![細かいんだけど6
「Log Scan Details to Server」にチェックを入れると、「Settings」「Advanced」-「logfile」で定義されているファイルに診断時の
各Pluginの評価結果が出力される。
該当するポートがオープンではない
[Tue Nov 5 22:31:36 2013][2254.137236] user root : Not launching
smb_group_domain_admin.nasl against XXX.XXX.XXX.XXX none of the required
tcp ports are open (this is not an error)
KBと推測されるkeyがないため
[Tue Nov 5 22:31:36 2013][2254.137236] user root : Not launching
vmware_workstation_multiple_vmsa_2012_0011.nasl against XXX.XXX.XXX.XXX
because the key SMB/Registry/Enumerated is missing (this is not an error)
リスクの有無は関係なく診断が行われたもの。
[Tue Nov 5 22:33:07 2013][2254.137236] user root : launching
DDI_tomcat_default
_accounts.nasl against XXX.XXX.XXX.XXX [142292]](https://image.slidesharecdn.com/random-131105082137-phpapp02/75/Nessus-23-2048.jpg)
![つくってみよう5
サーバ管理者にaccess.logを通して、Happy Birth Day(HBD)を言ってくれる
Pluginになっています。
ただ、おめでとうって言いたいけど、
冬
XXX.XXX.XXX.XXX - - [03/Nov/2013:13:24:41 +0900] "GET
/?______________________________Happy_Birth_Day!!_Hava_nice_a_birth
_day!!______v(-_-)v HTTP/1.1" 200 66 "-" "Mozilla/4.0 (compatible; MSIE 8.0;
Windows NT 5.1; Trident/4.0)"
大量に送りすぎると、威力業務妨害に問われる可能性もあるので要注意!!](https://image.slidesharecdn.com/random-131105082137-phpapp02/75/Nessus-40-2048.jpg)
フリーでできるセキュリティ インフラ(Nessus)編
- 4. はじめに2 方法を考えることにした。 <方針> ・セキュリティ会社にカネを払わず ・有償ツールや有償のサポートを使わず ・がんばらず <結論> 自分で公開されているフリー(無料)なツールをかけてみる。
- 5. はじめに3 以下を決める。 ・ 範囲 → ・ 方法 → どこまでやるのか。 どんな方法でやるのか。 <ポイント> 定期的に実施する。 → これが何よりも難しい。
- 6. はじめに4 どこまで対象としてやるのか。 ① 不特定多数の利用者いるシステム等に限定する。 ② クライアント端末を除くすべてのシステム等にする。 ③ 全部だよ、全部。 ← 言うのは簡単だが。。。 ①ほんとに一部 ③全部 サーバ ②一応サーバ クライアントPC …etc
- 7. はじめに5 どんな方法でやるのか。 ① フリーのツールでチェック → 問題点を潰す。 ② チェックリスト、ガイドラインを基にレビュー ③ 悟りを開き、リスクを受容する。 ← → 問題点を潰す。 難しいが、結構重要。 ※ ①、②を行った結果、内容によってリスクを受容し、対応しないと いうのも一つの解決策。ただし、その判断を行うために結果を正しく 認識することが前提。
- 11. やってみようよ2 流れは ① 診断の内容(Policy)を選んで ② 診断対象(IPアドレス)を書いて ③ ぼちっとして ④ ヨダレたらしながら結果を見て ⑤ いい感じに直す
- 12. やってみようよ3 ① 診断の方法(Policy)を選んで どれ選んでいいかわからない場合は、「External Network Scan」で。 理由: TCPもUDPもフルポートでチェックしてくれるので。「Prepare for PCI-DSS audits (section 11.2.2)」もいいのだが、バージョンに紐付く脆弱性まで全部 出してしまい、定期的な実施が激しくなるので、まずはExternalでいいのでは。
- 18. 細かいんだけど1 Policyで初期登録されているのが4つ存在します。 External Network Scan 外部ネットワーク向け。Webアプリの機知の脆弱性もチェックする。 Internal Network Scan 内部ネットワーク向け。多数の対象へのスキャン用にカスタマイズされている。 Web App Tests Webアプリ向け。 Prepare for PCI DSS audits PCI DSS要件11.2.2向け。 具体的に何が違うのか。
- 19. 細かいんだけど2 Port Scanの範囲に差がある。 「Port Scan Range」でポートスキャンの範囲を定義するが、「default」や 「1-65535」と設定されている。「Port Scan Range」で定義されている 定数は以下。 ・「default」 これは、おおよそ4,790の一般的なポートに対して行う。具体的には nessus-servicesに記載されているポートが対象になる。TCPが4603 ポート、UDPが4401ポート記載されていた。 ・「all」 TCPおよびUDPのすべてのポートが対象。数字のみ指定の「1-65535」 も同様の意味。「 T:1-65535,U:1-65535」も同様。 <ちなみに> Port Scanのデフォルト設定はSYN Scanになっており、診断時間の短縮など を考慮した結果だと思います。
- 20. 細かいんだけど3 では、Policyごとにどのような差があるかというと External Network Scan ・・・1-65535 Internal Network Scan ・・・default Web App Tests ・・・1-65535 Prepare for PCI DSS audits・・・1-65535 <ちなみに> 「Consider Unscanned Ports as Closed」でポートスキャンの範囲外は、 クローズと判断する。クローズなポートに対しては、該当するplugin を投げないためのオプションだと思う。
- 21. 細かいんだけど4 それ以外に、「Reduce Parallel Connections on Congestion」や「Use Kernel Congestion Detection (Linux Only)」がPCIのみ有効になっていたり。 「Reduce Parallel Connections on Congestion」は、送出するパケット数が多く なりすぎた場合に抑制するオプション。 また、PCIの場合、SSLベースのサービスに対するチェックなどで、ほかの Policyより多く行うように設定されていました。 <ちなみに> 「Max Simultaneous TCP Sessions Per Scan」はすべてのPolicyで「unlimited」 と定義されているが、Nessusを稼働させているOSがWindowsの場合、最大で 19にするようになっているそうです。
- 22. 細かいんだけど5 Policyというより、利用するエディションの違いだが、有償版と思われる ProfessionalFeedと記載されたオプション項目が存在する(マニュアルに 記載されてました)。 ・Cisco IOS Compliance Checks ・Database Compliance Checks ・IBM iSeries Compliance Checks ・PCI DSS compliance ・Unix Compliance Checks ・Windows Compliance Checks ・Windows File Contents Compliance Checks 全部コンプライアンス系だった。診断の結果がどんなふうに出力されるのか 非常に興味はあるが、お金はかけられないので、詳細不明。
- 23. 細かいんだけど6 「Log Scan Details to Server」にチェックを入れると、「Settings」「Advanced」-「logfile」で定義されているファイルに診断時の 各Pluginの評価結果が出力される。 該当するポートがオープンではない [Tue Nov 5 22:31:36 2013][2254.137236] user root : Not launching smb_group_domain_admin.nasl against XXX.XXX.XXX.XXX none of the required tcp ports are open (this is not an error) KBと推測されるkeyがないため [Tue Nov 5 22:31:36 2013][2254.137236] user root : Not launching vmware_workstation_multiple_vmsa_2012_0011.nasl against XXX.XXX.XXX.XXX because the key SMB/Registry/Enumerated is missing (this is not an error) リスクの有無は関係なく診断が行われたもの。 [Tue Nov 5 22:33:07 2013][2254.137236] user root : launching DDI_tomcat_default _accounts.nasl against XXX.XXX.XXX.XXX [142292]
- 24. 細かいんだけど7 Engin5.2.3、Web UI2.0.0 (master #1)で、Policyのひな形が大きく変更 されていた。見た目も。
- 25. 細かいんだけど8 Policyは、ひな形が一気に増えていた。 ・Host Discovery ・Basic Network Scan ・Credential Patch Audit ・Web Application Tests ・Windows Malware Scan ・Mobile Device Scan ・Prepare for PCIDSS Audits ・Advanced Policy 詳細は次回で。
- 36. つくってみよう1 Nessusのpluginは、NASL(Nessus Attack Scripting Language)という スクリプト言語で作られています。 C言語ライクで、わかりやすいのです。 日本語訳 http://www.puni.net/~mimori/nessus/nasl-ja.html
- 40. つくってみよう5 サーバ管理者にaccess.logを通して、Happy Birth Day(HBD)を言ってくれる Pluginになっています。 ただ、おめでとうって言いたいけど、 冬 XXX.XXX.XXX.XXX - - [03/Nov/2013:13:24:41 +0900] "GET /?______________________________Happy_Birth_Day!!_Hava_nice_a_birth _day!!______v(-_-)v HTTP/1.1" 200 66 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)" 大量に送りすぎると、威力業務妨害に問われる可能性もあるので要注意!!