Splunk — Nessus Entegrasyonu
Nessus zafiyet analizi için en sık kullanılan araçların başında gelmektedir. Nessus ile aşağıdaki işlemler ayrı ayrı politikalar oluşturularak yapılabilmektedir:
· Host Discovery Taraması
· Port Tarama
· Zafiyet Taraması
· Credentiallı Zafiyet Taraması
· Web Zafiyet Taraması
· Uyumluluk Taraması
· Malware Taraması
Nessusa giriş için http://127.0.0.1:8834 adresi ile Kali Linux makinası üzerinden yazılıma giriş yapabilirsiniz.
Nessus ile zafiyet taraması oluşturmak için ilk olarak bir politika oluşturalım.
Bunun için ekranın sol tarafında yer alan menüden “Policies” sekmesine geliyoruz.
New policy seçeneği ile yeni bir politika oluşturmaya başlıyoruz.
Tarama politikası için ayrılmış her bir politika “Advanced Scan” seçeneği ile oluşturulabilmektedir. Biz de bu seçeneği kullanacağız.
Tarama politikasına bir isim giriyoruz.
Bir sonraki aşamada “Discovery” bölümünden “Host Discovery” kısmında eğer sistemler pinge açık ise ilk olarak ping taraması yapılması için Ping the remote host seçeneğini aktif hale getiriyoruz.
Eğer tarama yapacağımız sistemle kurban sistem arasında proxy ve load balancer varsa yapılan taramada false pozitifleri azaltmak için “Use fast network discovery” seçeneği aktif hale getirilmesi önerilmektedir.
Port taraması ayarları için Discovery sekmesinden port scanning bölümüne giriyoruz.
Port taramasında ulaşılamayan portları kapalı olarak tanımlaması için “Consider unscanned ports as closed” seçeneğini aktif hale getiriyoruz.
Port taramasında bütün portları taramak için port scan range kısmı all yapılarak bütün portların taranması sağlanabilir.
Açık olan portlar hakkında açık olan portun doğrulanması için “Verify open TCP ports found by local port enumerators” aktif hale getirilmelidir.
SSL sertifikalarıyla ilgili bütün portlardaki kontrolleri sağlamak için “Search for SSL/TLS on” seçeneği “All ports” olarak düzenlenmelidir.
Nessus ile aynı zamanda kaba kuvvet saldırısı yapılabilmektedir. Hydra yüklü olması durumunda bu özellik kullanılabilmektedir.
Nessus ile aynı zamanda web uygulamalarını taratabildiğimiz için Scan web applications seçeneğini aktif hale getiriyoruz.
1 nolu seçenek ile maksimum web uygulamasında crawl işlemini yapacağını belirleyebiliyoruz.
2 nolu seçenek ile kaç path içeriye girileceğini belirtiyoruz.
3 nolu seçenek ile yaratılan dinamik sayfaların kontrol edilmesini sağlıyoruz.
4 nolu seçenek ile OWASP Top 10 deki zafiyetleri kontrol etmesi için seçmemiz gerekmektedir.
5 nolu seçenek ile HTTP login işlemi fail olursa göz ardı etmesini sağlamak için işaretlenmektedir.
6 nolu seçenek ile bütün HTTP parametreleri kontrol edileceği belirtilmektedir.
7 nolu seçenek ile gömülü web sunucularını test etmek istediğimizi belirtiyoruz.
Bütün parametreleri seçmek için ayrıca Test all combinations of parameters de aktif hale getirilmelidir.
Ayrıca bütün iş akışı kontrolü için “Look for all flaws” seçeneği seçilmelidir.
Güvenli tarama için Advanced seçeneğine gelip aşağıdaki ayarların yapılması güvenli tarama için önem teşkil etmektedir.
1 nolu seçenek aktif hale getirilerek güvenli tarama aktif hale getirilmektedir.
2 nolu seçenek ile herhangi bir host taramaya cevap vermezse taramanın durdurulacağı belirtilmektedir.
3 nolu seçenek ile tarama işleminin random IP adreslere yapılacağı belirtilmiştir.
4 nolu seçenek ile networkte herhangi bir çakışma olduğu zaman taramanın yavaşlatılacağı belirtilmiştir.
5 nolu adımda network timeout değeri 5 saniye olarak tanımlanmıştır.
6 nolu adımda her bir host için kaç kontrolün gerçekleştirileceği belirtilmiştir.
7 nolu adımda ise her bir tarama aşamasında kaç hostu taranacağı belirtilmiştir.
Politika kaydedilerek çıkılmalıdır.
Bu adımda Scans bölümünden yeni bir tarama oluşturulmaya başlanmalıdır.
New scan butonuna basarak oluşturmuş olduğumuz politikayı “User Defined “ kısmından seçiyoruz.Zafiye tarama seçeneğini seçerek taramanın bu politikayı kullanmasını sağlıyoruz.
Bir sonraki adımda taramaya isim verip zafiyet taraması yapmak istediğimiz IP adresini Targets sekmesine girerek save butonuna basıyoruz.
Taramayı aşağıdaki butona basarak başlatabiliriz.
Tarama sonuçları aşağıdaki şekildedir:
Zafiyet taramasının içine çift tıklayarak girip tarama sonuçlarını inceleyebiliriz. Sızma testinde ilk olarak bakılacak bölümlerden biri filterdan Metasploit Exploit Framework değerinin True olması seçilmelidir.
Filtreleme sonucunda Metasploitle exploit edilebilecek zafiyetler aşağıdaki şekildedir:
Nessus üzerinden Settings menüsünden My Account kısmına giriş yapıp,API Keys menüsünden Generate butonuna basarak API Keyimizi üretiyoruz.
Ürettiğimiz API Keyi aşağıdaki koda girmemiz gerekmektedir.
Splunka yüklenen veriler aşağıdaki şekildedir:
