Installation d’OpenVas – pas à pas
Force est de constater que beaucoup d’utilisateurs ont du mal à mettre en place certains modules complémentaires ou distribution intelligente sur Kali Linux. Ceci venant du fait qu’elles sont soient très peu utilisé de par les soucis rencontrés lors de l’installation ou méconnu quand à leur utilisation et surtout leurs possibilités de pentest.
A fin de clarifier ce petit oubli j’ai décidé en m’aidant de ressources trouvés directement sur le site de l’auteur de ce petit bijou de scanner de vulnérabilité. Je ne reviendrais pas sur le fonctionnement d’un tel outil qui est disponible directement sur le site Hackademics mais je vais vous le présentez et vous faire un tutoriel d’installation complète ensemble screen by screen en se basant sur la dernière distribution de Kali 2.0.
Merci aux lecteurs assidu de mes notes, articles et tutoriels diverses, je me fais plus rare sur la toile, j’ai fermé 2 NDD personnelle et ne participe plus sur beaucoup de forums, ceci du essentiellement à mon travail en hôpitaux et à ma reprise de mes activités sportives ne me laissant que quelques heures sur internet que je passe à étudier (toujours) et à jouer aux échecs sur des forums en ligne.
Présentation (Ressource Wikipédia, Ubuntu)
OpenVAS, (acronyme de Open source Vulnerability Assessment Scanner, anciennement GNessUs), est un fork sous licence GNU GPL du scanner de vulnérabilité Nessus dont le but est de permettre un développement libre de l’outil qui est maintenant sous licence propriétaire.
Vous l’avez compris, il permet de vérifier automatiquement et surtout tester les vulnérabilités des applications concernant une plateforme web et ceci gratuitement, c’est un logiciel libre open source. Téléchargeable sur le site : http://www.openvas.org/
OpenVAS est capable de scanner un équipement (machine ou matériel réseau), un ensemble d'équipements (à partir d'un fichier ou d'une plage IP) ou encore un réseau entier.
Le résultat du scan fournira :
• la liste des vulnérabilités par niveaux de criticité,
• une description des vulnérabilités,
• et surtout la méthode ou un lien pour solutionner le problème.
Le scanner OpenVAS utilise plus de 47.000 Réseau vulnérabilité Tests (NVTs) de Juin 2016.
Vous avez installé Kali Linux maintenant voyons OpenVAS.
Installation
Commençons par installer OpenVAS et exécuter les commandes suivantes dans une session de terminal pour télécharger et installer OpenVAS:
Code:
apt-get install openvas openvas-setup
Lorsque le processus d'installation est terminée, vous sera présenté un long mot de passe sur la dernière ligne de la console. Ce mot de passe est utilisé pour accéder à l'interface web OpenVAS donc vous devez l'enregistrer quelque part et le changer après la première connexion.
Lorsque le processus d'installation est terminée, le OpenVAS OpenVAS gestionnaire, scanner et services sont à l'écoute sur le port 9390, 9391, 9392 et sur le port 80. Vous pouvez utiliser la commande netstat suivante pour vérifier si ces services sont à l'écoute:
Code:
netstat –antp
Netstat –antp commandes
-a tous
-n montre les IP au lieu des noms d’hôte
-t montrent seulement les connections TCP
-p montre les process id/name
Mettre en route et utiliser OpenVAS
Si les services d’OpenVAS ne sont pas en cours d'exécution utiliser la commande suivante pour démarrer ces services:
Code:
openvas-start
https://127.0.0.1:9392
Acceptez le certificat SSL auto-signé et connectez-vous avec l'utilisateur 'admin' et le mot de passe généré au cours du processus d'installation. L'interface Web après la connexion devrait ressembler à ceci:
Démarrer un scan avec OpenVAS est très facile et simple. Il suffit d'entrer le nom d'hôte ou l'adresse IP de la cible dans le champ de démarrage rapide et appuyez sur le bouton «Start Scan». Assurez-vous que les cibles d'analyse avec OpenVAS soit propriétaire par vous-même physiquement ou avoir (écrit) l'autorisation de numériser un scan. Attention comme beaucoup de scanner, OpenVAS scanner de vulnérabilité va générer un trafic réseau dense qui peut conduire à des accidents ou DOS.
Lorsque l'analyse est terminée, cliquez sur la page des rapports dans le menu Gestion de la numérisation et jeter un œil à un aperçu des résultats de l'analyse.
Maintenant vous avez un scanner gratuit, fiable et surtout vous permettant de faire des analyses complètes de vos applications web.
Commentaire