Cách triển khai Greenbone OpenVAS Basic

Khi nào OpenVAS Basic là ĐỦ

👉 Dùng khi mục tiêu của bạn là biết mình có lỗ hổng gì để vá, không phải xây SOC.

✅ Phù hợp nếu bạn có:

• Quy mô nhỏ – trung bình

  • ~10–200 IP

  • 1–2 site

  • Không có nhiều network segment phức tạp

• Hạ tầng đơn giản

  • Vài server (AD, File, Web, DB)

  • Firewall + switch cơ bản

• IT team nhỏ

  • 1–3 người

  • Không có người chuyên security

• Nhu cầu thực tế

  • Quét định kỳ (tuần/tháng)

  • Kiểm tra trước khi public server

  • Phục vụ audit ISO / kiểm tra nội bộ

🎯 OpenVAS Basic làm tốt:

• Quét lỗ hổng hệ điều hành, dịch vụ, web

• Phát hiện CVE phổ biến & nghiêm trọng

• Lên báo cáo để:

  • Vá lỗi

  • Gửi sếp / auditor

• Chạy ổn trên 1 máy ảo

👉 80% doanh nghiệp vừa và nhỏ ở VN dùng tới đây là hợp lý.

1️⃣ Chuẩn bị trước khi triển khai (rất quan trọng)

Làm bước này kỹ thì cài cực nhàn.

🔧 Hạ tầng tối thiểu

• 1 máy ảo (VM) hoặc server vật lý

• Khuyến nghị:

  • CPU: 4 vCPU

  • RAM: 8–16 GB (16 GB chạy rất mượt)

  • Disk: 150–250 GB SSD

• Hypervisor:
  VMware / Hyper-V / Proxmox / VirtualBox đều OK

🌐 Mạng

• OpenVAS phải ping & kết nối được tới các IP cần quét

• Mở tối thiểu:

  • 22 (SSH)

  • 443 (HTTPS)

  • Các port dịch vụ nội bộ (SMB, RDP, DB…)

⚠️ Nếu firewall chặn → quét ra kết quả giả (false negative).

2️⃣ Cách cài OpenVAS Basic (chuẩn nhất)

✅ Cách khuyến nghị: Dùng appliance chính hãng Greenbone

Nhanh – ổn – ít lỗi.

Quy trình:

1. Tải Greenbone OpenVAS Basic Appliance (OVA/ISO)

2. Import vào hypervisor

3. Bật máy → hệ thống tự khởi tạo

4. Gán IP (DHCP hoặc static)

👉 Không nên tự build từ source nếu:

• Không quen Linux

• Không có thời gian debug feed lỗi

3️⃣ Truy cập & cấu hình ban đầu

🔐 Đăng nhập

• Truy cập:
  https://IP_OpenVAS

• Giao diện: Greenbone Security Assistant (GSA)

⚙️ Cấu hình cần làm ngay

1. Đổi mật khẩu admin

2. Kiểm tra:

   • Feed đã update chưa (NVT, CVE, SCAP)

3. Cấu hình:

   • Timezone

   • NTP

⏱️ Lần update feed đầu tiên có thể mất 30–90 phút → bình thường.

4️⃣ Khai báo mục tiêu quét (Targets)

🎯 Target là gì?

Là danh sách IP / hostname cần quét.

Ví dụ:

• 192.168.1.10

• 192.168.1.0/24

• server.domain.local

👉 Nên chia target theo:

• Server

• User PC

• DMZ

• Network device

5️⃣ Thiết lập quét có xác thực (rất nên làm)

❓ Vì sao?

• Quét không xác thực: chỉ thấy bề nổi

• Quét có xác thực: thấy lỗi thật bên trong OS

🔑 Các kiểu xác thực

• Linux: SSH (user/password hoặc key)

• Windows:

  • SMB + domain account

  • Local admin

👉 Tạo 1 tài khoản scan riêng, chỉ đủ quyền đọc.

6️⃣ Tạo & chạy Task quét

🧪 Chọn Scan Config

• Dùng mặc định:

  • Full and fast

• Khi mới triển khai:

  • Tránh profile “very deep” → dễ làm chậm mạng

▶️ Chạy quét

• Nên chạy:

  • Ban đêm

  • Cuối tuần (lần đầu)

⏳ Lần đầu quét thường:

• Lâu

• Ra rất nhiều lỗi → đừng hoảng 😄

7️⃣ Đọc & xử lý kết quả đúng cách

🔥 Đừng làm sai bước này

Không phải lỗi nào cũng cần vá ngay.

Cách làm chuẩn:

1. Lọc theo mức:

   • Critical

   • High

2. Ưu tiên:

   • Có exploit public

   • Internet-facing

3. Bỏ qua (accept risk) nếu:

   • Lỗi lý thuyết

   • Không ảnh hưởng thực tế

👉 OpenVAS là công cụ chỉ điểm, không phải phán quyết cuối cùng.

8️⃣ Lập lịch quét định kỳ

📅 Khuyến nghị

• Server: 1 lần / tháng

• PC người dùng: 1–2 lần / quý

• Sau khi:

  • Vá lớn

  • Mở dịch vụ mới

👉 Đừng quét quá dày → tốn tài nguyên + IT mệt.

9️⃣ Best practice khi dùng OpenVAS Basic

💡 Kinh nghiệm thực tế:

• ❌ Không quét toàn mạng /16 ngay

• ❌ Không chạy giờ hành chính (lần đầu)

• ✅ Luôn quét có xác thực

• ✅ Xuất report PDF cho sếp

• ✅ Ghi chú:

  • Lỗi nào vá

  • Lỗi nào chấp nhận rủi ro