Openvasで出来ること

OS・ミドルウェア・ネットワークのセキュリティ設定や構成の検査

Webサーバ等を公開する際には、OSやミドルウェア、ネットワークそのものに至るまで様々な設定をしておく必要があります。ですがそこは人間、完全に出来たと思っていてもついつい抜けがあったりするものです。
Openvasを使って公開前に、また公開後にも定期的に検査をしておくことで設定ミスや構成の失敗を発見できます。 他にも、新バージョンが公開されていてバージョンアップできる、といった場合も教えてくれます。

OSやミドルウェア、ネットワークの脆弱性のチェック

Web上に何らかの機器を公開する場合も、そうでない場合も何のソフトウェアも入っていない機器はありません。そして、ソフトウェアも人間が作る以上常にヒューマンエラーが起こります。IPAやJPCERTのサイトで毎週のように公開されている脆弱性情報がそれを証明していると言えるでしょう。
しかし人力で利用している機器に含まれる脆弱性を常に確認することは難しいものです。
Openvasを使えば、これらの脆弱性の検出も行ってくれます。

Openvasで出来ないこと

Webアプリケーションの設定や構成検査・脆弱性検査

OpenvasはあくまでもOSやミドルウェア、ネットワークについての検査を行うツールですので、SQLやXSSなどWebアプリケーションに関連する設定ミスや脆弱性検査を行ってはくれません。
これらの検査は「OWASP ZAP」などの別ツールを利用しましょう。

Openvasで検査をすると

検査前に…

Openvasは接続できれば一定の検査をしてくれますが、SSH接続が可能である場合はさらに細かな検査をしてくれます。
可能であればSSH接続に関する設定をしておきましょう。

検査結果の見方

Openvasの動作確認として、Raspberry Pi2(model B)にRaspbian(ver 4.14 recommended software)をインストールしたものを用意しました。
SSH接続を許可した以外は初期設定のままにし、検査(Full and very deep ultimateモード、最も詳しく検査してくれます)すると下の様な結果になります。

図1.検出されたエラーの数(検査結果より抜粋)

危険度Highが15、Mediumが52、Lowが4と、Web上に公開できるレベルには無いと言えるでしょう。
特に危険度が高いものとして、Oracle Java SEのバージョンが古く複数の脆弱性があることが指摘されています。

図2.Oracle Java SE のアップデートがされていないことへの警告

また、Raspberry Piのセキュリティとしてもっとも有名な「piユーザー」がブルートフォース攻撃される危険があることも指摘されていますね。

図3.piユーザーがそのままになっていることへの警告
赤く囲った箇所に pi:raspberry の警告が出ています

こういった脆弱性や設定の変更し忘れは常にあるものです。
そう言ったミスを見逃さないように、Openvasで検査をしておきましょう。