Nessus Denetleme Dosyaları Aracılığı İle Güvenlik Sıkılaştırma Denetimleri
Başka cihazlarla etkileşim halinde olan neredeyse tüm cihazlar için alınması gereken güvenlik önlemleri mevcuttur. Daha karmaşık cihazlarda alınması gereken önlemlerde, haliyle çok olmaktadır. Bazı sistemler için alınması gereken önlemler kitapçıklar halinde yeni sürümler ile birlikte yayınlanmaktadır. Yayınlanan standartlar arasında en çok kabül gören standartlar CIS security Benchmark’lardır. CIS tarafından hangi ürünler için güvenlik sıkılaştırma rehberlerinin yayınlandığı, aşağıdaki linkten incelenebilir ve oluşturulmuş basit form doldurularak gerekli doküman indirilebilir.
Zafiyet tarama araçları arasında en çok tanınan ve kullanılan araçlardan biri olan Nessus programı geliştiricileri, CIS tarafından yayınlanan hemen her güvenlik klavuzları için otomatize taramalara imkan veren, modüller geliştirilir. Bu modüller “audit” dosyaları olarak da tanınmaktadır. XML tabanlı yazılmış bu dosyalar indirilip sisteme tanıtıldıktan sonra hedef sistem bir kaç fare tıklaması ile gerekli güvenlik önlemleri için tarananabilir.
Aşağıda örnek bir tarama çıktısı verilmiştir;
Tarama sonucunu rapor olarak almak mümkün. Rapor
-
HTML
-
PDF
-
Nessus
-
Nessus DB
-
CSV
formatlarında alınabilir. Rapor sonucunda her güvenlik adımı için iki durum bulunabilir;
PASSED: güvenlik önleminin sistemde mevcut olduğunu belirtir.
FAILED: güvenlik önleminin sistemde henüz alınmadığını belirtir.
Bir sistemin Nessus denetleme dosyaları ile nasıl denetlendiğini göstermek için hedef sistem olarak bir çok kurumda kullanılan Redhat Enterprise kullanılacaktır.
Not: Burada amaç olarak Nessus denetleme dosyalarının kısaca kullanımı ve sonucunun yorumlanması anlatılacağından, Nessus’da politika oluşturulması ve tarama detaylarından bahsedilmeyecektir.
Öncelikle sıkılaştırma işleminin yürütüleceği bir politika tanımlanmalıdır. Politikalar sayesinde bir sistemde tüm açıklıklar test edilmez sadece o hedef sistemler için geçerli olan açıklıkların varlığı tespit edilmeye çalışılır. Burada oluşturulacak politika “Advanced Policy” ama diğerleri de seçilebillir nihayetinde eklentiler kısmı düzenlenecektir. İlgili sayfaya ait ekran görüntüsü;
“General Settings” sekmesinden Name parametresine politika ismi girilir.
“Credentials” sekmesinden hesap tanımlamak gereklidir. Hedef sistemde oturum açılmadan sıkılaştırma adımlarının kontrolü mümkün değildir. Hedef sistemin işletim sistemine göre bir seçim yapılır, burada hedef sistem “Redhat Enterprise Linux” olduğu için “SSH Settings özelliği seçilecektir. Gerekli değerler girilir ve kaydedilir.
Sonra “Plugins” sekmesinden tüm sadece iki politika gurubu aktif edilir.
-
Policy Comliance
-
Redhat Local Security (burada Redhat Enterprise Linux kullanıldğı için).
Daha sonra Prefences sekmesinden “Prefences Type” özelliklerinden “Unix Compliance Checks” ayarları seçilir ve hedef sistem için indirilen denetleme dosyası tanıtılır.
İlgili düzenlemelerin yapıldığı Prefences penceresine ait ekran görüntüsü;
Ayarlar kaydedilten sonra sıra bir tarama başlatmaya gelir.
Scans sekmesinden “New Scan” butonu tıklanır ve ilgili değerler doldurulur. İlgili alanların doldurulmuş halinin ekran görüntüsü;
Tarama bittikten sonra elde edilecek görüntü;
Burada önemli olan ve dikkat edilmesi gereken “Failed” ibaresinin bulunduğu tarama sonuçlarıdır.
Bu aşamadan sonra atılmayan güvenlik sıkılaştırma adımlarının atılması kalmıştır. Her ne kadar nessus denetleme dosyaları özenle hazırlanmış olsa da sunulan çözüm adımları açıklayıcı olmayabilir. Bundan dolayı nessus çıktılarından hangi adımların atılması gerektiği belirlenip CIS dokümanlarından da ilgili adımlar atılırsa hem daha anlaşılır hemde sağlıklı olacaktır.