Hassas ve Etkili Nessus Zafiyet Tarama Ayarları

Yazının başlığı ilk bakışta bir diş macunu, deterjan veya vücut kremi tanıtımı izlenimi veriyor olsa da, Nessus ve benzeri zafiyet tarama araçlarının herhangi bir ağda çalıştırılırken ağdaki işleyişe, bütünlüğe, trafiğe ve olası kırılganlığa zarar vermeyecek şekilde ayarlanması yani aynı anda hem hassas hem de etkili olacak şekilde kullanılması oldukça önemli. Bu yazıda bütün bir Nessus zafiyet tarama sistemini anlatmak yerine bu tip ayarların üzerinde geçeceğiz.

AYARLAR

Yazıda bahsedeceÄŸimiz ayarlar Nessus ile yapılan geliÅŸmiÅŸ zafiyet taramalarının hassas ve etkili olabilmesi içindir; sadece host tarama veya keÅŸfi yapmak için özelleÅŸtirilen ayarlara ait deÄŸildir. Ayarları göstermek için kullanılan Nessus Manager sürümü 6.5.3 (#40). Ayarlar, çok genel bir sürüm deÄŸiÅŸikliÄŸi olmadığı sürece genelde aynı olmaktadır. Burada bahsetmediÄŸimiz ayarlar, “default” yani varsayılan haliyle bırakılması gereken ayarlardır.

Policies > Settings > Discovery / Host Discovery:

Host keÅŸfi kısımdaki ayarların alttaki resimde görüldüğü gibi yapılması yerinde olur. “Fragile Devices” denilen kırılgan cihazların taramasını geliÅŸmiÅŸ taramalar yerine, sırf bu cihazlara özel ayarlara sahip taramalarda yapmakta azami fayda var. Bu yüzden geliÅŸmiÅŸ zafiyet taraması ayarlarında “Fragile Devices”ı boÅŸ geçiyoruz:

nessus-host-tarama

Policies > Settings > Discovery / Port Scanning:

Port tarama kısmındaki en dikkat çekici olan ayar “Network Port Scanners”ın her zaman söylenenin (ve eksik bilinenin) aksine “SYN” taraması deÄŸil, “TCP” taraması olarak seçilmesi gerekiyor. SYN taraması hızlıdır! Fakat bazı kurumsal Firewall’ların farklı sürümlerinde var olan bir çeÅŸit state tablosu problemi veya açık olarak biriken SYN baÄŸlantılarını bir süre sonra düşürmemesi yüzünden Firewall’ın baÄŸlantı tablosu bir anda SYN’ler ile dolabilir ve baÄŸlantılar düşürülmeyerek CPU’larda aşırı yükselme sorunuyla karşılaşılabilir. Bu yüzden TCP taraması gibi 3-WAY handshake’in tamamlandığı ve baÄŸlantı tablosunun baÄŸlantıları güvenli bir ÅŸekilde kurup, sonrasında sonlandırabildiÄŸi bir seçenek her zaman için çok daha güvenlidir ve sistemlerin “availability” halini korumayı saÄŸlayacaktır. Bir de sonuçta siz zafiyet taramasını haberli ve bilinçli olarak yapıyor, gizli ve yakalanmayacak bir ÅŸekilde gerçekleÅŸtirmiyorsunuz. Bu yüzden TCP ile aramanızda hiçbir mahzur yoktur. TCP taramanın tek dezavantajı ise SYN taramaya göre sadece çok az daha yavaÅŸ oluyor olmasıdır.

nessus-port-tarama

Policies > Settings > Assesment / General:

DeÄŸerlendirme kısmına ait olan ayarlarda “Accuracy” kısmını olduÄŸu gibi bırakıp, “Perform thorough tests” kısmını ise isteÄŸe baÄŸlı ve daha detaya inmek istediÄŸiniz zaman kullanmalısınız. Çünkü “Perform thorough tests”i seçince Nessus eklentilerine daha fazla ve derin testler yapmasına izin vermiÅŸ oluyorsunuz. Bu durum taramayı uzatabilir, ağı boÄŸabilir ve görünür ölçüde performans problemine neden olabilir. Bu yüzden bu tip derin taramaları geceleri olacak ÅŸekilde ve sınırlı bir aÄŸda yapmakta yarar var.

nessus-genel-degerlendirme-ayari

Policies > Settings > Report:

Raporlama kısmındaki ayarlarda sonuçlarda birbirinin yerine geçen güncellemelerden kayıp olanların gösterilmesini engellemek için “Show missing patches that have been superseded”i boÅŸ ve birbirlerine bağımlı olarak çalışan eklentilerin sonuçlarını da ayrı ayrı göstermeyi önlemek için “Hide results from plugins initiated as a dependency”i boÅŸ bırakmakta yarar var. Ayrıca host’lara varsa DNS kayıtlarının atanması seçmeyerek de taramayı hızlandırabilirsiniz:

nessus-raporlama-ayarlari

Policies > Settings > Report:

Gelişmiş ayarlar kısmında ideal olan ayarların altta görülen resimdeki gibi bırakılması oldukça önemli. Bunlar ilk bakışta düşük değerlermiş gibi görünse de, ağı ve cihazları yormamak adına başınızı ağrıtmayacaktır. Özellikle performası en çok etkileyen ayarlarda:

  • Max simultaneous checks per host – Nessus’un host başına maksimum eÅŸ zamanlı yapacağı kontrol sayısını belirler (5).
  • Max simultaneous hosts per scan – Nessus’un tarama başına maksimum eÅŸ zamanlı tarayacağı host sayısını belirler (20).
  • Max number of concurrent TCP sessions per host – host başına açılacak eÅŸzamanlı maksimum TCP oturum sayısını belirler (5).
  • Max number of concurrent TCP sessions per scan – tarama başına açılacak eÅŸzamanlı maksimum TCP oturum sayısını belirler (200).

nessus-gelismis-ayarlar

Bunların dışında:

  • Taramaları trafiÄŸin en stabil olduÄŸu geceleri yapmanın,
  • Felaket ortamları ile canlı ortamlar arasındaki replikasyon trafiÄŸinin yoÄŸun olduÄŸu zamanlarda tarama yapmamanın,
  • Tüm ağı bir anda taramak yerine segmentlere ayırarak veya hedef odaklı tarama yapmanın,
  • Nessus’a domain administrator hesabı ve Linux cihazlarda ön tanımlı olan bir hesabı (credentials) önceden tanımlamanın

etkili ve hassas zafiyet taraması yapmada püf noktaları olduğunu göz önünde bulundurmakta büyük yarar var.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir