Як змусити OpenVAS слухати на зовнішньому інтерфейсі?

Мені потрібно підключитися до свого OpenVAS з Інтернету, щоб провести тести на проникнення.

Я не знайшов жодного способу змусити його постійно прослуховувати зовнішній інтерфейс: openvas-startзмушує його слухати 127.0.0.1.

Я вже намагався змінити конфігураційні файли, але, здається, або я роблю це неправильно, або щось перекреслює конфігурації, коли він запускається.

Будь-яка допомога буде вдячна.

PS: Я використовую Kali 2.0.

Оскільки ми працюємо в systemd , вам потрібно змінити 3 .serviceфайли:

cd /lib/systemd/system

Файли: greenbone-security-Assist.service, openvas-manager.service та openvas-scanner.service.

Щоб зробити це швидко, можливо, вам потрібно скористатися sed . Цей рядок замінить усі 127.0.0.1 до 0.0.0.0, що дозволить усім службам бути доступними на всіх інтерфейсах. Вам слід замінити 0.0.0.0 на обрану вами адресу.

sed -e 's/127.0.0.1/0.0.0.0/g' greenbone-security-assistant.service openvas-manager.service openvas-scanner.service

Переконайтеся, що все буде зроблено так, як ви хочете. Якщо ви задоволені змінами, просто додайте -iдо кінця попередньої команди.

sed -e 's/127.0.0.1/0.0.0.0/g' greenbone-security-assistant.service openvas-manager.service openvas-scanner.service -i

Нарешті, вам потрібно перезавантажити демон, оскільки ви внесли зміни у файли та перезапустили служби.

systemctl daemon-reload
systemctl restart greenbone-security-assistant.service openvas-manager.service openvas-scanner.service

Переконайтеся, що всі служби прослуховуються на потрібному хості:

ss -nalt

Якщо перезапуск пристроїв не спрацював, спробуйте перезапустити сам сервер.

1. openvas-stop
2. gsad --listen = 0.0.0.0
3. openvas-start
4. З будь-якої клієнтської машини спробуйте https: // kali-ip /
5. Насолоджуйтесь доступом до webvas openvas

Є набагато простіше рішення. Ви можете перенаправити зовнішній порт ip на localhost за допомогою брандмауера. Припустимо, що зовнішній IP вашого сервера 10.0.0.10 :

sysctl -w net.ipv4.conf.eth0.route_localnet=1

iptables -t nat -A PREROUTING -p tcp -d 10.0.0.10 --dport 443 -j DNAT --to-destination 127.0.0.1:9392

Ось і все, тепер підключіться до https://10.0.0.10

Я також намагався редагувати IP-адреси конфігурації, але вони є в багатьох місцях і, здається, порушують авторизацію OMP. Це рішення було протестовано з останніми Kali / OpenVAS (2016.09).

Цитуючи сторінку openvasd man:

-a, --listen = Скажіть серверу прослуховувати тільки з'єднання за адресою, яка є IP-адресою, а не ім'ям машини. Наприклад, "openvasd -a 192.168.1.1" змусить openvasd прослуховувати лише запити, що надходять до 192.168.1.1 Цей параметр корисний, якщо ви запустите openvasd на шлюзі і якщо ви не хочете, щоб люди ззовні підключалися до вашого openvasd.

Ви можете додати цей параметр в сценарії запуску , розташованому в /etc/init.d/openvas-scannerв DAEMONOPTSконстанті.

Редагувати /etc/default/greenbone-security-assistant:

Змініть 127.0.0.1свій IP-адресу

GSA_ADDRESS=your_server_IP_address

Потім перезапустіть служби:

root@tiger:/home/fw# ps aux | grep openvassd | grep -v grep
root      8918  2.6  1.2 138644 12212 ?        Ss   17:31   2:25 openvassd: Waiting for incoming connections
root@tiger:/home/fw#
root@tiger:/home/fw# killall openvassd
root@tiger:/home/fw#
root@tiger:/home/fw# ps aux | grep openvassd | grep -v grep
root@tiger:/home/fw#
root@tiger:/home/fw# service openvas-scanner start
root@tiger:/home/fw# service openvas-manager start
root@tiger:/home/fw# service greenbone-security-assistant restart
root@tiger:/home/fw#
root@tiger:/home/fw# ps aux | grep openvassd | grep -v grep
root      9681 39.4  1.3 123836 13476 ?        Ds   19:02   0:02 openvassd: Reloaded 7750 of 46062 NVTs (16% / ETA: 00:19)
root      9682  0.0  0.1 114564  1528 ?        S    19:02   0:00 openvassd (Loading Handler)
root@tiger:/home/fw#

Спробуйте отримати доступ до нього ззовні https://ip:9392