INSEGUROS Seguridad informática: OSSIM 16. Update Openvas y conexión con servidor externo via OMP.

miércoles, 10 de septiembre de 2014

OSSIM 16. Update Openvas y conexión con servidor externo via OMP.

En el episodio de OSSIM de hoy vamos a realizar algunas operaciones cotidianas en el mantenimiento de OPENVAS y resolución de problemas básicos, pero solo aspectos relativos a OSSIM.
También vamos a conectar un OPENVAS existente en otro servidor a nuestra consola OSSIM.

Lo primero que vamos a hacer es actualizar la base de datos de firmas o plugins por el interfaz gráfico. Recuerda tener siempre actualizado tu "hacker-kmow-how" para las amenazas recientes.

Otra manera de realizar la actualización de firmas de Openvas es mediante la consola, siguiendo estas sencillas instrucciones.

Si estás acostumbrado a usar OPENVAS en cualquiera otra distribución sabrás que la base de datos de firmas se suele corromper, sobre todo tras actualizaciones ( de Openvas o el propio OSSIM).
La solución es sencilla, regenerarla.

openvasmd --rebuild

/etc/init.d/openvas-scanner restart

/etc/init.d/openvas-manager restart

/etc/init.d/openvas-administrator restart

Como es lógico, en este punto del artículo estás pensando ¿ via Cron? por supuesto caballero/Señora !!!

openvas-nvt-sync --wget

/etc/init.d/openvas-scanner restart

perl /usr/share/ossim/scripts/vulnmeter/updateplugins.pl update

Lo hagas de la manera que lo hagas, dedícale un buen rato a la tarea, quizás por encima de los 30 minutos.

Una de las cuestiones que se presentan con Openvas OSSIM es la configuración y personalización.

Puede que en tu despliegue tengas un servidor OPENVAS previamente configurado con usuarios y políticas y quieras integrarlo en OSSIM, simplemente para tener la información de seguridad centralizada, SIEM !!!!

Lo primero que haremos es desde OSSIM comprobar que tenemos conectividad con nuestro servidor OPENVAS mediante el comando OMP.

omp -h servidor -p 9390 ( puedes omitir puerto) -u usuario -w clave -g ( man omp da una lista completa de comandos. con g listamos los tipos de scans configurados).

Una vez detectado el problema de firewall/nat/unicornios en OSSIM agregamos un nuevo sensor. Sería el mismo procedimiento que efectuaríamos en el caso de instalar un sensor remoto OSSIM ( segunda opción en el menú de instalación del fichero .ISO).

Es curioso que lo creamos por defecto, pero tenemos que modificarlo para indicarle que va a ser VulnScan.

De esta manera podemos manejar nuestro Openvas Remoto sin tener que recrear toda la configuración existente en OSSIM.

Espero que os sirva de ayuda, gracias por leerme !!!.