Artikel mit Tag it forensik

Security: GVM 21.04 - mit Docker in 15 Minuten zum OpenVAS Schwachstellen Scanner

OpenVAS bzw. Greenbone Vulnerability Manager ist nicht ganz einfach zu installieren, da viele Abhängigkeiten und Pakete gebaut werden müssen.
Eine etwas ältere Anleitung ist noch auf ITrig zu finden.

Mithilfe von Docker kann der Installationsprozess stark beschleunigt werden.
Händische Konfigurationen und Updates fallen weg und innerhalb kurzer Zeit steht ein vollständig eingerichtetes Schwachstellenmanagement zur Verfügung.

Greenbone_Security_Assistant

GVM 21.04 mit Docker Compose installieren

Zunächst sollte Docker installiert werden.

Docker Debian installieren

apt remove docker docker-engine docker.io containerd runc
apt update
apt install apt-transport-https ca-certificates curl gnupg lsb-release git

curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg

echo \
  "deb [arch=amd64 signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/debian \
  $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

apt update
apt install docker-ce docker-ce-cli containerd.io

Docker Ubuntu installieren

sudo apt remove docker docker-engine docker.io containerd runc 
sudo apt update
sudo apt install apt-transport-https ca-certificates curl gnupg lsb-release git

sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg

sudo echo \
  "deb [arch=amd64 signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu \
  $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

sudo apt update
sudo apt install docker-ce docker-ce-cli containerd.io

Docker Compose darf ebenfalls nicht fehlen

Docker Compose Debian/Ubuntu installieren

sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

sudo chmod +x /usr/local/bin/docker-compose

docker-compose --version

Installation GVM 21.04 mit Docker

# Clonen/Installieren
cd /opt
sudo git clone https://github.com/immauss/openvas.git

# Admin pw anpassen
cd openvas/
nano docker-compose.yml

# System starten
docker-compose up -d
#Logs anschauen
docker-compose logs -f
#Server überprüfen
ss -lntp |grep 8080

Der erste Start kann recht lange dauern, da im Hintergrund alle NVTs geladen werden.

Der Installationsfortschritt kann mit docker-compose logs -f verfolgt werden.

Sollten Fehler passieren, hilft meist ein Neustart des Vorgangs. Gleiches gilt für ein Update der Signaturen.

openvas-docker

#Neustart oder Signaturen aktualisieren
cd /opt/openvas
sudo docker-compose down && docker-compose up -d

#Neueste Logs prüfen
sudo docker-compose logs --tail="50"


Schlussendlich ist das Tool unter http://localhost:8080/login erreichbar und einsatzfähig.


Allerdings empfehle ich einen Proxy mit HTTPS vorzuschalten und den Port 8080 auf Localhost umzubiegen.

Ein Proxy könnte im Docker-Compose File integriert oder direkt installiert werden.

Docker-Compose anpassen

Das Umbiegen auf Localhost, kann im Docker Compose File vorgenommen werden.

#Beispiel für eine Anpassung der docker-compose.yml

version: "3"
services:
  openvas:
    ports:
      - "127.0.0.1:8080:9392"
    environment:
      - "PASSWORD=notyouradmin!"
      - "USERNAME=admin"
      - "RELAYHOST=172.17.0.1"
      - "SMTPPORT=25"
      - "REDISDBS=512" # number of Redis DBs to use
      - "QUIET=false"  # dump feed sync noise to /dev/null
      - "NEWDB=false"  # only use this for creating a blank DB
      - "SKIPSYNC=false" # Skips the feed sync on startup.
      - "RESTORE=false"  # This probably not be used from compose... see docs.
      - "DEBUG=false"  # This will cause the container to stop and not actually start gvmd
      - "HTTPS=false"  # wether to use HTTPS or not
      - "GMP=false"    # to enable see docs
    volumes:
      - "openvas:/data"
    container_name: openvas
    image: immauss/openvas
volumes:
  openvas:

Nginx Proxyserver einrichten

Hier ein Beispiel für einen Nginx Proxyserver (ohne Docker)

apt install nginx
sudo rm /etc/nginx/sites-enabled/default

Ein Zertifikat erstellen

 sudo openssl req -x509 -newkey rsa:4096 -sha256 -days 365 -nodes   -keyout gvm.itrig.key -out gvm.itrig.crt -subj "/CN=gvm.itrig.de"   -addext "subjectAltName=DNS:security.itrig.de,DNS:gvm.itrig.de,IP:192.168.0.111"
#Beispiel für eine Nginx Proxy Config

nano /etc/nginx/sites-available/openvas

server {
  server_name localhost;
   listen 443 ssl http2;
   ssl_certificate     /etc/ssl/gvm.itrig.de.crt;
   ssl_certificate_key /etc/ssl/gvm.itrig.de.key;
   ssl_session_timeout 1d;
   ssl_session_cache shared:MozSSL:10m;  # about 40000 sessions
   ssl_session_tickets off;
   ssl_protocols TLSv1.2 TLSv1.3;
   ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
   ssl_prefer_server_ciphers off;
   resolver 127.0.0.1;
   

    location / {
        proxy_pass http://localhost:8080;
    }
}
# Symlink setzen
cd /etc/nginx/sites-enabled/
ln -s ../sites-available/openvas openvas

#Neustart Nginx
systemctl restart nginx

#Kontrolle mit
systemctl status nginx
#oder
ss -lntp

Der Scanner ist nun via https://localhost/login erreichbar.

 

Fazit

Für einen schnellen Test und dem Lernen am System ist GVM via Docker von github.com/immauss/openvas sicherlich geeignet. Die Builds werden übrigens wöchentlich aktualisiert und beinhalten zusätzlich auch die neuesten Feed-Updates.

Um Docker, Container, Images und Co besser im Blick zu behalten, verweise ich an dieser Stelle auf Lazydocker. Das Tool bietet einen grafischen Überblick, über alle aktiven und inaktiven Docker Komponenten.

 

Installation DracOS 2.1, sowie Neues von Parrot Security OS und BlackArch Linux

Gegen Ende letzten Jahres gab es noch ein paar Änderungen an der Security Distributionen Front. Aber zunächst möchte ich ein neues Security OS vorstellen. 

DracOS 2.1 - Leak

Neu im Sicherheitsbunde ist ein indonesisches Security OS. 

DracOS ist ein Penetration OS, welches auf Linux from Scratch aufbaut. Der regelmäßige Leser erinnert sich vielleicht daran (Artikel).
Es verwendet die Kommandozeile in Verbindung mit den Dynamic Windows Manager. Das heißt ihr solltet fit auf der CLI sein, wenn ihr die Distribution verwendet oder es eben werden.

In der aktuellen Version 2 gibt es noch keinen Paketmanager, dieser soll aber folgen.
Wie bei anderen Distribution sind jede Menge Tools zur Informationsgewinnung, Sicherheitslückenfindung oder Malware Analyse vorinstalliert.

Details zu allen Programmen lassen sich hier finden. DracOS Codename "Leak" wurde bereits im Oktober 2016 veröffentlicht und wird stets weiter entwickelt.

 

Installation Dracos 2.1

Die Installation erfolgt über git und den Installer DRACER oder ganz normal via ISO Datei

sudo apt-get install squashfs-tools rsync
git clone https://github.com/Screetsec/super-dracos
cd super-dracos
sudo chmod +x DracosInstaller.sh
sudo ./DracosInstaller
[02]  CREATE PARTITION WITH FDISK
[03]  START INSTALL DRACOS

dracos-dracer

Ich habe eine Installation zu Testzwecken via ISO realisiert, diese ist einfach via VirtualBox oder VMware möglich.

Erste Schritte mit DracOS

Nach einer Installation via VirtualBox muss zunächst ein Login erfolgen.
Hierzu wird der Login "root" und das Passwort "toor" eingegeben.

Danach wird schlicht das Terminal angezeigt, für den Start der GUI muss "startx" eingegeben werden.

Auch nach dem Start der Oberfläche ist weiterhin die Tastatur das Hauptbewegungsmittel, da es sich bei DracOS wie schon erwähnt um eine CLI Steuerung handelt.

Wichtige Tastatur Shortcuts für die Bedienung sind

Menü öffnen windows + shift + d
Browser öffnen windows + shift + l
Screenshot printscreen
Terminal öffnen windows + shift + enter
Dateimanager öffnen windows + shift + c
Fenster verschieben windows + left click
Fenstergröße anpassen windows + right click

Zusätzlich dazu kann auch das Fenster Layout geändert werden

Null windows + f
Monocle windows  + m
Tile windows + t
Apples Grid windows + g


Fazit

DracOS bringt frischen Wind in die Security OS Szene, mit seinem LFS Ansatz ist es eine gelungene Abwechslung zu herkömmlichen Distributionen. Tools sind zahlreich vorhanden und das OS benötigt nicht viele Ressourcen.

DracOS



Parrot Security OS 3.3

Das bereits vor zwei Monaten vorgestellte Sicherheits OS Parrot Security wurde in Version 3.3 veröffentlicht.

Parrot-SecurityDie größten Änderungen der neuen Version dürfte der Wechsel zum Kernel 4.8, GCC 6.2 und PHP7 darstellen.
Des weiteren wurden fast alle der integrierten Security Tools aktualisiert.

 

Parrot Sec




BlackArch Linux 2016.12.29

Ebenfalls kurz vor Weihnachten wurde die neueste Version von BlackArch veröffentlicht.

Die auf ArchLinux basierende Distribution, mit stolzen 6.3 GB an Daten, wurde im Zuge des Rolling Releases auf 2016.12.29 aktualisiert.

BlackArch-Linux

Auch hier wurde der Kernel auf 4.8.13 aktualisiert, sowie viele Programme. Laut Changelog sind über 100 neue Tool hinzugekommen.

BlackArch bietet nun auch eine offizielle Unterstützung für VirtualBox und VMware, hierzu wird nun ein OVA Image bereitgestellt.

Black Arch




Fehlt nur noch der Überblick

Gesamtübersicht der bereits erwähnten Security Systeme

Name Version Tools Besonderes Basis GUI
Autopsy 4.0 ??? The Sleuth Kit Windows  
BackBox 4.7 70+ eigenes Repo Ubuntu Xfce
BackTrack 5 300+ out of date Ubuntu Gnome
BlackArchLinux 2016.12.29 1500+ ArchLinux ArchLinux Gnome
CaINE 5 100+ WinUFO Ubuntu Mate
DracOS 2.1 100+ CLI LFS DWM
DEFT Zero RC1 250+ Dart2 Lubuntu Lxde
Kali Linux 2016.2 300+ ARM fähig Debian Multi
LionSec 5.0 ???   Ubuntu  
Matriux v3 RC1 300+ out of date Debian Gnome
NST 24 ??? Server integriert Fedora  
NetSecLOS 6.0 50+   OpenSuse Lxde
Paladin 6.0 30+   Ubuntu  
Parrot Security 3.3 700+ Cloud fähig Debian Jessie MATE
Pentoo 2015.0 RC5 ??? 64bit Gentoo Xfce
Ronin   150+ out of date Lubuntu Lxde
Sans SIFT 3.0 20+   Ubuntu  

BackBox 4.6 – Kernel 4.2 ist da

Die Security Distribution BackBox hat ein weiteres Update erhalten. Mit der Version 4.6 des auf Ubuntu basierenden Systems wurde es auf den Kernel 4.2 aktualisiert und das integrierte Ruby trägt nun die Versionsnummer 2.2.

Wie immer wurden die mitgelieferten Hacking Tools (z.B. Beef, dirsearch, Metasploit, OpenVAS, SE Toolkit, Volatility, WPScan) ebenfalls einer Updateprozedur unterzogen und sind nun auf einem aktuelleren Stand.

Die momentane Version stellt das letzte Update der 4er Serie dar.

backbox

Update auf BackBox 4.6

Ein Update der 4er Version erfolgt mit wenigen Kommandos über die Konsole

sudo apt-get update

sudo apt-get dist-upgrade

sudo apt-get install -f

 

Download ISO oder VM Images

Der Download erfolgt wie immer über die BackBox Download Seite. Diejenigen unter euch die keine Spende leisten möchten, sollten in das Betragsfels eine Null eintragen.

backboxFertige Images für VMware oder VirtualBox sind hier zu finden.

Pentoo - Schweizer Taschenmesser für Sicherheits Tests

Seit der letzten Meldung über Forensik/Sicherheits Distributionen sind ein paar Tage vergangen, somit wird es Zeit ein neues System vorzustellen.

Pentoo - Schweizer Forensik Taschenmesser

Aus der Schweiz stammt die Pentoo Distribution, basierend auf Gentoo.
 

pentoo Die Kernfunktionen des Linux Systems weichen nicht groß von Mitbewerbern wie Kali oder BackBox ab. Es lässt sich als Live CD nutzen, aber auch fest installieren und ist in 64bit, sowie 32bit verfügbar.

Laut den Entwicklern wurden folgende Modifikationen am System vorgenommen.

  • Hardened Kernel with aufs patches
  • Backported Wifi stack from latest stable kernel release
  • Module loading support ala slax
  • Changes saving on usb stick
  • XFCE4 wm
  • Cuda/OPENCL cracking support with development tools
  • System updates if you got it finally installed

Nach dem Bootvorgang erhält der Nutzer eine gewohnte Linux Oberfläche, wobei die Pentoo Oberfläche sich abermals von anderen Distros wenig unterscheidet.

Das Startmenü enthält einen eigenen Pentoo Bereich, welcher alle Tools vom Analyzer über Fuzzers bis zu VoIP in insgesamt 17 Kategorien auflistet.
Alle Tools hier zu erwähnen würde den Rahmen sprengen.

Kleine Bemerkung am Rande, ich persönlich finde das Hintergrundbild herausragend.

pentoo-tools

Rollendes Linux

Ähnlich wie bei den Kali Kollegen, wird Pentoo als Rollings Release vertrieben. Es werden allerdings Snapshots von bestimmten Releases erstellt. Die letzte Veröffentlichung stammt vom Dezember 2015 und wird als 2015.0 RC4.6 vertrieben.

pentoo

Installation

Eine Installation zur Nutzung des Systems ist nicht nötig. Sollte Pentoo dennoch einen Weg auf die Platte finden, muss das System über mindestens 1,5GB RAM verfügen.

pentoo-installation

Fazit

Pentoo reiht sich nahtlos in vorhandene forensische Distributionen ein. Um eine genauere Aussage treffen zu können ist sicherlich ein tieferer Einblick in das System notwendig. Wie immer orientiert sich die Entscheidung für ein System an den Anforderungen der Aufgabe.

Da Pentoo wie viele andere Distributionen nicht auf Debian/Ubuntu basiert, stellt das System sicherlich eine Alternative zu den Platzhirschen dar.


Überblick forensische Sicherheitsdistributionen

Eine Gesamtübersicht der bereits erwähnten Systeme.

Name Version Tools Besonderheiten Basis GUI
Autopsy 4.0 ??? The Sleuth Kit Windows  
BackBox 4.5.1 70+ eigenes Repo Ubuntu Xfce
BackTrack 5 300+ out of date Ubuntu Gnome
CaINE 5 100+ WinUFO Ubuntu Mate
DEFT 8.1 250+ Dart2 Lubuntu Lxde
Kali Linux 2016 300+ ARM fähig Debian Gnome
Matriux v3 RC1 300+ out of date Debian Gnome
NST 22 ??? Server integriert Fedora  
NetSecLOS 6.0 50+   OpenSuse Lxde
Paladin 6.0 30+   Ubuntu  
Pentoo 2015.0 RC4.6 ???   Gentoo Xfce
Ronin   150+ out of date Lubuntu Lxde
Sans SIFT 3.0 20+   Ubuntu  


Das könnte dich auch interessieren

7 IT-Forensik Linux Distributionen zur Datenrettung, Analyse, Beweissicherung oder für Penetrationstests

Lynis 2.2.0 - Neue Version zur Linux Systemhärtung verfügbar

NST 22 - Network Security Toolkit - Sicherheits- und Analyse Live CD

CAINE 7.0 - DeepSpace - Windows Forensik Tools und mehr als Live CD veröffentlicht

Kali Linux rollt los - das erste Rolling Release der Forensik Distribution ist da

Mit Version 2.0 hatten die Entwickler auf ein Rolling Release umgestellt, allerdings nur für ausgewählte Nutzer, um die neuen Konditionen zu testen.
Der Begriff bedeutet sinngemäß, dass eine kontinuierliche Aktualisierung des Systems bzw. der Distribution stattfindet.
Im Prinzip das gleiche Modell, welches bei Windows 10 oder Arch Linux zum Einsatz kommt.

kali

2016.1

Nach 5 Monaten Testphase steht das Rolling Release Modell auf stabilen Füßen und wird somit allen nahe gelegt.
Um die Aktualisierungen besser im Auge zu behalten wurde der Package Update Tracker ins Leben gerufen. Hier kann nach dem aktuellen Stand der integrierten Pakete gesucht werden. Der Screenshot zeigt dies am Beispiel OpenVAS.

Kali-Linux-Package-Tracker

Kali 2.0 auf Rolling Release umstellen

Für Nutzer der Version 2.0 ist die Umstellung auf das Rolling Release recht simpel, es muss nur das Repository angepasst werden.

sudo sh -c 'echo "deb http://http.kali.org/kali kali-rolling main non-free contrib" >> /etc/apt/sources.list'

sudo apt-get update
sudo apt-get dist-upgrade
reboot

Open VM Tools

Da VMware inzwischen offiziell open-vm-tools für Linux Systeme empfiehlt, haben die Kali Entwickler die Unterstützung für das Paket weiter perfektioniert. 
Kopieren, Einfügen oder Bildschirmanpassung sollte nun funktionieren.

sudo apt-get install open-vm-tools fuse

Kali Neulinge können natürlich ebenfalls fertige ISO Pakete laden.

Kali