OpenVAS
PCI-sertifiseringen vår krever at vi gjør minst kvartalmessig, intern sikkerhetsscanning med et verktøy som bruker anerkjente databaser over sårbarheter og industristandard scoring av sårbarheter. OpenVAS er et slikt (fritt) verktøy; det er en fork av Nessus fra rett før den ble ufri. Det gir rapporter som er ganske like de Trustkeeper sender hvert kvartal.
Hvordan bruke Openvas-20.08
OpenVAS ligger i en VM på domino. Den er som regel slått av, så den må først slås på. Dette kan enten gjøres ved gjennom virt-manager på domino, eller ved å ssh og
root@domino:~$ virsh start openvas-20.08Når den er på, kan man aksessere et webfjes her. Før man scanner, må man oppdatere sårbarhetsdatabasen. Dette gjøres slik:
ssh openvas@openvas.dhcp.samfundet.no
openvas@openvas:~$ sudo su - gvm
gvm@openvas:~$ greenbone-nvt-sync
Når dette er gjort kan man logge inn på web-fjeset der brukernavnet er admin og passordet er lavsikkerhet. Inne på nettsiden gå til "Scans" -> "Tasks" -> "start" for å starte scannen.
Dette kan ta litt tid, så ta gjerne en kaffepause her. Merk at NVT databasen vi bruker burde fortsatt være brukbar til tross for at den ikke får "features for enterprise environments".
Når den er ferdig å kjøre,genererer den en rapport i "Scans" -> "Reports".
Om scannen finner sårbarheter med rating høyere enn 3.0, så må disse fikses ASAP. Scannen må derretter bli kjørt på nytt, helt til den ikke finer sårbarheter med rating høyere enn 3.0.
Når du er ferdig, skru av VM-en.
Oppsett av ny VM før Openvas-20.08
Hvis du skal opprette en ny OpenVAS, er det noen ninjatriks som det er greit å kjenne til.
- Du vil laste ned en installasjons-ISO og gi den til VMen i form av en virtuell USB-disk. På den måten unngår du at ISOen forsøker å installere ting oppå seg selv.
- Du vil lage et nytt volum med LVM med et ext4-filsystem, som du gir som en SATA-disk til VMen. Her skal den faktiske programvaren installeres.
- Hvis du får beskjed om at installasjonsprogrammet ikke finner noen "sticks", fjern alt som ser ut som virtuelle USBer (unntatt ISO-USBen).
- Følg installasjonsinstruksjonene.
- Gi den Internet ved å sette den i riktig interface i domino.
Oppsett av ny VM etter Openvas-20.08
Tidligere hadde Greenbone tilgjengelig en installasjons-ISO som man kunne bruke for å opprette ny VM. Da 20.08 ble stable, var derimot ikke dette tilfellet, og guiden over kunne derfor ikke følges. For å opprette Openvas-20.08 ble Debian 10 ble installert på en ny VM, og installasjonsguider på nettet (spesielt denne) ble tildels fulgt for å få alt til å fungere slik det skulle.
Nyttige lenker
Lenker: Start, pci dss sjekkliste, pci saq c, pci saq d
Epost: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2020-11-09 19:10 | Revisjon: 11 (historie, blame) | Totalt: 1905 kB | Rediger