OpenVAS - Utilisation avancée

Création — Nicolas THOREZ 2019/03/24 15:32

Nous verrons ici des options avancées présentes dans le menus :

• Configuration
  • Alerts
  • Schedules

• Scans
  • Overrides

• Extras
  • Feed Status

Les alertes permettent de définir des méthodes d'informations ainsi que leur déclencheur. On peut en créer une nouvelle en cliquant sur dans le menu Configuration > Alerts.

Une nouvelle page apparaît donc.

Dans cette fenêtre, on pourra renseigner les champs suivants :

• Name : Le nom de l'alerte. Ce nom sera utiliser pour le référencement de l'alerte dans la liste du menu Alerts et dans les tâches.
• Event : L'évènement pour lequel vous souhaitez être alerté.
• Condition : Les conditions pour lesquelles se déclenche l'alerte.
• Method : La méthode d'alerte, généralement ce sera par mail.
• Les champs suivants dépendent de la méthode. On trouvera par exemple To Address, From Address, etc pour la méthode Email alors que la méthode SNMP donnera les champs Community, Agent et Message.

Pour la méthode Email, on trouvera donc les champs :

• To Address : L'adresse du destinataire de l'alerte.
• From Address : L'expéditeur de l'alerte.
• Subject : Le sujet de l'alerte. Par défaut, il est rempli avec le préfixe [OpenVAS-Manager] et des balises indiquant le nom de la tâche et l'évènement déclencheur.
• Content : Le corps du mail. Par défaut, ce sera une simple notification mais on peut choisir le rapport dans le corps du mail ou de l'y attacher en tant que pièce jointe.

Les balises pouvant être utilisées sont :

• $c : La condition.
• $e : L'évènement
• $F : Le nom du filtre.
• $f : La description du filtre.
• $H : Le ou les hôtes de la tâche.
• $i : Le texte du rapport.
• $n : Le nom de la tâche.
• $r : Le nom du format du rapport.
• $t : Une notification si le rapport est coupé.
• $z : Le fuseau horaire.

Une fois tous les champs correctement remplis, on valide notre alerte en cliquant sur . L'alerte apparaît alors dans la liste des alertes :

On peut désormais ajouter l'alerte à n'importe quelle tâche.

L'automatisation, accessible via le menu Configuration > Schedules, permet de créer des déclencheurs qui pourront être rajoutés au tâches afin que ces dernières s'exécute automatiquement quand les conditions, définies dans le déclencheur, seront réunies.

Comme d'habitude, on crée un nouveau déclencheur en cliquant sur .

Une page de paramétrage apparaît alors :

Dans cette page nous pourrons alors renseigner les champs suivants :

• Name : Le nom du déclencheur. On peut y indiquer ce que l'on veut mais son nom servira à son référencement aussi bien dans le menu Schedules que dans la tâche. Il est donc préférable d'utiliser des termes reconnaissables facilement. Personnellement, j'utilise la nomenclature fréquence - jour & heure du déclenchement.
• First Time : La date du premier déclenchement.
• Timezone : Le fuseau horaire pour la date. Généralement, il est déjà correctement paramétré mais une vérification ne coûte rien.
• Period : Il s'agit de la périodicité de la tâche. Laissez à 0 si la tâche ne doit pas être répétée.
• Duration : Il s'agit de la durée maximale d'exécution de la tâche. Laisser à 0 si la tâche doit s'exécuter jusqu'à ce qu'elle s'arrête naturellement.

Une fois les champs correctement configurés, on vailde en cliquant sur .

Le nouveau déclencheur apparaît alors dans la liste.

Une fois les déclencheurs créés, on peut en préciser un dans n'importe quelle tâche. Dès qu'un déclencheur est paramétré pour une tâche, l'icône d'exécution passe de à . A partir de cet instant, la tâche s'exécutera automatiquement au moment voulu. Cependant, l'exécution manuelle n'est plus possible. Pour revenir à ce mode d'exécution, il faudra d’abord éditer la tâche() pour désactiver la planification.

Les scans mettent en évidence toutes les failles connues par le scanner. Cependant, on peut définir, selon la politique de sécurité de son site, que certaines failles sont acceptables ou ne peuvent tout simplement pas être corrigées. On pourra citer quelques exemples :

• Un serveur avec un système d'exploitation obsolète mais que l'on ne peut pas mettre à jour car il fait tourner un ancien logiciel qui ne bénéficie plus de la moindre mise à jour et donc incompatible avec un OS récent.
• Un site web utilisant une ancienne version d'un langage mais ne pouvant être mise à jour, faute de développeurs.
• Un cryptage de faible qualité mis en place pour assurer une sécurité accessible par de vieux systèmes.
• etc…

On pourra aussi avoir des cas où une faille minime peut être considéré en interne comme particulièrement dangereuse et souhaiter que sa criticité soit plus élevée dans les résultat de scans.

Afin d'éviter de polluer les résultats des scans avec des failles qui ne seront pas traités ou pour ajuster le taux de criticité d'une vulnérabilité, OpenVAS donne la possibilité de modifier certains résultats, on parle alors de traitement post-scans ou Override.

Pour créer un nouvel override, il faut aller dans le menu Scans > Overrides. Comme d'habitude, on crée un nouvel élément en cliquant sur .

Dans cette fenêtre, il faudra alors renseigner les champs suivants :

• NVT OID : Il s'agit de l'OID de la faille à traiter lors de sa détection. Les OID sont indiqués dans les détails des failles détectées que l'on retrouvera dans les résultats des scans ou dans l'index des NVT dans le menu SecInfo > NVTs.
• Active : Permet d'activer définitivement, momentanément ou désactiver un traitement.
• Hosts : Permet d'appliquer un traitement à un hôte en particulier ou à tout le monde.
• Location : permet d'affecter le traitement sur tout le système du ou des hôtes ou sur un élément particulier. Le terme Location peut varier selon le NVT, on pourra par exemple voir apparaître le terme Ports. Dans ce cas, le champs d'application sera l'ensemble des ports de la machine ou un port particulier.
• New Severity : On indique ici le nouveau niveau de sévérité à appliquer.
• Task : On choisira d'appliquer le traitement à une tâche en particulier ou à toutes les tâches.
• Text : Il s'agit en fait du titre de votre traitement. Ce titre servira à son référencement dans la listes des traitements.

Un fois les champs renseignés, on valide avec le bouton .

Le nouveau traitement apparaît alors dans la liste :

Astuce

On peut aussi créer rapidement un traitement en cliquant sur qui apparaît dans la colonne Action à droite des failles détectés dans les résultats d'un scan.

Ce menu ne donne accès à aucun paramétrage. Cependant, il est intéressant car il donne une indication sur l'âge des différentes définitions de failles.

Ces mises à jour de définitions ne sont pas automatiques. Je vous conseille de les faire régulièrement. Pour cela, il faut lancer les commandes suivantes, en tant que root, selon le type de définitions à mettre à jour :

greenbone-nvt-sync

greenbone-scapdata-sync

greenbone-certdata-sync