.cesnet.cz>
  To: test@example.cz
  Subject: Re: TEST 10.0.0.127
  Date: Wed, 9 Dec 2009 14:00:26 +0000

  AUDIT v. 83 (7.12.2009) start: Wed Dec  9 14:00:21 2009 GMT
  Permitted TARGET:
  10.0.0.127 10.0.1.25 10.0.2.3

  Audit configuration requested in Qfile:
  CONFIG:  full
  FORMAT:  html
  OPENVAS: yes
  TCPSCAN: all
  TARGET:  10.0.0.127
  DELAY:   3900 seconds (-> Wed Dec  9 15:05:24 2009 GMT)

  Audit request `xxxxxxxxxx.yyyyyyyyyy.zzzz' queued.

Dopis obsahoval tyto důležité údaje:

  • seznam všech strojů, které tento uživatel smí testovat
  • bezpečnostní testy měly být spuštěny v 15:05:24 hodin GMT
  • soubor Qfile s uvedenými parametry CONFIG, FORMAT, OPENVAS, TCPSCAN a TARGET byl pod jménem xxxxxxxxxx.yyyyyyyyyy.zzzz zařazen do fronty požadavků na bezpečnostní audit.

Tuto frontu prohlíží každou minutu program, jenž ve vhodném okamžiku spustí NESSUS s parametry nalezenými v nejstarším souboru ve frontě. Když skončí NESSUS, spustí se program OpenVAS, pokud si to uživatel přál. Server CESNET AUDIT nakonec odešle uživateli druhý dopis, který je také podepsán PGP klíčem serveru:

  To: test@example.cz
  From: CESNET AUDIT <audit@audit.cesnet.cz>
  Subject: Re: TEST 10.0.0.127
  Date: Wed, 9 Dec 2009 15:31:54 +0000

  Hello,
  please find the results of your security audit
  in the attached file.

  Audit request queued on Wed Dec  9 14:00:24 2009 GMT.
  Launch scheduled for    Wed Dec  9 15:05:24 2009 GMT.
  Launching audit on      Wed Dec  9 15:05:01 2009 - 23 second(s) ahead of schedule.
  Parameters supplied in `xxxxxxxxxx.yyyyyyyyyy.zzzz':
          CONFIG:  full
          FORMAT:  html
          OPENVAS: yes
          TCPSCAN: all
          TARGET:  10.0.0.127

  Best regards,
                the CESNET AUDIT robot.

Výsledky auditu jsou v příloze. Protože uživatel žádal o bezpečnostní audit pomocí NESSUSu i OpenVASu, příloha obsahuje archiv RESULTS.yymmdd_hhmm.zip s výsledky jednotlivých auditů NESSUS.yymmdd_hhmm.html a OPENVAS.yymmdd_hhmm.html (yymmdd_hhmm udává datum a čas spuštění bezpečnostního auditu).

Pokud by uživatel požadoval jen audit programem NESSUS, příloha by obsahovala přímo soubor NESSUS.yymmdd_hhmm.html.

Výsledky bezpečnostního auditu obsahují mj. i tyto užitečné údaje:

  Information about this scan : 

  Nessus version : 4.2.0
  Plugin feed version : 200912091234
  Type of plugin feed : ProfessionalFeed (Direct)
  Port scanner(s) : nessus_tcp_scanner 
  Port range : 0-65535
  Thorough tests : yes
  Experimental tests : no
  Paranoia level : 1
  Report Verbosity : 1
  Safe checks : no
  Optimize the test : no
  CGI scanning : enabled
  Max hosts : 8
  Max checks : 8
  Recv timeout : 5
  Backports : Detected
  Scan Start Date : 2009/12/9 15:06
  Scan duration : 547 sec

… a případně také

  Information about this scan : 
 
  OpenVAS version : 2.0.2
  Plugin feed version : 200912091356
  Type of plugin feed : OpenVAS NVT Feed
  Port scanner(s) : openvas_tcp_scanner 
  Port range : 0-65535
  Thorough tests : no
  Experimental tests : no
  Paranoia level : 1
  Report Verbosity : 1
  Safe checks : no
  Max hosts : 8
  Max checks : 8
  Scan Start Date : 2009/12/9 15:16
  Scan duration : 551 sec

Testy začaly o 23 sekund dříve, než uživatel žádal. Výsledky ve formátu HTML jsou velmi přehledné a dobře je zobrazí libovolný prohlížeč.

Často kladené otázky a odpovědi

Mám zájem o bezpečnostní audit svých strojů v síti CESNETu, z.s.p.o., v Praze - Dejvicích. Co pro to mohu udělat?

Pokud nemáte své PGP klíče, vygenerujte si je pomocí GnuPG. Svůj veřejný PGP klíč a seznam strojů, které chcete testovat, přineste správci auditačního serveru. Vaše osobní přítomnost je nutná. Po zaregistrování můžete spustit bezpečnostní audit svých strojů, kdykoli si budete přát.


Jak spustím bezpečnostní audit svých strojů?

Na adresu audit@audit.cesnet.cz odešlete dopis podepsaný svým PGP klíčem. Dopis může obsahovat tyto údaje:

CONFIG: typ testů (prozatím SAFE, FULL nebo PREVIOUS)
DELAY: požadované zpoždění začátku auditu v hodinách a minutách
FORMAT: formát souboru s výsledky (např. TEXT, HTML nebo PREVIOUS)
OPENVAS: požadavek na spuštění auditu programen OpenVAS. Možné odpovědi: YES, YES-UX, YES-WIN, NO nebo PREVIOUS)
TARGET: seznam IP adres testovaných strojů nebo PREVIOUS (oddělovač = mezera)
TCPSCAN: hledání otevřených TCP portů ve standardním (DEFAULT) rozsahu, v celém rozsahu 0 - 65535 (ALL) nebo PREVIOUS
END - konec dat (případné další řádky se ignorují).

Nejdůležitější parametry jsou CONFIG:, FORMAT:, TCPSCAN: a TARGET:. V každém dopise musíte uvést alespoň jeden z těchto parametrů; ostatní se doplní z údajů zadaných v předešlém dopise. Pokud nechcete zadat zpoždění, nemusíte parametr DELAY: uvádět. END je užitečný např. v případě, že poštovní klient automaticky přidává Váš podpis.


Proč se pošta odeslaná na adresu audit@audit.cesnet.cz vrací jako nedoručitelná?

V rámci ochrany před spamem auditační server přijímá poštu jen z některých adres.


Potřebuji otestovat svůj stroj v síti, která patří členu nebo zákazníkovi sdružení CESNET. Co pro to mohu udělat?

Počítejte s tím, že routery mezi auditačním serverem a Vaší institucí mohou některé porty úmyslně blokovat a tím zkreslit výsledky auditu. Pokud přesto máte zájem o povolení přístupu, přineste laskavě dopis se svým jménem, veřejným PGP klíčem a seznamem testovaných strojů; tento dopis bude vytištěn na hlavičkovém papíře a bude podepsán představitelem Vaší instituce.


Proč není auditační server CESNETu přístupný uživatelům velkých universitních sítí s vlastními alokacemi adres (VŠE, ČVUT, VŠCHT, ČZU, MUNI, VUT, ...)?

O individuální přístup mohou požádat jen správci těchto sítí. University by si měly zřídit vlastní auditační servery podle návodu uvedeného v této technické zprávě.

Správci velkých universit si také mohou po domluvě s CESNETem NESSUS oficiálně zapůjčit a na nezbytně nutnou dobu ho nainstalovat na vlastní server; pak mohou otestovat zabezpečení strojů ve své síti ve vlastní režii.


Kterých poštovních klientů mohu použít ke komunikaci s auditačním serverem?

Měly by to být všechny, které podporují PGP/inline nebo PGP/MIME. Server NESSUS odpovídá v tom formátu, který přijal. Pokud zjistíte nějaký problém, prosím, napište laskavě administrátorovi serveru.


Jak aktuální jsou zveřejněné bezpečnostní testy?

V současnosti využíváme testů, které jsou zveřejňované v rámci placené licence DIRECT FEED; znamená to, že všechny bezpečnostní testy jsou dostupné okamžitě po zveřejnění. Auditační server stahuje nové bezpečnostní testy každých 12 hodin.


Jak přesně začne audit mých strojů?

Všechny požadavky na testování se zařazují do jediné fronty, jejíž obsah se kontroluje každou minutu. Pokud neběží test jiných strojů, začne Váš test s tolerancí +/- 30 sekund od požadovaného termínu spuštění, nebo nejbližší celou minutu, pokud jste žádné zpoždění nezadali. Pokud ještě běží testy jiných strojů, začne Váš test bezprostředně poté, co všechny předchozí testy skončí.


Jak často bych měl testovat zabezpečení svých strojů?

  • Podle toho, jak si ceníte svých dat, případně i své profesionální pověsti.
  • Kdykoli máte podezření, že něco není v pořádku.
  • Před a po aplikaci bezpečnostních záplat.

Jaký je rozdíl mezi konfigurací SAFE a FULL?

SAFE spouští jen takové testy, které jsou považovány za bezpečné (neprovádí operace, o kterých je známo, že mohou způsobit výpadek služby nebo systému). Některé problémy tedy mohou zůstat neodhaleny. FULL spouští všechny bezpečnostní testy včetně potenciálně nebezpečných (takových, které mohou způsobit výpadek služby nebo operačního systému). Jeho výsledky jsou spolehlivější.


Chtěl bych využívat poštovního rozhraní, ale v konfiguraci, kterou si sám zvolím. Je to možné?

Pokud Vám nevyhovují přednastavené konfigurace SAFE a FULL a přitom chcete užívat poštovního rozhraní, kontaktujte administrátora serveru a domluvte se na vhodném řešení.


Jsem pokročilý uživatel. Chtěl bych spouštět grafického klienta NESSUSu na svém stroji a přitom využívat auditačního serveru CESNETu. Je to možné?

Jistě. Přineste administrátorovi serveru seznam IP adres strojů, které chcete testovat.


Jakou mám záruku, že NESSUS a jeho bezpečnostní testy budou dokonale fungovat (odhalí všechny bezpečnostní díry, nezpůsobí výpadek systému nebo služby atd.)?

Firma Tenable dává na provoz programu NESSUS minimální záruku:

„TENABLE MAKES NO WARRANTY THAT THE SOFTWARE WILL OPERATE ERROR-FREE, FREE OF ANY SECURITY DEFECTS OR IN AN UNINTERRUPTED MANNER.“

„YOU EXPRESSLY AGREE THAT USE OF THE PLUGINS (WHETHER AS PART OF THE INCLUSIVE PLUGINS OR A SUBSCRIPTION) IS AT YOUR SOLE RISK. THE PLUGINS ARE AVAILABLE STRICTLY ON AN „AS IS“ AND „AS AVAILABLE“ BASIS. TENABLE DOES NOT MAKE ANY WARRANTIES OF ANY KIND, WHETHER EXPRESS, IMPLIED, OR STATUTORY, INCLUDING ANY WARRANTIES OF TITLE, NON-INFRINGEMENT, MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, INTEGRATION, PERFORMANCE AND ACCURACY, AND ANY IMPLIED WARRANTIES ARISING FROM STATUTE, COURSE OF DEALING, COURSE OF PERFORMANCE OR USAGE OF TRADE, OTHER THAN THOSE WARRANTIES WHICH ARE IMPLIED BY AND INCAPABLE OF EXCLUSION, RESTRICTION, OR MODIFICATION UNDER APPLICABLE LAW. TENABLE MAKES NO WARRANTY THAT THE PLUGINS WILL OPERATE ERROR-FREE, FREE OF ANY SECURITY DEFECTS OR IN AN UNINTERRUPTED MANNER.“

Plný text licence pro NESSUS verse 4 je uveden zde


Chtěl bych spustit bezpečnostní audit strojů s operačními systémy Linux, Microsoft, Solaris atd. Jak při spouštění testů rozliším versi testovaného operačního systému?

Konfigurace FULL a SAFE v poštovním rozhraní zahrnují všechny bezpečnostní testy bez ohledu na testovaný operační systém. Ve spolupráci s uživateli je možné vybrat soubory vhodných testů pro jednotlivé operační systémy a vytvořit nové konfigurace NESSUSu.

Pokročilí uživatelé, kteří chtějí na vlastním stroji provozovat grafického klienta NESSUSu, si mohou vytvářet vlastní soubory testů interaktivně podle potřeby. Grafický klient NESSUSu existuje pro Un*x/Linux a MS Windows.


Kde najdu veřejný PGP klíč serveru CESNET AUDIT? Jaké jsou jeho parametry?

PGP klíč je zveřejněn na těchto keyserverech:

wwwkeys.eu.pgp.net
www.keyserver.net

Type bits/keyID     Date       User ID
pub  1024D/6279F9C4 2007-01-03 CESNET AUDIT  <audit@audit.cesnet.cz>
Fingerprint = EB6E 4EB8 973B F265 5248  4FEF F40F F75F 6279 F9C4

Výsledky bezpečnostního auditu pomocí NESSUSu a OpenVASu potřebuji mít v textovém formátu. Archiv RESULTS.yymmdd_hhmm.zip posílá tyto výsledky s Unixovými konci řádek (LF), ale já potřebuji zakončení řádek (CR-LF) pro operační systém MS Windows. Co mám dělat?

Použijte příkaz OPENVAS: yes-win.


Kdo je administrátorem serveru CESNET AUDIT?

Poslední úprava: 05.08.2016 16:18