Verificações de Credenciais do Nessus para Unix e Windows
Contents
1. Permiss o do WMI no Firewall do Windows Vista 7 8 2008 2008R2 e 2012 Clique com o bot o direito na pol tica Nessus Scan GPO GPO de varredura Nessus e selecione Edit Editar Expanda Computer configurationlPolicies Windows SettingslWindows Firewall with Advanced SecuritylWindows Firewall with Advanced SecuritylInbound Rules Configura es do ComputadorPol ticas Configura es do WindowsiConfigura es de Seguran alFirewall do Windows com Seguran a Avan adalRegras de Entrada Clique com o bot o direito na rea de trabalho e selecione New Rule Nova regra Selecione a op o predefinida e selecione Windows Management Instrumentation WMI Instrumenta o de Gerenciamento do Windows WMI na lista suspensa Clique em Next Avan ar Marque as caixas de sele o de Windows Management Instrumentation Instrumenta o de Gerenciamento do Windows ASync In Windows Management Instrumentation Instrumenta o de Gerenciamento do Windows WMl In Windows Management Instrumentation Instrumenta o de Gerenciamento do Windows DCOM In Clique em Next Avan ar Clique em Finish Concluir Observa o ser poss vel editar posteriormente a regra predefinida criada e limitar a conex o s portas por meio de endere o IP e usu rio do dom nio reduzindo assim qualquer risco de abuso da WMI Etapa 5 Vincula o de GPO O console de gerenciamento de pol ticas de grupo clique com2. blica ent o minimizando a exposi o s portas de WMI reduzir o risco Selecione Windows Firewall Define inbound program exceptions Firewall do Windows definir exce es de programas de entrada e clique com o bot o direito e selecione Edit Editar ou clique duas vezes nele com o mouse Selecione Enabled Habilitado Clique em Show Mostrar Nas defini es de Program Exceptions Exce es de programa insira o Ywindir isystem32iwbemlunsecapp exe enable wmi o Ywindirisystem32idllhost exe enable ddlhost o Observa o nas entradas acima o atua como um caractere curinga para permitir que qualquer endere o IP no dom nio se conecte a esses servi os Ser poss vel tornar isso mais seguro permitindo endere os IP e intervalos onde as ferramentas administrativas se conectar o porta ou onde for o endere o IP do scanner Nessus Clique em OK Clique em OK para ir at a lista de pol ticas do firewall Selecione Windows Firewall Allow local port exceptions Firewall do Windows permitir exce es de portas locais e clique com o bot o direito e selecione Edit Editar ou clique duas vezes nele com o mouse Selecione Enabled Habilitado Clique em OK Selecione Windows Firewall Define inbound port exceptions Firewall do Windows definir exce es de portas de entrada e clique com o bot o direito e selecione Edit Editar o
3. m credenciais de SSH Para obter instru es sobre como executar uma varredura por linha de comando com o arquivo nessus consulte o Nessus User Guide Guia do usu rio do Nessus dispon vel em http www tenable com products nessus documentation Uso dos arquivos nessusrc Se os arquivos nessusrc forem criados manualmente existem v rios par metros que podem ser configurados para especificar a autentica o SSH Um exemplo de listagem vazia apresentado a seguir Use Con to periorm local security Checks Use SSH to perform local security checks Use SSH to perform local security checks Use SSH to perform local security checks Soh settings entry SSH username Son settings Lass word coH password unsafe SSH sertingsiiilel oA public key tro ucen nno entry SSH user name file oH qublire key to use file SSH private key to use password Passphrase for SSH key A al S a SoH settings firle SSH private key to use SSH settings password Passphrase for SSH key Se o Kerberos for usado configure um scanner Nessus para se autenticar a um KDC ao digitar as seguintes informa es no arquivo nessusrc do scanner Kerberos KDC port 88 Kerberos FOCO Iranspert Ude Kerberos Realm SSH Only myrealm 13 A porta padr o do KDC 88 e o protocolo de transporte padr o udp O outro valor para o transp
4. o 1 do protocolo NTLM Isto permite que o atacante remoto use um hash obtido com o Nessus Este hash pode ser decodificado para revelar o nome de usu rio ou a senha Tamb m pode ser usado para fazer login diretamente em outros servidores Force o Nessus a usar o NTLMv2 ao ativar a op o Only use NTLMv2 Usar apenas NTLMv2 no momento da varredura Isto impede que um servidor Windows hostil use o NTLM e receba um hash O NTLMv2 pode fazer uso do SMB Signing Verifique se SMB Signing est ativado em todos os seus servidores Windows para evitar qualquer servidor que obtenha um hash de uma varredura do Nessus o reutilize Al m disso n o deixe de aplicar uma pol tica que determine o uso de senhas fortes que n o possam ser facilmente decodificadas por meio de ataques de dicion rio com ferramentas como John the Ripper e LOphiCrack Observe que existem diferentes tipos de ataques contra a seguran a do Windows para extrair nashes de computadores para reutiliza o no ataque a servidores SMB Signing acrescenta uma camada de seguran a para impedir esses ataques de intermedi rios Para obter mais informa es A Tenable produziu uma variedade documentos que detalham a instala o implementa o e configura o opera o do usu rio e testes gerais do Nessus 24 Nessus 5 2 Installation and Configuration Guide Guia de instala o e configura o do Nessus 5 2 instru
5. Inc el
6. Transport tcp ci Kerberos Realm 55H only LA A porta padr o do KDC 88 e o protocolo de transporte padr o udp O outro valor para o transporte tcp O nome do nome do Kerberos Realm e o endere o IP do KDC s o obrigat rios 12 A Observe que o usu rio j deve ter um ambiente Kerberos estabelecido para usar este m todo de autentica o Neste ponto clique em Submit Enviar na parte inferior da janela para concluir a configura o A nova pol tica de varredura ser adicionada lista de pol ticas de varredura gerenciadas Linha de comando do Nessus para Unix O Nessus permite verifica es no host a partir da vers o 2 2 0 e exige que o suporte SSL esteja incorporado Execute o comando nessusd d para verificar se a vers o e as bibliotecas SSL corretas est o instaladas da seguinte maneira i nessusd d Roe rd ouir re semi a e a d hrs rs Nec cu do eaa e eR OO Eor mm a aaa oel Compiled with goe version A I comece red Hat A Iko r Current setup E amor es5 x86 nasil Tee O libnessus era S ae used ron ellen a a eo Running as euid ERRO Magic hash 49edd1l433ffad b8 b446a4201faeedf Open SS Opena oL MO dels jan 2010 Uso dos arquivos nessus O Nessus pode salvar pol ticas de varredura configuradas alvos de rede e relat rios como arquivo nessus se o acima Interface de usu rio do Nessus descreve a cria o de um arquivo nessus que cont
7. eles pr prios e clique em OK para salvar Isto far com que os usu rios locais do dom nio sejam autenticados como eles mesmos mesmo que n o estejam no local do servidor em quest o Sem isso todos os usu rios remotos mesmo os usu rios localizados fisicamente no dom nio ser o autenticados como convidados e provavelmente n o ter o credenciais suficientes para realizar uma auditoria remota Observe que a ferramenta gpedit msc n o est dispon vel em algumas vers es como Windows 7 Home que n o tem suporte da Tenable Configurar uma conta de dom nio para varreduras autenticadas Para criar uma conta de dom nio para auditoria remota em host de um servidor Windows o servidor deve ser um Windows Vista Windows XP Pro Windows 2003 ou Windows 2008 e fazer parte de um dom nio H cinco etapas gerais que devem ser executadas para facilitar essa verifica o ao passo que mant m a seguran a Etapa 1 Cria o de um grupo de seguran a Primeiro crie um grupo de seguran a chamado Nessus Local Access Acesso local Nessus e Fa a login em um controlador de dom nio e abra usu rios e computadores do diret rio ativo e Crie um grupo de seguran a no Menu selecione Action A o gt New Novo gt Group Grupo e Nomeie o grupo como Nessus Local Access Acesso local Nessus Certifique se de que ele tem um Scope Escopo Global e um Type Tipo Security Seguran a e Adicion
8. es passo a passo da instala o e da configura o Nessus User Guide Guia do Usu rio Nessus 5 2 como configurar e operar a interface do usu rio Nessus Nessus Compliance Checks Verifica es de Conformidade do Nessus guia geral para compreender e executar verifica es de conformidade com o Nessus e o SecurityCenter Nessus Compliance Checks Reference Refer ncia de Verifica es de Conformidade do Nessus guia completo da sintaxe das verifica es de conformidade do Nessus Nessus v2 File Format Formato de arquivo Nessus v2 descreve a estrutura do formato de arquivo nessus que foi introduzido com o Nessus 3 2 e NessusClient 3 2 Nessus 5 0 REST Protocol Specification Especifica o do protocolo REST do Nessus 5 0 descreve o protocolo e a interface REST do Nessus Nessus 5 and Antivirus Nessus 5 e antiv rus destaca como v rios pacotes de softwares de seguran a populares interagem com o Nessus al m de fornecer dicas e solu es para permitir que o software coexista melhor sem comprometer a seguran a ou dificultar as a es de varredura de vulnerabilidades Nessus 5 and Mobile Device Scanning Nessus 5 e varredura de dispositivos m veis descreve como o Nessus integra se ao Microsoft Active Directory e aos servidores de gerenciamento de dispositivos m veis para identificar dispositivos m veis em uso na rede Nessus 5 0 and Scanning Virtual Machines Nessus 5 0 e a varredura de m quinas
9. o bot o direito no dom nio ou em OU e selecione Link an Existing GPO Vincular GPO existente Selecione Nessus Scan GPO GPO de varredura Nessus Configura o do Windows XP e 2003 Ao executar varreduras autenticadas de sistemas Windows XP ou 20083 v rias op es de configura o devem ser ativadas 1 2 O servi o WMI deve estar ativado no destino O servi o Registro remoto deve estar ativado normalmente desativado Ele pode ser ativado manualmente para auditorias continuadas pelo administrador ou pelo Nessus Usando os plugins 42897 e 42898 o Nessus pode ativar o servi o somente durante a varredura O compartilhamento de arquivos e impressoras deve estar ativado na configura o de rede de destino As portas 139 e 445 devem estar abertas entre o scanner Nessus e o destino 18 5 Uma conta SMB com direitos locais de administrador no destino deve ser usada N o necess rio alterar as pol ticas locais de seguran a do Windows pois podem bloquear o acesso ou as permiss es inerentes Uma pol tica comum que afetar as varreduras credenciadas pode ser encontrada em Ferramentas Administrativas gt Pol tica de Seguran a Local gt Configura es de Seguran a gt Pol ticas locais gt Op es de seguran a gt Acesso rede modelo de compartilhamento e seguran a para contas locais Se esta pol tica de seguran a local estiver definida com uma op o diferente de Cl ssico os us
10. semenesereneneeenoaa 15 RT LARS E ap E EE E 15 FTIVIICOIOS do U UO assassinos E gado gana bd O gn a o Sn Sa A 15 Permitir logins do Windows para auditorias locais e remotas seseeseeecenecenceneceneane 15 Configurando uma conta local erre eere area ea er aaa re eae r ana re aa er aan re nara nan re nara ranara 15 Configurar uma conta de dom nio para varreduras autenticadas eee 15 Etapa 1 Cria o de um grupo de seguran a eeeereeaeeeeererena na ereaeaa narra aaa encena aaa eae rreeaaancereenanaao 15 Etapa 2 Criar uma pol tica de grupo scszsusasssasosicensicsaassadindcedadnssands dosiiindndo nda ddnioasa dades ias asdnsiradadasica ds dostuntadosaesiidan cads 16 Etapa 3 Configurar a pol tica para adicionar o grupo Nessus Local Access Acesso local Nessus como a o go LA LS ig o 6 Ee RAND E SET IRS PASSE AND RN RU ORDER E A 16 Etapa 4 Certifique se de que as portas corretas est o abertas no firewall para que o Nessus se conecte ao host EDER CER SEN O UU EP CEE SRD RD CR DR ID SPD E UR e RR 16 Permiss o do WMI no Firewall do Windows XP e 2008 e eerererereranerenaerenaereaareeanreranenea 16 Permiss o do WMI no Firewall do Windows Vista 7 8 2008 2008R2 e 2012 18 Etapa 5 Vinculacao de GPO assniaeosaaiinaais nisso sairia DES dsaqra sais E fico insana panos aa asa aan tale REAREA eai ssa Si caolntea ce 18 Configura o do
11. virtuais descreve como o scanner Nessus de vulnerabilidades da Tenable Network Security pode ser usado para auditoria da configura o de plataformas virtuais assim como os softwares em execu o nelas Strategic Anti malware Monitoring with Nessus PVS and LCE Monitoramento estrat gico antimalware com Nessus PVS e LCE descreve como a plataforma USM da Tenable pode detectar uma variedade de softwares maliciosos al m de identificar e determinar a extens o das contamina es por malwares Patch Management Integration Integra o com gerenciamento de patches o documento descreve como o Nessus e o SecurityCenter podem explorar as credenciais nos sistemas de gerenciamento de patches IBM TEM Microsoft WSUS e SCCM VMware Go e Red Hat Network Satellite para realizar a auditoria de patches nos sistemas dos quais as credenciais podem n o estar dispon veis ao scanner Nessus Real Time Compliance Monitoring Monitoramento de Conformidade em Tempo Real descreve como as solu es da Tenable podem ser usadas para ajuda a cumprir muitos tipos diferentes de normas do governo e do setor financeiro Tenable Products Plugin Families Fam lias de plugins dos produtos Tenable fornece a descri o e o resumo das fam lias de plugins para Nessus Log Correlation Engine e Passive Vulnerability Scanner SecurityCenter Administration Guide Guia de administra o SecurityCenter Outros recursos on line s o listados a seguir Nes
12. 17 Solu o de problemas P Como saber se a varredura local est funcionando R A menos que o servidor esteja 100 atualizado qualquer varredura local provavelmente gerar algum tipo de informa o sobre patches Dependendo do sistema operacional ele tamb m gerar v rias informa es de auditoria Tamb m pode ser til retirar o Nessus da equa o e testar para garantir que as contas e as redes est o configuradas corretamente No scanner Nessus use o comando id simples do Unix e execute o seguinte comando ssh i home test nessus ssh key nessust192 1 1 44 id Verifique se est usando o endere o IP do sistema com o qual a rela o de confian a est configurada bem como a conta de usu rio neste caso o usu rio nessus Se o comando for executado corretamente voc ver os resultados do comando id como se fosse executado no seu sistema remoto Nas auditorias do Unix o script ssh get info nasl indicar se a autentica o foi bem sucedida Se os logins com o SSH n o estiverem funcionando altere a configura o de report verbosity da varredura do Nessus para Verbose Isto exibir todos os erros ou as mensagens de diagn stico enquanto este script espec fico estiver em execu o Nas auditorias do Windows os scripts smb login nasle smb registry access nasl indicam se o login e a senha fornecidos durante a varredura funcionaram e se fosse poss vel ler o registro remoto O smb registr
13. Windows XP e 2003 erra renan rrenan era n ar rea aerea acre nara aan raanana 18 Configura o do Windows 2008 Windows Vista e Windows 7 een errreanena 19 Configurar o Nessus para login do Windows ss seeceeeeceneeeeencarencemecacencaneecanecacencaceenanncas 20 interlace d usuario do WA si 5 0 ERROR ONES NE NINAR E OR ER EEE MR NTE RR E an 20 Linha de comando do Nessus para Unix e eeeeeeere erre eren era e rea cee aerea rea ce ea re ana nenana 21 Uso dos arguivos Ne SUS RR RR na DECORE ROD E DR O RD RR DR RO RD RR anie 21 Uso dos arquivos NESSUSTIC qa rssao nadie nao nda A dd pa Ts Sp 21 Detec o de falha de credenciais e ceeeereceeeenecaeeerecaceeeecnacerecaaceenenanenaaaa 21 SOIE ore BEORICITAS pari iram irei i 22 Proet o GD SEGA a 24 Por que devo proteger meu scanner ssssssssennnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn paula dias mennenm nnmnnn nnnm 24 O que significa bloquear um scanner sais siena nnmnnn nnmnnn nnmnnn nnnm 24 Implementa o segura de auditorias de SSH no UNIX s snnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nnmnnn mnnn 24 Autonas seguras DO WINGOWS casadas sidsres ai ne i OU 24 Para obter mais informa es usrisiaisirdo isiadddai nnmnnn nnnm nnmnnn nnmnnn 24 Sobre a Tenable Network Security sairia 27 Introdu o Este artigo descreve como executar varreduras de rede autenticadas com o scanner de vulnerabi
14. a que o Nessus use a autentica o por chaves Os usu rios do Nessus no Windows podem copiar ambas as chaves no diret rio principal do aplicativo Nessus no sistema que executa o Nessus C Program FileslTenablelNessus o diret rio predefinido e em seguida copiar a chave p blica nos sistemas de destino se necess rio Isto facilita o gerenciamento dos arquivos das chaves p blica e privada Como criar contas de usu rio e chaves SSH Em cada sistema de destino a ser examinado por meio de verifica es de seguran a locais crie uma nova conta de usu rio dedicada ao Nessus Esta conta de usu rio deve ter exatamente o mesmo nome em todos os sistemas Neste documento chamaremos o usu rio de nessus mas pode se usar qualquer nome Depois que a conta for criada para o usu rio verifique se a conta n o tem nenhuma senha v lida definida Nos sistemas Linux as novas contas de usu rio s o normalmente bloqueadas a menos que uma senha inicial seja definida Se for usada uma conta para a qual uma senha tenha sido definida use o comando passwd 1 para bloquear a conta preciso criar o diret rio no diret rio inicial dessa nova conta para manter a chave p blica Neste exerc cio o diret rio ser home nessus ssh Um exemplo para os sistemas Linux apresentado abaixo passwd 1 nessus cd home nessus mkdir ssh Nos sistemas Solaris 10 a Sun aprimorou o comando passwd 1 para distinguir entre conta
15. a usar credenciais para fazer login em um servidor Unix ou Windows seu sistema ter credenciais que podem ser usadas por um usu rio mal intencionado Para prevenir isso preciso por em pr tica uma diretiva de seguran a adequada no sistema operacional em que o scanner est instalado e estar ciente de como o invasor pode obter informa es de seguran a do scanner O que significa bloquear um scanner O scanner Nessus apropriado deve ser controlado inteiramente de um console do sistema e n o aceitar nenhuma conex o de rede de nenhum host remoto O sistema deve estar fisicamente protegido de modo que apenas as pessoas autorizadas tenham acesso a ele Al m disso o servidor deve estar protegido com um firewall externo ou switch que permite examinar apenas redes espec ficas N o instale um software de firewall pessoal diretamente no sistema do scanner Nessus Lembre se que o Nessus pode ser configurado para examinar apenas redes espec ficas Esse tipo de scanner n o muito usado preciso liberar o acesso remoto da rede ao servidor O Nessus oferece suporte para conex es HTTP com a porta 8834 O firewall do sistema pode ser configurado para aceitar apenas conex es na porta 8834 de clientes Nessus v lidos Se o dispositivo for administrado ou controlado de maneira remota o acesso remoto seguro tamb m pode ser usado No Unix o protocolo Secure Shell SSH pode ser usado Mantenha o daemon do SSH atualizado use senhas e ou t cnicas
16. ada scanner Nessus gerenciado Quando as chaves p blicas de SSH estiverem instaladas nos hosts Unix desejados e as chaves privadas instaladas no SecurityCenter uma rela o de confian a ser estabelecida e um usu rio poder fazer login em cada host Unix a partir dos scanners Nessus Se a seguran a dos scanners Nessus for comprometida ser necess rio gerar novos pares de chaves SSH p blicas privadas 14 Verifica es de credenciais em plataformas Windows Pr requisitos Privil gios do usu rio Um erro muito comum consiste em criar uma conta local sem privil gios suficientes para fazer logon de maneira remota ou para executar alguma a o Normalmente o Windows atribui s novas contas locais os privil gios de Guest Visitante caso fa am logon remoto Isto impede que as auditorias remotas de vulnerabilidades sejam realizadas Outro erro comum aumentar o n vel de acesso dos usu rios Guest Isto enfraquece a seguran a do seu servidor Windows Permitir logins do Windows para auditorias locais e remotas O aspecto mais importante das credenciais do Windows que a conta usada para executar as verifica es devem ter privil gios para acessar todos os arquivos e entradas de registro necess rios e em muitos casos isso significa ter privil gios administrativos Se o Nessus n o receber as credenciais de uma conta administrativa poder na melhor das hip teses ser usado para executar verifica e
17. alisar os resultados para saber o usu rio tem as senhas e chaves SSH corretas Com a nova vers o do Nessus os usu rios podem detectar facilmente se suas credenciais est o funcionando A Tenable incluiu o plugin Nessus 21745 na fam lia de plugins Settings Este plugin detecta se as credenciais do SSH ou do Windows permitiram o acesso da varredura ao host remoto Se o login for realizado com sucesso o plugin n o ir gerar nenhum resultado Veja a seguir um exemplo de relat rio gerado ap s a tentativa de login em um computador remoto com o nome de usu rio ou a senha incorreta por meio do Nessus 21 192 168 0 20 2 Vulnerability Summary Host Summary Completed Mar 1 2012 18 10 Remove Vulnerability Audit Trail Filters Mo Filters Add Filter E Clear Filters Plugin ID Host ajPort Plugin ID 21745 Port Service generalitcp Severity Info Plugin Name Authentication Failure Local Checks Not Run 26919 Synopsis The local security checks are disabled E 7 10736 Description The credentials provided for the scan did not allow us to log into the remote host or the remote operating system is not supported 11219 11011 10150 10394 10395 Risk Factor None Plugin Output it was not possible to log into the remote host via smb invalid credentials 10397 10785 10859 Plugin Publication Date 2006 06 23 10860 Plugin Last Modification Date 2011 08 30 21745 269
18. binary path directory su login Escalation account root Escalation password CEPE No item SSH user name Nome de usu rio SSH digite o nome da conta dedicada ao Nessus em cada um dos sistemas submetidos varredura O padr o root Se a senha SSH for usada digite a no campo SSH password Senha SSH Se as chaves SSH forem usadas em vez de uma senha recomendado clique no bot o Select Selecionar ao lado do campo identificado como SSH public key to use Chave SSH p blica a ser usada e localize o arquivo de chave p blica no sistema local No item SSH private key to use Chave SSH privada a ser usada clique no bot o Select Selecionar e localize o arquivo de chave privada associada chave p blica acima no sistema local Se a senha da chave SSH for usada opcional digite a no campo Passphrase for SSH key Frase senha da chave SSH Os usu rios do Nessus e do SecurityCenter tamb m podem usar os comandos su ou sudo no campo Elevate privileges with Elevar privil gios com e uma senha diferente Se um arquivo known hosts do SSH estiver dispon vel juntamente com a pol tica de varredura no campo no SSH known hosts file Arquivo known hosts do SSH o Nessus tentar fazer o login nos hosts nesse arquivo somente Isto garante que o mesmo nome de usu rio e a mesma senha usados para auditar os servidores SSH conhecidos n o sejam usados para tenta
19. de aceita o de cart es de cr dito por parte dos comerciantes das administradoras que sofreram a viola o N vel de acesso As varreduras credenciadas podem executar as mesmas opera es que um usu rio local O n vel de varredura depende dos privil gios concedidos conta de usu rio que o Nessus est configurado para usar Os usu rios sem privil gios com acesso local a sistemas Unix podem determinar problemas b sicos de seguran a como n veis de patch ou itens no arquivo etc passwd Para informa es mais abrangentes como dados de configura o do sistema ou permiss es de arquivos em todo o sistema necess ria uma conta com privil gios raiz As varreduras credenciadas em sistemas Windows exigem o uso de uma conta com n vel de administrador V rios boletins e atualiza es de software da Microsoft podem prejudicar a confiabilidade da leitura do registro para determinar o n vel de patch de software sem privil gios de administrador O acesso administrativo necess rio para executar a leitura direta do sistema de arquivos Isto permite que o Nessus se conecte a um computador e realize a an lise direta de arquivos para determinar o verdadeiro n vel de patch dos sistemas que est o sendo avaliados No Windows XP Pro o acesso aos arquivos funciona apenas com uma conta de administrador local se a pol tica Acesso rede Modelo de compartilhamento e seguran a de contas locais for alterada para Cl ssico o
20. de autentica o otimizadas Nos servidores Windows os servi os de terminal remoto podem ser usados para fornecer comando e controle sobre os servi os para o Nessus Windows Em ambos os casos mantenha o sistema atualizado e n o execute servi os de rede desnecess rios Consulte os benchmarks CIS Center for Internet Security referenciais do CIS Center for Internet Security para obter orienta es sobre como refor ar os sistemas Implementa o segura de auditorias de SSH no Unix Nunca use senhas de SSH para executar varreduras remotas Se uma rede for examinada um invasor ou usu rio mal intencionado precisaria executar apenas um daemon de SSH para modificar e alterar o nome de usu rio e a senha Mesmo que esteja usando uma combina o diferente de nome de usu rio e senha em cada m quina o uso de senhas est ticas continua sendo vulner vel explora o Caso o usu rio efetue login em um servidor usando uma senha em um sistema que foi comprometido haver a chance da senha ser roubada pois a pr pria senha tunelada pela conex o SSH Depois do servidor remoto ser dominado o invasor poder substituir o daemon de SSH por um pr prio o que registrar as senhas das conex es de entrada Auditorias seguras do Windows Se a op o Only use NTLMv2 Usar apenas o NTLMv2 estiver desativada teoricamente poss vel induzir o Nessus a tentar fazer login em um servidor Windows com credenciais de dom nio por meio da vers
21. deve ser considerada um tutorial abrangente do SSH O leitor deve ter conhecimento necess rio dos comandos do sistema Unix Gera o de chaves SSH p blicas e privadas O primeiro passo gerar um par de chaves privadas p blicas para uso pelo scanner Nessus As chaves podem ser geradas por qualquer sistema Unix por meio de qualquer conta de usu rio No entanto importante que as chaves sejam de propriedade do usu rio Nessus definido Para gerar o par de chaves use ssh keygen e salve o em um local seguro No exemplo a seguir as chaves s o geradas em uma instala o do Red Hat ES 3 ssh keygen t dsa Generating public private dsa key pair Enter file in which to save the key Users test ssh id dsa home test Nessus ssh key Enter passphrase empty for no passphrase Enter same passphrase again Your identification has been saved in home test Nessus ssh key Your public key has been saved in nome test Nessus ssh key pub The key flngerprint 1s 06 4a fd 6 ee 0f d4 e6 4b 74 84 9a 99 e6b 12 ea N o transferir a chave privada para nenhum outro sistema que n o seja o sistema executado no servidor Nessus Quando ssh keygen solicitar uma frase senha digite uma frase senha forte ou pressione Return Voltar duas vezes ou seja n o define nenhuma frase senha Se uma frase senha for especificada use as op es Policies Pol ticas gt Credentials Credenciais gt SSH settings Configura es SSH par
22. do sistema e determinar se faz parte de um dom nio O nome real do dom nio s ser necess rio se o nome da conta no dom nio for diferente do nome da conta no computador perfeitamente poss vel ter uma conta Administrador em um servidor Windows e no dom nio Neste caso para fazer logon no servidor local o nome de usu rio Administrador ser usado com a senha desta conta Para fazer logon no dom nio o nome de usu rio Administrador tamb m deve ser usado mas com a senha e o nome do dom nio Independentemente das credenciais usadas o Nessus sempre tenta fazer login em um servidor Windows com as seguintes combina es e Administrador sem senha e Nome de usu rio e senha aleat rios para verifica o de contas de visitantes e Nenhum nome de usu rio ou senha para testar sess es nulas Verifica es de credenciais em plataformas baseadas em Unix O processo descrito nesta se o permite que executar verifica es de seguran a locais em sistemas Unix por exemplo Linux Solaris Mac OS X O daemon DE SSH usado neste exemplo O OpenSSH Se houver uma variante comercial do SSH o procedimento pode ser um pouco diferente Para permitir verifica es de seguran a locais podem ser usados dois m todos b sicos 1 Uso de um par de chaves SSH privadas p blicas 2 Credenciais do usu rio e acesso ao sudo ou credenciais de acesso ao su Pr requisitos Requisitos de configura o do SSH O Nessu
23. e a conta que ser usada para realizar as varreduras autenticadas Nessus para Windows no grupo Nessus Local Access Acesso local Nessus Etapa 2 Criar uma pol tica de grupo Em seguida ser necess rio criar uma pol tica de grupo chamada Local Admin GPO GPO admin local e Abra o Group Policy Management Console Console de gerenciamento de pol ticas de grupo e Clique com o bot o direito em Group Policy Objects Objetos da pol tica de grupo e selecione New Novo e Digite o nome da pol tica Nessus Scan GPO GPO de varredura Nessus Etapa 3 Configurar a pol tica para adicionar o grupo Nessus Local Access Acesso local Nessus como administradores Aqui adicionaremos o grupo Nessus Local Access Acesso local Nessus pol tica Nessus Scan GPO GPO de varredura Nessus e os colocaremos nos grupos que desejamos usar e Clique com o bot o direito na pol tica Nessus Scan GPO GPO de varredura Nessus e em seguida selecione Edit Editar e Expanda Computer configuration PolicieslWindows SettingslSecurity SettingslRestricted Groups Configura o do ComputadoriPol ticasiConfigura es do WindowsiConfigura es de Seguran alGrupos Resitritos e No painel esquerdo em Restricted Groups Grupos restritos clique com o bot o direito e selecione Add Group Adicionar grupo e Na caixa de di logo Add Group Adicionar grupo selecione Procurar e digite Nessus Local Access Acesso local Nessus e em se
24. guida clique em Check Names Verificar Nomes e Clique em OK duas vezes para fechar a caixa de di logo e Clique em Add Adicionar em This group is a member of Este grupo um membro de e Adicione o grupo Administrators Administradores e Clique em OK duas vezes Etapa 4 Certifique se de que as portas corretas est o abertas no firewall para que o Nessus se conecte ao host O Nessus usa SMB bloqueio de mensagens do servidor e WMI Instrumenta o de Gerenciamento do Windows para isso precisamos nos certificar de que o Firewall do Windows permitir o acesso ao sistema Permiss o do WMI no Firewall do Windows XP e 2003 e Clique com o bot o direito na pol tica Nessus Scan GPO GPO de varredura Nessus e selecione Edit Editar e Expanda Computer configurationlPoliciesiAdministrative TemplatesiNetworkiNetwork ConnectionslWindows FirewallDomain Profile Configura o do ComputadoriPol ticasiModelos AdministrativosiRedeiConex es de RedeiFirewall do WindowsiPerfil de Dom nio ou Perfil Padr o Observa o O motivo principal do Perfil do dom nio ser configurado e n o o perfil padr o que o Perfil de dom nio ser aplicado somente quando o Windows determinar que ele est conectado a uma rede que parte do dom nio do qual o perfil membro O perfil padr o ser aplicado quando os hosts n o puderem determinar se ele est em uma rede que faz parte do dom nio ou em uma rede p
25. i rios e de for a bruta se forem usadas por muito tempo Chaves p blicas privadas A criptografia de chave p blica tamb m conhecida como criptografia de chave assim trica um mecanismo de autentica o mais seguro pois usa um par de chaves p blicas e privadas Na criptografia assim trica a chave p blica usada para criptografar os dados e a chave privada usada para decodific la O uso de chaves p blicas e privadas um m todo mais seguro e flex vel de autentica o com SSH O Nessus oferece suporte para os formatos de chaves DSA e RSA Kerberos O Kerberos desenvolvido pelo Projeto Athena do MIT uma aplica o cliente servidor que usa um protocolo de criptografia sim trica de chaves Na criptografia sim trica a chave usada para criptografar os dados a mesma usada para decodific los As organiza es instalam um KDC Centro de Distribui o de Chaves que cont m todos os usu rios e servi os que exigem a autentica o Kerberos Os usu rios se autenticam no Kerberos ao solicitar um TGT Ticket Granting Ticket Depois de ser concedido ao usu rio o TGT poder ser usado para solicitar tickets de servi o do KDC outros servi os do Kerberos O Kerberos usa o protocolo de criptografia DES CBC Cipher Block Chain para criptografar todas as comunica es A implementa o da autentica o do Kerberos pelo Nessus para SSH reconhece os algoritmos de criptografia aes cbc e aes ctr Um re
26. ilitado Como alternativa o Controle de conta do usu rio UAC do Windows pode ser desativado mas esta a o n o recomendada Para desativar completamente o controle de contas abra o Painel de Controle selecione Contas de Usu rio e Desativar Controle de Conta do Usu rio Tamb m poss vel criar uma nova chave de registro chamada LocalAccountTokenFilterPolicy e atribuir a ela o valor 1 Essa chave deve ser criada no registro no seguinte local HKLM SOFTWAREAMi crosoftiWindowsiCurrentVersion Policiesisysteml LocalAccountTokenFil terPolicy Para obter mais informa es sobre configura es de registro consulte MSDN 766945 KB PAN O Nessus tem a capacidade de ativar e desativar o servi o Registro remoto Para que isso funcione o Configurar o Nessus para login do Windows Interface de usu rio do Nessus bd https localhost 8834 html5 htmlg Nessus vulnerability scanner d a Abra um navegador e conecte se interface de usu rio do scanner Nessus como no exemplo acima e clique na guia Policies Pol ticas Crie uma nova pol tica ou edite uma pol tica existente e selecione a guia Credentials Credenciais a esquerda Selecione Windows credentials Credenciais do Windows no menu suspenso na parte superior conforme mostrado abaixo Compliance Credentials Windows credentials Credential Type Windows credentials hd SME account admin SME password OITO SME domain
27. lidades Nessus da Tenable Network Security As varreduras de rede autenticadas permitem que uma auditoria remota de rede obtenha dados no host como patches ausentes e configura es do sistema operacional Envie seus coment rios e sugest es para o e mail supportDtenable com O Nessus usa a funcionalidade de login remoto em hosts Unix por meio do Secure Shell SSH Nos hosts Windows o Nessus usa diversas tecnologias de autentica o da Microsoft Observe que o Nessus tamb m usa o Protocolo Simples de Gerenciamento de Rede SNMP para fazer consultas de vers o e informa es a roteadores e switches Embora esta seja uma forma de verifica o local n o descrita neste documento Este documento tamb m faz diversas refer ncias ao Nessus mas os conceitos b sicos tamb m s o v lidos para o SecurityCenter da Tenable Padr es e conven es Em toda a documenta o os nomes de arquivos daemons e execut veis s o indicados com a fonte courier bold como gunzip httpd e etc passwd As op es de linhas de comando e palavras chave tamb m s o indicadas com a fonte courier bold O exemplos de linhas de comando podem ou n o conter o prompt da linha de comando e o texto gerado pelos resultados do comando Os exemplos de linhas de comando exibir o o comando executado em courier bold para indicar o que o usu rio digitou enquanto que o exemplo de sa da gerado pelo sistema ser indicado em courier sem negrito Um exemp
28. lo da execu o do comando pwd do Unix apresentado a seguir pwd home test A As observa es e considera es importantes s o destacadas com este s mbolo nas caixas de texto escurecidas As dicas exemplos e pr ticas recomendadas s o destacados com este s mbolo em branco sobre fundo azul Vis o geral das Verifica es de Credenciais do Nessus O scanner Nessus da Tenable um scanner de vulnerabilidades de rede muito eficaz com um banco de dados abrangente de plugins que verificam diversos tipos de vulnerabilidades que podem ser exploradas remotamente Al m da varredura remota o scanner Nessus tamb m pode ser usado para examinar para exposi es locais Objetivo A varredura externa de vulnerabilidades de rede permite obter uma visualiza o instant nea dos servi os de rede oferecidos e das vulnerabilidades que podem conter No entanto apenas uma perspectiva externa E importante saber quais servi os locais est o sendo executados e identificar as exposi es de seguran a contra ataques locais ou par metros de configura o que possam expor o sistema a ataques externos e que n o podem ser detectados atrav s de uma varredura externa Em uma avalia o t pica de vulnerabilidades de rede uma varredura remota executada nos pontos de presen a externos e uma varredura local realizada dentro da rede Nenhuma dessas varreduras capaz de determinar as exposi es locais no sistema alvo Algumas da
29. ode ser uma impressora roteador aparelho de fax ou dispositivo de v deo P Estou realizando testes de conex es SSH do prompt do shell de hosts de varredura de destino para o sistema Nessus para garantir a conectividade No entanto acho que existe um atraso na conex o Por qu R Isto provavelmente ocorre porque o sistema est executando uma pesquisa de DNS quando o DNS est configurado incorretamente Se o site usar DNS entre em contato com o administrador do DNS para resolver os problemas de configura o Um desses problemas pode ser a falta de zonas de pesquisa inversa Para testar as pesquisas de DNS fa a o seguinte host IP ADRR OF NESSUS SERVER Se tiver o dig instalado tamb m poss vel verificar com dig x IP ADRR OF NESSUS SERVER Se o site n o usar DNS as seguintes etapas ir o ignorar a tentativa de realizar pesquisas de DNS 1 Edite o arquivo etc nsswitch conf para que as linhas hosts exibam hosts files Obs Isto n o deve funcionar com todas as vers es do OpenSSH 2 Adicione no arquivo etc hosts do sistema o IP nome do servidor que executa o Nessus 3 Configure o servidor OpenSSH remoto para n o realizar pesquisas de DNS em um host configurando UseDNS no no arquivo sshd config na vers o 3 8 o valor padr o yes sim VerifyReverseMapping no 23 Prote o do scanner Por que devo proteger meu scanner Se o scanner Nessus for configurado par
30. optional SME password type Password hi Additional SME account 1 Additional SME password 1 Additional SME domain optional 1 20 Especifique o nome da conta do SMB a senha e o dom nio opcional Neste ponto clique em Submit Enviar na parte inferior da janela para concluir a configura o A nova pol tica de varredura ser adicionada lista de pol ticas de varredura gerenciadas Linha de comando do Nessus para Unix Uso dos arquivos nessus O Nessus pode salvar pol ticas de varredura configuradas alvos de rede e relat rios como arquivo nessus se o acima Interface de Usu rio do Nessus descreve a cria o de um arquivo nessus que cont m credenciais do Windows Para obter instru es sobre como executar uma varredura por linha de comando com o arquivo nessus consulte o Nessus User Guide Guia do usu rio do Nessus dispon vel em http www tenable com products nessus documentation Uso dos arquivos nessusrc Se o arquivo nessusrc for criado manualmente existem tr s itens que permitem a configura o do nome do usu rio senha e dom nio opcional conforme indicado abaixo Togan Conf rarat oane enc S Accor Login coni igurations lipis o wordi SME pass vordi i Pogin coni oural ono entr e OME domnaa Opr rona Detec o de falha de credenciais Se o Nessus for usado para realizar auditorias credenciadas em sistemas Unix ou Windows pode ser dif cil an
31. orte tcp O nome do nome do Kerberos Realm e o endere o IP do KDC s o obrigat rios Observe que o usu rio j deve ter um ambiente Kerberos estabelecido para usar este m todo de autentica o Como usar credenciais SSH com o Tenable SecurityCenter Para usar as credenciais SSH com o SecurityCenter envie as chaves SSH p blica e privada geradas para o console do SecurityCenter N o as instale diretamente nos scanners Nessus pois o SecurityCenter baixa essas credenciais para o scanner Nessus quando a varredura for iniciada Veja a seguir um exemplo de uma parte da tela Edit Scan Options Editar op es de varredura ao editar as op es de uma pol tica Os tr s ltimos campos s o usados para especificar uma conta e as chaves SSH p blica e privada espec ficas que ser o usadas no teste A chave SSH p blica deve ser colocada em cada host Unix a ser testado com as verifica es locais SSH Username SoM Public Key 59H Private Key O SecurityCenter distribu do com v rias pol ticas de vulnerabilidade predefinidas nas quais todas as verifica es locais est o ativadas para cada sistema operacional No entanto as pol ticas devem ser copiadas e duas chaves SSH p blicas privadas e uma conta de usu rio espec ficos devem ser acrescentados para que possam ser usadas de maneira operacional Os pares de chaves SSH p blica privada s o gerenciados pelo SecurityCenter e ser o transmitidos a c
32. s 5 oferece suporte para os algoritmos blowfish CBC AESXXX CBC AES128 AES192 e AES256 3SDES CBC e AES CTR Algumas variantes comerciais do SSH n o reconhecem o algoritmo blowfish possivelmente por motivos de exporta o Tamb m poss vel configurar um servidor SSH para aceitar apenas certos tipos de criptografia Verifique o servidor de SSH para saber se o algoritmo correto reconhecido Privil gios do usu rio Para maior efic cia o usu rio do SSH deve ser capaz de executar qualquer comando no sistema Em sistemas Unix isto conhecido como privil gios root Embora seja poss vel executar algumas verifica es como n veis de patch por meio de acesso sem privil gios as verifica es completas de conformidade que auditam a configura o do sistema e as permiss es de arquivo requerem o acesso root Por isso recomend vel sempre que poss vel usar chaves de SSH em vez de credenciais Requisitos de configura o do Kerberos Se o Kerberos for usado sshd deve ser configurado com suporte para o Kerberos para confirmar o ticket do KDC As consultas inversas ao DNS devem ser configuradas corretamente para que isto funcione O m todo de intera o do Kerberos deve ser gssapi with mic Permitir verifica es de seguran a locais de SSH no Unix Esta se o apresenta o procedimento geral para ativa o do SSH entre os sistemas envolvidos nas verifica es de credenciais pelo Nessus A se o n o
33. s bloqueadas e sem login Isto garante que uma conta de usu rio bloqueada n o possa ser usada para executar comandos por exemplo tarefas cron As contas sem login s o usadas apenas para executar comandos e n o funcionam em uma sess o de login interativo As contas levam o token NP no campo de senha de etc shadow Para configurar uma conta sem login e criar o diret rio da chave p blica de SSH no Solaris 10 execute os seguintes comandos passwd N nessus grep nessus etc shadow mes Sus CAES o cd export home nessus mkdir ssh Depois de criar a conta de usu rio preciso transferir a chave para o sistema ao coloc la no diret rio adequado e definir as permiss es corretas Exemplo Para o sistema que cont m as chaves copie de forma segura a chave p blica no sistema a ser examinado conforme indicado abaixo 192 1 1 44 um exemplo de sistema remoto que ser testado com as verifica es de host poss vel tamb m copiar o arquivo do sistema em que o Nessus est instalado com o comando de FTP sftp seguro Observe que o arquivo no sistema de destino deve ter o nome authorized keys Retorne ao sistema que hospeda a chave p blica Defina as permiss es no diret rio home nessus ssh e no arquivo authorized keys chown R nessus nessus nessus ssh chmod 0600 nessus ssh authorized keys chmod 0700 nessus ssh Repita esse processo em todos os sistemas q
34. s de patches no registro Embora seja um m todo v lido para determinar se um patch foi instalado incompat vel com algumas ferramentas de gerenciamento de patches de terceiros que podem deixar de definir a chave na pol tica Se o Nessus tiver privil gios administrativos verificar a vers o da biblioteca de v nculos din micos d11 no computador remoto o que extremamente mais preciso Configurando uma conta local Para configurar um servidor Windows fora de um dom nio com credenciais a serem usadas basta criar uma conta exclusiva como administrador Verifique se a conta n o est configurada com o padr o normal Somente convidados usu rios locais autenticados como convidados Alterne para o modo Cl ssico os usu rios locais s o autenticados como eles pr prios Para configurar o servidor para permitir logins de uma conta de dom nio o modelo de seguran a Cl ssico deve ser usado Para isso execute as etapas a seguir 1 Abra Pol tica de Grupo e clique em Iniciar Executar digite gpedit msc e clique em OK 2 Selecione Configura o do Computador gt Configura es do Windows gt Configura es de seguran a gt Pol ticas Locais gt Op es de seguran a 3 Nalista de pol ticas clique em Acesso rede modelo de compartilhamento e seguran a para contas locais 4 Neste di logo selecione Cl ssico os usu rios locais s o autenticados como
35. s informa es obtidas dependem das informa es exibidas que podem ser inconclusivas ou incorretas Por meio de credenciais seguras o scanner Nessus pode receber acesso local para verifica o do sistema alvo sem a necessidade de um agente Isto pode facilitar a verifica o de uma rede muito extensa e determinar as exposi es locais ou viola es de conformidade O problema de seguran a mais comum em uma organiza o que os patches de seguran a n o s o aplicados em tempo h bil A varredura credenciada do Nessus pode determinar rapidamente quais sistemas possuem corre es desatualizadas Isto importante nos casos em uma nova vulnerabilidade anunciada e a administra o executiva requer uma resposta r pida sobre o impacto na organiza o Outra grande preocupa o das organiza es determinar o cumprimento de pol ticas internas normas do setor como os referenciais CIS Center for Internet Security ou legisla es Sarbanes Oxley SOX Gramm Leach Bliley GLBA ou HIPAA As organiza es que aceitam cart es de cr dito devem comprovar o cumprimento das normas PCI DSS Padr es de Seguran a de Dados da Ind stria de Cart es de Pagamento Existem muitos casos divulgados em que as informa es de cart es de cr dito de milh es de clientes foram expostas Isto representa preju zos financeiros consider veis para os bancos respons veis pela cobertura dos pagamentos e multas pesadas ou a perda dos direitos
36. s usu rios locais s o autenticados como eles pr prios Uma auditoria para conformidade com SCAP requer o envio de um execut vel para o host remoto Em sistemas com software de seguran a por exemplo McAfee Host Intrusion Prevention ele poder bloquear ou colocar em quarentena o execut vel necess rio para a auditoria Nesses sistemas uma exce o deve ser criada para o host ou para o execut vel enviado Tecnologias usadas O desafio de realizar uma varredura credenciada fornecer credenciais privilegiadas para o scanner de maneira segura e autom tica O objetivo de verifica o das exposi es de seguran a seria anulado se o processo criasse uma exposi o ainda maior O Nessus permite o uso de v rios m todos seguros para solucionar o problema nas plataformas Unix e Windows Sistemas Unix Em sistemas Unix o Nessus usa programas com base no protocolo Secure Shell SSH vers o 2 por exemplo OpenSSH Solaris SSH etc para verifica es realizadas no host Esse mecanismo criptografa os dados em tr nsito para proteg los contra visualiza o por programas sniffer O Nessus reconhece tr s tipos de m todos de autentica o para uso com o SSH Nome de usu rio e senha chaves p blicas privadas e Kerberos Nome de usu rio e senha Embora seja compat vel a Tenable n o recomenda o uso da combina o de nome de usu rio e senha para autentica o com SSH As senhas est ticas est o sujeitas a ataques de intermed
37. sejam 100 autenticado e fa am parte de um dom nio O recurso usado automaticamente pelo Nessus se for exigido pelo servidor Windows remoto SPNEGO O protocolo SPNEGO Simple and Protected Negotiate oferece o recurso de acesso unificado SSO de um cliente Windows para v rios recursos protegidos por meio de credenciais de login dos usu rios do Windows O Nessus oferece suporte para SPNEGO com o NTLMSSP com autentica o LMv2 ou Kerberos com encripta o RC4 Kerberos O Nessus tamb m permite a autentica o pelo Kerberos em um dom nio do Windows Para configur lo o endere o IP do controlador de dom nio do Kerberos endere o IP do servidor Windows Active Directory deve ser fornecido NTLMSSP NT Lan Manager Security Support Provider e LMv2 Se um esquema de seguran a estendido como o Kerberos ou o SPNEGO n o for reconhecido ou falhar o Nessus tentar fazer o login por meio da autentica o NTLMSSP LMv2 Se isso falhar o Nessus tentar fazer o login usando a autentica o NTLM Nomes de usu rio senhas e dom nios do Windows O campo de dom nio do SMB opcional e o Nessus poder fazer logon com as credenciais de dom nio sem o campo O nome de usu rio senha e dom nio opcional referem se a uma conta reconhecida pelo computador de destino Por exemplo se o nome de usu rio for joesmith e a senha my4x4mp13 o servidor Windows tentar localizar primeiro o nome de usu rio na lista local de usu rios
38. sere 7 PROTO Sar a dd E E EA E A A 7 Requisitos de configura o do SSH erre eee erre aerea eae arena aerea arena nara nara cancer arena 7 Privilegios do USUANOsesciseiitsisicssineisiai i aii E E aE Eii 7 Requisitos de configura o do KerberoS nssnnsensennsennsrrorrrrrrrrrrrrnrerrrrsrernrrrrrnrrsrrnnrrsrrnnrrnrennernrrnnennen 7 Permitir verifica es de seguran a locais de SSH no Unix ses eeeeeeeeeereceeereceenerecenerecaaena 8 Gera o de chaves SSH p blicas e privadas sseeeescereeereecoereeereac ara careee aa raca neces neem 8 Como criar contas de usu rio e chaves SSH s ii sreerreeeeaneeaeean rea eean rea rea rena rea areas eea arena reanaia 8 E OT Oem oa E N EA O P E E A E E A E A A T 9 Configura o do Nessus para verifica es de SSH no hOSt sansnnnunnnunnnunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn ennnen 10 Interface de usu rio do Nessus senonneneenonnennensrrerrrrerrerrererrrrrnrerrnrrrrerrrrorrerrnrerrerrrrerrnrrrrerrerrnrerr acena ras 10 Linha de comando do Nessus para Unix errar erre erer cre a rea cee aerea rena caraca aaa nenana 13 Uso dos aQUIVOS NESSUS ssa sasia massage aa A AE A ES 13 Uso GOs alquIVOS NESSUSIC eessen do and geada soa da a a ca ge CA EERE Si 13 Como usar credenciais SSH com o Tenable SecurityCenter eee ceneeeerecnneaa 14 Verifica es de credenciais em plataformas Windows e
39. sumo de como o Nessus interage com o Kerberos mostrado a seguir e O usu rio final envia o IP do KDC e nessusd pergunta ao sshd se reconhece a autentica o do Kerberos e sshd responde afirmativamente e nessusd solicita um TGT do Kerberos junto com o login e a senha e O Kerberos encaminha um ticket ao nessusd e nessusd envia o ticket ao sshd e nessusd conectado Sistemas Windows O Nessus permite o uso de v rios tipos diferentes de m todos de autentica o para sistemas Windows Cada um dos m todos requer um nome de usu rio uma senha e um nome de dom nio opcional para a autentica o LANMAN O m todo de autentica o Lanman era predominante no Windows NT e nas primeiras vers es do Windows 2000 Server O m todo n o usado nas vers es mais recentes do Windows mas mantido por motivo de compatibilidade com as vers es anteriores NTLM e NTLMv2 O m todo de autentica o NTLM que acompanha o Windows NT mais seguro que a autentica o com o m todo LanMan No entanto a vers o aprimorada NTLMv2 apresenta recursos de criptografia mais seguros que o NTLM pois o m todo de autentica o padr o escolhido pelo Nessus ao efetuar o login em um servidor Windows Assinatura SMB A assinatura SMB uma soma de verifica o criptogr fica aplicada a todo o tr fego de SMB de para um servidor Windows V rios administradores de sistemas ativam este recurso nos servidores para garantir que os usu rios remotos
40. sus Discussions Forum F rum de Discuss o do Nessus https discussions nessus org Tenable Blog Blog da Tenable http www tenable com blog 25 e enable Podcast Podcast da Tenable http www tenable com podcast e Example Use Videos V deo de exemplos de uso http www youtube com user tenablesecurity e enable Twitter Feed Feed do twitter da Tenable hitp twitter com tenablesecurity Entre em contato conosco pelo e mail suppori Dtenable com salesOtenable com ou visite nosso site no endere o http www tenable com 26 Sobre a Tenable Network Security A Tenable Network Security conta com a confian a de mais de 20 mil empresas incluindo todo o Departamento de Defesa dos EUA al m de diversas das maiores empresas do mundo e governos para manter se frente das vulnerabilidades amea as e riscos de conformidade emergentes Suas solu es Nessus e SecurityCenter continuam a definir o padr o para identificar vulnerabilidades evitar ataques e estar em conformidade com uma ampla variedade de requisitos normativos Para mais informa es visite www tenable com SEDE GLOBAL Tenable Network Security 7021 Columbia Gateway Drive Suite 500 Columbia MD 21046 410 872 0555 www tenable com O tenable network security Copyright O 2014 Tenable Network Security Inc Todos os direitos reservados Tenable Network Security e Nessus s o marcas comerciais registradas da Tenable Network Security
41. tenable network security Verifica es de Credenciais do Nessus para Unix e Windows 17 de janeiro de 2014 Revis o 32 Sum rio MO a E O SR RR RA E AE 4 Padroes CONVEN OOS siaiacidi ainda pa a ii di a aai eaaa ai aai nanie 4 Vis o geral das Verifica es de Credenciais do NeSSUS s sssnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nnmnnn nnna 4 Ba c o EEEE E EEEE E E E E E EE E E SR E TEE 4 IVC EGO ACESO aen EE E dades dba age 5 TeCNoIOGIAS USADAS suamaecasiiasa doa ioseese secs aid dn nasal e nra idas ansiosa enc ida sedia naen fue ninsid sue a dear ea sela go 5 SISTOIMAS IM sinais ini Dada di at add aU E dba Lona d 5 Nome Ce USuao E SCNhA ssa Sopra cia ti gs dedo aa ho EVA a LIS Safado GD a so Gu rio a Ss DCE ho a a 5 Chaves publicas PrIVA AS saude aiindssresisdon ditadas dada in na Eni aie iaa ein enii ania Ern sara fauna dadas 5 PEDET ein oem E E E EE E E 6 DISteImas WINdOWS ssena A A O A E 6 LANMA N e A E 6 REPENTE a E E E A E E E 6 e cE Ee s E E E E E E E E EEE E EE E E E E A das E E 6 SPNE O ei E E E E EE 6 SLED E se E E E E PE EEE E E E EEE E O ra E E E E E E T EE 6 NTLMSSP NT Lan Manager Security Support Provider e LMv2 nnnnssnnnsnnnnnnsenssnnnrnnnrensrrnrtrnrrensrrrnrrreessnrrneeee 7 Nomes de usu rio senhas e dom nios do Windows re eerere ee eeer eae rere nan ene eae rer eae erenaad 7 Verifica es de credenciais em plataformas baseadas em Unix es
42. tivas de login em sistemas fora de seu controle As varreduras credenciadas mais eficazes s o aquelas em que as credenciais fornecidas t m privil gios root Uma vez que muitos locais n o permitem o login remoto como root os usu rios do Nessus podem acessar su ou sudo com uma senha distinta em uma conta criada para ter os privil gios su ou sudo Veja a seguir um exemplo de imagem de tela sudo juntamente com chaves SSH Neste exemplo a conta de usu rio audit que foi adicionada ao arquivo etc sudoers no sistema a ser verificado A senha fornecida a senha para a conta audit e n o a senha raiz As chaves SSH correspondem s chaves geradas para a conta audit Compliance Credentials SSH settings Credential Type 45H settings ha 45H user name root 45H password unsafe 45H public key to use ssh keypub X 45H private key to use ssh key X Passphrase for 55H key Elevate privileges with Nothing r Frivilege elevation binary path directory su login Escalation account root Se o Kerberos for usado um scanner Nessus deve ser configurado para autentica o do KDC Selecione Kerberos configuration Configura o do Kerberos no menu suspenso conforme indicado abaixo Compliance Credentials Kerberos configuration Credential Type Kerberos configuration w Kerberos Key Distribution Center KDC Kerberos KDC Fort Ba Kerberos KDC
43. u rios locais s o autenticados como eles pr prios a varredura de conformidade n o ser executada Configura o do Windows 2008 Windows Vista e Windows 7 Ao executar varreduras autenticadas de sistemas Windows 2008 Windows Vista ou Windows 7 v rias op es de configura o devem ser ativadas 1 Em Firewall do Windows gt Configura es do Firewall do Windows Compartilhamento de Arquivos e Impressoras deve estar selecionado 2 Com a ferramenta gpedit msc no prompt Executar acesse o Editor de Objeto de Diretiva de Grupo Navegue at Diretiva de Computador Local gt Modelos Administrativos gt Rede gt Conex es de Rede gt Firewall do Windows gt Perfil Padr o gt Firewall do Windows permitir exce o no compartilhamento de impressoras e arquivos e habilit la 3 No Editor de Objetos de Diretiva de Grupo Diretiva de Computador Local gt Modelos Administrativos gt Rede gt Conex es de Rede gt Proibir uso do Firewall de conex o com a Internet na rede do dom nio DNS deve estar definido como Desativado ou N o Configurado 4 O servi o Registro remoto deve estar ativado normalmente desativado Ele pode ser ativado manualmente para auditorias continuadas pelo administrador ou pelo Nessus Usando os plugins 42897 e 42898 o Nessus pode ativar o servi o somente durante a varredura destino deve ter o servi o Registro remoto definido como Manual e n o Desab
44. u clique duas vezes nele com o mouse Selecione Enabled Habilitado Clique em Show Mostrar Nas defini es de Port Exceptions Exce es de porta insira o 135 TCP enable o Observa o nas entradas acima o atua como um caractere curinga para permitir que qualquer endere o IP no dom nio se conecte a esses servi os Ser poss vel tornar isso mais seguro permitindo endere os IP e intervalos onde as ferramentas administrativas se conectar o porta ou onde for o endere o IP do scanner Nessus Clique em OK para ir at a lista de pol ticas do firewall Selecione Windows Firewall Define inbound program exceptions Firewall do Windows definir exce es de programas de entrada e clique com o bot o direito e selecione Editar Editar ou clique duas vezes nele com o mouse Selecione Enabled Habilitado Clique na caixa de Allow unsolicited incoming messages from these IP adresses Permitir mensagens de entrada n o solicitadas desses endere os IP e digite Observa o nas entradas acima o atua como um caractere curinga para permitir que qualquer endere o IP no dom nio se conecte a esses servi os Ser poss vel tornar isso mais seguro permitindo endere os IP e intervalos onde as ferramentas administrativas se conectar o porta ou onde for o endere o IP do scanner Nessus Clique em OK para ir at a lista de pol ticas do firewall
45. ue passar o por testes de SSH come ando em Como Criar uma Conta de Usu rio e Criar a Chave SSH acima Teste para verificar se as contas e as redes est o configuradas corretamente Com o comando id simples do Unix no scanner Nessus execute o comando a seguir ssh i home test nessus ssh key nessus 192 1 1 44 id urd O nes US oane Oea qrenes OES Se o comando gerar informa es sobre o usu rio nessus a troca de chaves ser bem sucedida Configura o do Nessus para verifica es de SSH no host Interface de usu rio do Nessus Caso ainda n o tenha sido feito copie de maneira segura os arquivos das chaves p blica e privada no sistema usadas para acessar o scanner Nessus Q https localhost 8834 htmi5 htmlz Nessus vulnerability scanner 2 Abra um navegador e conecte se interface de usu rio do scanner Nessus como no exemplo acima e clique na guia Policies Pol ticas Crie uma nova pol tica ou edite uma pol tica existente e selecione a guia Credentials Credenciais esquerda Selecione SSH settings Configura es SSH no menu suspenso na parte superior conforme mostrado abaixo New Advanced Policy Credentials 5SH settings Credential Type SSH settings T 55H user name raven 55H password unsafe CEC 55H public key to use Add File 45H private key to use Add File Passphrase for 55H key Elevate privileges with su sudo Privilege elevation
46. y full access nasl avisa apenas se n o foi poss vel ler completamente o registro O exame dos resultados das verifica es de host em auditorias de um servidor Windows mostrar como as credenciais funcionaram Al m disso o scripthostlevel check failed nasl detecta se as credenciais do SSH ou do Windows n o permitiram o login da varredura no host remoto 22 P Como saber se a varredura local n o est funcionando R Em sistemas Windows as ocorr ncias de falha de logon s o geradas no servidor Se um controlador de dom nio estiver em uso as ocorr ncias de falha de login tamb m estar o localizadas a Em sistemas Unix as falhas de login aparecer o nos logs de sistemas como var log messages a menos que seja usado um controlador Kerberos remoto Al m disso o script hostlevel check failed nasl detecta se as credenciais do SSH ou do Windows n o permitiram o login da varredura no host remoto P Quais outros eventos podem afetar as verifica es do host R Muitas situa es podem bloquear o acesso Algumas delas s o e Firewalls de rede que filtram a porta 22 para SSH no Unix ou a porta 445 no Windows Firewalls de host que bloqueiam conex es com as portas mencionadas e Em sistemas Unix os administradores podem alterar o SSH para portas diferentes de 22 e Alguns sistemas de preven o de invas o de hosts e rede impedem o acesso remoto e O computador examinado n o um servidor Unix ou Windows mas p
Download Pdf Manuals
Related Search