Ev  |  Eri�imd�zeni  |  ��indekiler  |  Arama

Convert to GutenPalm or to PalmDoc taraf�ndan Georges Tarbouriech <georges.t(at)linuxfocus.org> Yazar hakk�nda: Georges uzun zamand�r UNIX kullan�c�s�d�r. G�venlik konusunun, bu y�zy�l�n en �nemli f�rsatlar�ndan oldu�unu d���nmektedir. T�rk�e'ye �eviri: Erdal MUTLU <erdal(at)linuxfocus.org> ��erik: Nessus'un elde edilmesi ve y�klenmesi Nessus'un yap�land�r�lmas� ve �al��t�r�lmas� Nessus i�ba��nda Eklentiler Ve �imdi, tamamen farkl� bir �ey ! Her �ey bitti! Bu yaz� i�in g�r�� bildiriminde bulunabilirsiniz

Nessus : (g�venlik) duvar�na konulmu� bir tu�la daha

�zet:

Nessus, serbest yaz�l�m olan bir g�venlik taray�c�s�d�r. Nessus'u http://www.nessus.org adresinden elde edebilirsiniz. Nessus projesi Renaud Deraison taraf�ndan ba�lat�ld� ve devam ettirilmektedir. Bu yaz�n�n yaz�m� s�ras�nda 1.09 s�r�m� sa�lam, 1.14 ise, deneme s�r�m� idi. Yaz�l�m GPL lisans� alt�nda da��t�lmakta ve projeye bir�ok ki�i, �zellikle eklenti (plugin) yaz�l�mlar�nda katk�da bulunurken, baz�lar� da nessus �al��malar�ndan hi� s�z etmeden yararlanmaktad�r (bu konuya yaz�n�n sonuna do�ru de�ineceim). Nessus bir�ok UNIX ortam�nda hem istemci hemde sunucu olarak �al��maktad�r. Win32 ortamlar�nda sadece istemcisi vard�r. Bu m�thi� araca bir g�z atal�m.

Nessus'un elde edilmesi ve y�klenmesi

http://www.nessus.org adresini ziyaret ederek, bu m�thi� yaz�l�m� elde edebilirsiniz. Nessus'un istemcisi, Win32 i�in var olmas�na kar��n, biz burada do�al olarak Posix s�r�m�n� ele alaca��z.
Nessus'u kullanabilmek i�in en az�ndan nmap ve Gtk (Gimp Toolkit) ya gereksinim vard�r. Bu yaz�l�mlara olan ba�lant� adreslerini, nessusun sayfas�ndan bulabilirsiniz. Nessus'u komut sat�r�ndan da kullanabilece�inize g�re, Gtk'n�n olmas� �art de�ildir.
Nessus'u �� farkl� yoldan elde edebilirsiniz : iyi, k�t� ve �irkin. �yi, standart yoldur, yani size yak�n bir ftp alan�ndan. D�rt adet ar�iviniz olacakt�r : nessus k�t�phaneleri, nasl k�t�phaneleri, �ekirdek nessus ve nessus eklentileri. Ar�ivleri a�t�ktan sonra, yapman�z gerek her zaman oldu�u gibi s�ras�yla : ./configure, make ve make install d�r. E�er, nessusun daha �nceki s�r�m�ne sahipseniz, onu sistemden silmeniz gerekecektir. Bunun i�in nessusun, "./configure" dan sonra kullan�lmak �zere, bir kabuk program� vard�r. Bu kabuk program�n� her ar�iv i�in "make" ten �nce �al��t�r�n�z ve i�lem tamam.
K�t� yol, nessus-installer.sh kabuk program�n� �nternet'ten indirdikten sonra �al��t�rmaktan ge�er. Bunun i�in "sh nessus-installer.sh" komutunu auto-install se�ene�i ile �al��t�r�n�z. Dolay�s�yla d�rt ayr� paket y�klemenize gerek kalmayacakt�r. Art�k, sadece bir paket y�kleniyor.
�irkin yol ise, sisteminizde lynx y�kl� ise, "lynx -source http://install.nessus.org | sh" komutunu �al��t�rman�z yeterlidir. Bunun i�in root OLMAMANIZ gerekmektedir.
Tabii ki, �nerilen yol "iyi" olan�d�r... E�er, nessusu �ektiyseniz, g�venlik sizin i�in �nemli olmal�d�r! G�venlikten s�zetti�imize g�re MD5 toplamlar�n� �ekmeyi ve denetlemeyi unutmay�n.
Nessus, farkl� bile�enler i�ermektedir (nasl, betik dili, nessus-adduser, nessus-build ...). Herbir bile�enin istemci ve sunucu i�in kendi man sayfas� vard�r. Daha fazla bilgi, gelen paketlerirden (README, INSTALL ...) veya nessusun sanaldoku sayfas�ndan elde edebilirsiniz.

Nessus'un yap�land�r�lmas� ve �al��t�r�lmas�

��leri kolayla�t�rmak i�in �rnekleri, nessusun X11 s�r�m�, yani Gtk i�in olan istemci �zerinden g�sterece�iz.

Nessus'u �al��t�rmak i�in, a��kt�r ki, nessus sunucusunu �al��t�rman�z gerekecektir. Nessus sunucusu ilk defa �al��t�r�rken, nessus-useradd ile bir kullan�c� ve ge�i�s�zc��� belirtmeniz gerekecektir. E�er, nessus k�t�phaneleri, "--enable-cipher" se�ene�i ile derlenmi�ler ise, (�nerilen, mutlaka grekli demiyorum!) ki�isel bir anahtar yarat�lacakt�r. Bu anahtar bir ge�i� ifadesi ile korunabilir. Nessus sunucu program�n� �al��t�rmak i�in bir�ok se�enek vard�r. Bunlar�n hepsini, nessusd'nin man sayfas�ndan bulabilirsiniz.
Bundan sonra kullan�c� veritaban�n�z� olu�turabilir ve kurallar� belirleyebilirsiniz. Yani, nessusd sunucusunu kimin �al��t�rma hakk� oldu�u ve neleri tarayabilece�i (bilgisayar, a� ...) gibi. Kurallar, "accept" veya "deny" sonra IP adresi ve onun a� maskesi gelecek �ekilde belirtilmektedir.
S�zgelimi : accept 192.168.1.0/24, kullan�c�ya t�m 192.168.1 a��n� taramas�na izin vermektedir.
Sadece kullan�c� tan�mlayarak, hi� kural koymayabilirsiniz. E�er, �e�itli kullan�c�lar�n nessusd �al��t�rmas�n� istiyorsan�z, nelere izin verdi�inizi �ok dikkatli belirlemeniz gerekmektedir. Herkese, a��n�z �zerinde hert�rl� hakk� vermeyi d���nm�yorsunuz herhalde, yoksa d���n�yor musunuz?
Son olarak, nessusd, (genellikle) /usr/local/etc/nessus/nessusd.conf da bulunan yap�land�rma dosyas�na g�re �al��maktad�r. E�er, ne yapt���n�z biliyorsan�z, bu dosya �zerinde de�i�iklik yapabilirsiniz.

Bundan sonra, nessus sunucusuna ba�lanmak i�in, nessus istemcisini �al��t�rabilirsiniz. �stemciyi �al��t�rmak i�in, komut sat�r�ndan "nessus &" komutunu vermeniz yeterlidir. Yukar�da s�z�n� etti�imiz ge�i� ifadesini do�ru bir �ekilde yad���n�zda, nessusun yap�land�rma penceresi ekrana gelecektir. Bu pencerede, birden fazla pencereye ula�man�z� sa�layan tablar vard�r.
�lk pencerenin ad� "hessus host" dur. Buradaki "Log in" tu�una basarak nessusd sunucusuna ba�lanabilirsiniz. Tabii ki, sunucuya ba�lanma izninizin olmas� gerekmektedir, ba�ka bir deyi�le, kullan�c� olarak sisteme tan�mlanm�� olman�z gerekmektedir.

Nessus i�ba��nda

Taramay� ba�latt���n�z anda, nessus tarama hakk�nda durum bilgileri i�eren bir pencere a�maktad�r. S�zgelimi, t�m 192.168.1.0/24 a� �zerinde denetleme yapt���n�z� varsayal�m. Pencerede ayn� anda sekiz bilgisayar g�r�nt�lenecektir. Herbiri i�in hangi eklenti program�n kullan�ld���, ilerleme �ubu�u ile birlikte yer alacakt�r. ��te �rnek bir g�r�nt� :

Eklentiler

Eklentiler, nessusun kalbidir. Onlar g�venlik denetimleridir, yani harhangibir g�venlik a����n� ke�fedebilmek i�in yaz�lm�� programlar. NASL (Nessus Attack Scripting Language , Nessus Sald�r� Betik Dili) eklentilerin yaz�l�m�nda kullan�lmas� �nerilen programlama dilidir. NASL hakk�nda bilgi http://www.nessus.org/doc/nasl.html adresinden bulabilirsiniz.
Ayr�ca, eklenti yazarak projeye katk�da bulunabilirsiniz. Bu yaz�n�n yaz�m� s�ras�nda nessusun veritaban�nda 756 adet eklenti vard�!
Yakla��k olarak 20 eklenti ailesi vard�r : arka kap�lar, servis �nleme, uzaktan root hakk� elde etme, ... Daha �nce de s�ylenildi�i gibi, her eklenti neyin yanl�� oldu�unu ve nas�l d�zeltilebilece�ini raporlamaktad�r.
Eklentiler hakk�nda s�zederken, CVE (Common Vulnerabilities and Exposures, Bilinen G�venlik A��klar�) dan s�zetmemek olmaz. Bu, http://cve.mitre.org adresinde bulabilece�iniz, �ok b�y�k bir veritaban�d�r. Burada bilinen t�m g�venlik a��klar� hakk�nda bilgi edinebilirsiniz. Bilgi payla��m�nda bulunabilece�iniz m�thi� yerlerden birisidir. Bu sanaldoku y�resi, ziyaret etmeniz gereken yerlerden birisidir.
Tabii ki, nessusun eklentileri hakk�nda bir�ok �ey s�ylenebilir, bunun i�in kitap bile yetmez. Nas�l �al��t�klar�n� ve nas�l yaz�ld�klar�n� ��renmenin yolu /usr/local/lib/nessus/plugin dizinine gidip incelemektir. B�yle m�thi� bir i� ba�ard�klar� i�in Renaud Deraison ve di�er katk�da bulunanlara tekrar te�ekk�r.

Ve �imdi, tamamen farkl� bir �ey !

Yaz�y� okuyan �� veya d�rt ki�i benim konu d��� c�mlelerimi iyi bilmektedir. Bu sefer bunun i�in ayr� bir b�l�m ay�rd�m. Konu d��� olup olmad���, ayr� bir tart��ma. Herneyse.
Bilgisayar g�venli�i konusunda olduk�a ilgili oldu�um i�in, s�k s�k bu konu ile ilgili olan sanaldoku y�relerini ziyaret ediyorum. Buralardan yeni g�venlik a��klar� veya g�venlik ara�lar� hakk�nda bilgi edinebiliyorsunuz. Kaza eseri, sanaldoku sayfal�ndan g�venlik tarama ara�lar� olan bir yer buldum. Kendilerini ASP (Application Service Provider, Uygulama Servis Sa�lay�c�s�) olarak (en az�ndan �imdilik) adland�r�lmaktalar. E�er, biraz ileri giderseniz veya biraz ara�t�rma yaparsan�z, arka planda kulland�klar� motorun nessus oldu�unu g�r�yorsunuz. �imdiye kadar her�ey iyi gidiyor. Ancak, a��k olarak bilgi almaya �al��t���n�zda, "nessus" kelimesini g�remiyorsunuz. ��te burada ben al�n�yorum!
Serbest yaz�l�m i�in �al��an bir�ok insan bunu kar��l�ks�z olarak yapmaktad�r ve ya�amak i�in de�il. Kar��l���nda ald�klar� tek �ey : referans. Nessus GPL lisans� ile �retilmektedir. Yani, herkes bu �r�n� kullanabilir, de�i�tirebilir, uyarlayabilir... yeter ki ger�ek yazarlardan s�z edilsin. Tabii ki, bu lisans bundan fazlas�n� s�ylemektedir. E�er, GPL hakk�nda bilginiz yoksa, bu adresten ��renebilirsiniz.
Bana bu, h�rs�zl�k gibi geliyor. Demek istedi�im, ba�ka bir ki�inin i�ine referans vermek i�in ben �ahsen lisansa gereksinim duymuyorum. Bedavaya (hemen hemen her zaman) �al��an ve serbest yaz�l�m �retip, toplumun kullan�m�na sunan insanlara her zaman sayg� duymu�umdur. Toplum taraf�ndan tan�nmalar�, onlar�n hakk�. Bu �zellikle, birileri onlar�n �r�nlerinden para kazanmaya �al��an ki�iler i�in do�rudur. Buna sayg� duymak ve tan�mak diyebilirsiniz, hi� �nemli de�il. Ger�ek �u ki, bu kelimeler, anlamlar�n� yitirmeye ba�lam��lar. Evet, bunun sorumlusu GPL diyebiliriz. ASP i�in, �r�n sat���n�n var oldu�unu s�yleyemeyiz. �lkeiye g�re de, GPL yasal bir de�er ta��mayabilir.
Kullan�c�lar�n, ASP'lere, arka planda �al��an tarama motorun ne oldu�unu sormalar� bir ��z�m olabilir. Verilen cevap, en az�ndan servisi sa�layanlar�n "d�r�st" olup olmad�klar�n� g�sterecektir. E�er, cevap vermiyorlarsa veya nessus olarak belirledi�niz tarama motoru biz "icat ettik" diyorlarsa, onu kullanmay�n! Nessus'u y�kleyin (ger�ek olan�), bu daha g�venli olcakt�r.
Fakat yine de, �ok b�y�k ve m�thi� bir i� ba�arm�� insanlara "te�ekk�r ederim" demek i�in lisansa gereksinimiz var m�d�r? Bu arada, Renaud Deraison nessus'un lisans�n� de�i�tirmeyi d���nm�yor : nessus GPL kalacak.
�z�r dilerim ama, bunlar�n da s�ylenmesi gerekiyordu.

Her �ey bitti!

Son b�l�me ra�men, bu yaz�dan ak�lda kalmas� gereken, nessusun y�ksek kalitede bir standart olmas�d�r. Olduk�a etkileyici bir yaz�l�md�r. Nmap ile birlikte kullan�ld���nda, g�venlik konusunda endi�esi olanlar�n vazge�ilmez arac� olmal�d�r. Ayr�ca, herg�n geli�tirilen bir ara�t�r. Renaud ve arkada�lar�na, s�rekli olarak eklentileri g�ncelledikleri i�in telekk�r ederim.
Bug�n, nmap ve nessus olmadan sistem y�neticileri �al��amazlar. Bu ara�lar, daha �nceden giderildi�ini d���nd���n�z g�venlik a��klar�n� ortaya ��karmaktad�r. Bilgisayar a��n�zda kulland���n�z bir�ok i�letim sistemi i�in bu do�rudur. Baz� i�letim sistemlerin nessus taraf�ndan tarand�ktan sonra g�venlik a���� i�ermediklerini g�r�nce, biraz rahatlayabilirsiniz.
Art� olarak, bilgisayar a��n�z�n veya bir bilgisayar�n nas�l k�r�laca��n�, nessus sayesinde anlayabilir veya ��renebilirsiniz.
Verilen raporlar� dikkatli bir �ekilde okur, ve gerekli d�zeltmeleri yaparsan�z, bilgisayar a��n�n ve bilgisayarlar�n�z�n g�venli�ini art�rm�� ve geli�tirmi� olursunuz. Geli�tirmi� diyorum, ��nk�, bilgisayar a��n�z, nessus �al��t�r�yorsunuz diye hi�bir zaman % 100 g�venli olmayacakt�r. G�venli�e giden yol �ok uzundur ve biz onun sonundan olduk�a uzakta say�l�r�z.
Serbest yaz�l�m toplu�una, g�venlik konusunda yapt�klar� bu m�thi� i� i�in tekrar te�ekk�r ederim.
Bu serbest yaz�l�mdan para kazanmay� deneyen ince insanlara gelince, "te�ek�r ediyorum" demek problem de�ildir. D�r�st olmak, o kadar da k�t� olmasa gerek, �yle de�il mi? E�er, bu �ekil davran��lar yag�nla��rsa, toplulu�un sonu olacak veya lisans (belkide daha fazla patent!) konusunda b�y�k de�i�iklikler olabilir. Her iki durumda da, herkes kendi ba��na kalacak veya i�ler daha da zorla�acakt�r. Ve maalesef serbest yaz�l�m kullanamaz duruma gelece�iz. Bu, sizin kendi �renlerinizi satabilece�iniz anlam�na gelmemektedir. Tekrar d���n�n!
Harika bir zamanda ya�ad���m�z� d���nm�yor musunuz ?  

Bu yaz� i�in g�r�� bildiriminde bulunabilirsiniz

2001-11-05, generated by lfparser version 2.21