Avaliac¸˜ao de Ferramentas de An´alise de Seguranc¸a:
Nessus – OpenVAS
Tiago da S. Pasa1
1Faculdade de Tecnologia Senac Pelotas(FATEC)
Rua Gonc¸alves Chaves, 602 – Centro – CEP: 96.015-560 – Pelotas – RS – Brasil Curso Superior de Tecnologia em Redes de Computadores
tiagopasa@hotmail.com
Resumo. Este artigo apresenta o estudo de ferramentas de escaneamento de vulnerabilidades de sistemas, onde s˜ao apresentadas duas ferramentas muito utilizadas atualmente por administradores de redes, Nessus e OpenVAS. Devido `a vasta gama de vulnerabilidades em aplicac¸˜oes e sistemas que colocam em risco a seguranc¸a da informac¸˜ao e que podem gerar grandes preju´ızos para uma empresa e seus clientes, a utilizac¸˜ao destas ferramentas ´e de grande im-portˆancia para um monitoramento preventivo do ambiente.
Abstract. This paper presents the study of vulnerability scanning tools systems, where it is presented two current tools widely used by network administrators, Nessus and OpenVAS. Because of the wide range of vulnerabilities in applica-tions and systems that put in risk the security of information and can generate large losses for a company and its customers, the use of these tools is of great importance for a preventive monitoring of the environment.
1. INTRODUC
¸ ˜
AO
O crescente avanc¸o tecnol´ogico da Internet vem tornando-a cada vez mais perigosa, a cada dia surgem novas ameac¸as e ataques sofisticados que s˜ao elaborados por grupos hackers. O n´ıvel de atenc¸˜ao que se deve dar em torno da seguranc¸a ´e alto, para evitar futuros impre-vistos. Os problemas a serem resolvidos em ambientes corporativos refletem a situac¸˜ao de muitas organizac¸˜oes atuais que buscam uma vantagem competitiva por meio da utilizac¸˜ao dessa tecnologia. O ambiente corporativo ´e complexo e a seguranc¸a necess´aria a ser im-plantada ´e critica, envolvendo aspectos de neg´ocios, humanos, tecnol´ogicos, processuais e jur´ıdicos. N˜ao existe rede ou mesmo informac¸˜ao 100% segura. Todas as vezes em que ´e utilizada a Internet para buscar e disponibilizar informac¸˜oes existem riscos, uma vez que ela ´e uma enorme rede p´ublica, fora de controle e sujeita a diversos tipos de ataques. Conforme [MORAES 2010], apenas nos Estados Unidos e Canad´a, 200 milh˜oes de pes-soas acessam a internet e desse n´umero 10% j´a demonstrou algum interesse em realizar hacking, 10% j´a usou alguma vez uma ferramenta para hacking, outros 10% j´a desen-volveu alguma ferramenta para hackers e apenas 1% s˜ao hackers talentosos. Examinando esses n´umeros, fica evidente que n˜ao existe apenas um grande n´umero de pessoas envolvi-das em crimes de computadores, mas um grupo significativo capaz de criar organizac¸˜oes voltadas a esse tipo de crime.
2. INCIDENTES DE SEGURANC
¸ A
Segundo [CERT 2013], a quantidade de incidentes reportados em 2011 foi de 399.515, contra 466.029 no ano de 2012, ou seja, houve um aumento de 17%. Na figura 1 ´e poss´ıvel acompanhar a evoluc¸˜ao dessas ameac¸as ao longo dos anos, a qual demonstra que as ameac¸as relacionadas a problemas de seguranc¸a est˜ao cada dia mais presentes.
Figura 1. Incidentes Reportados
Quanto aos tipos de ataque, a figura 2 mostra que de abril a junho de 2013 houve um crescimento cont´ınuo de fraudes na rede e de ataques de reconhecimento, que buscam coletar informac¸˜oes sobre os computadores alvo, antes de desfechar um ataque contra eles.
Figura 2. Tipos de Ataque Acumulado
3. NESSUS
´E um scanner de vulnerabilidade que inicialmente teve c´odigo aberto, mas desde outubro de 2005 a empresa propriet´aria Tenable [TENABLE 2013] decidiu alterar sua licenc¸a para uso comercial, passando a ser c´odigo fechado. Possui vasta biblioteca de vulnerabilida-des conhecidas e mant´em-se em constante atualizac¸˜ao. Sempre que uma falha ´e divulgada pelas entidades de seguranc¸a (www.cve.mitre.org e www.securityfocus.com) a equipe de desenvolvimento rapidamente cria um plugin para detecc¸˜ao da vulnerabilidade. Atual-mente, o Nessus est´a dispon´ıvel em duas vers˜oes, Home Feed – A licenc¸a desta vers˜ao
´e gratuita e seu ´unico benef´ıcio s˜ao as atualizac¸˜oes em tempo real, ´e utilizada normal-mente por usu´arios interessados em aprender sobre a ferramenta, geralnormal-mente estudantes e Professional Feed– Vers˜ao profissional utilizada por empresas e custa 1.500 d´olares por ano, oferece suporte t´ecnico completo, atualizac¸˜oes de vulnerabilidades em tempo real, auditoria de dados sens´ıveis e outros benef´ıcios.
3.1. Instalac¸˜ao
A instalac¸˜ao se d´a de forma f´acil e r´apida, podendo ser realizada a partir de um pacote deb para distribuic¸˜oes baseadas em Debian. A ferramenta ´e instalada em ambiente virtu-alizado com Linux Debian 6. Ap´os a instalac¸˜ao, ´e obrigat´oria a atualizac¸˜ao dos plugins de seguranc¸a, o que demora um tempo razo´avel. D´uvidas podem ser consultadas no site do desenvolvedor, onde ´e disponibilizado o manual completo em portuguˆes com passos de instalac¸˜ao e configurac¸˜oes. A figura 3 mostra a tela de login da ferramenta.
Figura 3. Tela de Login Nessus
3.2. Usabilidade
A autenticac¸˜ao na ferramenta ´e realizada via browser de forma segura com https. Apre-senta uma interface Web muito amig´avel, que se mostrou com uma usabilidade bem me-lhor que o OpenVAS [OPENVAS 2013]. Suas func¸˜oes e menus s˜ao bem compreens´ıveis e de f´acil utilizac¸˜ao.
3.3. Eficiˆencia
Em testes preliminares observou-se que o Nessus ´e bastante eficiente na detecc¸˜ao de vul-nerabilidades e possui uma opc¸˜ao adicional para realizar an´alise de vulvul-nerabilidades em aplicac¸˜oes Web. Emite um relat´orio completo reportando a CVE (Common Vulnerabili-ties and Exposures)[CVE 2013] das falhas, relata se a falha pode ser explorada ou n˜ao, e tamb´em sugere ferramentas para explorar as vulnerabilidades encontradas, por exem-plo Metasexem-ploit [METASPLOIT 2013]. Sugere correc¸˜oes e link para patches que podem resolver os problemas de vulnerabilidades.
Os relat´orios gerados podem ser enviados via email atrav´es de um servidor SMTP com autenticac¸˜ao, bem como serem exportados em formatos HTML, CSV e outros padr˜oes pr´oprios do Nessus. A ferramenta tamb´em possibilita o agendamento de scans de hosts espec´ıficos, podendo determinar dia, hora e com que frequˆencia ´e executado.
4. OPENVAS
O OpenVAS ´e um scanner de vulnerabilidades desenvolvido por Tim Brown a partir de um fork livre do Nessus, licenciado sob a licenc¸a GPL. Atualmente, possui uma comu-nidade crescente, com contribuic¸˜ao de indiv´ıduos e corporac¸˜oes de todo o mundo. ´E baseado no modelo cliente-servidor, onde um componente do servidor ´e respons´avel pelo agendamento e pela execuc¸˜ao de buscas e o cliente ´e utilizado para configurar essas bus-cas e acessar os resultados. O componente servidor normalmente ´e instalado em uma plataforma Linux e trabalha em conjunto com a ferramenta nmap [NMAP 2013]. O cli-ente pode acess´a-lo por meio de interface Web com autenticac¸˜ao https a partir de qualquer estac¸˜ao de trabalho, normalmente a do administrador da rede.
4.1. Instalac¸˜ao
A instalac¸˜ao ´e bem mais demorada do que a do Nessus, realizada atrav´es da adic¸˜ao do re-posit´orio do OpenVAS no sourcelist e ap´os com o comando apt-get install. ´E instalada em ambiente virtualizado com Linux Debian 6. O processo deve seguir uma s´erie de passos para que funcione corretamente, a atualizac¸˜ao dos plugins NVT(Network Vulnerability Test) ´e bem demorada e requer atenc¸˜ao redobrada para ter ˆexito na instalac¸˜ao. Todos os passos para instalac¸˜ao s˜ao fornecidos no site do desenvolvedor, devendo tamb´em observar em qual distribuic¸˜ao e vers˜ao deseja-se instalar, pois no site os passos s˜ao sempre para as ´ultimas vers˜oes de sistemas operacionais Linux. A figura 4 mostra a tela de login da ferramenta.
Figura 4. Tela de Login OpenVAS
4.2. Usabilidade
A interface do OpenVAS ´e menos amig´avel, requer um estudo mais detalhado dos menus para comec¸ar a utilizar a ferramenta, sendo esta de c´odigo aberto. Existem muitas opc¸˜oes que podem ser personalizadas de acordo com a necessidade do administrador de rede, inclusive o desenvolvimentos de plugins NVT pr´oprios para inclus˜ao no scan.
4.3. Eficiˆencia
Em testes preliminares observou-se que a ferramenta OpenVAS [OPENVAS 2013] pos-sui uma ´otima eficiˆencia na detecc¸˜ao das vulnerabilidades, quando escolhida a opc¸˜ao de escaneamento Full and Very Deep Ultimate, ao inv´es da opc¸˜ao padr˜ao que ´e Full and Fast, por´em n˜ao ´e recomendado utilizar a primeira opc¸˜ao principalmente em ambientes de produc¸˜ao, pois pode ocorrer travamentos em servic¸os ativos no host em quest˜ao du-rante o processo de coleta das informac¸˜oes.
Possui relat´orios completos reportando CVE (Common Vulnerabilities and Expo-sures)das falhas, mas n˜ao indica ferramentas para explor´a-las, entretanto sugere sites com exploitspara explorar as vulnerabilidades encontradas, por exemplo, www.milw0rm.com [MILW0RM 2013]. Al´em disso, realiza um fingerprint completo do host alvo. Sugere correc¸˜oes e link para patches que podem resolver os problemas de vulnerabilidades. Os relat´orios podem ser exportados para v´arios padr˜oes como HTML, PDF, TXT, XML, La-TeX entre outros.
5. DESEMPENHO DE HARDWARE E REDE
Durante os testes de vulnerabilidade foram realizados monitoramentos dos recursos de processamento e rede de ambas as ferramentas, atrav´es dos utilit´arios ksar [KSAR 2013] e munin [MUNIN 2013] instalados no mesmo ambiente das mesmas. Foi observado que um dos pontos mais cr´ıticos ´e o maior consumo de processamento que o OpenVAS neces-sitou para realizar os testes, chegando at´e em 100% de CPU, enquanto o Nessus utilizou recursos de processamento de forma mais moderada como mostra a figura 5. O recurso de rede tamb´em teve uma variac¸˜ao de tr´afego de entrada e sa´ıda entre 60 e 450 kbits/s chegando a picos com at´e 2Mbit/s nas duas ferramentas como mostrado na figura 6.
Figura 5. Monitor CPU
Figura 6. Tr ´afego de Rede Nessus e OpenVAS
6. COMPARAC
¸ ˜
AO DOS RESULTADOS
Para a execuc¸˜ao dos testes, ambas as ferramentas foram configuradas para trabalhar com o mesmo n´ıvel de intensidade no escaneamento e com um perfil de an´alise similar. A partir de distribuic¸˜oes Linux e Windows com vulnerabilidades conhe-cidas, foram montados os cen´arios para realizar os testes de comparac¸˜ao entre as
duas ferramentas. Estas distribuic¸˜oes est˜ao dispon´ıveis para download nos enderec¸os https://pentesterlab.com/ [PENTESTERLAB 2013], http://vulnhub.com/series/damn-vulnerable-linux,1/[VULNHUB 2013], oferecidas de forma gratuita, com intuito de pro-mover o aprendizado na ´area de pentest. A distribuic¸˜ao Windows pode ser baixada do pr´oprio site da Microsoft e executada como trial. Dentre as vulnerabilidades conhecidas em aplicac¸˜oes rodando sobre sistema Linux est˜ao: Cross-Site Scripting, SQL injections, Directory traversal, Command injection, Code injection, XML attacks, LDAP attacks, File upload[VULNHUB 2013]. Em sistemas Windows, as vulnerabilidades mais conhe-cidas est˜ao nos protocolos TCP, SMB, RDP, HTTP e aplicac¸˜oes ASP.NET. O tempo de execuc¸˜ao dos testes pode variar de acordo com perfil escolhido, n´umero de servic¸os ativos e com o n´umero de falhas que as aplicac¸˜oes que rodam no host alvo possuem.
6.1. Cen´ario 1 (LiveCD Web For Pentester)
Na distribuc¸˜ao LiveCD Web For Pentester est˜ao presentes diversas vulnerabilidades Web, tais como XSS, SQL Injection, Command injection.
Figura 7. Nessus
Figura 8. OpenVAS
Conforme figura 7, o Nessus detectou v´arias vulnerabilidades a n´ıvel de aplicac¸˜ao Web e nada a n´ıvel de sistema operacional, enquanto o OpenVAS (figura 8) detectou vulnerabilidades apenas a n´ıvel de sistema operacional e servic¸os que rodam no mesmo. 6.2. Cen´ario 2 (LiveCD – Damn Vulnerable – WordPress)
No cen´ario 2, utilizando LiveCD – Damn Vulnerable – WordPress, entre os diver-sos aplicativos com falhas que est˜ao presentes nesta distribuic¸˜ao est´a o Wordpress [WORDPRESS 2013], que ´e um aplicativo gratuito muito popular de gerenciamento de conte´udo Web,
No cen´ario 2, as ferramentas produziram resultados semelhantes, identificando falhas severas em vers˜oes do PHP e no phpMyAdmin [PHPMYADMIN 2013], que pos-sibilitam a execuc¸˜ao remota de comandos sem ter permiss˜ao, e falhas em XSS, onde o OpenVAS apresentou n´ıvel alto e o Nessus n´ıvel m´edio de risco de seguranc¸a.
Figura 9. Nessus
Figura 10. OpenVAS
6.3. Cen´ario 3 (Windows 2008 R2 Server)
No cen´ario utilizando o Windows 2008 R2 Server n˜ao atualizado para simular falhas em servic¸os conhecidos que possuem vulnerabilidades de seguranc¸a como servidor Web(IIS6), terminal server(RDP) e compartilhamento de arquivos(SMB).
Figura 11. OpenVAS
A partir das informac¸˜oes coletados, pode-se ver que as duas ferramentas obtiveram resultados com enumerac¸˜ao da criticidade um pouco diferentes na detecc¸˜ao de falhas dos servic¸os ativos. Cada uma exp˜oe os resultados com uma formatac¸˜ao diferente, enquanto o OpenVAS atribuiu quatro falhas de n´ıvel cr´ıtico para o procotolo SMB (figura 11), o Nessus atribuiu somente uma falha de n´ıvel cr´ıtico e outra de n´ıvel m´edio conforme 12. Para o protocolo RDP, o OpenVAS atribuiu duas falhas cr´ıticas contra duas de n´ıvel m´edio encontradas pelo Nessus. As falhas de SSL encontradas pelo Nessus que n˜ao
Figura 12. Nessus
foram reportadas pelo OpenVAS mostram que existem problemas nas configurac¸˜oes dos certificados de criptografia e na vers˜ao do protocolo version2 do SSL.
7. AN ´
ALISE DOS RESULTADOS
Nas duas ferramentas ´e poss´ıvel realizar um ajuste fino selecionando plu-gins NVT´s (Network Vulnerability Test), conforme exemplificado por [PRITCHETT and SMET 2013]. O ajuste espec´ıfico nos perfis de escaneamento podem ser feitos de acordo com o sistema operacional e servic¸os que se deseja analisar. Esta personalizac¸˜ao evita que a ferramenta realize testes desnecess´arios e ajude na validac¸˜ao dos resultados. As figuras 13 e 14 mostram a personalizac¸˜ao que pode ser realizada no Nessus e no OpenVAS, selecionando apenas plugins espec´ıficos de acordo com a necessidade de cada caso.
Figura 14. OpenVAS Plugins
7.1. VALIDAC¸ ˜AO DOS RESULTADOS
Segundo [BROWN and GALITZ 2010], a validac¸˜ao dos resultados ´e um processo que deve ser avaliado com cuidado, pois em qualquer tarefa automatizada o perigo de falso positivo pode se revelar nos primeiros testes. `As vezes, o falso positivo ´e resultado de uma alterac¸˜ao local do software feita pela equipe de desenvolvimento, como quando for-necedores fazem backport de patches em um vers˜ao suportada de um pacote. Um m´etodo r´apido de levantar os resultados ´e comparando a vers˜ao do software em execuc¸˜ao no sis-tema alvo com as vers˜oes listadas em v´arios bancos de dados de vulnerabilidades. Caso os resultados parecerem v´alidos, deve-se seguir os passos apresentados no relat´orio para correc¸˜ao das vulnerabilidades.
8. CONCLUS ˜
AO
As ferramentas testadas mostraram-se eficientes na detecc¸˜ao de vulnerabilidades e nos relat´orios gerados. Ambas possuem funcionamento semelhante, agendamento e personalizac¸˜ao do perfil de escaneamento, possibilitando escolher os filtros que v˜ao ser utilizados na detecc¸˜ao de vulnerabilidades. Esta opc¸˜ao ´e muito ´util quando ´e necess´ario personalizar o perfil de testes para um determinado sistema ou aplicac¸˜ao.
Conclui-se que atrav´es dos testes realizados nos cen´arios foi poss´ıvel verificar que em alguns casos a ferramenta Nessus foi mais eficiente para detectar vulnerabilidades em sistemas Web do que a ferramenta OpenVAS. Na detecc¸˜ao de vulnerabilidade de sis-temas operacionais Windows, Linux e servic¸os que rodam em ambos, os resultados s˜ao semelhantes, por´em `as vezes resultados que s˜ao divulgados por uma ferramenta n˜ao s˜ao divulgados pela outra. A decis˜ao de escolha de qual utilizar est´a pelo custo, pois a ferra-menta OpenVAS ´e gratuita e pode suprir as necessidades de uma empresa que n˜ao visa detectar falhas em aplicac¸˜oes Web, que ´e um diferencial a mais que o Nessus possui, por´em para este tipo de detecc¸˜ao de falhas existem ferramentas mais espec´ıficas.
Referˆencias
BROWN, T. and GALITZ, G. (2010). O farejador de vulnerabilidades OpenVAS. Linux Magazine, S˜ao Paulo.
CERT (2013). Site. http://www.cert.br, Acesso em ago. 2013. CVE (2013). Site. http://cve.mitre.org, Acesso em ago. 2013.
GIAVAROTO, S. C. R. and dos SANTOS, G. R. (2013). Backtrack Linux – Auditoria e Teste de Invas˜ao em Redes de Computadores. Ciˆencia Moderna, Rio de Janeiro. KSAR (2013). Site. http://sourceforge.net/projects/ksar, Acesso em dez. 2013. METASPLOIT (2013). Site. http://www.metasploit.com, Acesso em ago. 2013. MILW0RM (2013). Site. http://www.milw0rm.com, Acesso em ago. 2013.
MORAES, A. F. (2010). Seguranc¸a em Redes - Fundamentos 1. ed. Editora ´Erica Ltda, S˜ao Paulo.
MUNIN (2013). Site. http://munin-monitoring.org, Acesso em ago. 2013. NMAP (2013). Site. http://nmap.org, Acesso em ago. 2013.
OPENVAS (2013). Site. http://www.openvas.org, Acesso em ago. 2013.
PENTESTERLAB (2013). Site. https://www.pentesterlab.com, Acesso em out. 2013. PHPMYADMIN (2013). Site. http://www.phpmyadmin.net, Acesso em out. 2013. PRITCHETT, W. L. and SMET, D. D. (2013). Kali Linux CookBook. Packt Publishing
Ltd., Birmingham.
ROGERS, R. (2008). Nessus Network Auditing, Second Edition. Syngress Publishing, Birmingham.
TENABLE (2013). Site. http://www.tenable.com/products/nessus, Acesso em ago. 2013. VULNHUB (2013). Site. http://vulnhub.com, Acesso em out. 2013.
