Comment faire en sorte qu'OpenVAS écoute sur une interface externe?
Je dois me connecter à OpenVAS à partir d'Internet pour effectuer des tests d'intrusion.
Je n'ai trouvé aucun moyen de l'écouter en permanence sur l'interface externe: openvas-start l'écoute sur 127.0.0.1.
J'ai déjà essayé de modifier les fichiers de configuration, mais il semble que je ne le fais pas correctement ou que quelque chose soit en train de surcharger les configurations au démarrage.
Toute aide serait appréciée.
P.S: J'utilise Kali 2.0.
Puisque nous sommes sur systemd, vous devez modifier 3 fichiers .service:
cd /lib/systemd/system
Les fichiers sont: greenbone-security-assistant.service, openvas-manager.service et openvas-scanner.service.
Pour faire vite, vous voudrez peut-être utiliser sed. Cette ligne remplacera tous 127.0.0.1 à .0.0., ce qui permettra à tous les services d'être disponibles sur toutes les interfaces. Vous devez remplacer .0.0. par l'adresse de votre choix.
sed -e 's/127.0.0.1/0.0.0.0/g' greenbone-security-assistant.service openvas-manager.service openvas-scanner.service
Vérifiez que tout se fera comme vous le souhaitez. Si vous êtes satisfait des modifications, ajoutez simplement -i à la fin de la commande précédente.
sed -e 's/127.0.0.1/0.0.0.0/g' greenbone-security-assistant.service openvas-manager.service openvas-scanner.service -i
Enfin, vous devez recharger les démons, car vous avez modifié les fichiers et redémarré les services.
systemctl daemon-reload
systemctl restart greenbone-security-assistant.service openvas-manager.service openvas-scanner.service
Vérifiez que tous les services écoutent l'hôte souhaité:
ss -nalt
Si le redémarrage de plusieurs services ne fonctionne pas, essayez de redémarrer le serveur lui-même.
- openvas-stop
- gsad --listen = 0.0.0.0
- openvas-start
- Depuis n'importe quel ordinateur client, essayez https: // kali-ip /
- Profitez de l'accès à openvas web
Il existe une solution beaucoup plus simple. Vous pouvez rediriger le port IP externe vers localhost en utilisant un pare-feu. En supposant que l'adresse IP externe de votre serveur soit 10.0.0.10 :
sysctl -w net.ipv4.conf.eth0.route_localnet=1
iptables -t nat -A PREROUTING -p tcp -d 10.0.0.10 --dport 443 -j DNAT --to-destination 127.0.0.1:9392
C'est tout, connectez-vous maintenant à https://10.0.0.1
J'ai également essayé d'éditer les adresses IP de configuration, mais il y en a à plusieurs endroits et semblent briser l'autorisation OMP. Cette solution a été testée avec la dernière version de Kali/OpenVAS (2016.09).
Citant la page de manuel openvasd:
-a, --listen = Dites au serveur d'écouter uniquement les connexions sur l'adresse qui est une adresse IP, pas un nom d'ordinateur. Par exemple, "openvasd -a 192.168.1.1" obligera openvasd à n'écouter que les requêtes adressées à 192.168.1.1 Cette option est utile si vous exécutez openvasd sur une passerelle et si vous ne souhaitez pas que des utilisateurs extérieurs se connectent à votre serveur. openvasd.
Vous pouvez ajouter cette option dans le script de démarrage situé dans /etc/init.d/openvas-scanner dans la constante DAEMONOPTS.
Éditer /etc/default/greenbone-security-assistant:
Changez 127.0.0.1 en votre IP
GSA_ADDRESS=your_server_IP_address
Ensuite, redémarrez les services:
root@tiger:/home/fw# ps aux | grep openvassd | grep -v grep
root 8918 2.6 1.2 138644 12212 ? Ss 17:31 2:25 openvassd: Waiting for incoming connections
root@tiger:/home/fw#
root@tiger:/home/fw# killall openvassd
root@tiger:/home/fw#
root@tiger:/home/fw# ps aux | grep openvassd | grep -v grep
root@tiger:/home/fw#
root@tiger:/home/fw# service openvas-scanner start
root@tiger:/home/fw# service openvas-manager start
root@tiger:/home/fw# service greenbone-security-assistant restart
root@tiger:/home/fw#
root@tiger:/home/fw# ps aux | grep openvassd | grep -v grep
root 9681 39.4 1.3 123836 13476 ? Ds 19:02 0:02 openvassd: Reloaded 7750 of 46062 NVTs (16% / ETA: 00:19)
root 9682 0.0 0.1 114564 1528 ? S 19:02 0:00 openvassd (Loading Handler)
root@tiger:/home/fw#
Essayez d'y accéder de l'extérieur https://ip:9392