OpenVAS інструкція з користування

OPENVAS SCAN — це застосунок, який допомагає знаходити слабкі місця у комп'ютерних системах. Завдяки їй компанії та організації можуть автоматично перевіряти свої системи на наявність проблем.

Застосунок виявляє вразливості з різних перспектив кіберзлочинців:

1. Зовнішнє сканування
   Застосунок може імітувати зовнішню атаку для виявлення застарілих або неправильно налаштованих міжмережевих екранів (firewalls).
2. Демілітаризована зона (DMZ)
   Застосунок може визначати реальні вразливості, які можуть бути використані кіберзлочинцями, що обійшли міжмережевий екран.
3. Внутрішнє сканування
   Застосунок також може виявляти експлуатовані вразливості у внутрішній мережі, наприклад ті, що є ціллю соціальної інженерії або комп'ютерних черв'яків. Через потенційний вплив таких атак ця перспектива є особливо важливою для безпеки будь-якої ІТ-інфраструктури.

DMZ та внутрішні сканування можуть бути як неавтентифікованими, так і автентифікованими. Під час автентифікованого сканування пристрій використовує облікові дані та може виявляти вразливості у застосунках, які не працюють як служби, але мають високий потенціал ризику (наприклад, веб-браузери, офісні застосунки або переглядачі PDF).

Сканер вразливостей OPENVAS SCAN перевіряє вузли, визначені за доменним ім'ям або IP-адресою. Однак URL-адреса вебсайту складається з більшої кількості частин, ніж лише доменне ім'я чи IP-адреса. Оскільки сканер не обробляє інші частини URL, він не може автоматично аналізувати та тестувати структуру вебсайту. Тому він не є Web Application Security Scanner (WASS) або HTTP-сканером.

Втім, якщо сканується вузол, на якому працює веб-застосунок, і якщо існує відома вразливість та відповідний тест для неї включений у feed, застосунок може виявити цю вразливість.

Виявлені вразливості оцінюються за їхньою критичністю за допомогою Common Vulnerability Scoring System (CVSS). Рівень критичності може бути використаний для визначення пріоритетності усунення вразливостей. Найважливішими є заходи, що захищають систему від критичних ризиків та усувають відповідні вразливості.

• Усунення вразливості шляхом оновлення програмного забезпечення, видалення вразливого компонента або зміни конфігурації.
• Реалізація правила у міжмережевому екрані або системі запобігання вторгненням (Virtual patching).
  Virtual patching — це видиме усунення вразливості за допомогою компенсувального контролю. Реальна вразливість все ще існує, і кіберзлочинці можуть її використати, якщо компенсувальний контроль вийде з ладу або буде застосовано альтернативний підхід.

OPENVAS SCAN включає повнофункціональний сканер вразливостей. Хоча сканер вразливостей розроблений таким чином, щоб мінімізувати будь-які негативні наслідки для мережевого середовища, він все ж має взаємодіяти та комунікувати з цільовими системами, які аналізуються під час сканування.

<note tip>Основне завдання OPENVAS SCAN — знаходити та ідентифікувати вразливості, які інакше залишилися б непоміченими. У певному сенсі сканер повинен поводитися так, як це робили б реальні кіберзлочинці.</note>

Хоча стандартні та рекомендовані налаштування зводять вплив сканера на середовище до мінімуму, небажані побічні ефекти все ж можуть виникати. Використовуючи налаштування сканера, ці ефекти можна контролювати та уточнювати.

• Лог-файли та повідомлення тривоги можуть з'являтися на цільових системах.
• Лог-файли та повідомлення тривоги можуть з'являтися на мережевих пристроях, системах моніторингу, міжмережевих екранах та системах виявлення/запобігання вторгненням.
• Можуть спрацьовувати правила міжмережевого екрану та інші заходи запобігання вторгненням.
• Сканування може збільшити затримку на цільовій системі та/або в мережі. У крайніх випадках це може призвести до ситуацій, подібних до атаки типу Denial-of-Service (DoS).
• Сканування може викликати помилки у нестабільних або небезпечних застосунках, що призведе до збоїв або аварійного завершення роботи.
• Вбудовані системи та елементи операційних технологій зі слабкими мережевими стеками особливо схильні до можливих збоїв або навіть виходу з ладу пристроїв.
• Виконуються входи (наприклад, через SSH або FTP) на цільові системи з метою отримання банерів.
• Виконуються запити через різні протоколи (наприклад, HTTP, FTP) до всіх відкритих сервісів для їх виявлення.
• Сканування може призвести до блокування облікових записів користувачів через тестування стандартних комбінацій імені користувача/пароля.

Оскільки описана поведінка є очікуваною, бажаною або навіть необхідною для сканування вразливостей, IP-адреси сканера слід додати до списку дозволених (allow list) відповідної системи/сервісу. Інформацію про створення такого списку можна знайти у документації або службі підтримки відповідної системи/сервісу.

Пам'ятайте: якщо стандартні налаштування призводять до збоїв, аварій чи блокувань, це означає, що кіберзлочинці можуть зробити те саме у непередбачений час і з непередбаченим масштабом. Виявити це раніше за кіберзлочинців — ключ до стійкості.

Хоча побічні ефекти дуже рідкісні при використанні стандартних та рекомендованих налаштувань, сканер вразливостей дозволяє налаштовувати інвазивну поведінку, що збільшує ймовірність виникнення описаних вище ефектів.

<note tip>Враховуйте ці факти та перевіряйте наявність необхідних дозволів на виконання сканувань перед використанням OPENVAS SCAN для аналізу цільових систем.</note>

Майстер завдань може налаштувати та запустити базове сканування з мінімальним введенням даних користувачем.

Нове завдання за допомогою майстра завдань можна налаштувати наступним чином:

1. У меню виберіть Scans > Tasks.
2. Запустіть майстра, навівши курсор миші та натиснувши Task Wizard.
   
3. Введіть IP-адресу або ім'я вузла цільової системи у поле введення.
   <note tip>Якщо використовується DNS-ім'я, пристрій повинен мати можливість його розпізнати.</note>
4. Натисніть Start Scan.
   

Автоматично виконуються наступні кроки:

• Створення нового цільового об'єкта для сканування на пристрої.
• Створення нового завдання сканування на пристрої.
• Негайний запуск завдання сканування.
• Відображення сторінки Tasks.

Після запуску завдання його прогрес можна відстежувати.

<note tip>Завершення сканування може зайняти певний час. Сторінка оновлюється автоматично, якщо доступні нові дані.</note>

Окрім простого майстра, пристрій також надає розширений майстер, який дозволяє виконати більше налаштувань.

Нове завдання за допомогою розширеного майстра завдань можна налаштувати наступним чином:

1. У меню виберіть Scans > Tasks.
2. Запустіть майстра, навівши курсор миші та натиснувши Advanced Task Wizard.
   
3. Визначте параметри завдання.
   <note tip>Якщо в полі Email report to введено адресу електронної пошти, буде створено сповіщення, яке надішле e-mail одразу після завершення завдання.</note>
4. Натисніть Create.
   

Додатковий майстер може змінювати існуюче завдання:

1. У меню виберіть Scans > Tasks.
2. Запустіть майстра, навівши курсор миші та натиснувши Modify Task Wizard.
   
3. У випадаючому списку Task виберіть завдання, яке потрібно змінити.
   
4. Створіть розклад для завдання, вибравши перемикач Create Schedule.
5. Дату першого сканування можна вибрати натисканням кнопки, а час встановити у полях введення.
6. Введіть адресу електронної пошти, на яку має бути надіслано звіт, у полі Email report to.
7. Натисніть Modify Task.

Загалом пристрій може використовувати два різні підходи для сканування цілі:

• Просте сканування
• Автентифіковане сканування з використанням локальних перевірок безпеки

Для налаштування простого сканування необхідно виконати такі кроки:

1. Створення цілі
2. Створення завдання
3. Запуск завдання

Першим кроком є визначення цілі для сканування:

1. У меню виберіть Configuration > Targets.
   
2. Створіть нову ціль, натиснувши кнопку New Target.
3. Визначте ціль.
   
4. Натисніть Save.

Name (Назва)

Назву можна вибрати довільно. Бажано використовувати описову назву, наприклад: Mailserver, ClientNetwork, Webserverfarm, DMZ або більш детальний опис систем.

Comment (Коментар)

Необов'язковий коментар дозволяє додати додаткову інформацію. Це спрощує розуміння налаштованих цілей у майбутньому.

Hosts (Хости)

Ручне введення хостів для сканування (через кому) або імпорт списку хостів.

<note tip>Потрібна IP-адреса або ім'я хоста. У будь-якому випадку пристрій має мати можливість підключитися до системи. Якщо використовується ім'я хоста, пристрій також повинен мати можливість його розпізнати.</note>

Максимальна кількість IP-адрес, що можна налаштувати: 4,096 для більшості моделей пристроїв.

Приклади введення:

• Окрема IP-адреса: 192.168.15.5
• Ім'я хоста: mail.example.com
• Діапазон IPv4 у довгому форматі: 192.168.15.5-192.168.15.27
• Діапазон IPv4 у короткому форматі: 192.168.55.5-27
• Діапазон IPv4 у CIDR-нотації: 192.168.15.0/24
• Окрема IPv6-адреса: fe80::222:64ff:fe76:4cea
• Діапазон IPv6 у довгому форматі: ::12:fe5:fb50-::12:fe6:100
• Діапазон IPv6 у короткому форматі: ::13:fe5:fb50-fb80
• Діапазон IPv6 у CIDR-нотації: fe80::222:64ff:fe76:4cea/120

<note tip>Для IPv4 максимальна маска підмережі — /20, для IPv6 — /116, якщо не використовуються інші хости. Для моделі OPENVAS SCAN 6500 можливе використання більших масок.</note>

Ручне введення або імпорт списку хостів, які потрібно виключити зі сканування.

Формати введення аналогічні до розділу Hosts.

<note tip>Можна вводити імена хостів/FQDN. Це не виключає IP-адресу зі сканування, а лише прибирає конкретний хост зі списку віртуальних хостів для IP-адреси.</note>

Деякі сервіси (особливо IoT-пристрої) можуть виходити з ладу при одночасному скануванні через кілька адрес (наприклад, IPv4 та IPv6). Вибір опції No запобігає такому сценарію.

Список портів, що використовуються для сканування.

<note tip>Список портів можна створити «на льоту», натиснувши кнопку поруч із випадаючим списком.</note>

Методи перевірки доступності цілі:

• Scan Config Default (за замовчуванням використовується ICMP Ping)
• ICMP Ping
• TCP-ACK Service Ping
• TCP-SYN Service Ping
• ICMP & TCP-ACK Service Ping
• ICMP & ARP Ping
• TCP-ACK Service & ARP Ping
• ICMP, TCP-ACK Service & ARP Ping
• Consider Alive

<note tip>Усі методи працюють як для IPv4, так і для IPv6. Для IPv6 використовується ICMPv6.</note>

• SSH Credentials — для Linux/Unix систем (автентифіковане сканування).
• Elevate Privileges — збереження облікових даних з підвищеними правами (наприклад, root).
• SMB Credentials (Kerberos/NTLM) — для Windows систем.
• ESXi Credentials — для VMware ESXi систем.
• SNMP Credentials — для систем з підтримкою SNMP.

<note tip>Усі облікові дані можна створювати «на льоту», натиснувши кнопку поруч із полем введення.</note>

• Reverse Lookup Only — сканувати лише IP-адреси, які можна розпізнати у DNS.
• Reverse Lookup Unify — якщо кілька IP-адрес відповідають одному DNS-імені, воно сканується лише один раз.

<note tip>Для великих мереж або мереж із затримками при DNS-запитах ця опція не рекомендується, оскільки може призвести до тривалого етапу з прогресом лише 1 %.</note>

Другим кроком є створення завдання.

Пристрій керує виконанням сканування за допомогою завдань. Ці завдання можуть повторюватися регулярно або запускатися у визначений час.

1. У меню виберіть Scans > Tasks.
2. Створіть нове завдання, навівши курсор миші та натиснувши New Task.
3. Визначте параметри завдання.
   
4. Натисніть Save.
   Завдання створюється та відображається на сторінці Tasks.

Name (Назва)

Назву можна вибрати довільно. Бажано використовувати описову назву, наприклад: Mailserver, ClientNetwork, Webserverfarm, DMZ або більш детальний опис систем.

Comment (Коментар)

Необов'язковий коментар дозволяє додати додаткову інформацію. Це спрощує розуміння налаштованого завдання у майбутньому.

Scan Targets (Цілі сканування)

Виберіть попередньо налаштовану ціль зі списку. Альтернативно, ціль можна створити «на льоту», натиснувши кнопку поруч зі списком.

Alerts (Сповіщення)

Виберіть попередньо налаштоване сповіщення зі списку. Зміни статусу завдання можуть передаватися через e-mail, Syslog, HTTP або конектор. Альтернативно, сповіщення можна створити «на льоту».

Schedule (Розклад)

Виберіть попередньо налаштований розклад зі списку. Завдання може виконуватися одноразово або повторюватися у визначений час, наприклад щопонеділка о 6:00 ранку. Альтернативно, розклад можна створити «на льоту».

Add results to Assets (Додавати результати до активів)

Ця опція робить системи доступними для управління активами пристрою автоматично.

Apply Overrides (Застосувати перевизначення)

Перевизначення можуть застосовуватися безпосередньо при додаванні результатів до бази даних активів.

Min QoD (Мінімальна якість виявлення)

Мінімальний рівень якості виявлення для включення результатів у базу даних активів.

Alterable Task (Змінюване завдання)

Дозволяє змінювати цілі сканування, сканер та конфігурацію навіть після створення звітів. Консистентність між звітами у такому випадку не гарантується.

Auto Delete Reports (Автоматичне видалення звітів)

Максимальна кількість звітів для збереження. Якщо ліміт перевищено, найстаріший звіт видаляється автоматично. За замовчуванням — Do not automatically delete reports.

Scanner (Сканер)

За замовчуванням підтримуються лише вбудовані сканери OpenVAS та CVE.

<note tip>Наступні параметри стосуються лише сканера OpenVAS. Сканер CVE не підтримує жодних опцій.</note>

Scan Config (Конфігурація сканування)

Конфігурація визначає набір VT (Vulnerability Tests), що виконуються під час сканування, а також загальні та специфічні параметри для сервера сканування. Пристрій має кілька попередньо налаштованих конфігурацій для OpenVAS. Для кожного завдання можна налаштувати лише одну конфігурацію.

• Empty — порожній шаблон, що не містить жодних VT. Можна клонувати та використовувати для повністю індивідуально створеної конфігурації. VT-сімейства є статичними.
• Base — використовує лише VT, які збирають інформацію про цільову систему. Вразливості не виявляються. Використовується порт-сканер Ping Host. VT-сімейства є статичними.
• Discovery — використовує лише VT, що надають інформацію про цільову систему. Зібрана інформація включає відкриті порти, апаратне забезпечення, міжмережеві екрани, сервіси, встановлене ПЗ та сертифікати. VT-сімейства є динамічними.
• Host Discovery — використовується для виявлення цільових систем. Вразливості не виявляються. Використовується порт-сканер Ping Host. VT-сімейства є статичними.
• System Discovery — використовується для виявлення цільових систем, включаючи встановлені ОС та апаратне забезпечення. Вразливості не виявляються. VT-сімейства є статичними.
• Full and fast — для багатьох середовищ це найкращий варіант для початку. Базується на інформації, зібраній під час попереднього порт-сканування, та використовує майже всі VT. Використовуються лише ті VT, які не пошкодять цільову систему. VT-сімейства є динамічними.
• Log4Shell scan — перевірка, яка шукає вразливість Log4Shell (CVE-2021-44228) у бібліотеці Apache Log4j. Використовує спеціальні NVT (Network Vulnerability Tests) для виявлення систем, де Log4j може бути експлуатований.

Order for target hosts (Порядок обробки цільових хостів)

Виберіть порядок обробки хостів під час тестів: Sequential (послідовно), Random (випадково), Reverse (у зворотному порядку).

Рекомендовано використовувати Random для покращення оцінки прогресу сканування.

Maximum concurrently executed NVTs per host / Maximum concurrently scanned hosts

Виберіть швидкість сканування одного вузла. Значення за замовчуванням підібрані оптимально. Збільшення кількості одночасних тестів може негативно вплинути на продуктивність системи, мережі або самого пристрою.

Tag (Тег)

Виберіть попередньо налаштований тег зі списку, щоб прив'язати його до завдання.

У рядку щойно створеного завдання натисніть кнопку запуску.

<note tip>Для запланованих завдань відображається додаткова іконка. Завдання запускається у час, визначений у розкладі.</note>

Завдання додається до черги очікування. Після цього сканер починає сканування.

Звіт завдання можна переглянути одразу після його запуску, натиснувши панель у колонці Status.

Коли статус змінюється на Done, повний звіт стає доступним. У будь-який момент можна переглядати проміжні результати.

Автентифіковане сканування може надати більше деталів про вразливості у системі, що сканується. Під час такого сканування ціль перевіряється як зовні через мережу, так і зсередини за допомогою дійсного входу користувача.

Під час автентифікованого сканування пристрій входить у цільову систему для виконання локальних перевірок безпеки (LSC). Для цього необхідно попередньо налаштувати облікові дані користувача. Ці дані використовуються для автентифікації у різних сервісах цільової системи. У деяких випадках результати можуть бути обмежені правами користувача.

VT (Vulnerability Tests) із відповідних сімейств (локальні перевірки безпеки) виконуються лише тоді, коли пристрій зміг увійти у цільову систему. Такі перевірки є мінімально інвазивними.

Пристрій лише визначає рівень ризику, але не вносить змін у цільову систему. Однак факт входу, ймовірно, буде зафіксований у журналах цільової системи.

• SMB — для Microsoft Windows систем: перевірка рівня оновлень та локально встановленого ПЗ (Adobe Acrobat Reader, Java тощо).
• SSH — для Unix та Linux систем: перевірка рівня оновлень.
• ESXi — для VMware ESXi серверів: локальні перевірки.
• SNMP — для мережевих компонентів (маршрутизатори, комутатори).

• Результати залежать від прав облікового запису.
• У Linux навіть користувач без привілеїв може отримати багато інформації.
• У Windows користувачі без прав сильно обмежені, а адміністратори отримують більше результатів.
• Автентифіковане сканування схоже на Whitebox-підхід: пристрій має доступ до внутрішньої інформації (реєстр, версії ПЗ, рівні оновлень).
• Віддалене сканування схоже на Blackbox-підхід: використання тих самих методів, що й потенційний атакуючий.

Для локальних перевірок безпеки потрібні облікові дані, щоб VT могли увійти у цільові системи та перевірити наявність усіх оновлень.

1. У меню виберіть Configuration > Credentials.
2. Створіть нові облікові дані, натиснувши кнопку New Credential.
3. Визначте параметри.
   
4. Натисніть Save.
   <note tip>Облікові дані повинні бути прив'язані хоча б до однієї цілі.</note>

• Ім'я користувача + Пароль
• Ім'я користувача + SSH-ключ
• SNMP
• S/MIME-сертифікат
• PGP-ключ шифрування
• Лише пароль
• SMB (Kerberos)

• Username + Password: логін і пароль, можливість автогенерації пароля.
• Username + SSH Key: логін, парольна фраза, приватний ключ (Ed25519, ECDSA, RSA, DSA).
• SNMP: SNMPv3 потребує логін, пароль автентифікації та пароль шифрування; SNMPv1/v2 — лише community.
• S/MIME Certificate: завантаження PEM-кодованого X.509 сертифіката.
• PGP Encryption Key: завантаження відкритого ключа.
• SMB (Kerberos): логін, пароль, realm (наприклад, EXAMPLE.COM), KDC (IP або ім'я хоста).
  <note tip>Для Kerberos потрібен DNS-сервер із підтримкою зворотного пошуку. Якщо Kerberos не працює, використовується NTLM як резервний варіант.</note>

Сповіщення дозволяють автоматично отримувати повідомлення про результати сканування, наприклад, на електронну пошту. Це зручно для оперативного реагування на виявлені вразливості без необхідності постійно перевіряти веб-панель.

Для перегляду списку налаштованих сповіщень у меню виберіть Configuration > Alerts.

На сторінці відображаються всі створені сповіщення з інформацією про їх назву, умову спрацювання (Condition), подію (Event) та метод доставки (Method).

1. У меню виберіть Configuration > Alerts.
2. Натисніть кнопку New Alert.
3. Визначте параметри сповіщення.

Name (Назва)

Введіть описову назву сповіщення, щоб легко ідентифікувати його у списку.

Comment (Коментар)

Необов'язковий коментар для додаткової інформації.

Event (Подія)

Подія, яка ініціює сповіщення. Основні варіанти:

• Task run status changed to — сповіщення надсилається при зміні статусу завдання (наприклад, Done — завдання завершене).
• New NVTs — сповіщення про нові тести вразливостей у feed.
• Ticket Received / Assigned Ticket Changed / Owned Ticket Changed — сповіщення, пов'язані з тікетами.

Condition (Умова)

Умова, за якої сповіщення буде надіслане:

• Always — завжди при настанні події.
• Severity at least — лише якщо критичність перевищує задане значення (наприклад, 0.1).
• Severity Level changed — при зміні рівня критичності.
• Filter matches at least N result(s) NVT(s) — якщо фільтр відповідає щонайменше N результатам.
• Filter matches at least N result(s) more than previous scan — якщо знайдено щонайменше N нових результатів порівняно з попереднім скануванням.

Report Content (Вміст звіту)

Визначає, як формується звіт у сповіщенні: Compose — стандартне компонування.

Delta Report (Дельта-звіт)

• None — повний звіт.
• Previous completed report of the same task — порівняння з попереднім звітом того ж завдання.
• Report with ID — порівняння з конкретним звітом за його ідентифікатором.

Method (Метод)

Виберіть Email для надсилання сповіщень на електронну пошту.

To Address (Адреса отримувача)

Електронна адреса, на яку буде надіслано сповіщення.

From Address (Адреса відправника)

<note important>Для успішної доставки листів обов'язково вкажіть адресу openvas@openvas.colocall.net. Використання іншої адреси відправника може призвести до того, що листи не будуть доставлені.</note>

Subject (Тема листа)

Тема електронного листа. Можна використовувати змінні: $n — назва завдання, $e — подія. Наприклад: [GVM] Task '$n': $e.

Email Encryption (Шифрування)

За потреби виберіть метод шифрування електронної пошти (S/MIME або PGP).

Content (Вміст листа)

Варіанти вмісту листа:

• Simple Notice — просте повідомлення без вкладення звіту.
• Include report — включити звіт у тіло листа (формат TXT або інший).
• Attach report — прикріпити звіт як вкладення (рекомендовано PDF для зручного перегляду).

Active (Активний)

Виберіть Yes, щоб сповіщення було активним, або No для його деактивації.

Натисніть Save для збереження сповіщення.

Після створення сповіщення його потрібно прив'язати до завдання сканування. Це можна зробити при створенні або редагуванні завдання у полі Alerts (див. розділ Створення завдання).

Звіти виконаних завдань сканування знаходяться в Scans > Reports.

Щоб отримати звіт потрібно натиснути на дату:

Далі натиснути

У меню, яке відкрилось обираємо потрібний формат, наприклад pdf:

Натискаємо OK і зберігаємо документ, який утворився.

Після цього можна проглянути звіт у зручному PDF форматі.