Já na interface web, é recomendável realizar login com o usuário "admin" e criar um usuário de utilização diária, mesmo que este tenha permissões administrativas; tal ação facilita processos de auditoria.

A criação de usuários é feita na aba Administration, opção Users, conforme abaixo: A próxima etapa para a realização de uma varredura de vulnerabilidades é definir o alvo. O alvo pode ser um simples host ou uma rede inteira. Tal definição é feita na aba Configuration, opção Target.

Na aba Configuration, opção Scan Configs, é possível customizar um tipo de escaneamento, podendo ele ser rápido, profundo, completo, dentre outras configurações.

Finalmente, na aba Scan Management, é possível agentar novas tarefas de escaneamento através da opção New Task. Nesta sessão é possível definir o nome da tarefa (muito útil caso estejam sendo realizadas varreduras de naturezas diferentes), tipo de escaneamento (completo e rápido, por exemplo) e os alvos. Após a criação da tarefa de varredura, é necessário iniciar a mesma através do painel disponível na aba Scan Management, opção Tasks. Nesta sessão é possível iniciar uma tarefa, pausar ou mesmo parar completamente a mesma. Uma coluna interessante deste painel é a coluna de Reports. Ao findar uma varredura será emitido um relatório, este relatório pode ser extraído em HTML, PDF, Latex, XML, dentre outros formatos.

A seguir é possível observar um relatório típico, que mostra uma lista de portas abertas e uma listagem de vulnerabilidades de acordo com cada severidade (além, é claro, de informações sobre como sanar tal vulnerabilidade, com links para sites de segurança que apontam também para os exploits que exploram tal vulnerabilidade).

Conclusão

Foi apresentada a implementação do software OpenVAS e a configuração de uma varredura de vulnerabilidade comum. Há várias outras configurações e funcionalidades não abordadas neste artigo; o foco do mesmo foi tão somente a implementação.

Quaisquer dúvidas devem ser esclarecidas através do tópico de troubleshooting e dos referidos contatos ao final desta sessão de resolução de problemas.

Sobre o autor

Thiago Vinícius V. Oliveira é Analista de Segurança do Governo Federal; Renomado Palestrante e Autor do livro Implementação de Comunicação Voip em Rede Sem Fio com Utilização de Telefones WLAN-VOIP, publicado pela Editora Ciência Moderna.

Contato: http://groups.google.com/group/voipbr