Table des matières

OpenVAS - Utilisation
Discussion

OpenVAS - Utilisation

Création — Nicolas THOREZ 2019/02/18 21:46

Présentation de l'interface

Disponible généralement à l'adresse http://ip_du_serveur:9392, l'interface présente un dashboard permettant la configuration et l'exploitation de OpenVAS.

Le dashboard donne un résumé des actions effectuées et permet d'accéder au différents menus tels que :

Scans
- Tasks Pour créer ou lancer des analyses
- Reports Pour afficher les rapports
- Results Pour afficher les failles détectées
Configuration
- Targets Pour créer ou modifier une cible d'analyse
- Port Lists Pour créer ou modifier une liste de ports à analyser

Ajouter une nouvelle cible

Dans un premier temps il faut ajouter une cible dans OpenVAS avant de la lier à une tâche. Pour cela :

On va dans le menu Configuration\Targets.
On clic sur en haut à gauche le la page.
Dans la fenêtre qui apparaît, on indique dans les champs :
- Name : Le nom de la cible, généralement le nom dns de la machine.
- Hosts (option Manual) : l'adresse IP ou le l'URL de la cible.
- Port List : le périmètre de l'analyse, autrement dit, les ports à auditer. Généralement, on choisira All TCP and Nmap top 1000 UDP.
- Alive Test : le type de test d'activité. Les tests via ICMP Ping pouvant être bloquant (pare-feu ou autre), on pourra utiliser Consider Alive afin d'ignorer ce test qui peut entraîner l'abandon des autres tests, l'outil considérant une cible éteinte.

Une fois terminée, on valide en cliquant sur en bas à droite de la page.
La cible nouvellement créée s'ajoute alors à la liste des cibles existantes.

Modifier une cible

Pour modifier une cible, il faut cliquer sur à droite sur la ligne de la cible.

Options désactivées

Certaines options peuvent être grisées et donc non modifiables si la cible est associée à une tâche.

Supprimer une cible

Pour supprimer une cible, il suffit de cliquer sur à droite sur la ligne de la cible. Seules les cibles non associées à des tâches peuvent être supprimées. Si la cible est associée, l'icône sera grisée ().

Cloner une cible

Une cible peut être clonée en appuyant sur . Cela permet d'utiliser l'ancienne cible comme modèle, le champ de création de la nouvelle cible contenant les informations déjà entrées dans la cible d'origine.

Les tâches

Ajouter une tâche

Une fois la cible créée, on peut la lier à une tâche. Pour cela :

On va dans le menu Scans\Tasks.
On clique sur et on choisis New Task.
Dans la fenêtre qui apparait, on indiquera dans les champs :
- Name : le nom de la tâche. On mettra généralement le nom de la cible, suivi si nécessaire du type de test.
- Scan Targets : la cible précédemment créée.
- Alerts : facultatif, permet d'émettre une alerte, comme l'envoi d'un mail selon différentes conditions. Voir OpenVAS - Utilisation avancée.
- Schedule : facultatif, permet de programmer le lancement de la tâche une fois ou de manière répétitive. Voir OpenVAS - Utilisation avancée.
- Auto Delete Reports : Facultatif, permet de supprimer les anciens rapports.
- Scan Config : le type de test que l'on veut effectué. Généralement on utilisera Full and fast.
- Network Source Interface : l'interface de sortie de l'OpenVAS. On peut connaître le nom des interfaces disponibles en faisant ifconfig dans la console du serveur.

Caractère interdit

Le champs Name n'accepte pas l'esperluette (&).

Base de données

OpenVAS utilise une base SQLite3 qui peut devenir particulièrement lourde si on ne fait pas attention à la quantité d'objets qu'elle contient. Je vous conseille vivement de purger les anciens rapports afin d'éviter un plantage de la base, ce qui rendrait le service totalement indisponible.

Scans et DDoS

Full and fast ultimate, Full and very deep et Full and very deep ultimate peuvent entraîner des DDoS.

Astuces

l'icône

à côté des différents champs permet de créer les éléments ces derniers (cibles, alertes et planification) directement depuis la fenêtre de création de la tâche. Plus besoin d'aller dans leur menu respectif.

Une fois terminée, on cliquera sur en bas à droite de la fenêtre.
La nouvelle tâche s'affiche alors dans la liste des tâches précédemment créées.

Lancer une tâche

Pour exécuter une tâche, il faut cliquer sur à droite sur la ligne de la tâche. Si la tâche est planifiée (exécution automatique à l'heure voulu) alors l'icône sera remplacée par .

Exécution manuelle

Si une planification est établie pour la tâche, l'exécution manuelle n'est disponible qu'en entrant dans les détails de la tâche (en cliquant sur son nom)

Mettre une tâche en pause

Pour mettre une tâche en pause, il faut cliquer sur quand elle est en cours d'exécution. Pour la relancer, il suffit de cliquer sur .

Modifier une tâche

Pour modifier une tâche, il faut cliquer sur à droite sur la ligne de la tâche.

Modification

Certaines options sont non modifiables. Il vous faudra créer une nouvelle tâche ou la cloner.

Cloner une cible

Une tâche peut être clonée en appuyant sur . Cela permet de créer d'utiliser l'ancienne tâche comme modèle, le champ de création de la nouvelle tâche contenant les informations déjà entrées dans la tâche d'origine.

Supprimer une tâche

Pour supprimer une tâche, il suffit de cliquer sur à droite sur la ligne de la tâche. Les tâches en cours ne peuvent être supprimées ; dans ce cas, l'icône sera grisée ().

Champs visibles dans la liste des tâches

La listes des tâches nous offre différents champs. On y trouvera les noms des tâches, leurs status, le nombres de tests, la date du dernier rapport la sévérité des vulnérabilités détectées, l'évolution de ces dernières et les actions disponibles.

Le champs Status peut être :

La tâche a été créé mais jamais exécutée
L'exécution de la tâche a été demandée et elle va se lancer dès que possible
La tâche est en cours d'exécution, la barre indique son état d'avancement.
Un arrêt de la tâche en cours a été demandée. Elle va s'arrêter dès que possible en enregistrant son état d'avancement.
La tâche a été arrêtée. Son état d'avancement est enregistré et affiché.
La tâche est terminée. Un rapport a été créé.

Le champs Severity indique le niveau de sévérité des vulnérabilités détectées. Quelques exemples :

La tâche n'a pas pu déterminer un quelconque résultat. Probablement, une erreur de test de connexion.
La tâche n'a détectée aucune faille connue.
Les failles détectées ont un faible impact.
Les failles détectées ont un impact moyen.
Les failles détectées ont un fort impact.
Une erreur a entraîné la fin inopinée du scan.
Une faille a été détectée mais OpenVAS a reçu l'ordre de l'ignorer. Voir OpenVAS - Utilisation avancée.

Le champs Trend nous indique l'évolution des failles détectées. On trouvera :

Criticité détectée en baisse.
Criticité détectée en hausse.
Aucun changement détecté.
Le niveau de criticité est équivalent mais la quantité de failles a baissée.
Le niveau de criticité est équivalent mais la quantité de failles a augmentée.

Les rapports

On peut afficher le dernier rapport d'une tâche en cliquant sur la date dans la colonne Reports de la page des tâches. Sinon, tous les rapports sont disponibles depuis le menu Scans\Reports.

Exemple de rapport :

En cliquant sur le nom de la vulnérabilité, on peut afficher ses détails :

La page indique alors les détails de la faille détectée et donne des pistes de résolutions. Une fois la faille réparée, il faut relancer un scan afin de vérifier que la solution est valide.

Faux positifs

Des faux-positifs peuvent apparaître. Il est conseillé de lancer plusieurs fois une tâche.