Nessus [LAB-3] Cấu hình quét Discovery các thiết bị trong hệ thống trên Tenable Nessus Professional

phile

Internship/Fresher
Jan 4, 2021
70
15
8
Mục Lục
I. Cấu hình tính năng Host Discovery thông qua Scan Template

II. Cấu hình tính năng Host Discovery thông qua Policy Template
III. Cấu hình xóa các Scan
[LAB-3] Cấu hình quét Discovery các thiết bị trong hệ thống trên Tenable Nessus Professional

Lưu ý: phiên bản Tenable Nessus được sử dụng trong chuổi series này là bản Professional 10.6.4 được dựng trên Windows Server 2022

I. Cấu hình tính năng Host Discovery thông qua Scan Template


Host Discovery cho phép thực thực hiện quét đơn giản để khám phá các host đang hoạt động và port open trên chúng. Khởi chạy quá trình quét này để xem số lượng các host trên mạng và thông tin liên quan như địa chỉ IP, FQDN, hệ điều hành và port open (nếu có). Sau khi có danh sách host, có thể chọn host nào muốn thực hiện các quá trình quét lỗ hổng cụ thể. Khuyến nghị thực hiện quét định kỳ Host Discovery hàng tuần nếu hệ thống không có giải pháp về quản lý asset trong hệ thống.


Tenable Nessus hỗ trợ việc tạo các thư mục để nhóm các Scan lại tùy vào mục và chức năng của Scan và chứa tròn 1 Folder. Để tạo Folder tiến hành vào Scans > chọn New Folder.
1705029871693.png

Sau đó tiến hành điền tên Folder, nên đặt tên Folder theo chức năng của các Scan chứa trong nó.
1705029878009.png

Tất cả các Scan mặc định sẽ nằm trong Folder All Scans (do hệ thống tạo và không thể xóa)
1705030370029.png

Để tiến hành tạo một Host Discovery Scan tiến hành vào Scans > chọn Folder phù hơp > chọn New Scan.
1705029895736.png

Hệ thống Tenable sẽ tự định nghĩa các Scan template dựa vào chức năng của chúng và tùy vào phiên bản Nessus mà các template có thể được hỗ trợ nhiều hơn. Tiến hành chọn Host Discovery.
1705029900743.png

Tiếp theo tại phần Settings > BASIC > General tiến hành cấu hình các thông tin cơ bản cho Scan bao gồm:
  • Name: tên của Scan
  • Descriptions: mô tả chi tiết cho Scan
  • Folder: vị trí thư mục chứa Scan
  • Targets: địa chỉ IP muốn quét
Đối với phần target Nessus hỗ trợ cả IPv4 và IPv6 được điền ở nhiều dạng như: subnet (192.168.1.0/24), IP (192.168.1.1), range (192.168.1.1-192.168.1.10), DNS (www.test.com),...nếu muốn điền nhiều giá trị thì giữa mỗi giá trị cách nhau dấu "," (192.168.1.0/24, 192.168.2.0/24). Trong trường hợp hệ thống có nhiều IP thì có thể thực hiện Upload Targets text file với các giá trị tuân theo các điều kiện sau:
  • Định dạng tệp ASCII.
  • Chỉ có một giá trị trên mỗi dòng
  • Không có khoảng trống thừa ở cuối dòng
  • Không có dòng bổ sung sau giá trị cuối cùng
Lưu ý: có thể điền target thủ công và upload target cùng chung trong 1 Scan
1705029905945.png
1705029910879.png

Tiếp theo tại phần Schedule cho phép cấu hình thông tin hen giờ quét tiến hành chọn Enable để cho phép đặt lịch hẹn quét. Có thể cấu hình lịch quét 1 lần tại 1 khoảng thời gian nhất định hoặc định kỳ quét theo ngày, tuần, tháng , năm. Trong bài lab này sẽ tiến hành quét định kỳ hàng tuần vào thứ 7 lúc 22h.

Lưu ý: để kiểm tra thông tin hẹn giờ sau khi cấu hình nên xem Summary.
1705029939355.png

Tiếp theo tại phần Notification cho phép Nessus tiến hành gửi email sau khi quá trình quét hoàn tất nếu muốn cấu hình nhiều email nhận kết quả thì giữa các email cần có dấu ",", tại đây cũng hỗ trợ lọc các nội dung sẽ được gửi tới email tại phần Result Filters. Để tính năng này hoạt động cần đảm bảo cấu hình SMTP server trong phần Settings.
1705029943518.png

Tại phần DISCOVERY tiến hành chọn Scan Type để cho phép Nessus phát hiện host có đang hoạt động hay không, gồm các loại sau:
  • Host enumeration: sử dụng các giao thức TCP , ARP, ICMP (2 retries) để xác định thông tin IP, FQDN và port up.
  • OS Identification: sử dụng các giao thức TCP , ARP, ICMP để xác định thông tin IP, FQDN, port up và thông tin OS của host.
  • Port scan (common ports): sử dụng các giao thức TCP , ARP, ICMP (2 retries) để xác định IP, FQDN đối với port up (đối với các port thông dụng) sử dụng thêm netstat nếu cung cấp thông tin truy cập host hoặc sử dụng cơ chế SYN scanner (thực hiện 3-way handshake nhưng không hoàn thành nó chỉ gửi gói SYN nếu host có phản hồi lại thì chứng tỏ port đang up)
  • Port scan (all ports): sử dụng các giao thức TCP , ARP, ICMP (2 retries) để xác định IP, FQDN đối với port up (đối với tất cả port từ 1-65535) sử dụng thêm netstat nếu cung cấp thông tin truy cập host hoặc sử dụng cơ chế SYN scanner (thực hiện 3-way handshake nhưng không hoàn thành nó chỉ gửi gói SYN nếu host có phản hồi lại thì chứng tỏ port đang up)
  • Custom: tùy chỉnh cấu hình ping và scan port tùy vào yêu cầu hệ thống
Tất cả các Scan Type (ngoại trừ custom) điều cho phép quét chính bản thân nessus server và sử dụng Use fast network discovery (bỏ qua các quá trình kiểm tra thêm host không phải là proxy hoặc bộ cân bằng tải) khi quét. Đối với các cơ chế Ping gồm TCP , ARP, ICMP hoạt động như sau:
  • ICMP: tiến hành ping từ Nessus tới các host nhưng có thể bị firewall filter hoặc khi host bật firewall internal (ví dụ khi windows firewall được bật thì sẽ không cho phép gói ICMP tới được host)
  • ARP: Ping host bằng địa chỉ MAC của nó thông qua Giao thức ARP. Điều này chỉ hoạt động trên mạng cục bộ.
  • TCP: Ping host bằng cách sử dụng TCP
1705029950166.png

Tại phần REPORT cho phép điều chỉnh các thông số sau khi quét xong một số thông tin:
  • Allow users to edit scan results: cho phép người quản trị xóa các mục khỏi báo cáo khi được bật.
  • Designate hosts by their DNS name: sử dụng tên host thay vì địa chỉ IP để báo cáo đầu ra.
  • Display hosts that respond to ping: báo cáohost phản hồi thành công với ping.
  • Display unreachable hosts: khi được bật, các host không phản hồi yêu cầu ping sẽ được đưa vào báo cáo bảo mật dưới dạng host chết. Không bật tùy chọn này cho các khối IP lớn.
1705029957033.png

Tại phần ADVANCED cho phép cấu hình các thông tin liên quan đến hiệu suất Scan như: cho chậm thực hiên quét chậm lại khi phát hiện hệ thống bị nghẽn, số lượng kiểm tra tối đa trên host, số lượng host tối đa quét đồng thời,...
1705029961294.png

Tiến hành tạo thêm các Discovery Scan để chia nhỏ số lượng host cần quét theo chức năng và vị trí. Tenable Nessus hỗ trợ copy từ 1 Scan cũ sang Scan mới để đẩy nhanh quá trình tạo Scan với chung thông số. Để cấu hình tiến hành chọn Scan muốn copy > chọn More > Copy to > chọn Folder chứa Scan mới > đặt tên cho Scan mới.

Lưu ý: khi copy thì giá trị target sẽ giống nhau giữa 2 Scan, nên cần điều chỉnh lại giá trị này. Việc copy cũng hỗ trợ copy luôn kết quả Scan trước đó.

1705029980429.png
1705029986485.png
Tiếp tục tạo thêm các Discovery Scan như hình bên dưới để phân chia các host cần quét theo phân vùng chức năng.
1705029993117.png

Để kích hoạt Scan tiến hành chọn Scan muốn chạy > More > Lauch hoặc có thể chọn biểu tượng start như hình.
1705030027867.png

Sau khi quá trình Scan hoàn tất tiến hành vào Scan sẽ trả ra kết quả các host đang hoạt động các kết quả này hiển thị trong tab Hosts. Tùy vào loại Scan mà các thông tin của host cũng khác nhau, với Scan Host enumeration thì kết quả gồm: IP của host (có thể là hostname khi cấu hình trong phần REPORT), FQDN và các port đang hoạt động (các port thông dụng).
1705030064116.png

Tab Vulnerabilities hiển thị các thông tin về lỗ hổng và các plugin trên Nessus dùng để phát hiện ra lỗ hổng đó. Các thông tin plugin sử dụng sẽ được xếp hạng dựa vào Severity, đồng thời cũng cho biết số lần sử dụng plugin ở cột Count, tên plugin khi để chuột tới tên sẽ hiện plugin ID ở cột Name, cột Family cho biết plugin này thuộc nhóm nào.

Lưu ý: có thể điều chỉnh severity cho các plugin thủ công bằng cách chọn vào biểu tượng pencil và cũng có thể áp dụng nó cho tất cả Scan sau này. Ngoài ra, còn có thể không cho plugin hiển thị trong kết quả Scan trong một khoảng thời gian bằng cách chọn biểu tượng clock.
1705030102172.png

Khi chọn chi tiết vào một plugin sẽ thấy được thông tin chi tiết của nó, cũng như các host match với plugin và giá trị output của plugin.
1705030107505.png

Tại tab History sẽ cho biết lịch sử các lần quét bao gồm thời gian bắt đầu, kết thúc và trạng thái quét.
1705030110905.png

Nếu trong lúc cấu hình các thông tin của Scan có cấu hình Notification thì sau khi quá trình quét hoàn tất sẽ có email gửi đến như hình bên dưới.
1705030114933.png

Ngoài ra, cũng có thể cấu hình trên kết quả Scan bao gồm export kết quả Scan bằng cách chọn Export > Nessus > chọn định dạng và thông tin trình bày rồi chọn Generate Report.

Lưu ý: để Nessus cho phép export định dạng pdf cần cấu hình cài đặt Oracle Java hoặc OpenJDK trước khi cài đặt Tenable Nessus. Nếu install Oracle Java hoặc OpenJDK sau khi cài đặt Tenable Nessus thì cần re-install lại Tenable Nessus
1705030146821.png
1705030149273.png
Sau khi hoàn tất hệ thống sẽ tự động tải file xuống và kết quả sẽ như hình bên dưới.
1705030156579.png

Để chạy lại Scan tiến hành chọn Lauch, nếu chọn default sẽ tiến hành scan các host như cấu hình trong phần target còn nếu chọn Custom sẽ cho phép điều chỉnh lại giá trị target.
1705030164342.png

Như đã đề cập mỗi loại Scan sẽ có các phương thức hoạt động khác nhau và kết quả trả về cũng khác nhau được liệt kê bằng cách hình bên dưới.
Host enumeration
OS Identification
1705030446526.png
1705030452757.png
Port scan (all ports)
1705030491090.png


Khi hỗ trợ cấu hình phương thức Scan trong Host Discovery Nessus hỗ trợ cấu hình phương thức custom để phù hợp với yêu cầu hệ thống, cấu hình tại DISCOVERY > chọn Scan Type là Custom.
1705030335027.png

Tiếp theo tại phần Host Discovery sẽ cấu hình các phương thức để Nessus ping tới các target bao gồm:
  • Ping the remote host: nếu được bật, máy quét sẽ ping các host từ xa trên nhiều cổng để xác định xem chúng có hoạt động hay không. Khi ping VMware guest systems thì tính năng này cần phải được tắt.
  • Test the local Nessus host: khi được bật, sẽ bao gồm máy chủ Nessus cục bộ trong quá trình quét. Điều này được sử dụng khi máy chủ Nessus nằm trong phạm vi mạng mục tiêu để quét.
  • Use Fast Network: bỏ qua các quá trình kiểm tra thêm host không phải là proxy hoặc bộ cân bằng tải khi được bật
  • ARP: Ping host bằng địa chỉ MAC của nó thông qua Giao thức ARP. Điều này chỉ hoạt động trên mạng cục bộ.
  • TCP: Ping host bằng cách sử dụng TCP
  • Destination ports: các cổng đích có thể được cấu hình để sử dụng các cổng cụ thể cho ping TCP. Điều này chỉ định danh sách các cổng được kiểm tra thông qua ping TCP. Có thể nhập một port, một dãy port hoặc built-in (sử dụng các cổng được liệt kê theo link sau)
  • ICMP: tiến hành ping từ Nessus tới các host nhưng có thể bị firewall filter hoặc khi host bật firewall internal
  • Assume ICMP unreachable from the gateway means the host is down: khi một ping được gửi đến host không hoạt động, gateway của nó có thể trả về một tin nhắn kICMP unreachable. Khi tùy chọn này được bật, khi Nessus nhận được thông báo ICMP Unreachable, nó coi máy chủ được nhắm mục tiêu đã chết. Cách tiếp cận này giúp tăng tốc độ khám phá trên một số mạng. (một số cấu hình firewall sẽ gửi gói ICMP Unreachable khi traffic bị vi phạm chính sách đều này có thể tạo ra trường hợp host up nhưng bị nhận định là down)
  • Maximum number of retries: chỉ định số lần thử ping lại host từ xa.
  • UDP: ping host bằng giao thức UDP. UDP là một giao thức không trạng thái, nghĩa là giao tiếp không được thực hiện bằng các hộp thoại bắt tay. Giao tiếp dựa trên UDP không phải lúc nào cũng đáng tin cậy và do tính chất của các dịch vụ UDP và thiết bị sàng lọc nên không phải lúc nào chúng cũng có thể được phát hiện từ xa.
Ngoài ra, tại đây còn hỗ trợ quét các máy in, các thiết bị OT, các host chạy OS Novell Netware đồng thời cũng hỗ trợ tính năng Wake-on-LAN.
1705030340478.png

Tiếp theo tại phần Port Scanning cho phép phát hiện các port đang Up của target bao gồm:
  • Consider Unscanned Ports as Closed: khi được bật, nếu một cổng không chỉ định trong pham vi quét, Nessus sẽ coi cổng đó đã đóng.
  • Port Scan Range: chỉ định phạm vi cổng được quét, có thể cấu hình một port, một dãy port, default (khoảng 4,790 port thông dụng) hoặc all (quét tất cả port từ 0 - 65,536 )
  • SYN: Sử dụng trình quét Tenable Nessus SYN tích hợp sẵn để xác định các cổng TCP mở trên host đích. Quá trình quét SYN không hoàn thành quá trình TCP 3-way handshake đầy đủ. Nessus gửi gói SYN đến cổng, chờ phản hồi SYN-ACK và xác định trạng thái cổng dựa trên phản hồi hoặc thiếu phản hồi.
  • Override automatic firewall detection: cài đặt này có thể được bật nếu bật tùy chọn TCP hoặc SYN. Khi được bật, cài đặt này sẽ ghi đè tính năng phát hiện tường lửa tự động, lúc này hỗ trợ cấu hình Use aggressive detection (cố gắng chạy plugin ngay cả khi cổng có vẻ bị đóng. Khuyến cáo không nên sử dụng nó trong hệ thống Production), Use soft detection (vô hiệu hóa khả năng giám sát tần suất reset và xác định xem có giới hạn nào được định cấu hình bởi thiết bị downstream network hay không) và Disable detection (tắt tính năng phát hiện Firewall)
  • UDP: tùy chọn này sử dụng máy quét UDP Tenable Nessus tích hợp để xác định các cổng UDP mở trên mục tiêu.
Sau khi đã cấu hình các thông tin chọn Save để lưu lại cấu hình.
1705030343704.png

Sau khi chạy Scan và hoàn thành nó kết quả trả có thông số ở cột Hosts như hình bên dưới.
1705030363587.png

Tại cột Vulnerabilities liệt kê các plugin đã được sử dụng và số lần sử dụng của chúng.
1705030367306.png


II. Cấu hình tính năng Host Discovery thông qua Policy Template

Policy là một tập hợp các tùy chọn cấu hình được xác định trước liên quan đến việc thực hiện quét. Sau khi tạo policy, có thể chọn policy đó làm mẫu khi tạo scan. Để cấu hình vào phần Scans > Policies > chọn New Policy.
1705030515219.png

Tiến hành chọn Policy Templates Host Discovery như hình bên dưới.
1705030519175.png

Tại phần Settings > BASIC > General tiến hành điền tên cho Policy.
1705030523074.png

Tiếp theo tại phần Permissions cho phép chia sẻ chính sách với những người dùng khác bằng cách đặt quyền cho người dùng hoặc nhóm. Khi chỉ định quyền cho một nhóm, quyền đó sẽ áp dụng cho tất cả người dùng trong nhóm.
1705030525458.png

Tại phần DISCOVERY tiến hành chọn phương thức ở đây sẽ chọn Custom.
1705030528402.png

Tiếp theo tại phần Host Discovery sẽ cấu hình các phương thức để ping tới các host như hình bên dưới.
1705030530809.png

Tiếp theo tại phần Port Scanning sẽ cấu hình các phương thức để xác định các port open trên host như hình bên dưới.
1705030533844.png

Tiếp theo tại phần REPORT sẽ cấu hình điều chỉnh các thông số trong kết quả sau khi hoàn thành quá trình quét như hình bên dưới.
1705030536177.png

Sau khi đã cấu hình xong các thông tin tiến hành tạo thêm các Policy cho phù hợp với yêu cầu của hệ thống.
1705030539556.png

Để mapping Policy với Scan tiến hành tạo một Scan mới.
1705030555767.png

Tại phần Scan Templates thay vì chọn các template được hệ thống định nghĩa tiến hành chọn qua tab User Defined và chọn Policy phù hợp như hình bên dưới.
1705030558728.png

Tiếp theo tại phần General tiến hành điền tên cho Scan cũng như cấu hình các target host sẽ quét như hình bên dưới.
1705030561786.png

Sau khi cấu hình xong sẽ được kết quả một Scan như hình bên dưới.

Lưu ý: khi sử dụng Policy cho Scan chỉ có thể thay đổi các thông tin Scan (như Phương thức Scan, report,...) trong Policy mà Scan sử dụng.
1705030572369.png


III. Cấu hình xóa các Scan


Để xóa một Scan tiến hành chọn Scan cần xóa và chọn vào biểu tượng dấu "X" như hình bên dưới.
1705030652479.png

Lúc này Scan sẽ tự dộng chuyển vào mục Trash để xóa hoàn toàn tiến hành chọn vào Scan và chọn biểu tượng "X" hoặc chọn Empty Trash để xóa hết tất cả Scan đangở trongthùng rác.
1705030657031.png
 

Attachments

  • 1705029922761.png
    1705029922761.png
    83 KB · Views: 0
  • 1705029967008.png
    1705029967008.png
    100.8 KB · Views: 0
  • 1705030122647.png
    1705030122647.png
    102.1 KB · Views: 0
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu