Instalación de OpenVas dentro de una Jaula en Fedora

Transcripción

1 Instalación de OpenVas dentro de una Jaula en Fedora Carlos Saltos, Joseph Guamán, Patricio Aguirre, Paúl García Maestría en Seguridad Informática Aplicada (MSIA) Escuela Superior Politécnica del Litoral (ESPOL) Resumen Este proyecto tiene como objetivo detallar el procedimiento para la Instalación de la suite de software de código abierto OpenVas dentro de una jaula en Fedora para restringir el acceso al proceso, la misma está integrada por servicios y herramientas especializadas en el escaneo y gestión de vulnerabilidades de seguridad de sistemas informáticos. En un sistema informático lo que queremos proteger son sus activos, es decir los recursos que forman parte del sistema y que los podemos agrupar en: Hardware, Software, Datos; de los cuales el más crítico son los datos, el resto se puede restablecer. Los datos sabemos dependen entre otras cosas de que la institución tenga una política adecuada de copias de seguridad y sea capaz de reponerlo en el estado más próximo al momento en que se produjo la pérdida. Se hace casi imposible evitar las vulnerabilidades al 100% incluso aun teniendo operativos nuestro firewall, antispam, antivirus y detectores de códigos maliciosos. Lo que si podemos hacer es tratar de evitarlas al máximo posible teniendo presente ciertas recomendaciones como mantener nuestro antivirus actualizado, tener activo el firewall, no caer en trampas de correos spam entre otras. Palabras claves: seguridad, vulnerabilidades, servicios, sistemas, código abierto. Abstract This Project has as objective detailing the procedure for the installation of the suite of open source software OpenVas inside a jail in Fedora to restrict Access to the process, the same consists of services and specialized tools in the scanning and management of security vulnerabilities in computer systems. In a computer system what we want to protect their assets, the resources that are part of the systems and that can be grouped as: Hardware, Software, Data; of which the most critical are the data, the rest can be reset. We know the data depend inter alia that the institution have a policy appropiate backup and be able to reinstate him in the state closest to the time the loss ocurred. Makes it almost imposible to avoid vulnerabilities to 100% operational even taking our firewall, antispam, antivirus and detectors of malicious code. What if we can do is try to avoid them as much as possible as posible taking into account certain recommendations how to maintain our currents antivirus, firewall have active, do not fall into traps of spam s between other. Key words: security, vulnerabilities, services, systems, open source.

2 1. Introducción. La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática, las cuales incluyen autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática. Las vulnerabilidades son debilidades del sistema informático que puede ser usada para causar daño, éstas pueden aparecer tanto en hardware, el sistema operativo así como en el software. Una amenaza a un sistema informático es una circunstancia que tiene el potencial de causar daño, es decir pueden materializarse dando lugar a un ataque en el equipo. El riesgo es la posibilidad que existe de que una amenaza se produzca dando lugar a un ataque al equipo. Hoy en día existen herramientas y técnicas que nos permiten detectar las vulnerabilidades de los sistemas informáticos y poder asegurar éste dado que el activo más importante que se posee es la información. Consisten en brindar seguridad física y lógica a través de aplicación de barreras y procedimientos que reguardan el acceso a los datos y sólo permitir acceder a ellos a personas autorizadas. Las medidas que se consideran básicas para asegurar un sistema podemos mencionar: Cifrar la información, Contraseñas difíciles de averiguar, Redes perimetrales de seguridad, Tecnologías preventivas, detectivas, Copias de seguridad, Restringir el acceso de personas a los programas y archivos. 2. Generalidades 2.1 Antecedentes Las organizaciones han sufrido cambios fundamentales en las últimas décadas con la introducción de la computadora se hizo más evidente la necesidad de herramientas automatizadas para la protección de archivos y otros tipos de información almacenadas en los equipos de cómputo. Existen varios tipos de seguridad, una de ellas es la seguridad física, que se utiliza para proteger el sistema informático utilizando barreras físicas o mecanismos de control. Otro tipo de seguridad es la lógica, que se encarga de asegurar la parte de software del sistema informático así como de controlar el acceso al sistema informático; para que el mismo sea realizado por usuarios autorizados. Cuando tratamos con sistemas Linux sabemos que el usuario root es el que tiene el control total sobre el sistema y puede hacer lo que quiera es por esto que a un hacker le interesa obtener ese status de usuario root y a partir de ahí utilizar la máquina para los fines que el persiga; una de las formas de protegernos de esto es que el root tenga su propia cuenta de usuario y que se conecte siempre como usuario normal. Otra forma de evitar esto es creando jaulas y haciendo que los procesos se ejecuten dentro de las mismas para que así no se pueda acceder a los archivos fuera del directorio establecido. 3. Fundamentación teórica 3.1 Jail en Linux Jail en Linux o chroot es un comando Unix que permite ejecutar procesos bajo un directorio raíz simulado, haciendo que el proceso no pueda acceder a archivos fuera de ese directorio. Al usar chroot para invocar un proceso, se impedirá al mismo y a sus procesos hijos acceder por su nombre a ningún fichero que esté por encima del nuevo directorio raíz; esto es entendido a menudo como un dispositivo de seguridad, ya que en teoría crea una zona segura para ejecutar un programa que crea

3 desconfianza, no está probado o de alguna forma puede presentar un comportamiento peligroso para la integridad del sistema. obligatorio a través de los módulos de seguridad de Linux que están en el núcleo Linux del Sistema. La última versión es Fedora 20 puesta a disposición del público el 17 de Diciembre del Fedora Fedora es una distribución Linux basada en RPM, se caracteriza por ser un sistema estable que cuenta con el respaldo de RedHat. El proyecto no busca sólo incluir software libre y de código abierto sino ser el líder en ése ámbito tecnológico esto es debido a que los desarrolladores de Fedora prefieren hacer cambios en las fuentes originales en lugar de aplicar los parches específicos en su distribución, de esta forma se asegura que las actualizaciones estén disponibles para todas las variantes de Linux. Entre las características de Fedora tenemos que se distribuye en muchas formas diferentes: DVD, Live CD, CD o USB, Imagen de rescate en CD o USB. La herramienta habitual en Fedora, para interactuar con los repositorios a través de línea de comandos se denomina Yum; así mismo existe un entorno gráfico denominado Pirut para tareas de instalación y eliminación de paquetes y Pup para tareas de actualización de paquetes. En cuanto a Seguridad SELinux se destaca pues implementa una gran variedad de Políticas de Seguridad, incluyendo control de acceso 3.3 OpenVas Fue inicialmente denominado GNessUs, una variante del escáner de seguridad Nessus cuando este cambió su tipo de licenciamiento. Es una suite de software que ofrece un marco de trabajo para integrar servicios y herramientas especializadas en el escaneo y gestión de vulnerabilidades de seguridad de sistemas informáticos. OpenVas es una herramienta principal de OSSIM, todos los productos que la componen son software libre y la mayoría de ellos son distribuidos bajo licencia GPL. Entre las características principales tenemos: Escaneo concurrente de múltiples nodos, Soporte SSL, Soporte para WMI, Escaneo automático temporizado, Reportes en múltiples formatos, Servidor web integrado, Multiplataforma, i18n. El escáner de seguridad actual se acompaña con una alimentación diaria actualizada de pruebas de vulnerabilidad de red (NVTs), más de en total.

4 Para construir una jaula completa para Openvas creamos la base de datos de paquetes RPM dentro de un directorio chroot: Creamos el directorio /chroot/openvascs: # mkdir -p /chroot/openvascs/var/lib/rpm Inicializamos la base de datos: # rpm --root /chroot/openvascs --initdb Descargamos los archivos correspondientes a la distribución que estamos usando: 4. Herramientas utilizadas e Implementación A continuación detallaremos las herramientas utilizadas y los pasos para realizar la implementación del proyecto: Software Versión Fedora 19 Openvas Open SSL 1 Apache 2.4 Paso 1: Actualización de los repositorios Para realizar esta tarea se ejecuto el siguiente comando como usuario root en fedora : # yumdownloader --destdir=/var/tmp fedorarelease # cd /var/tmp # rpm --root /chroot/openvascs -ivh --nodeps fedora-release*rpm Paso 3: Instalación del aplicativo: Una vez descargados los archivos podemos usar el comando yum con la opción installroot para instalar el paquete y sus dependencias dentro de la jaula. # yum --installroot=/chroot/openavascs -y install [nombre_paquete] # yum update Figura 2: Creación de la jaula Figura 1: Actualización de repositorios En la siguiente imagen se observa el proceso de instalación del paquete dentro de la jaula: Paso 2: Creación del entorno chroot con yum:

5 Nota: En este paso fue necesario la instalación de OpenSSL dentro de la jaula. Figura 3: Instalación de la paquetería Paso 4: Verificación de directorios: Figura 6: Llaves públicas y autoridad de certificación Una vez que el paquete se instaló podemos ver dentro del directorio creado para la jaula una estructura de directorios similar a la de la raíz del sistema / (Véase Figura 4) Paso 6: OpenVas: Generación de certificados para Figura 7: Generación de claves privadas Paso 7: Reconstrucción de la base de datos Figura 4: Estructura de directorios dentro de la jaula Paso 5: Configuración de la Autoridad de certificación La herramienta Openvas requiere el uso de certificados por lo que durante el proceso de instalación fue requerido crear un servidor de certificado SSL o CA (Véase Figura 5 y 6). Se reconstruye la base de datos con el comando: openvasmd rebuild Paso 8: Configuración del usuario Administrator para OpenVas Ahora tenemos que agregar un usuario administrativo, el cual usaremos para ejecutar nuestro análisis de vulnerabilidades, para esto usamos el comando openvasad: # openvas-adduser -c 'add_user' -n openvasadmin -r Admin Figura 5: Creación del certificado SSL para Openvas.

6 Damos clic en I Understand the Risk, y aceptamos el certificado (Véase Figura) Figura 8: Creación del Usuario Administrador Paso 9: Configuración de OpenVas # openvasmd -p a # openvassd -a p 9393 Figura 11: Autorización de certificado autofirmado: A continuación podemos ver la interfaz de usuario (Véase Figura) : Figura 9a: Configuración de puertos para OpenVas # gsad --http-only --listen= p 9392 Figura 12: Interfaz de Login de Openvas Paso 11: Ejecución de un scan: Figura 9b: Configuración de puertos para OpenVas Paso 10: Ejecución de la interfaz de usuario Figura 13: Ejemplo de scan Figura 10: Notificación de advertencia del Navegador:

7 5. Conclusiones Se cumplió con el objetivo de realizar el Jail con el proceso OpenVas, para la cual se debe considerar todos los elementos directos e indirectos que interactúan con el proceso principal para su instalación en la jaula. Realizar este procedimiento es una buena práctica para mitigar de forma razonable en los diferentes sistemas informáticos la posible explotación de vulnerabilidades (accesos no autorizados, escalamiento de procesos, entre otros) que se puedan presentar. Considerar que realizar el Jail de un proceso, en este caso de OpenVas, no es una solución final para evitar accesos no autorizados o escalamientos de procesos, esta debe ser complementada con otros procedimientos como mejorar la política de seguridad informática, integrar soluciones de seguridad, contra códigos maliciosos, firewalls, herramientas de detección de intrusos entre otros. 6. Referencias [1] ux.html [2] [3] [4] [5] cion/la-jaula-en-linux-chroot [6] form%c3%a1tica/vulnerabilidad [7] form%c3%a1tica