Nexpose – Wstępna konfiguracja

Po krótkiej przerwie powracamy do pisania postów i z tej okazji postanowiłem wypuścić kolejny – drugi – odcinek serii o zarządzaniu podatnościami. Dziś postaram się przekazać Wam jak poprawnie skonfigurować skaner podatności Nexpose.

Przedstawię dzisiaj instalację i konfigurację za pomocą pliku .ovf, czyli wirtualnej maszyny przygotowanej do instalacji na serwerze wirtualizacji, oraz manualnej instalacji Nexpose na wcześniej przygotowanym systemie operacyjnym. Artykuł zawiera dużą ilość screenów, które maja charakter poglądowy i w większości nie wymagają komentarza.

 

Instalacja z gotowego obrazu .ova.

 

Do wirtualizacji użyję serwera ESXi w wersji 5.5.

1Pierwszym co musimy zrobić to wczytać obraz maszyny wirtualnej pobranej ze strony Rapid7.

2 3

Zapoznajemy się z EULA i akceptujemy postanowienia licencji.

4 5 6 7 8 9 10 11

Instalacja manualna z pliku binarnego.

Przygotowanie wirtualnej maszyny.

Alternatywą dla tego sposobu jest ręczna instalacja. Pierwszym co musimy zrobić to utworzenie nowej maszyny, lub wykorzystanie fizycznej maszyny i instalacja jednego z wspieranych systemów operacyjnych. Listę systemów wymieniliśmy tutaj. Wybraliśmy Ubuntu w wersji 14.04. Poniżej procedura przygotowania maszyny w VMware Workstation. Zalecamy przy tworzeniu maszyny wybranie opcji „Custom”.

Capture1

Capture2

Wybieramy wersje Workstation 8.0, tak by przygotowany przez nas obraz mógł być wczytany do serwera wirtualizacji ESXi.

Capture3

Capture4

Capture5

Capture6Capture7

Zalecanym przez Rapid7 jest ustawienie 16 GB ramu dla nexpose, minimalnie zaś 8 GB. Spokojnie można ustawić 4 GB, skany bedą się odbywać wolniej, ale do labu w zupełności wystarczy.

Capture8Capture9Capture10Capture11

 

Jeżeli chodzi o przestrzeń dyskową, zalecanym jest 80+ GB, my polecamy trzymanie się zasady 100+ GB.Capture12Capture13Capture14Capture15

Instalacja systemu na wirtualnej maszynie.

CapturePo przygotowaniu wirtualnej maszyny montujemy w naszym napędzie plik iso z systemem, który będziemy instalować i instalujemy.
Capture1Warto pobrać przy instalacji aktualizacje dla naszego systemu.

Capture3Zapisujemy zmiany na dyskach i przechodzimy dalej.

Capture2Rozpoczynamy instalację.

Capture4W trakcie informacji zostaniemy poproszeni o utworzenie użytkownika i określenie hostname naszej maszyny.

Capture5Po zakończeniu instalacji, restartujemy maszynę i zabieramy się za instalacje Nexpose oraz konfiguracje.

 

Instalacja Nexpose na wirtualnej maszynie.

 

Za pomocą protokołu SSH łączymy się z maszyną którą przed chwilą zainstalowaliśmy.

2016-03-12-234827_636x761_scrotWykonujemy update systemu, dla pewności, że posiadamy najnowsze pakiety.

Z strony Rapid7 pobieramy plik instalacyjny Nexpose. Na potrzeby artykułów, aby pokazać pełen zakres możliwości, pobieramy wersje „Enterprise”.

2016-03-13-002155_1280x800_scrotWybieramy „Software Installation”, możemy również pobrać już gotowy obraz wirtualnej maszyny i wgrać go do naszego serwera wirtualizacji.

2016-03-13-002216_1280x800_scrotNastępnym krokiem jaki musimy wykonać to wypełnienie krótkiego formularza rejestracyjnego, który zapewni nam darmową dwutygodniową licencje.

2016-03-13-002844_1280x800_scrotWybieramy wersje pliku instalacyjnego względem systemu na maszynie na której będziemy instalować Nexpose.

2016-03-13-002954_1280x800_scrotKlikamy prawym na link do pliku instalacyjnego i kopiujemy jego wartość. Użyjemy tego do pobrania instalki na naszą maszynę.

2016-03-13-004335_636x761_scrotZa pomocą narzędzia wget pobieramy, po czym nadajemy mu uprawnienia do wykonywania.

Uruchamiamy instalacje jako root i postępujemy zgodnie z dalszymi instrukcjami.

2016-03-13-013357_636x761_scrot2016-03-13-013449_636x761_scrot2016-03-13-013507_636x761_scrot2016-03-13-013616_636x761_scrot2016-03-13-013714_636x761_scrot2016-03-13-013745_636x761_scrot2016-03-13-014151_636x761_scrot

Konfiguracja z poziomu webpanelu.

 

Następnie przechodzimy do web-panelu. W naszym przypadku panel znajduje się pod adresem https://nexpose.s-m-s.pl:3780.

2016-03-13-015128_1280x800_scrotJak widzimy nasz panel identyfikuje się certyfikatem SSL typu „self-signed”.

2016-03-13-015226_1280x800_scrotSprawdzamy, czy przedstawiony certyfikat na pewno jest tym, który wygenerowaliśmy podczas instalacji i dodajemy wyjątek bezpieczeństwa.

2016-03-13-015245_1280x800_scrotPierwsze uruchomienie może trwać od 10 do 30 minut, jest to zależne jakimi zasobami pamięci dysponuje maszyna na której zainstalowaliśmy Nexpose. Według vendora minimalna ilość pamięci RAM to 8 GB, my daliśmy 4 GB. Do działań laboratoryjnych owe 4 GB starczy bez problemu, natomiast, do seryjnej pracy zaleca się, aby maszyna na której będzie instalowany Nexpose miała 8 GB i więcej RAM-u.

2016-03-13-022219_1280x800_scrotPodczas instalacji podaliśmy login i hasło dla nowego użytkownika. Czas skorzystać z tych danych.

2016-03-13-022242_1280x800_scrotMożemy skorzystać z wbudowanego samouczka, który oprowadzi nas po panelu Nexpose i pokaże co i gdzie możemy znaleźć.

Po zalogowaniu również zostaniemy poproszeni o podanie klucza licencyjnego. Jeżeli podaliśmy prawidłowy email podczas rejestracji, powinniśmy mieć na nim maila od Rapid7 z licencją.

2016-03-13-022312_1280x800_scrotPrzypominamy, że licencja, którą otrzymujemy na maila po rejestracji na stronie Rapid7 jest darmowa i ograniczona czasowo. Trwa ona 14 dni. Po zakończeniu licencji, możemy odnowić licencje, korzystając z tych samych danych co poprzednio.

2016-03-13-022514_1280x800_scrot2016-03-13-022854_1280x800_scrotPo zakończeniu aktywacji przed naszymi oczami ukazuje się gotowy panel. To wszystko jeżeli chodzi o konfiguracje samego oprogramowania w przypadku manualnej instalacji.

 

Poprawki bezpieczeństwa.

 

Jeżeli ktoś wybrał instalacje z gotowego obrazu maszyny wirtualnej, powinien pamiętać o kilku, istotnych rzeczach. Pierwszą z nich jest fakt, iż domyślnymi danymi dostępowymi są:

  • dla OS: nexpose:nexpose
  • dla samego web panelu: nxadmin:nxpassword

Dane te, należy niezwłocznie zmienić zaraz po zakończeniu powyższych czynności.

Aby zmienić dane dostępowe do panelu Nexpose, możemy zrobić to na dwa sposoby. Dodać nowego użytkownika i zablokować domyślnego, lub po prostu zmienić hasło dla domyślnego usera. Działania te wykonujemy w zakładce „Administracja”

2016-03-13-152401_1280x800_scrotBy utworzyć użytkownika, wybieramy „Create” w zakładce „Users”.

2016-03-13-152634_1280x800_scrot
2016-03-13-152705_1280x800_scrotWybieramy rodzaj uprawnień nowego użytkownika. Możemy skorzystać z gotowych szablonów lub stworzyć własny zakres uprawnień. Zachęcamy do zapoznania się z listą uprawnień.
2016-03-13-152723_1280x800_scrotWybieramy dostęp do działów „site” oraz „asset group” o których więcej napiszemy w następnym artykule z serii.
2016-03-13-152729_1280x800_scrot
2016-03-13-152401_1280x800_scrotAby edytować użytkowników przechodzimy do zakładki „manage” w dziale „Users”.
2016-03-13-152818_1280x800_scrotAby wyłączyć użytkownika należy zaznaczyć go i kliknąć „Disable”.

 

I to na tyle ogólnej konfiguracji – na ciąg dalszy zapraszamy już niedługo!

1 thought on “Nexpose – Wstępna konfiguracja

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *