Nessus – це програма для автоматичного пошуку відомих вразливостей в захисті інформаційних систем. Nessus є одним з багатьох сканерів вразливостей, які використовуються під час оцінок вразливостей і тестування на проникнення, включаючи шкідливі атаки.
Програма здатна виявити різні види вразливостей, наприклад:
- Наявність вразливих версій служб або доменів,
- Помилки в конфігурації (наприклад, відсутність необхідності авторизації на SMTP-сервері)
- Наявність паролів за замовчуванням, порожніх, або слабких паролів і тому подібне.
Для того, щоб почати користуватися програмою, її, як не дивно, потрібно завантажити, це можна зробити на офіційному сайті програми – https://www.tenable.com/products/nessus/nessus-essentials і вказуємо свої контакти в спеціальній формі. Тут потрібно вказати ім’я, прізвище, та електронну пошту на яку вам прийде ключ для активації програми.
Після отримання листа завантажуємо файл інсталяції програми – https://www.tenable.com/downloads/nessus як можна побачити з випадаючого списку програма підтримує різні ОС. Ми обираємо ту ОС, на якій буде встановлено програму. Завантажуємо і запускаємо інсталяційний файл програми та проходимо стандартну процедуру встановлення, по ходу встановлення, можемо обрати куди хочемо встановити програму.
Після встановлення нас перекидає у WEB інтерфейс для продовження налаштування та реєстрації. Чекаємо поки пройде Ініціалізація, це може зайняти деякий час.
Наступним кроком нам буде запропоновано пройти реєстрацію, це можна зробити офлайн, якщо у вас через якусь причину відсутнє з’єднання з інтернетом. В моєму випадку я продовжу виконувати налаштування стандартним способом, натискаємо continue.
Далі потрібно обрати версію програми, яку ми будемо реєструвати, обираємо Essential, тобто безплатний варіант. Якщо ж у вас інша версія, тоді обираєте свій варіант. Натискаємо continue, наступний крок можна пропустити, через те, що ми його вже проходили. Натискаємо Skip.
Наступний крок, потрібно вказати ключ реєстрації, який прийшов вам на електронну пошту. Копіюємо його і вставляємо у вікно. Натискаємо continue. І ще раз continue. Далі потрібно створити акаунт, вводимо логін і пароль, натискаємо Sabmit. Після цього починається завантаження плагінів, яке може тривати досить довго.
Після відкриття веб інтерфейсу самої програми потрібно ще деякий час зачекати, щоб програма провела до налаштування всіх плагінів. Інтерфейс Nessus складається в основному з двох основних сторінок: сторінки сканування і сторінки налаштувань. Ці сторінки дозволяють управляти конфігураціями сканування і налаштовувати сканер відповідно до того, як ви хочете, щоб він виконувався в вашій системі.
Вкладинка Settings
Сторінка налаштувань яка містить інформацію про конфігурацію, що дозволяє вам визначити налаштування для вашого Proxy та SMTP-сервера для додаткової функціональності та інтеграції в вашій мережі.
Вкладинка Scans
Сторінка дозволить вам створювати нові сканування та управляти ними. Пройдемось по плагінах для сканування, які нам доступні:
- Host discavery (Виявлення хостів): Сканує мережу для визначення активних хостів і відкритих портів
- Basic network Scan (Основний мережевий скан): Сканує мережеві пристрої для виявлення базових вразливостей.
- Advanced Dynamic scan (Розширене динамічне сканування) на відміну від попереднього має більш гнучкі налаштування сканування.
- Malware Scan (Виявлення шкідливих програм): Сканує систему на предмет шкідливих програм та вірусів в системах віндовс або Linux
- Mobile Device Scanning (Сканування мобільних пристроїв): Перевіряє безпеку мобільних пристроїв та додатків.
- Web Application Testing (Тестування веб-застосунків): Аналізує веб-застосунки для виявлення вразливостей.
- Аудит облікових даних ця перевірка вимагає автентифікації на хості та перевіряю облікові дані.
- Intel AMT Bypass Check Plugin Цей сканер виконує цілий ряд віддалених і локальних сканувань на вразливість CVE-2017-5689. Більш детальну інформацію про цю вразливість ви можете знайти в мережі інтернеті.
- Spectre plugin і Meltdown це сканер на віддалені або локальні перевірки на 3 вразливості CVE інформацію про ці вразливості можете також знайти в мережі інтернет.
- VannaCray цей сканер говорить сам за себе. Ванна край це програма вимагач, аналог її нам більш відомий як НОТ Петя. Це зловмисне ПО шифрує всі дані на комп’ютері та пропонує надати ключ для дешифрування за певну грошову винагороду.
- Ripl 20 це віддалений сканер який може знаходити хости які містять вразливість Ripl 20. Ripl 20 це набір вразливостей які були виявлені у 2020 році
- ZeroLogon віддалене сканування виявляє вразливість Майкрософт пов’язані з підвищенням привілеїв. Ця вразливість також відома як CVE-2020-1472
- Solarigate сканер який виявляє вразливості Solarvids та Solarigate
- ProxyLogon сканер який проводить віддалене та локальне сканування вразливостей Microsoft Exchange.
- PrintNightmare це перевірка диспетчера друку ОС віндовс яка виявляє вразливість CVE-2021-34527
- Active Directory Started Scan Перевірка Active Directory на наявність невірної конфігурації, для цього сканування потрібні облікові дані Active Directory.
- Log4Shell виявляє локальну вразливість CVE-2021-44228 в Apache
- Log4Shell Remote виявляю ту саму вразливість, але за допомогою віддаленого сканування.
- Log4Shell сканер який виявляє не одну конкретну вразливість, а цілу екосистему вразливостей. І проводить діагностику і віддалено і локально.
- CISA Alert проводить віддалені та локальні перевірки на наявність вразливостей АА22-011А та АА22-047А
- ContiLeaks виконує локальне та віддалене сканування на наявність вразливостей ContiLeaks. (Вони пов’язані з тим, що один з членів групи ContiLeaks, злив всю інформацію з чатів цієї групи, в яких була інформація, яким чином виконуються ті чи інші методи та процедури компрометації.)
- Ransomware Ecosystem виконує локальне та віддалене сканування на наявність вразливостей різних програм вимагачів.
- Наступне сканування виявляє вразливості вказані у звіті компанії Tinable за 2022 рік. Кому цікаво можете погуглити про цей сканер більш детально в інтернеті.
Тепер давайте на практиці подивимось як працює ця програма:
Запустимо Basic network Scan. У вікні name пишемо ім’я нашого сканування, далі можемо описати, що саме ми скануємо та для чого, далі вказуємо що саме ми будемо сканувати, для прикладу можете просканувати свою локальну мережу (192.168.0.0/24). Натискаємо SAVE і в наступній вкладці запускаємо сканування.
Далі чекаємо поки програма просканує нашу локальну систему і можете оцінити стан захищеності мережі. Про всі знайдені вразливості можна прочитати інформацію, рішення які нам пропонуються, а також додаткову інформацію перейшовши за посиланнями які вам пропонуються. Якщо не розумієте англійську можете перекласти сторінку Українською. Після завершення сканування можна сформувати звіт про сканування.
Відео на YouTube – https://youtu.be/oDXcWo8_4_s
