GUIDA ALL'USO

OpenVAS: cos’è e come funziona il tool per l’analisi automatizzata delle vulnerabilità

Grazie ad un software come OpenVAS possiamo individuare le vulnerabilità dei software in maniera completamente automatica. Ecco una mini-guida pratica per allestire un efficace sistema di vulnerability scanner

08 Feb 2021
L
Matteo Longhi

IT Specialist | Security Consulting | eJPT

OpenVAS (Open Vulnerability Assessment System) è un framework che include servizi e strumenti per la scansione e la gestione completa delle vulnerabilità nei propri sistemi.

Cos’è OpenVAS

Chiunque si occupi di Vulnerability Assessment, sa che un vulnerability scanner come OpenVAS è un tool che permette di effettuare la scansione di un sistema target (IP/HOSTNAME) basandosi su un range di porte e una serie di policy.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

Il tool è affiancato da un database delle vulnerabilità, utilizzato dallo scanner per analizzare le eventuali criticità ogni qual volta trovi un servizio in ascolto. Il tool che effettua la scansione riceve aggiornamenti quotidiani dal database Network Vulnerability Tests “NVTs”.

Il nome originario dell’applicazione era GNessUs, nata come fork di Nessus. La nascita di questo fork, attualmente multipiattaforma, fu la naturale risposta da parte della comunità open source al cambio di licenza con cui i dirigenti della Tenable Security decisero di rilasciare Nessus a partire dalla versione 2.5. Da tale versione, infatti, quello che era considerato il miglior security scanner open source divenne software proprietario. OpenVAS, al contrario, è rilasciato sotto licenza GPL.

In questo articolo vedremo come installare OpenVAS utilizzando il Virtual Appliance, quindi un sistema già preconfigurato pronto all’uso.

Cos’è una Virtual Appliance e quali sono i vantaggi principali

Uno dei principali obiettivi dei produttori di software è stato da sempre la possibilità di mettere l’utente immediatamente in grado di utilizzare la loro applicazione senza perdersi in dettagli tecnici legati alla installazione e configurazione.

Questo è particolarmente vero nel caso di soluzioni software di una certa complessità.

Seguendo questo principio hanno avuto origine i programmi di installazione più o meno evoluti, i wizard di configurazione, fino ad arrivare alle soluzioni “estreme” di fornitura del software in modalità ASP (Application Service Provider) o SaaS (Software As A Service), in cui le fasi di installazione e configurazione semplicemente non esistono per l’utente finale.

Uno dei vantaggi di una macchina virtuale rispetto ad una fisica consiste nel fatto che, non essendo altro che un insieme di file, può essere spostata facilmente da un computer ad un altro senza pregiudicarne il funzionamento né i dati e programmi in essa installati. Questo aspetto è la caratteristica fondamentale che rende apprezzabili le Virtual Appliance.

Una Virtual Appliance è, infatti, una soluzione software installata e preconfigurata su una o più macchine virtuali e pronta per essere utilizzata da parte dell’utente. Si tratta di oggetti la cui installazione e utilizzo non richiede competenze tecniche specifiche.

Questo è anche l’obiettivo delle Virtual Appliance: essere pronte all’uso senza la necessità di competenze tecniche specifiche per l’installazione e la configurazione. In altre parole, soluzioni software chiavi in mano

Ecco come installare e usare OpenVAS

Iniziamo con il download del prodotto andando sul sito ufficiale.

Selezioniamo la versione Virtual Appliance e scarichiamo l’immagine in formato ISO cliccando sul link DOWNLOAD NOW.

L’appliance è compatibile sia con VirtualBox che con ESXI. Nel nostro esempio, useremo VMware Fusion per la creazione della macchina virtuale.

Procediamo, quindi, proprio con la creazione della macchina virtuale.

Trasciniamo il file immagine in formato ISO scaricato precedentemente nell’apposito form per avviare l’installazione.

Selezioniamo l’immagine interessata e clicchiamo su Continua.

Nella finestra successiva dobbiamo specificare il sistema operativo utilizzato, quindi selezioniamo Linux e Altro Kernel Linux 5.x o versione successiva a 64 bit. Questo è valido anche per chi utilizza VirtualBox.

Ora clicchiamo su Continua e procediamo con la personalizzazione delle caratteristiche della nostra VM.

Il sito ci consiglia le caratteristiche minime che deve avere la nostra macchina virtuale che sono:

  • Hyper-V by hand via “New – Virtual Computer”:
  1. Generation: Generation 1
  2. Startup memory: 4096 MB
  3. Use Dynamic Memory: deactivate
  4. Network: Select a connection that has access to the Internet. The system needs access to the internet for the setup. For using the system web interface you need to access the system from where your web browser runs.
  5. Virtual hard disk: create an new, with an minimum of 15 GB
  6. Installation Options: Now choose the downloaded iso image as medium.
  7. After saving, change the number of processors to 2
  8. ESXi / VMWare: Basically follow the hints as in “VirtualBox by hand”.
  • VirtualBox by hand via “New”:
  1. Type: Linux
  2. Version: Other Linux (64bit)
  3. Memory: 4096 MB
  4. Harddisk: 18 GB
  5. CPUs: 2
  6. Create a new hard disk for the virtual machine.
  7. Take care that the network connection works inside-out and outside- in: The system needs access to the internet for the setup. For using the systems’ web interface you need to access the system from where your web browser runs
  8. Audio, USB and floppy should be disabled.
  9. Now choose the downloaded iso image as medium for the CD drive and start the vitual machine.

Clicchiamo ora su Personalizza impostazioni, modifichiamo il nome della nostra macchina e clicchiamo su Salva.

Poi passiamo all’impostazione del processore e della RAM, selezionando 2 core e 4096 MB (4GB).

Come da descrizione, andiamo a disabilitare la scheda audio, eventuali USB e floppy mentre manteniamo l’unità DVD che verrà utilizzato come sorgente per l’installazione della macchina virtuale e modifichiamo le dimensioni del disco virtuale che conterrà la macchina virtuale.

Ora chiudiamo tutte le impostazioni e avviamo la macchina.

Alla prima schermata di installazione, selezioniamo Setup.

Confermiamo di volere installare e formattare il disco e continuiamo.

Dopo averci mostrato l’avviso della versione community passa alla schermata di configurazione dell’utente amministrativo e la relativa password di nostra scelta.

Ora completiamo l’installazione effettuando il login.

Adesso concluderemo il setup wizard che ci permetterà di creare un utente per la gestione di OpenVAS con l’interfaccia grafica che utilizzeremo poi per le scansioni e la gestione del framework.

A questo punto, dobbiamo solo eseguire il download dei feed NVTs.

NVT’s è il contenitore dei feed, quindi dei test che consentono di rilevare le vulnerabilità, che attualmente sono oltre 60.000.

Greenbone mantiene un feed pubblico di Network Vulnerability Test. Questo feed pubblico è chiamato Greenbone Community Feed (GCF), che una volta loggati nella GUI di OpenVAS possiamo vedere nella dashboard oppure andando su Administration/Feed Status e selenzionando NVTs che, a sua volta, mostrerà tramite un grafico la Severity Class.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr