Tenable Nessus – bezpečnostní síťový skener

Na svém webu jsem již psal o různých bezpečnostních standardech. Popisoval jsem, jak tyto standardy implementujete, tedy nastavíte. Nepsal jsem o tom, jak zjistíte, zda vaše prostředí je v souladu s těmito bezpečnostními standardy.

Bezpečnost

Na mém webu jste se mohli dočíst o existenci různých bezpečnostních standardů. Například o Security Technical Implementation Guide (STIG), nebo Microsoft Security Baseline. Popisoval jsem, jak tyto standardy implementujete, tedy nastavíte. Nepsal jsem o tom jak zjistíte, zda vaše prostředí je v souladu s těmito bezpečnostními standardy.

Jedním z nejznámějších nástrojů, který k tomuto slouží, je Nessus. Nessus je bezpečnostní síťový skener (scanner) společnosti Tenable.

Nessus byl původně open-source bezpečnostní nástroj, dostupný zdarma pod licencí GNU GPL. Autorem je Renaud Deraison, který vyvíjel Nessus od roku 1998 jako The Nessus Project. Od verze 3, vydané ke konci roku 2005 začal být nabízen výhradně jako closed-source komerční software.

Alternativou Nessusu je jeden z forků Nessusu – OpenVAS, který je plně open-source. Co se týče pokrytí možností je samozřejmě o něco pozadu ve srovnání s Nessusem.

 

Nessus – edice a licencování

Nessus je nabízen ve třech edicích:

Nessus Essentials. Zdarma. Základní verze, přezdívaná také jako Nessus Home. Tato verze je omezená na 16 IP adres a také má obecně omezenou funkcionalitu z hlediska skenování vůči některým bezpečnostním standardům, apod. K dispozici zdarma, je nutné se registrovat.

Nessus Professional. Cena od 99 000 Kč. Základní verze, bez limitu na počet zařízení pro sken.

Nessus Expert. Cena od 146 000 Kč. Obsahuje různé předpřipravené politiky a scénáře, které odpovídají různým bezpečnostním standardům. Dále umožňuje skenovat také webové stránky. Celkově je funkcionalita mnohem více rozšířena z hlediska možností odhalení bezpečnostních rizik.

 

 

Nessus – nasazení a možnosti provozu

Nessus je nabízen v několika formách instalace:

  • klasická serverová aplikace pro instalaci do všech obvyklých systémů (Windows, Linux, macOS). Standardní instalační balíčky ve formátech MSI, RPM, apod.
  • Virtual Appliance (předpřipravený virtuální stroj). Připravený image ve formátech OVA (pro VMware, nebo VirtualBox), Hyper-V image, či ISO instalační image.
  • Docker image. Image pro Docker.

Kromě centrální instalace je možné také nasadit a provozovat Nessus Agenty na pobočkách, případně pro offline sken sítě.

Po instalaci provede Nessus stažení aktualizací a provede kompilaci pluginů. Pro offline prostředí existuje offline balíček.

 

Nessus – sken sítě

Nessus umí vykonávat sken sítě dvěma způsoby:

  • síťový sken skrze vzdálený přístup bez klienta/agenta (clientless network scan).
  • pokud je sken po síti na přímo problém, Nessus poskytuje také své agenty, skrze které sken probíhá. Agenti pak mohou být nasazení v rozlehlých sítích třeba na pobočky a sbírají a posílají zjištěná data na centrální server s Nessusem. S pomocí agentů je také možné provádět sken sítě offline.

 

Samotný sken Nessus umí provést v mnoha režimech, třeba podobně jako NMAP, kdy buď děláte zběžný sken celé sítě, podrobný sken sítě, či sken sítě zaměřený na konkrétní zařízení včetně možnosti zaměření skenu na úrovni jeho zabezpečení a potencionální zranitelnosti.

 

Nessus – co vše vlastně skenuje

Co vlastně Nessus umí a co od něj můžete očekávat? Pokud znáte například NMAP, počítejte s tím, že Nessus v tomto směru je daleko pokročilejší síťový skener, který jde za hranici sítě do hloubi operačních systémů zařízení a jejich konfigurace.

Některé příklady co vše Nessus skenuje:

  • průzkum sítě (network discovery);
  • výpis jednotlivých portů u zjištěných zařízení, případně i s podrobnostmi jaký protokol na portu byl detekován;
  • seznam detekovaných ssl certifikátů včetně užitých protokolů a šifrovacích algoritmů;
  • detekovaný operační systém a verze;
  • pokus o detekci prolomení triviálních hesel a typických účtů;
  • kontrolu zabezpečení ve shodě s bezpečnostními standardy, například CIS.

 

 

Nessus – podoba výstupu skenů

Výsledek skenu je vždy možné získat ve dvou podobách. Stručného přehledu s popisem co je kontrolováno a výsledkem. Podrobný výpis skenu obsahuje informaci co je kontrolováno, proč je to důležité a také případně s popisem řešení jak daný problém vyřešit, včetně odkazů s dalšími informacemi k dané problematice.

Pro představu, v reportu je uvedeno, že skenované zařízení používá protokol TLS 1.0 pro komunikaci skrze SSL. Proč je to špatně je jasné. Jako řešení vám doporučí vypnout tento zastaralý a nebezpečný protokol a zapnout protokol TLS 1.3.

Výsledky skenů je možné exportovat do reportů ve formátu HTML nebo také CSV. Podrobné reporty mívají desítky, či spíše stovky stran.

Následně je samozřejmě na vás, abyste tyto skeny vyhodnotili.

Skenování je samozřejmě možné plánovat, takže se vykonávají automaticky v definovaném čase.

 

Odkazy

 

Michal Zobec

Michal Zobec Senior IT Consultant, Project Manager ZOBEC Consulting

Nechte vzkaz