Nessus ile BT Alt Yapınızdaki Güvenlik Zafiyetlerini Tespit Etmek
Teknolojinin hızlı bir şekilde gelişmi, BT altyapınızda yer alan sistemlerin ve ağlardaki oluşabilecek potansiyel tehditlerin ve güvenlik açıklarının tanımlanması, değerlendirilmesi ve önceliklendirilmesi konuları şirketler ve kurumlar için hayati önem arz etmektedir.
BT alt yapınızı daha sağlıklı bir şekilde yönetebilmeniz açısından güvenlik zafiyetlerini değerlendirme ve analiz etme süreci olası güncel siber tehditlere, karşısında önlem almak ve değerlendirmelerde bulunmanız şirketlerin yada kurumların dijital varlıkları ve hassas bilgilerinin gizliliğini, bütünlüğünü veya kullanılabilirliğini tehlikeye atabilecek çeşitli tehditleri ve riskleri tanımlamak, anlamak ile birlikte bu risk ve tehditleri minimize etmemize olanak sağlar.
BT alt yapısında oluşabilecek olası bir güvenlik zafiyeti, bir siber saldırganın yetkisiz erişim elde etmesi ile beraberinde verileri çalmak veya BT alt yapısına zarar vermek amacıyla şirketlere veya kurumlara siber saldırı gerçekleştirerek ticari itibarlarına gölge düşürebilir.
BT Güvenlik zafiyetlerini belirlemek ve yamalamak, sistemlerin ve ağların güvenliğini ve dayanıklılığını korumak için önemli aksiyonlardır.
BT varlıklarınızda yer alan sistemlerin, ağların ve altyapınızdaki güvenlik açıklarının, yanlış yapılandırmalarını tesbit etmek amacıyla Nessus güvenlik açığıklarını tarama yazılımını kullanabilirsiniz.
Nessus ile hedef sistemleri ve ağları, eksik yamalar, varsayılan yapılandırmalar ve saldırganların potansiyel olarak yararlanabileceği yaygın güvenlik zafiyetlerini tarayarak tesbit edip bu zafiyetleri BT alt yapınızda alacağınız güvenlik önemleri ve sıkılaştırma çalışmaları ile kapatabilirsiniz.
Gelin hep beraber Nessus güvenlik açıklarını tespit eden tarama yazılımı nasıl kurulur ve nasıl çalıştırıl hep birlikte inceleyelim.
İlk olarak tenable.com web sitesinden 7 gün boyunca ücretsiz kullanıp test edebileceğiniz Nessus güvenlik açıklarını tarama yazılımını kullanabilmeniz için ücretsiz üye olup kendi profilinize giriş yapınız.
7 gün boyunca ücretsiz kullanıp test edebileceğiniz Nessus güvenlik açıklarını tarama yazılımını Downloads / Tenable Nessus bölümünden Nessus aracınızı hangi işletim sistemi platformu üzerinde çalıştıracaksanız bilgisayarınıza o işletim sistemi platformunu, kullanacağınız Nessus versiyonunu seçerek ve sözleşmeyi kabul edip indiriniz. Nessus ‘un kurulum işlemleri sırasında bizden aktivasyon için key isteyecektir. Bu key’i Downloads / Tenable Nessus bölümünden sözleşmeyi kabul edip Signing Keys kısmından bilgisayarınıza indiriniz.
Ben kurulum işlemini Kali işletim sistemine sahip bir sanal bilgisayar üzerinde gerçekşeltireceğim ve işletim sistemi platformumu Downloads / Tenable Nessus bölümünden Linux – Debian – amd64 olarak seçip Nessus aracımı indirdim.
Nessus güvenlik açıklarını tarama yazılımını kurabilmemiz için kali terminal emulator’den root terminale emulator ‘e sudo su komutunu kullanarak geçiş yapalım ve kali bilgisayarınızın şifresini yazıp root terminal emulator ‘e geçiş yapınız.
Kali işletim sistemine sahip sanal bilgisayarımın Downloads dizinine daha öncesinde indirmiş olduğum Nessus kurulumu için gerekli olan paketi içerğini aşağıdaki ekran görüntüsünde görmüş olduğunuz komutları kullanarak görebilirsiniz.
Nessus kurulumunu başlatmak için aşağıdaki ekran görüntüsünde gördüğünüz dpkg -i Nessus-10.7.0-debian10_amd64.deb komutu çalıştırınız.
Kurulum işlemi başarılı bir şekilde tamamlandı.
Nessus programını başlatmak için kurulum tamamlandıktan sonra bize söylediği /bin/systemctl start nessusd.service komutunu başlatalım.
Kali linux sanal makinemizde kullandığımız web tarayıcımızı açarak https://localhost:8834 yada https://kali:8834 yazarak Nessus güvenlik açıklarını tarama yazılımımızın web arayüzüne her iki bağlantı ile erişim sağlayabilirsiniz.
Karşımıza gelen kurulum ekranında test amaçlı 7 günlük demo ürün kullanacağız burada Nessus Professional ürünün trial demo versiyonunu seçiyoruz.
Bir sonraki adımda gelen ekranda Nessus Professional deneme ürününü başlatmak için lütfen iş e-posta adresinizi giriniz diyor. Bu seçenek size Nessus Professional deneme ürününü indirme linkini ve 7 günlük aktivasyon kodunu e-mail’iniz ile kayıt olduğunuzda gönderilecektir. Ve bilgilerinizi doldurmanızı istiyor. Eğer elinizde bir aktivasyon kodu var ise bu kısmı Skip ‘e tıklayarak geçiyoruz. Daha sonra manuel olarak aktivasyon anahtarını girebilirsiniz.
Bu ekranda ise Nessus güvenlik açığıklarını tarama yazılımı için bir kullanıcı adı ve kompleks bir şifre oluşturunuz.
Kullanıcı adı ve şifre belirledikten sonra kurulum sürecini tamamlamak amacıyla Nessus güvenlik yazılımı plugin yani eklentilerini indiriyor.
Nessus güvenlik aracımızın kurulum aşaması tamamlanmıştır. Ve karşımızda Nessus güvenlik açığı tarama yazılımını görüyorsunuz.
Nessus aracılıyla My Scans klasöründe yer alan New Scan seçeneği ile taramak istediğiniz güvenlik açıklarını Scan Templates den seçerek BT alt yapınızdaki olası güvenlik açıklarını tarayıp tespit edebilirsiniz.
Nessus güvenlik açıklarını tarama yazılımımız ile Scan Templates den seçtiğim Basic Network Scan ile test amaçlı kullandığım network ağımda temel ağ taraması işlemi başlatıyorum.
Test amaçlı kullandığım network ağımda temel ağ taraması işlemi tamamlandı.
Network ağımda temel ağ tarama işlemi sonucunda 2 adet güvenlik açığı ( Vulnerabilities ) buldu .
Sizde kendi network ağınızda olası güvenlik açıklarına karşı inceleyip network tarafında ilgili güvenlik önemlerini sağlayıp sıkılaştırma çalışmalarını yapabilirsiniz.
Nessus, şirketlerin ve kurumların BT alt yapılarında yer alan sistemler ile birlikte ağlardaki güvenlik zafiyetlerini belirleme ve önceliklendirme açısından tüm BT güvenlik profesyonellerinin kullandığı profesyonel tarama yapan güvenlik açığı tesbit yazılımıdır.
Demo olarak kullanılan kaynak : https://www.tenable.com/downloads/nessus
Eline sağlık.
Teşekkür ederim hocam