授業資料/12

いつものチェック
脆弱性検査
模擬アタック
- パスワードを失念したと想定して自分のマシンにログイン
- パスワードを失念したと想定して他人のマシンにログイン
レポート
about Icons, ClipArts

いつものチェック †

いつものように，システムについてまずい点がないかチェック，対応しよう．
具体的には，以前も示した次のコマンドを使うことになる．

freebsd-update
portsnap
portaudit

ただし，portaudit で出てくる警告にすぐ対応すべきかどうかは判断が難しい．セキュリティ上の問題がどれくらいか，ports 等のバージョンアップが間に合っているか，バージョンアップに伴う問題が無いか等々，事前に簡単にで良いので検討してから作業をしよう.

↑

脆弱性検査 †

ネットワークサーバとしての脆弱性がどれくらいのものか，定量的に把握するのはなかなか難しい.
しかし，難しいからといって放置しておくとますます状況は悪くなりかねないので，こうした把握について役立つツールを積極的に使おう.

こうした目的には(ネットワーク)スキャナと呼ばれるツールがある.
以下，有名なものを挙げておこう.

SAINT (旧 SATAN)	脆弱性を知るためのスキャナとしての老舗的ツール. SATAN として登場したときは物議をかもした.
Nessus	SAINT よりも使いやすい，レポートが分かり易い，スキャナ機能をプラグイン化してあるなどが特徴. ただし，ver.3.0 から GPL でなくなった(個人的利用は無料でできる).
OpenVAS	Nessus のライセンスが変更になったので開発された，Nessus の後継ソフトェア.

↑

OpenVAS のインストール, 設定 †

さて，今回はライセンス的に問題の生じないツールとして OpenVAS を利用しよう.
OpenVAS は脆弱性チェックを実際に行うサーバと，それに指示を出すクライアントのサーバクライアント方式なので，サーバとクライアントを各々インストールする.

↑

インストール †

まずサーバと，それに必要なライブラリ3つをインストールしよう(psearch openvas とすれば，これらがリストアップされるので分かるはず).

本来ならいつものように portinstall などでサーバをインストールするだけで必要なライブラリも自動的にインストールされるのでそうするのだが，今回はライブラリの一つに問題があり，手で修正を施す必要があるので順番にライブラリを入れていこう.
いろいろな方法で依存関係を調べると，

openvas-libraries
openvas-libnasl
openvas-server
openvas-plugins

の順序でインストールする必要があることが分かる(これ以外の順序ではできない).
そこで，上の順序でインストールする.

 portinstall openvas-libraries
 rehash

次に openvas-libnasl をインストールするが，このライブラリの動作に問題があるので，以下のように対処しておく.
ちなみに，この対処は
http://wald.intevation.org/tracker/download.php/29/220/1079/350/10_fix_gpgme.dpatch
でパッチの形で提供されている.

 cd /usr/ports/security/openvas-libnasl
 make configure
 cd work/openvas-libnasl-2.0.1/nasl
 cp nasl_signature.c nasl_signature.c.ORG

としてから，emacs や vi で nasl_signature.c を読み込み，173行あたりを以下のように編集する.
具体的には，赤字の行を書き足す.

gpgme_ctx_t ctx = NULL;

char * gpghome = determine_gpghome();

gpgme_check_version (NULL);

err = gpgme_engine_check_version(GPGME_PROTOCOL_OpenPGP);

if (err)

{

print_gpgme_error("gpgme_engine_check_version", err);

これで修正が済んだので，あとはインストールの続き.

 cd ../../..
 make
 make install
 rehash

さて，後は残りのものをインストールしよう.

 portinstall openvas-server
 rehash
 portinstall openvas-plugins
 rehash

libnet, coreutils, rsync など，他に必要なものもこの過程でインストールされる.
途中，coreutils のオプション選択時は，

GMP を外しておこう．
また rsync のオプションは，

デフォルトのまま(SSH のみチェック)でよいだろう.

次に，クライアントをインストールしよう.
こちらもいつものように簡単に

 portinstall openvas-client
 rehash

とすればよい.
途中で cups-client のオプション選択が必要なときは，

とりあえず GnuTLS を on にしておけばよいだろう．

また， glib が古いためにインストールが途中で停止するような場合は，

 portupgrade glib

として glib のバージョンを上げてから openvas-client のインストールを再度行おう．
glib のオプションについては，

collation_fix をとりあえず外しておいてよいだろう．

↑

設定 †

まずはインストールログに目を通そう.
とりあえずインストールした openvas 系のもの全てについてチェックする.

↑

openvas-libraries のインストールログより抜粋 †

(ライブラリのリンク云々の他に)

openvas-libraries has been sucessfully installed.

Make sure that /usr/local/bin is in your PATH before you

continue

↑

oepnvas-libnasl のインストールログより抜粋 †

手でパッチあて相当の作業をしたためにログが残らないが，今回の場合はこれについては特に問題ない．

↑

openvas-server のインストールログより抜粋 †

openvas-server has been sucessfully installed.

Make sure that /usr/local/bin and /usr/local/sbin are in your PATH before

you continue.

openvasd has been installed into /usr/local/sbin

という部分と，

This port has installed the following files which may act as network

servers and may therefore pose a remote security risk to the system.

/usr/local/sbin/openvasd

This port has installed the following startup scripts which may cause

these network services to be started at boot time.

/usr/local/etc/rc.d/openvasd

If there are vulnerabilities in these programs there may be a security

risk to the system. FreeBSD makes no guarantee about the security of

ports included in the Ports Collection. Please type 'make deinstall'

to deinstall the port if this is a concern.

For more information, and contact details about the security

status of this software, see the following webpage:

http://www.openvas.org/

という部分が見つかる．まあ特に注目するほどの事はない．

↑

openvas-plugins のインストールログより抜粋 †

(特に注目すべき出力はない)

↑

openvas-client のインストールログより抜粋 †

(特に注目すべき出力はない)

以上のログをみると，特に注意点は無さそうだ.
そこで，次に正式な情報を頼りにしよう.

↑

公式 web の情報を頼りに設定 †

http://www.openvas.org/setup-and-start.html
などを見ながら，次のように設定しよう.

これらマニュアル等で /var とあるところは，/usr/local/openvas と読み替えることになる．

サーバ側証明書作成
まず

 openvas-mkcert

として，サーバの証明書を作ることになる.
すると，SSL 関係で以前にもやった次のようなやり取りをすることになる.
青字が対応/入力である.

-------------------------------------------------------------------------------

Creation of the OpenVAS SSL Certificate

-------------------------------------------------------------------------------

This script will now ask you the relevant information to create the SSL certificate of OpenVAS.

Note that this information will *NOT* be sent to anybody (everything stays local), but anyone with the ability to connect to your OpenVAS daemon will be able to retrieve this information.

CA certificate life time in days [1460]: そのまま enter を押してよいだろう

Server certificate life time in days [365]: そのまま enter を押してよいだろう

Your country (two letter code) [FR]: JP

Your state or province name [none]: Osaka

Your location (e.g. town) [Paris]: Toyonaka

Your organization [OpenVAS Users United]: Osaka Univ.

-------------------------------------------------------------------------------

Creation of the OpenVAS SSL Certificate

-------------------------------------------------------------------------------

Congratulations. Your server certificate was properly created.

/usr/local/etc/openvas/openvasd.conf updated

The following files were created:

. Certification authority:

Certificate = /usr/local/openvas/lib/openvas/CA/cacert.pem

Private key = /usr/local/openvas/lib/openvas/private/CA/cakey.pem

. OpenVAS Server :

Certificate = /usr/local/openvas/lib/openvas/CA/servercert.pem

Private key = /usr/local/openvas/lib/openvas/private/CA/serverkey.pem

Press [ENTER] to exit ← enter を押す

openvas に接続するユーザの設定
次に，openvas サーバに接続できるユーザの設定を行う(client の証明書は今回は不要だ)．

 openvas-adduser

とする. すると，以下のようなやり取りをすることになる.
前半はユーザ名とパスワードの設定で，後半はそのユーザが調べることができるターゲットのサーバを制限する設定である.

0: not found

Using /var/tmp as a temporary file holder.

Add a new openvasd user

---------------------------------

Login : ユーザ名を入れる. FreeBSD のユーザ名などと関係なくてよい

Authentication (pass/cert) [pass] : 今回のような使い方では pass のままでよい

Login password : パスワードを入れる. 画面には出ない

Login password (again) : パスワードを再度入れる. これも画面には出ない

User rules

---------------

openvasd has a rules system which allows you to restrict the hosts that paoon has the right to test.

For instance, you may want him to be able to scan his own host only.

Please see the openvas-adduser(8) man page for the rules syntax.

Enter the rules for this user, and hit ctrl-D once you are done:

(the user can have an empty rules set) ここから，このユーザのターゲット制限を設定する

accept 192.168.125.0/24 ← 今回はこうしておく

accept 127.0.0.0/24 ← 今回はこうしておく

default deny ← 今回はこうしておく

^D ← ctrl キーを押しながら d キーを押す

以下，確認のために入力情報が出力される

Login : ユーザ名

Password : ***********

Rules :

accept 192.168.125.0/24

accept 127.0.0.0/24

default deny

Is that ok? (y/n) [y] 問題がなければ y と答えよう

user added.

これで openvas サーバを使うユーザ設定が済んだ.

ちなみに，このユーザ設定は
/usr/local/openvas/lib/openvas/users/
の下にファイルが置かれる.
設定を変更したいときは，このファイルを書き換えれば良い.

脆弱性をチェックするプラグインを導入
次に，スキャナプラグイン(様々な機能がプラグインになっていて，日々更新されている)全部をネットワークから取得する．

 openvas-nvt-sync

とすればよい. 少し時間はかかる.

悪さをするプラグインを外しておく
一種のバグか互換性問題なのか，一部のプラグインと openvas の client(ver.2 系)の相性が悪く，このままだと client が途中で動かなくなるハメに陥る．
そこで以下のようにしてとりあえずそれっぽいプラグインを外しておく(脆弱性を本格的に調べるならば，こんな乱暴に外さずに，本当に悪さをするプラグインを特定して外すべきであるが)．

 cd /usr/local/lib/openvas
 mkdir plugins_removed_files
 cd plugins
 mv ./GSHB ../plugins_removed_files/

↑

OpenVAS サーバの起動 †

ここまで問題がなければ，

 openvasd -D

としてサーバをデーモンとして起動しよう. スキャナプラグインを読み込むのに初回だけ結構時間がかかるのでしばらく待とう.
確かに起動したかどうかを，

 lsof -i4

として確かめよう. port 9390 で openvasd が待ち構えているならば OK だ.

↑

OpenVAS クライアントの起動 †

さて，OpenVAS クライアントを起動しよう.
これは X window 上でやった方が良い(コマンドラインのみでも可能だが)．

以下のコマンドを打ち込もう(大文字小文字は区別する).

 OpenVAS-Client &

すると，

のような画面でクライアントが起動するはずだ.

↑

脆弱性検査の準備 †

どのマシンにたいして，どのような検査を行うのかという内容の設定が準備として必要である.
そのあと，サーバに接続して，サーバに検査を行わせることになる.

具体的には，設定はクライアントで以下のようにする.

↑

task, scope を設定する †

task, scope とは検査内容の設定単位と思えばよい.
まずはこれを作る.

具体的には，以下のようにすればよい．
まず，メニューの Task -> New を選んで，新しいタスクを作る.

このとき，新しく作ったタスクに名前がついていないので，適当に名前をつけておこう.

次に，メニューの Scope -> New を選んで，今作ったタスクの中に新しいスコープを作る.

このとき，新しく作ったスコープにも名前がついていないので，適当に名前をつけておこう.

↑

最小限の設定 †

あとはこのスコープに対して設定を行う.
といってもまずはほぼ標準でよいので，以下のようにすればよい.

まず，非破壊検査(ターゲットサーバへの影響無し)を行うのか，破壊検査(ターゲットサーバのサービスが落ちる可能性あり.再起動すれば影響は消える)を行うのかを決める.
非破壊検査は副作用がないが，厳しい検査はできない.
破壊検査は，サーバのデーモンが落ちる可能性があるが(落ちるかどうかを検査する)，厳しく検査できる.

今回はまあ非破壊にしておこう.
具体的には，右側の Options タブ中の General を選択すると，やや下側に "Safe checks" という項目があり，これがチェックされていれば非破壊，チェックされていなければ破壊ということになる.

次に，ターゲットを決める.
最初は自分自身がよいだろう.
そこで，右側の Options タブ中の Target selection を選択すると，"Target(s):" という項目があるので，ここで設定すればよい.
おそらくデフォルトで "localhost" (自分自身のこと)と書かれているだろうから，その場合はそのままでよい.

これで最小限の設定が完了だ.

↑

クライアントをサーバに接続する †

次に，クライアントをサーバに接続する. そうしないとクライアントからサーバに指令が出せないし，結果も受け取れない.
具体的には，(設定したスコープが選択されていることを確認した上で), メニューの File -> Connect を選択する.

すると，接続先と認証方法の設定画面が出る. 接続先はデフォルトの localhost, port 9390 で問題ない. 認証は，先ほどパスワード方式を選択したので，先ほど設定したユーザ名とパスワードを入力して，右下の OK を押そう.

初めて接続するときは SSL 証明書の扱いについて尋ねられるが，一番上を選んで，あとは OK で良い.

これで接続されることになる. ただし，初回のみプラグインのダウンロードで少し待たされるのでゆっくり待とう.
しばらくすると


となり，ダウンロード終了の通知が出るはずなので，ここで OK を押せばよい.

↑

脆弱性検査を行う †

これであとは検査を実施するだけである.
これはもう簡単で，メニューの Scope -> Execute を選択すればよい.

すると，しばらくして検査がはじまり進捗度が表示されるので，あとはじっと待てばよい.

↑

検査結果をチェック †

検査結果はクライアントで "report" 項目をダブルクリックするなどすればそのまま見られるようになっている.
危険度が高いと思われる報告ほど警告色が使われたアイコンがついていたりするので，状況は一目瞭然だろう.

自分のマシンの検査結果を見て，危険と思われる報告に目を通そう(特に Security hole と表示されている部分).
その上で，どうすべきか判断せよ.
対策が必要と判断した場合は，対策を施そう.

なお，検査結果はメニューで Report -> Export を選択することでファイルに出力することもでき，形式はいろいろ選べる.

例えば html 形式で出力したファイルを web browser で見てみると次のようになる．

↑

他のサーバをターゲットとして検査をしてみる †

一通り対策などができた，と感じたら，同じ部屋の人に協力して貰って，御互いに相手の人のサーバをターゲットとして検査を再び行ってみよう.
破壊検査も試してみよう("safe check" の項目のチェックを外す).
脆弱性検査は「アタックの一部」と見なされるので，相手の許可無しには絶対に行わないこと!!

↑

模擬アタック †

さて，セキュリティについての総合的な感覚を養うために，これまでの知識などを利用して，サーバへのアタックを模擬的に行ってみよう.
これにより逆に「防御するにはどうしたらよいか」がよりよく理解できるはずである.

なお「模擬的に」というのは，PC を破壊してハードディスクを抜き出す，内部のファイルを壊すなどしてアタックを成功させる，などの「後に支障が残りそうな」方法は避けておく，というていどの意味である.
具体的には，以下のように行おう.

↑

パスワードを失念したと想定して自分のマシンにログイン †

自分のパスワードを全て失念したが，どうしても読みたいファイルが存在するのでなんとかしたいという想定のもとで，自分のマシンにログインないしはファイルアクセスが可能な状態にまでもっていってみよう.
ここにはあえて方法は書かないので，よく考えて行おう.
手間をかけても良ければ，(原理的には)何通りか思いつくだろう.

↑

パスワードを失念したと想定して他人のマシンにログイン †

上と同様の試みを，他人のマシンに対して行ってみよう. もちろん，事前にそのマシンの管理者に許可を得手から行うこと.

管理者の許可ナシにこうした行為を行うことは絶対にしないように.

↑

レポート †

途中で「調べよ」等と指示された事項について調査を行い，報告せよ.
もちろん各自の

所属(学部，学科)
学籍番号
学年
氏名
日時
肝心のレポート内容(得た知見，作業について気づいたこと等)

を書くのを忘れないように.

↑

about Icons, ClipArts †

Some icons in this page are downloadable at ICONFINDER.

The "note" icon designed by Marco Martin is distributed with the LGPL licence,
the "warning" icon designed by Alexandre Moore with the GPL licence
and the "triangle" icon designed by Joseph North is distributed with the Creative Commons (Attribution-Noncommercial-Share Alike 3.0 Unported) licence.

Some clip arts used in this page are downloadable at Open Clip Art Library.
We deeply appreciate their superb works. With licence, they describe that "the actual clipart content on open clipart library is Public domain" in the web.