Tag: vulnerability scanner

Nmap sebagai Vulnerability Scanner

Aaaah udah lama ga nge-blog 😀

Akhir-akhir ini perkembangan script di Nmap sangat pesat, salah satunya adalah –script=vulscan yang dibuat oleh Marc Ruef <marc.ruef () computec ch>.

Script ini menggunakan database vulnerability dari OSVDB: The Open Source Vulnerability Database, mengenai OSVDB bisa dilihat disini

Dengan menggunakan script ini membuat nmap menjadi seperti nessus, openvas, nexpose dll. tetapi menurut Marc masih terdapat kekurangan dan kesalahan dalam hasil scan-nya. Walaupun begitu mari kita tetap mencobanya 🙂

Pertama download script-nya dulu disini, file download-nya berupa tar.gz, diextract dulu:

tar -xvf nmap_nse_vulscan-0.6-20110427.tar.gz

Taruh (copy) folder /vulscan hasil extract diatas di folder lokasi script Nmap, karena saya menggunakan BT5 maka berada di /usr/local/share/nmap/scripts/ dan /opt/framework3/share/nmap/scripts/ (yup, skrg nmap telah menjadi bagian dari Metasploit Framework).

Didalam folder /vulscan dapat dilihat bahwa terdapat file object_correlations.txt, object_links.txt,  object_products.txt, vulnerabilities.txt dan vulscan.nse.

(Klik gambar untuk memperbesar).

Tampaknya semua database yang ada di OSVDB ditaruh dalam file vulnerabilities.txt, dan file object_*.txt adalah file yang digunakan vulscan.nse untuk mencocokkan data hasil fingerprint dengan vulnerabilities yang ada.

Sudah?? mari kita mencoba sebuah scan:

nmap -PN -sS -sV --script=vulscan -p80 scanme.nmap.org -oN test.txt

Kalau diurutkan line diatas menunjukkan nmap sedang melakukan:
Treat all host alive (-PN), syn scan (-sS), services dan version scan (-sV), menggunakan script vulscan (–script=vulscan), pada port 80 dari website scanme.nmap.org (-p80 scanme.nmap.org) dan hasil scan disimpan di file test.txt (-oN test.txt).

Hasilnya:


Karena memang website scanme.nmap.org dibuat untuk target, maka hasil vulnerability yang dihasilkan juga cukup byk 🙂

Dalam contoh diatas dapat dilihat angka dari ID OSVDB dan vulnerability yang ditunjukkan adalah hasil dari fingerprinting port/service yang dicocokkan dengan database OSVDB pada direktori /vulscan tadi.

Tampaknya setelah dilihat-lihat data yang muncul di hasil scanning diatas banyak sekali….
Ternyata kelemahan yang telah disebutkan Marc adalah hasil scanning nmap dengan database OSVDB yang kurang sinkron karena perbedaan konversi nama produk dan vulnerabilities-nya.

The current implementation uses, if executed with no further options, a full-text search of the title field in the vulnerabilities table to determine affected products. The reason for this simple approach called title lookup is, that nmap and osvdb do not share the same naming conventions for products and osvdb does not provide full support of the linking between products and vulnerabilities. This mode may cause some false-positives (e.g. Apache httpd).

Untuk mengurangi kesalahan/kelemahan tersebut, sebaiknya ditambahi –script-args vulscancorrelation=1 menjadi:

nmap -PN -sS -sV --script=vulscan --script-args vulscancorrelation=1 scanme.nmap.org -oN test.txt

Well, bagaimana menurut anda?? cukup keren kan?

Belum juga :p, karena tampaknya Marc sedang merencanakan untuk menambahkan database dari "SecurityFocus, CVE dan Secunia” sehingga makin lengkap (ini baru keren :thumbup).

Silahkan ditelusuri lebih lanjut, masih banyak jalan berkelok dan gang buntu didepan 😀

Jangan lupa database OSVDB-nya diupdate terlebih dahulu sebelum digunakan, download disini (pilih format XML).

Semoga bermanfaat,
M

Sumber:
http://seclists.org/nmap-dev/2010/q2/726


Menggunakan Nessus Vulnerability Scanner

Dahulu kala menurut mitologi Yunani, Nessus adalah Centaur (setengah manusia setengah kuda) yang terkenal karena dibunuh oleh Heracles atau disini sering disebut Hercules…

Okee……

Tapi yang akan dibahas disini bukan Nessus diatas tetapi sebuah software buatan Tenable Network Security yang sering digunakan untuk mencari suatu celah keamanan pada komputer yang terkoneksi pada jaringan. Atau ada yang mau dengerin cerita Nessus the Centaur?? 😀 😛

Nessus Vulnerability Scanner

Oke, mari kita bahas sedikit cara menggunakan Nessus Vulnerability Scanner

Menurut Sectools.org, Nessus menduduki peringkat pertama dalam #Top 100 Network Security Tools.

Nessus dirancang untuk memeriksa mulai jaringan kecil sampai besar secara cepat serta dapat digunakan untuk host tunggal (hanya 1 alamat IP). Fokus pemeriksaan yang dilakukan oleh Nessus adalah dalam hal patch dari sistem operasi serta port-port yang terbuka sehingga dikhawatirkan menimbulkan kerawanan pada jaringan tersebut.

Nessus bisa didapatkan secara gratis disini, pilih yang versi Nessus for Home. Maksimal pemeriksaan untuk versi Home adalah sebanyak 16 host dan tidak mendapat support dari Tenable. Adapun kelebihan Nessus yaitu dalam hal pengoperasian yang berbasis web sehingga memudahkan pengguna untuk mengoperasikannya.

*Disarankan menggunakan Nessus dengan browser Google Chrome dan Mozilla Firefox terbaru.

Disini akan dibahas penggunaan Nessus dengan OS Windows (XP, Vista dan 7)
Setelah Nessus diinstall ke dalam komputer/laptop pemeriksa, maka akan muncul 2 icon baru yaitu:

A. Nessus Server Manager
Digunakan pertama kali untuk melakukan registrasi, setelah nomor registrasi dari email dimasukkan, nessus akan melakukan update plugin secara otomatis. Nessus terdiri dari ribuan program-program kecil untuk melakukan pemeriksaan kerawanan (vulnerability) yang dinamakan Plugin.

Menu Nessus Server Manager

Setelah itu menambahkan user baru pada menu Manage Users, masukkan nama username dan password yang diinginkan, jangan lupa centang tanda Administrator.
Apabila Nessus telah lama tidak digunakan sebaiknya melakukan update plugins.
Start Nessus Server jika belum dijalankan.

B. Nessus Client
Setelah selesai melakukan setting pada Nessus Server Manager selanjutnya adalah melakukan pemeriksaan dengan menggunakan Nessus Client. Klik saja icon Nessus Client.

1. Apabila muncul web browser dengan tampilan seperti di bawah. Pilih dan klik “I Understand the Risks”, Klik tombol “Add Exception..”, Klik tombol “Get Certificate”, Kemudian klik tombol “Confirm Security Exception”

2. Kemudian pada web browser muncul tampilan Nessus Client. Masukkan username dan password yang sudah disetting di Nessus Server Manager diatas, kemudian klik “Log In”.

Nessus Client

3. Muncul tampilan seperti di bawah. Pilih dan klik menu “Policies”. Lalu klik Add.

Setting Policies

Policies adalah setting pilihan akan apa saja yang akan dilakukan oleh Nessus, sehingga setiap pemeriksaan bisa disesuaikan dengan kebutuhan. Untuk memahami tiap menu di dalam menu Policies bisa dilihat disini
Tampilan dari halaman menu Policies:

Setting Policies

4. Setelah selesai membuat “Policies”, selanjutnya pilih menu “Scans”. Lalu klik Add

Pada menu Scans, isi kolom Names, pilih Type “Run Now”, pilih Policy sesuai dengan Policies yang telah dibuat sebelumnya kemudian masukkan alamat IP komputer yang akan diperiksa.
Tampilan dari halaman menu Scans:

Ingat!, karena ini Home Feed maka maksimum alamat IP yang bisa diperiksa bersamaan adalah 16 host.

Setelah itu klik “Launch Scan” di pojok kanan bawah.

Akan tampil halaman seperti dibawah ini:

Scanning…

Klik tulisan running diatas untuk melihat detail pemeriksaan, jika ingin melihat detail untuk tiap alamat IP tinggal klik alamat IP yang diinginkan.
Contoh ketika tulisan running diklik ada pada gambar dibawah ini:

Pada gambar diatas terdapat 2 (dua) alamat IP/Host yang sedang diperiksa, ada kolom progress, kolom open port dan ada kolom Severity (Tingkat Kerawanan) yang dibagi menjadi 3 (tiga): high, medium dan low.
Kolom Severity (High, Medium dan Low) adalah tingkat kerawanan komputer yang sedang diperiksa, semakin tinggi tingkat kerawanan maka semakin mudah dibobol oleh hacker dan virus.

Contoh untuk ketika dipilih salah satu alamat IP dengan Severity High:

Kemudian pilih Severity dengan nama MS05-027:

Severity High

Dari gambar diatas terdapat beberapa hal yang harus diperhatikan:

Port/Service yang memiliki kerawanan (vulnerability)
Dengan informasi port/service mana yang terdapat kerawanan maka dengan mudah dapat dicari informasinya di internet.

Synopsis dan Deskripsi
MS05-027 adalah salah satu kerawanan dari OS Microsoft Windows yang telah diperbaiki (patched) dan bisa dilihat di Microsoft Security Bulletin. Dari keterangan gambar diatas MS05-27 ini adalah sebuah kerawanan dari SMB (server message block) di OS Windows sehingga memungkinkan sebuah serangan jarak jauh (melalui jaringan atau internet) yang dapat menjalankan suatu perintah tanpa target menyadarinya.

Solution
Biasanya untuk kerawanan dengan kode MS dari OS Windows dapat dengan mudah dilakukan update/patch OS, tinggal klik link dibawahnya.
Atau salah satu solusi umumnya gunakan antivirus yang terupdate dan memiliki fitur firewall di dalamnya.

CVE (Common Vulnerabilities and Exposures)
CVE adalah daftar kerawanan teknologi informasi yang telah diketahui oleh umum. bisa dilihat lebih lengkap disini.

Untuk kerawanan yang belum memiliki solusi atau biasanya disebut “Zero Day Attack” belum ada dalam plugin Nessus sehingga tidak dapat dideteksi apalagi ditanggulangi.

5. Terakhir adalah menyimpan hasil pemeriksaan di menu “Reports”
Untuk menyimpan hasil scanning dengan Nessus pada menu “Report” dapat dilakukan dengan cara klik dua kali nama/judul dari scanning yang akan disimpan.

Kemudian di sebelah kiri, klik tombol “Download Report”. pilih “Executive HTML report” dan klik tombol “Submit”.


Contoh Executive HTML Report:

Nessus Executive HTML Report

Pada gambar diatas dapat dilihat data statistik dari masing-masing Severity, alamat IP yang memiliki High Severity Problems dan jenis Plugin yang sering digunakan dalam pemeriksaan.

Pheewww….capek juga sharing ini, semoga bermanfaat yang baik dan CMIIW

M

#Penulis bukan reseller Nessus, bukan juga karyawan Tenable, hanya pengguna saja. Selain itu penulis tidak bertanggung jawab atas akibat penggunaan Nessus ini 😀