Bir sisteme sızmadan önce o sistemde bulunan zaafiyetleri, açıkları (vulnerability) tespit etmek gerekir. Bu zafiyetler sömürülerek (exploit) o sistemlere sızmak mümkün olacaktır. Bu aşama bir çok kişi için sıkıcı gelebilir fakat hedeflerimizdeki zayıf noktaları taramak ve tanımlamak en önemli aşamalardan biridir.
Nessus ve OpenVAS yaygın olarak kullanılan açık tespit etme araçlarıdır. Bu araçlarla Linux sistemlerindeki açıklıklar, Windows sistemlerindeki açıklıklar, ağ hizmetlerindeki açıklar, web sitelerindeki açıklar taranabilir.
Nessus’u Kurma, Yapılandırma ve Çalıştırma
Nessus yaygın olarak kullanılan açık ve zafiyet tespit araçlarından biridir. Her ne kadar Kali ile kurulu olarak gelmese de kolaylıkla indirip kurabiliriz. Nessus, Home, Professional ve Manager olmak üzere iki farklı sürüm ile gelmektedir. Biz burada Nessus Home sürümünü deneme lisansı ile kullanacağız. Deneme (Evaluation) lisansın bazı kısıtlamaları olsa da ürünü tanıma açısından çok farkı yoktur.
Nessus’u indirmek için Google’da “nessus download” şeklinde bir arama yapıp çıkan ilk sonuca gidebilirsiniz. İndirme adresi değişebileceğinden herhangi bir web adresi vermedim. Arama sonucunda çıkan ilk sayfaya gittiğimizde solda işletim sistemimizi seçmemiz gerek bir menü göreceksiniz. Biz Kali üzerine kurulum yapacağımız için Debian 6, 7, 8 / Kali Linux 1 AMD64 seçeneği altında bulunan linke tıklıyoruz. Tabi bu indirme işlemini sanal makinede çalışan Kali üzerinde yapmamız gerekiyor.
Linke tıklayınca bir anlaşma penceresi gelecek burada I agree seçeneğindeki kutucuğu seçip Download düğmesine tıklıyoruz. Yeni açılan pencerede Save File düğmesine tıklıyoruz. İndirme işlemi tamamlanınca terminal penceresi açıp Download klasörüne gidiyor ve dpkg -i Nessus-6.11.2-debian6_amd64.de komutu ile Nessus kurulumunu gerçekleştiriyoruz. Download klasörüne girdikten ve dpkg -i yazdıktan sonra Tab tuşuna basarsanız dosya ismi otomatik olarak gelir. Enter tuşuna basın ve kurulum başlasın.
Nessus, /opt/nessus dizininin altına kurulacaktır. Kurulum tamamlandıktan sonra, Nessus’u aşağıdaki komutu yazarak çalıştırabilirsiniz:
/etc/init.d/nessusd start
Sonrasında Firefox tarayıcısını açıp adres satırına https://kali:8834 yazıp enter tuşuna basıyoruz. Your connection is not secure şeklinde bir hata almışsak hemen Advanced seçeneğine tıklayıp Ad Exception’u seçiyoruz.
Sonrasında da çıkan yeni pencerede Confirm Security Exception’a tıklayarak Welcome to Nessus ekranına ulaşıyoruz. Burada Contunie düğmesine tıklıyoruz. Bir kullanıcı adı ve parola belirlememiz gerekiyor. Burada verdiğimiz kullanıcı adı ve parolayı Nessusa giriş yaparken kullanacağız. Ben Nessus, Nessus verdim.
Ardından Continue düğmesine tıklıyoruz. Burada bir Activation Code girmemiz gerekiyor. Bunun için Registering this scanner linkine tıkladığımızda yeni bir sayfada kayıt sayfası açılır. Burada Nessus Home seçeneği altındaki Register Now düğmesine tıklıyoruz. İsim, soy isim ve e-posta bilgilerini doldurup Register düğmesine tıklıyoruz. Verdiğimiz e-posta adresine Activation Code gönderilecektir. Bu kodu kayıt ekranında giriyoruz ve Continue düğmesine tıklıyoruz.
Nessus kurulumunu tamamlamış olduk. Kurulum işleminden sonra Nessus’un bazı gerekli dosyaları indirmesini bekleyiniz. Sonrasında daha önce belirlediğimiz kullanıcı adı ve parola ile giriş yapabiliriz.