Professional Documents
Culture Documents
0
30 de noviembre de 2012
(Revisin 16)
Copyright 2002-2012 Tenable Network Security, Inc. Tenable Network Security, Nessus y ProfessionalFeed son marcas comerciales registradas de Tenable Network Security, Inc. Tenable, el logotipo de Tenable, el logotipo de Nessus y/o otros productos de Tenable a los que se haga referencia aqu son marcas comerciales de Tenable Network Security, Inc. y pueden estar registrados en determinadas jurisdicciones. Cualquier otro nombre de producto, nombre de compaa, marca, logotipo y smbolo puede ser marca comercial de su respectivo propietario.
Tenable Network Security, Inc. 7063 Columbia Gateway Drive, Suite 100, Columbia, MD 21046, EE. UU. 410.872.0555 sales@tenable.com www.tenable.com
ndice
Introduccin .............................................................................................................................. 5 Estndares y convenciones ....................................................................................................... 5 Organizacin .............................................................................................................................. 5 Nuevo en Nessus 5 .................................................................................................................... 6 Actualizaciones de funciones importantes ............................................................................. 6
Navegacin ........................................................................................................................................ 6 Anlisis ............................................................................................................................................... 6 Informes ............................................................................................................................................. 6 Nueva GUI de servidor ....................................................................................................................... 6
Compatibilidad del sistema operativo ......................................................................................... 7 Informacin general .................................................................................................................. 7 Requisitos previos .................................................................................................................... 9 Nessus Unix ............................................................................................................................... 9 Nessus Windows ......................................................................................................................10 Opciones de implementacin ..................................................................................................10 Firewalls basados en hosts .......................................................................................................10 Suscripciones de plugins de vulnerabilidades ...................................................................... 11 Tipos de suscripcin .................................................................................................................11 Compatibilidad con IPv6 ..........................................................................................................12 Unix/Linux .................................................................................................................................12 Actualizacin .............................................................................................................................12 Instalacin.................................................................................................................................17 Inicio del demonio de Nessus ...................................................................................................20 Detencin del demonio de Nessus ............................................................................................21 Cmo quitar Nessus..................................................................................................................21 Windows ...................................................................................................................................25 Actualizacin .............................................................................................................................25 Actualizacin desde Nessus 4.x ...........................................................................................25 Actualizacin desde Nessus 3.x ...........................................................................................26 Instalacin.................................................................................................................................26 Descarga de Nessus ............................................................................................................26 Instalacin ............................................................................................................................26 Preguntas sobre instalacin..................................................................................................27 Inicio y detencin del demonio de Nessus ................................................................................30 Cmo quitar Nessus..................................................................................................................31
Mac OS X...................................................................................................................................31 Actualizacin .............................................................................................................................31 Instalacin.................................................................................................................................31 Preguntas sobre instalacin..................................................................................................32 Inicio y detencin del servicio Nessus .......................................................................................35 Cmo quitar Nessus..................................................................................................................36 Registro de fuentes y configuracin de la GUI ......................................................................36 Configuracin ............................................................................................................................43 Configuracin del proxy web .....................................................................................................44 Restablecimiento de cdigos de activacin y actualizaciones sin conexin .............................45 Opciones de configuracin avanzada .......................................................................................46 Creacin y administracin de usuarios de Nessus ...............................................................47 Configuracin del demonio de Nessus (usuarios avanzados).............................................49 Opciones de configuracin ........................................................................................................50 Configuracin de Nessus con un certificado SSL personalizado........................................54 Autenticacin de Nessus con certificado SSL .......................................................................55 Autenticacin del certificado SSL de cliente ..............................................................................55 Configuracin de Nessus para certificados ...............................................................................55 Creacin de certificados SSL de Nessus para inicio de sesin .................................................57 Habilitacin de conexiones con smart cards (tarjetas inteligentes) o CAC (tarjetas de acceso comn) ................................................................................................................58 Conexin con explorador habilitado para certificados o tarjetas ................................................60 Nessus sin acceso a Internet ..................................................................................................61 Generacin de un Challenge Code ...........................................................................................61 Obtencin e instalacin de plugins actualizados .......................................................................62 Uso y administracin de Nessus desde la lnea de comandos .............................................65 Directorios principales de Nessus .............................................................................................65 Creacin y administracin de usuarios de Nessus con limitaciones de cuenta..........................66 Opciones de lneas de comandos de Nessusd .........................................................................67 Manipulacin del servicio Nessus por medio de la interfaz de la lnea de comandos (CLI) de Windows .................................................................................................................68 Trabajo con SecurityCenter .....................................................................................................69 Descripcin general de SecurityCenter .....................................................................................69 Configuracin de SecurityCenter 4.0-4.2 para trabajar con Nessus ..........................................69 Configuracin de SecurityCenter 4.4 para trabajar con Nessus ................................................70 Firewalls basados en hosts...................................................................................................71
Solucin de problemas de Nessus Windows .........................................................................72 Problemas de instalacin/actualizacin .....................................................................................72 Problemas de Anlisis...............................................................................................................72 Para obtener ms informacin ................................................................................................74 Declaraciones sobre licencias que no pertenecen a Tenable ...............................................75 Acerca de Tenable Network Security ......................................................................................79
INTRODUCCIN
Este documento describe la instalacin y la configuracin del analizador de vulnerabilidades Nessus 5.0 de Tenable Network Security. Enve sus comentarios o sugerencias por correo electrnico a support@tenable.com. Tenable Network Security, Inc. es el autor y el administrador del analizador de vulnerabilidades Nessus. Adems de mejorar permanentemente el motor Nessus, Tenable disea la mayora de los plugins disponibles para el analizador, as como tambin las comprobaciones de compatibilidad y una amplia variedad de directivas de auditora. En este documento se abordarn los requisitos previos, las opciones de implementacin y las instrucciones paso a paso sobre la instalacin. Se supone que se cuenta con un conocimiento bsico de Unix y de los anlisis de vulnerabilidades.
ESTNDARES Y CONVENCIONES
Este documento es una traduccin de la versin original escrita en ingls. Algunos fragmentos permanecen en ingls con el fin de mostrar cmo aparecen realmente en el producto. En toda la documentacin, los nombres de archivo, demonios y archivos ejecutables se indican con fuente courier negrita, por ejemplo, setup.exe. Las opciones de lneas de comandos y las palabras clave tambin se indican con fuente courier negrita. Los ejemplos de lneas de comandos pueden incluir o no el indicador de la lnea de comandos y el texto de salida de los resultados del comando. Los ejemplos de lneas de comandos mostrarn el comando ejecutado en courier negrita para indicar lo que el usuario escribi, mientras que el resultado de muestra generado por el sistema se indicar en courier (normal). Este es un ejemplo de ejecucin del comando pwd de Unix: # pwd /opt/nessus/ # Las consideraciones y notas importantes se resaltan con este smbolo y cuadros de texto grises.
Las sugerencias, los ejemplos y las prcticas recomendadas se resaltan con este smbolo y con letras blancas en cuadros de texto azules.
ORGANIZACIN
Ya que la GUI de Nessus es estndar independientemente del sistema operativo, este documento se presenta con informacin especfica del sistema operativo primero, y luego con la funcionalidad comn a todos los sistemas operativos.
NUEVO EN NESSUS 5
Con el lanzamiento de Nessus 5, la configuracin del servidor (demonio) de Nessus y la administracin de usuarios se controla a travs de la GUI de Nessus, no a travs del NessusClient independiente ni del archivo nessusd.conf. La GUI de Nessus es una interfaz web que controla configuracin, creacin de directivas, anlisis y todos los informes.
Navegacin
> Ahora, Nessus 5 tiene cinco niveles de gravedad: Informativo, Riesgo bajo, Riesgo > Los usuarios pueden seleccionar diversos criterios de filtro, como Vulnerability
medio, Riesgo alto y Riesgo crtico. Publication Date (Fecha de publicacin de la vulnerabilidad), Vulnerability database ID (Identificacin de la base de datos de la vulnerabilidad) (por ejemplo, CVE, OSVDB, Bugtraq ID, CERT, Secunia), Plugin type (local or remote) (Tipo de plugin [local o remoto]), Information Assurance Vulnerability Alert (IAVA) (Alerta de vulnerabilidades de la seguridad de la informacin [IAVA]) y otros. vulnerabilidad NO aparece en el informe de un host en particular.
> La funcin Audit trail (Registro de auditora) registra el motivo por el que una
Informes
> Sistema de informes en captulos, organizado entre vulnerabilidades y compatibilidad. > Los informes se pueden generar en formatos nativos de Nessus, HTML y ahora en PDF
(debe tener instalado Oracle Java en el servidor de Nessus).
> Se pueden iniciar actualizaciones de plugins desde la interfaz web. > El servidor web de Nessus es compatible con IPv6.
Debian 6 (i386 y x86-64) Fedora Core 16 (i386 y x86-64) FreeBSD 9 (i386 y x86-64) Mac OS X 10.6 y 10.7 (i386 y x86-64) Red Hat ES 4/CentOS 4 (i386) Red Hat ES 5/CentOS 5/Oracle Linux 5 (i386 y x86-64) Red Hat ES 6/CentOS 6/Oracle Linux 6 (i386 y x86-64) [servidor, equipo de escritorio, estacin de trabajo]
> SuSE 10 (x86-64), 11 (i386 y x86-64) > Ubuntu 8.04, 9.10, 10.04, 10.10, 11.10, y 12.04 (i386 y x86-64) > Windows XP, Server 2003, Server 2008, Server 2008 R2 *, Vista y 7 (i386 y x86-64)
Tenga en cuenta que en el Windows Server 2008 R2, la versin integrada de Microsoft IE no interacta adecuadamente con una instalacin Java. Esto hace que Nessus no funcione de la manera esperada en algunas situaciones. Adems, la poltica de Microsoft recomienda no utilizar MSIE en sistemas operativos de servidores. Tenable recomienda que el registro y la actividad de anlisis se realicen desde un sistema de escritorio.
INFORMACIN GENERAL
Nessus es un analizador de seguridad de redes potente y fcil de usar, con una amplia base de datos de plugins que se actualiza a diario. Actualmente se encuentra en tre los productos ms importantes de este tipo en todo el sector de la seguridad, y cuenta con el respaldo de organizaciones profesionales de seguridad de la informacin, tales como SANS Institute. Nessus le permite realizar auditoras de forma remota en una red en particular y determinar si ha sido comprometida o usada de alguna forma inadecuada. Nessus tambin proporciona la capacidad de auditar de forma local un equipo especfico para analizar vulnerabilidades, especificaciones de compatibilidad, violaciones de directivas de contenido y otros temas.
no da nada por sentado. Es decir, no supondr que un servicio dado se ejecuta en un puerto fijo. Esto significa que si usted ejecuta su servidor web en el puerto 1234, Nessus lo detectar y probar su seguridad segn corresponda. Cuando sea posible, intentar validar una vulnerabilidad a travs de su explotacin. En los casos en que no sea confiable o se pueda afectar de manera negativa el destino, Nessus puede basarse en un banner del servidor para determinar la presencia de la vulnerabilidad. En tales casos, quedar registrado en el informe resultante si se us este mtodo.
necesaria para implementar el analizador (servidor) y conectarse con la GUI (cliente) desde cualquier equipo mediante un explorador web, con lo cual se reducen los costos de administracin (varios clientes pueden acceder a un nico servidor).
> Compatible con CVE: la mayora de los plugins se enlazan con CVE, para que los
administradores obtengan ms informacin sobre las vulnerabilidades publicadas. Tambin incluyen frecuentemente referencias a Bugtraq (BID), OSVDB y las alertas de seguridad de proveedores.
> Arquitectura de plugins : cada prueba de seguridad est diseada como plugin
externo, y se agrupa en una de 42 familias. De esta forma, usted puede aadir fcilmente sus propias pruebas, seleccionar plugins especficos o el egir una familia entera sin tener que leer el cdigo del motor de servidores Nessus, nessusd . La lista completa de los plugins de Nessus se encuentra disponible en http://www.nessus.org/plugins/index.php?view=all .
> NASL: el analizador Nessus incluye NASL (Nessus Attack Scripting Language) (lenguaje
Attack Scripting de Nessus), un lenguaje diseado especficamente para crear pruebas de seguridad de manera rpida y sencilla.
> Prueba varios hosts de forma simultnea : segn la configuracin del sistema
del analizador Nessus, usted puede probar una gran cantidad de hosts simultneamente.
> Reconocimiento de servicios inteligente: Nessus no supone que los hosts de destino
respeten los nmeros de puertos asignados por IANA (Autoridad de asignacin de nmeros de Internet). Esto significa que reconocer un servidor FTP que se ejecute en un puerto no estndar (por ejemplo, 31337) o un servidor web que se ejecute en el puerto 8080 en lugar del 80.
> Varios servicios: si se emplean dos o ms servidores web en un host (por ejemplo,
uno en el puerto 80 y el otro en el puerto 8080), Nessus los identificar y los probar todos.
> Cooperacin de plugins: las pruebas de seguridad realizadas por los plugins de
Nessus cooperan de manera tal que no se lleven a cabo comprobaciones innecesarias. Si su servidor FTP no ofrece inicios de sesin annimos, no se realizarn comprobaciones de seguridad relacionadas con estos.
> Compatibilidad total con SSL: Nessus tiene la capacidad para probar los servicios
ofrecidos sobre SSL, tales como HTTPS, SMTPS, IMAPS y otros. Plugins inteligentes (opcional): Nessus cuenta con una opcin de optimizacin que determinar qu plugins deben o no iniciarse en el host remoto. Por ejemplo, Nessus no probar las vulnerabilidades de sendmail respecto de Postfix.
> Foro abierto: encontr un error? Tiene preguntas sobre Nessus? Inicie una discusin
en https://discussions.nessus.org/.
REQUISITOS PREVIOS
Tenable recomienda una memoria de 2 GB como mnimo para operar Nessus. Para realizar anlisis ms amplios de varias redes se recomienda al menos 3 GB de memoria, pero se puede necesitar hasta 4 GB para un uso intensivo, como seguimientos de auditora y generacin de informes en PDF. Se recomienda un procesador Pentium 3 que funcione a 2 GHz o ms. Cuando se use Mac OS X, se recomienda un procesador Intel de doble ncleo que funcione a 2 GHz o ms. Se recomienda implementar Nessus en sistemas de 64 bits. El sistema debe tener al menos 30 GB de espacio libre en el disco para Nessus y los datos de anlisis posteriores. Nessus se puede ejecutar en una instancia de VMware, pero si el equipo virtual emplea la Network Address Translation, NAT (Traduccin de direcciones de red) para conectarse con la red, muchas de las comprobaciones de vulnerabilidades de Nessus, la enumeracin de hosts y la identificacin de sistemas operativos se vern afectadas de manera negativa.
NESSUS UNIX
Antes de instalar Nessus en Unix/Linux, se requieren varias bibliotecas. Muchos sistemas operativos las instalan de forma predeterminada y normalmente no requieren una instalacin independiente:
zlib GNU C Library (es decir, libc) Oracle Java (solo para informes en PDF)
Java debe estar instalado en el host antes de instalar Nessus. Si instala Java despus, deber reinstalar Nessus.
NESSUS WINDOWS
Microsoft ha incorporado cambios a Windows XP SP-2 y versiones ms recientes que pueden afectar el rendimiento de Nessus Windows. Para lograr un mayor rendimiento y confiabilidad de anlisis, se recomienda muy especialmente que Nessus Windows se instale en un servidor que pertenezca a la familia de Microsoft Windows, como Windows Server 2003. Para obtener ms informacin sobre este tema, consulte la seccin Solucin de problemas de Nessus Windows.
OPCIONES DE IMPLEMENTACIN
Al implementar Nessus, a menudo resulta til tener conocimiento sobre directivas de firewalls, enrutamiento y filtros. Se recomienda implementar Nessus de modo que tenga una buena conectividad IP con las redes que analiza. No es deseable la implementacin detrs de un dispositivo NAT, a menos que analice la red interna. Toda vez que se realice un anlisis de vulnerabilidades mediante una NAT o un proxy de aplicacin de algn tipo, la comprobacin se puede distorsionar y producir un falso positivo o negativo. Adems, si el sistema en el que se ejecuta Nessus posee firewalls personales o de escritorio, estas herramientas pueden limitar considerablemente la eficacia de un anlisis de vulnerabilidades remoto. Los firewalls basados en hosts pueden interferir con el anlisis de vulnerabilidades de red. De acuerdo con la configuracin del firewall, este puede evitar, distorsionar u ocultar los sondeos del anlisis de Nessus.
Algunos dispositivos de red que llevan a cabo una inspeccin con estado, tales como firewalls, equilibradores de carga y sistemas de deteccin o prevencin de intrusos, pueden reaccionar de forma negativa cuando se lleva a cabo un anlisis a travs de ellos. Nessus cuenta con una cantidad de opciones de ajuste preciso que pueden ayudar a reducir el efecto de los anlisis a travs de tales dispositivos, pero el mtodo ptimo para evitar los problemas que son inherentes al anlisis a travs de dichos dispositivos de red consiste en la realizacin de un anlisis con credenciales.
10
TIPOS DE SUSCRIPCIN
Tenable proporciona asistencia comercial, mediante el Tenable Support Portal (Portal de soporte de Tenable) o por correo electrnico, a los clientes de ProfessionalFeed que usan Nessus 5. ProfessionalFeed tambin incluye un conjunto de comprobaciones de compatibilidad basadas en hosts para Unix y Windows que son muy tiles para realizar auditoras de compatibilidad, tales como SOX, FISMA o PCI DSS. Puede adquirir una ProfessionalFeed a travs de la Tienda en lnea de Tenable en https://store.tenable.com/ o por una orden de compra a travs de Authorized ProfessionalFeed Partners (Socios autorizados de ProfessionalFeed). Posteriormente recibir de Tenable un cdigo de activacin. Este cdigo se usar al configurar su copia de Nessus para recibir actualizaciones. Si usa Nessus junto con SecurityCenter de Tenable, SecurityCenter tendr acceso a ProfessionalFeed y actualizar de manera automtica sus analizadores de Nessus. Si representa a una organizacin benfica 501(c)(3), quiz califique para recibir ProfessionalFeed sin costo. Para obtener ms informacin, visite la pgina web del Tenable Charitable Organization Subscription (Programa de suscripcin de organizaciones benficas de Tenable). Si usa Nessus de forma domstica con fines no profesionales, puede suscribirse a HomeFeed. El uso de HomeFeed es gratuito. Sin embargo, existe una licencia independiente de HomeFeed cuyo cumplimiento debe aceptarse por parte de los usuarios.
11
UNIX/LINUX
ACTUALIZACIN
Esta seccin explica cmo realizar una actualizacin de Nessus a partir de una instalacin anterior del software. La siguiente tabla ofrece instrucciones de actualizacin para el servidor Nessus en todas las plataformas admitidas anteriormente. Los parmetros de configuracin y los usuarios que se crearon previamente permanecern intactos. Asegrese de que todo anlisis en ejecucin haya finalizado antes de detener nessusd. Toda instruccin de actualizacin especial, si la hay, se proporciona en forma de nota despus del ejemplo. Plataforma Instrucciones de actualizacin
Red Hat ES 4 y CentOS 4 (32 bits); Red Hat ES 5, CentOS 5 y Oracle Linux 5 (32 y 64 bits); Red Hat ES 6, CentOS 6 y Oracle Linux 6 (32 y 64 bits) Comandos de actualizacin # service nessusd stop Use uno de los comandos apropiados que se indican a continuacin, que corresponda a la versin de Red Hat que est ejecutando: # # # # rpm rpm rpm rpm -Uvh -Uvh -Uvh -Uvh Nessus-5.0.1-es4.i386.rpm Nessus-5.0.1-es5.i386.rpm Nessus-5.0.1-es5.x86_64.rpm Nessus-5.0.1-es6.i686.rpm
12
# rpm -Uvh Nessus-5.0.1-es6.x86_64.rpm Una vez que la actualizacin haya finalizado, reinicie el servicio nessusd mediante el siguiente comando: # service nessusd start Resultados de muestra # service nessusd stop Shutting down Nessus services: [ OK ] # rpm -Uvh Nessus-5.0.1-es5.i386.rpm Preparing... ########################################### [100%] Shutting down Nessus services: /etc/init.d/nessusd: 1:Nessus ########################################### [100%] Fetching the newest plugins from nessus.org... Fetching the newest updates from nessus.org... Done. The Nessus server will start processing these plugins within a minute nessusd (Nessus) 5.0.1 [build R23016] for Linux (C) 1998 - 2012 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - You can start nessusd by typing /sbin/service nessusd start - Then go to https://localhost:8834/ to configure your scanner# service nessusd start Starting Nessus services: [ OK ] # Fedora Core 16 (32 y 64 bits) Comandos de actualizacin # service nessusd stop Use uno de los comandos apropiados que se indican a continuacin, que corresponda a la versin de Fedora Core que est ejecutando: # rpm -Uvh Nessus-5.0.1-fc16.i686.rpm # rpm -Uvh Nessus-5.0.1-fc16.x86_64.rpm Una vez que la actualizacin haya finalizado, reinicie el servicio nessusd mediante el siguiente comando: # service nessusd start
13
Resultados de muestra
# service nessusd stop Shutting down Nessus services: # rpm -Uvh Nessus-5.0.1-fc16.i386.rpm [..] # service nessusd start Starting Nessus services: #
OK
OK
SuSE 10 (64 bits), 11 (32 y 64 bits) Comandos de actualizacin # service nessusd stop Use uno de los comandos apropiados que se indican a continuacin, que corresponda a la versin de SuSE que est ejecutando: # rpm -Uvh Nessus-5.0.1-suse10.x86_64.rpm # rpm -Uvh Nessus-5.0.1-suse11.i586.rpm # rpm -Uvh Nessus-5.0.1-suse11.x86_64.rpm Una vez que la actualizacin haya finalizado, reinicie el servicio nessusd mediante el siguiente comando: # service nessusd start Resultados de muestra # service nessusd stop Shutting down Nessus services: # rpm -Uvh Nessus-5.0.1-suse11.i586.rpm Preparing... [..] # service nessusd start Starting Nessus services: # Debian 6 (32 y 64 bits) Comandos de actualizacin # /etc/init.d/nessusd stop Use uno de los comandos apropiados que se indican a continuacin, que corresponda a la versin de Debian que est ejecutando: # dpkg -i Nessus-5.0.1-debian6_i386.deb # dpkg -i Nessus-5.0.1-debian6_amd64.deb # /etc/init.d/nessusd start [ OK ] [ OK ]
14
Resultados de muestra
# /etc/init.d/nessusd stop # dpkg -i Nessus-5.0.1-debian6_i386.deb (Reading database ... 19831 files and directories currently installed.) Preparing to replace nessus 4.4.0 (using Nessus-5.0.0debian6_i386.deb) ... [..] # /etc/init.d/nessusd start Starting Nessus : . #
Ubuntu 8.04, 9.10, 10.04, 10.10 y 11.10 (32 y 64 bits) Comandos de actualizacin # /etc/init.d/nessusd stop Use uno de los comandos apropiados que se indican a continuacin, que corresponda a la versin de Ubuntu que est ejecutando: # dpkg -i Nessus-5.0.1-ubuntu804_i386.deb # dpkg -i Nessus-5.0.1-ubuntu804_amd64.deb # dpkg -i Nessus-5.0.1-ubuntu910_i386.deb # dpkg -i Nessus-5.0.1-ubuntu910_amd64.deb # dpkg -i Nessus-5.0.1-ubuntu1010_i386.deb # dpkg -i Nessus-5.0.1-ubuntu1010_amd64.deb # dpkg -i Nessus-5.0.1-ubuntu1110_i386.deb # dpkg -i Nessus-5.0.1-ubuntu1110_amd64.deb # /etc/init.d/nessusd start Resultados de muestra # /etc/init.d/nessusd stop # dpkg -i Nessus-5.0.1-ubuntu804_i386.deb (Reading database ... 19831 files and directories currently installed.) Preparing to replace nessus 4.4.0 (using Nessus-5.0.0ubuntu810_i386.deb) ... [..] # /etc/init.d/nessusd start Starting Nessus : . #
15
FreeBSD 9 (32 y 64 bits) Comandos de actualizacin # killall nessusd # pkg_info Este comando generar una lista de todos los paquetes instalados y sus descripciones. A continuacin se indica un ejemplo de resultados que corresponde al comando anterior y que muestra el paquete de Nessus: Nessus-4.4.4 A powerful security scanner
Quite el paquete de Nessus mediante el siguiente comando: # pkg_delete <package name> Use uno de los comandos apropiados que se indican a continuacin, que corresponda a la versin de FreeBSD que est ejecutando: # pkg_add Nessus-5.0.1-fbsd9.tbz # pkg_add Nessus-5.0.1-fbsd9.amd64.tbz # /usr/local/nessus/sbin/nessusd -D Resultados de muestra # killall nessusd # pkg_delete Nessus-4.4.4 # pkg_add Nessus-5.0.1-fbsd9.tbz nessusd (Nessus) 5.0.1. for FreeBSD (C) 2011 Tenable Network Security, Inc. [..] # /usr/local/nessus/sbin/nessusd -D nessusd (Nessus) 5.0.1. for FreeBSD (C) 2011 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded # Notas Para actualizar Nessus en FreeBSD, primero debe desinstalar la versin existente y luego instalar la versin ms nueva. Este proceso no quitar los archivos de configuracin ni los archivos que no formaban parte de la instalacin original.
16
INSTALACIN
Descargue la versin ms reciente de Nessus desde
http://www.nessus.org/products/nessus/nessus-download-agreement o a travs del Tenable Support Portal (Portal de soporte de Tenable). Confirme la integridad del paquete de
instalacin comparando la suma de comprobacin MD5 de la descarga con la que aparece en el archivo MD5.asc aqu. A menos que se indique lo contrario, todos los comandos se deben ejecutar como usuario raz del sistema. Las cuentas de usuario normales no cuentan habitualmente con los privilegios necesarios para instalar este software. La siguiente tabla ofrece instrucciones de instalacin para el servidor Nessus en todas las plataformas admitidas. Toda instruccin de instalacin especial, si la hay, se proporciona en forma de nota despus del ejemplo. Plataforma Instrucciones de instalacin
Red Hat ES 4 y CentOS 4 (32 bits); Red Hat ES 5, CentOS 5 y Oracle Linux 5 (32 y 64 bits); Red Hat ES 6, CentOS 6 y Oracle Linux 6 (32 y 64 bits) Comando de instalacin Use uno de los comandos apropiados que se indican a continuacin, que corresponda a la versin de Red Hat que est ejecutando: # # # # # Resultados de muestra rpm rpm rpm rpm rpm -ivh -ivh -ivh -ivh -ivh Nessus-5.0.1-es4.i386.rpm Nessus-5.0.1-es5.i386.rpm Nessus-5.0.1-es5.x86_64.rpm Nessus-5.0.1-es6.i686.rpm Nessus-5.0.1-es6.x86_64.rpm
# rpm -ivh Nessus-5.0.1-es4.i386.rpm Preparing... ########################################### [100%] 1:Nessus ########################################### [100%] nessusd (Nessus) 5.0.1 [build R23011] for Linux (C) 1998 - 2012 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - You can start nessusd by typing /sbin/service nessusd start - Then go to https://squirrel:8834/ to configure your scanner #
17
Fedora Core 16 (32 y 64 bits) Comando de instalacin Use uno de los comandos apropiados que se indican a continuacin, que corresponda a la versin de Fedora Core que est ejecutando: # rpm -ivh Nessus-5.0.1-fc16.i686.rpm # rpm -ivh Nessus-5.0.1-fc16.x86_64.rpm Resultados de muestra # rpm -ivh Nessus-5.0.1-fc16.i386.rpm Preparing... [..] # SuSE 10 (64 bits), 11 (32 y 64 bits) Comando de instalacin Use uno de los comandos apropiados que se indican a continuacin, que corresponda a la versin de SuSE que est ejecutando: # rpm ivh Nessus-5.0.1-suse10.x86_64.rpm # rpm -ivh Nessus-5.0.1-suse11.i586.rpm # rpm ivh Nessus-5.0.1-suse11.x86_64.rpm Resultados de muestra # rpm -ivh Nessus-5.0.1-suse11.i586.rpm Preparing... ################################## [100%] 1:Nessus ################################## [100%] [..] # Debian 6 (32 y 64 bits) Comando de instalacin Use uno de los comandos apropiados que se indican a continuacin, que corresponda a la versin de Debian que est ejecutando: # dpkg -i Nessus-5.0.1 debian6_i386.deb # dpkg -i Nessus-5.0.1 debian6_amd64.deb # dpkg -i Nessus-5.0.1-debian6_i386.deb Selecting previously deselected package nessus. (Reading database ... 36954 files and directories currently installed.) Unpacking nessus (from Nessus-5.0.1-debian6_i386.deb) ... Setting up nessus (5.0.1) ... [..] #
Resultados de muestra
18
Ubuntu 8.04, 9.10, 10.04, 10.10 y 11.10 (32 y 64 bits) Comando de instalacin Use uno de los comandos apropiados que se indican a continuacin, que corresponda a la versin de Ubuntu que est ejecutando: # # # # # # # # Resultados de muestra dpkg dpkg dpkg dpkg dpkg dpkg dpkg dpkg -i -i -i -i -i -i -i -i Nessus-5.0.1-ubuntu804_i386.deb Nessus-5.0.1-ubuntu804_amd64.deb Nessus-5.0.1-ubuntu910_i386.deb Nessus-5.0.1-ubuntu910_amd64.deb Nessus-5.0.1-ubuntu1010_i386.deb Nessus-5.0.1-ubuntu1010_amd64.deb Nessus-5.0.1-ubuntu1110_i386.deb Nessus-5.0.1-ubuntu1110_amd64.deb
# dpkg -i Nessus-5.0.1-ubuntu804_amd64.deb Selecting previously deselected package nessus. (Reading database ... 32444 files and directories currently installed.) Unpacking nessus (from Nessus-5.0.1-ubuntu804_amd64.deb) ... Setting up nessus (5.0.1) ... [..] #
FreeBSD 9 (32 y 64 bits) Comando de instalacin Use uno de los comandos apropiados que se indican a continuacin, que corresponda a la versin de FreeBSD que est ejecutando: # pkg_add Nessus-5.0.1-fbsd9.tbz # pkg_add Nessus-5.0.1-fbsd9.amd64.tbz Resultados de muestra # pkg_add Nessus-5.0.1-fbsd9.tbz nessusd (Nessus) 5.0.1 for FreeBSD (C) 1998 2012 Tenable Network Security, Inc. [..] # Despus de finalizar la instalacin, inicie el demonio nessusd como se indica en la siguiente seccin, segn la distribucin. Una vez que Nessus est instalado, debe visitar la URL del analizador proporcionada para finalizar el proceso de registro. Nota: Las instalaciones con Unix pueden proveer una URL con un nombre de host relativo que no est en DNS (por ejemplo, http://mybox:8834/). Si el nombre de host no est en DNS, debe conectarse al servidor Nessus utilizando una direccin IP o un nombre DNS vlido.
19
Despus de finalizar el proceso, se recomienda que autentique y personalice las opciones de configuracin para su entorno, segn se describe en la seccin Registro de fuentes y configuracin de la GUI. Nessus debe instalarse en /opt/nessus. Sin embargo, se aceptar si /opt/nessus es un enlace simblico symlink que seala otro lugar.
OK
Si desea suprimir el resultado del comando, use la opcin -q de la siguiente forma: Linux y Solaris: # /opt/nessus/sbin/nessus-service -q -D FreeBSD: # /usr/local/nessus/sbin/nessus-service -q -D De forma alternativa, Nessus puede iniciarse mediante el siguiente comando de acuerdo con la plataforma del sistema operativo: Sistema operativo Red Hat, CentOS y Oracle Linux Fedora Core SuSE Debian Comando para iniciar nessusd # /sbin/service nessusd start # /sbin/service nessusd start # /etc/rc.d/nessusd start # /etc/init.d/nessusd start
20
Contine con la seccin Registro de fuentes y configuracin de la GUI para instalar el plugin Activation Code.
21
Red Hat ES 4 y CentOS 4 (32 bits); Red Hat ES 5, CentOS 5 y Oracle Linux 5 (32 y 64 bits); Red Hat ES 6, CentOS 6 y Oracle Linux 6 (32 y 64 bits) Comando Quitar Determine el nombre del paquete: # rpm -qa | grep Nessus Use los resultados del comando anterior para quitar el paquete: # rpm -e <Package Name> Resultados de muestra # rpm -qa | grep -i nessus Nessus-5.0.1-es5 # rpm -e Nessus-5.0.1-es5 #
Fedora Core 16 (32 y 64 bits) Comando Quitar Determine el nombre del paquete: # rpm -qa | grep Nessus Use los resultados del comando anterior para quitar el paquete: # rpm -e <Package Name> SuSE 10 (64 bits), 11 (32 y 64 bits) Comando Quitar Determine el nombre del paquete: # rpm -qa | grep Nessus Use los resultados del comando anterior para quitar el paquete: # rpm -e <Package Name>
22
Debian 6 (32 y 64 bits) Comando Quitar Determine el nombre del paquete: # dpkg -l | grep -i nessus Use los resultados del comando anterior para quitar el paquete: # dpkg -r <package name> Resultados de muestra # dpkg -l | grep nessus ii nessus 5.0.1 Scanner # dpkg -r nessus # Ubuntu 8.04, 9.10, 10.04, 10.10 y 11.10 (32 y 64 bits) Comando Quitar Determine el nombre del paquete: # dpkg -l | grep -i nessus Use los resultados del comando anterior para quitar el paquete: # dpkg -r <package name> Resultados de muestra Solaris 10 (sparc) Comando Quitar Detenga el servicio nessusd: # /etc/init.d/nessusd stop Determine el nombre del paquete: # pkginfo | grep i nessus Quite el paquete de Nessus: # pkgrm <package name> Resultados de muestra A continuacin se indica un ejemplo de resultados que corresponde al comando anterior y que muestra el paquete de Nessus: # pkginfo | grep i nessus application TNBLnessus Vulnerability Scanner # pkgrm TNBLnessus # The Nessus Network # dpkg -l | grep -i nessus ii nessus 5.0.1 Version 4 of the Nessus Scanner # Version 4 of the Nessus
23
FreeBSD 9 (32 y 64 bits) Comando Quitar Detenga Nessus: # killall nessusd Determine el nombre del paquete: # pkg_info | grep -i nessus Quite el paquete de Nessus: # pkg_delete <package name> Resultados de muestra # killall nessusd # pkg_info | grep -i nessus Nessus-5.0.1 A powerful security scanner # pkg_delete Nessus-5.0.1 #
Mac OS X Comando Quitar Abra una ventana de terminal: Desde Applications (Aplicaciones), haga clic en Utilities (Utilidades) y luego, en Terminal o X11. Desde el indicador de sh ell, use el comando sudo para ejecutar un shell raz y quitar los directorios de Nessus de la siguiente forma: $ sudo /bin/sh Password : # ls -ld /Library/Nessus # rm -rf /Library/Nessus # ls -ld /Library/Nessus # ls -ld /Applications/Nessus # rm -rf /Applications/Nessus # ls -ld /Applications/Nessus # ls -ld /Library/Receipts/Nessus* # rm -rf /Library/Receipts/Nessus* # ls -ld /Library/Receipts/Nessus* # exit
24
Resultados de muestra
$ sudo /bin/sh Password : # ls -ld /Library/Nessus drwxr-xr-x 6 root admin 204 Apr 6 15:12 /Library/Nessus # rm -rf /Library/Nessus # ls -ld /Library/Nessus ls: /Library/Nessus: No such file or directory # ls -ld /Applications/Nessus drwxr-xr-x 4 root admin 136 Apr 6 15:12 /Applications/Nessus # rm -rf /Applications/Nessus # ls -ld /Applications/Nessus # ls -ld /Library/Receipts/Nessus* drwxrwxr-x 3 root admin 102 Apr 6 15:11 /Library/Receipts/Nessus Client.pkg drwxrwxr-x 3 root admin 102 Apr 6 15:11 /Library/Receipts/Nessus Server.pkg # rm -rf /Library/Receipts/Nessus* # ls -ld /Library/Receipts/Nessus* ls: /Library/Receipts/Nessus*: No such file or directory # exit $ No intente este proceso a menos que tenga conocimiento de los comandos shell de Unix. Los comandos ls se incluyen para verificar que el nombre de la ruta se haya escrito correctamente.
Notas
WINDOWS
ACTUALIZACIN
Actualizacin desde Nessus 4.x
Al actualizar Nessus desde una versin 4.x a una distribucin ms reciente 5.x, el proceso de actualizacin le preguntar al usuario si desea eliminar todo lo contenido en el directorio de Nessus. Elegir esta opcin (al seleccionar Yes) imitar un proceso de desinstalacin. Si elige esta opcin, los usuarios creados anteriormente, las directivas de anlisis existentes y los resultados de los anlisis se quitarn, y el analizador dejar de estar registrado.
25
Haga clic en Yes para permitir que Nessus intente eliminar toda la carpeta Nessus junto con todo archivo agregado manualmente, o No para conservar la carpeta Nessus junto con los anlisis, informes, etc. existentes. Despus de que se haya instalado la nueva versin de Nessus, an podrn verse y exportarse.
INSTALACIN
Descarga de Nessus
La versin ms reciente de Nessus est disponible en
http://www.nessus.org/products/nessus/nessus-download-agreement o a travs del Tenable Support Portal (Portal de soporte de Tenable). Nessus 5 est disponible para Windows XP,
Server 2003, Server 2008, Vista y Windows 7. Confirme la integridad del paquete de instalacin comparando la suma de comprobacin MD5 de la descarga con la que aparece en el archivo MD5.asc aqu. Los nombres y los tamaos de los archivos de distribucin de Nessus varan ligeramente de una versin a otra, pero tienen un tamao de aproximadamente 12 MB.
Instalacin
Nessus se distribuye como archivo de instalacin ejecutable. Coloque el archivo en el sistema en el que se est instalando o en una unidad compartida a la que tenga acceso el sistema. Debe instalar Nessus empleando una cuenta administrativa y no como usuario sin privilegios. Si se producen errores relacionados con los permisos, Access Denied (Acceso denegado) o errores que sugieren que una accin tuvo lugar debido a la falta de privilegios, asegrese de que est usando una cuenta con privilegios administrativos. Si se producen estos errores al usar las utilidades de lneas de comandos, ejecute cmd.exe con los privilegios Run as (Ejecutar como) establecidos en administrator (administrador). Algunos paquetes de software antivirus pueden incluir a Nessus en la categora de gusano o de alguna forma de software malintencionado. Lo anterior se debe a la gran cantidad de conexiones TCP generadas durante un anlisis. Si su software antivirus produce una advertencia, haga clic en "allow" (permitir) para que Nessus pueda seguir analizando. La mayora de los paquetes de antivirus tambin le permiten aadir procesos a una lista de excepciones. Aada Nessus.exe y Nessus-service.exe a esta lista para evitar tales advertencias.
26
Se recomienda que obtenga un cdigo de activacin de fuente de plugins antes de iniciar el proceso de instalacin, ya que esa informacin ser necesaria para poder autenticar en la interfaz GUI de Nessus. Para ver ms informacin sobre cmo obtener un cdigo de activacin, lea la seccin Suscripciones de plugins de vulnerabilidades.
Durante el proceso de instalacin, Nessus le solicitar al usuario que introduzca algunos datos bsicos. Antes de comenzar, debe leer y aceptar el contrato de licencia:
27
Cuando se le solicite que seleccione Setup Type (Tipo de instalacin), seleccione Complete (Completa).
28
Despus de finalizar la instalacin inicial, Nessus comenzar la instalacin de un controlador independiente que se utiliza para permitir la comunicacin Ethernet de Nessus:
Una vez que haya finalizado la instalacin, haga clic en Finish (Finalizar).
29
En este momento, Nessus cargar en su explorador web predeterminado una pgina que manejar la configuracin inicial, tratada en la seccin Registro de fuentes y configuracin de la GUI.
Haga clic derecho en el servicio Tenable Nessus para ver un cuadro de dilogo que le permita iniciar, detener, pausar, reanudar o reiniciar el servicio segn el estado actual. Adems, el servicio Nessus puede manipularse por medio de la lnea de comandos. Para obtener ms informacin, consulte la seccin Manipulacin del servicio de Nessus mediante la CLI de Windows en este document o.
30
MAC OS X
ACTUALIZACIN
Las actualizaciones a partir de una versin anterior de Nessus son similares a la realizacin de una instalacin nueva. Descargue el archivo Nessus-5.x.x.dmg.gz, y luego haga doble clic en l para descomprimirlo. Haga doble clic en el archivo Nessus-5.x.x.dmg, con lo que se montar la imagen de disco y har que aparezca en Devices (Dispositivos) en Finder (Buscador). Cuando el volumen Nessus 5 aparezca en el Finder, haga doble clic en el archivo Nessus 5. Una vez que se haya finalizado la instalacin, inicie sesin en Nessus a travs de su explorador, en https://localhost:8834.
INSTALACIN
La versin ms reciente de Nessus est disponible en
http://www.nessus.org/products/nessus/nessus-download-agreement o a travs del Tenable Support Portal (Portal de soporte de Tenable). Nessus est disponible para Mac OS X 10.6 y
10.7. Confirme la integridad del paquete de instalacin comparando la suma de comprobacin MD5 de la descarga con la que aparece en el archivo MD5.asc aqu. El tamao del archivo de distribucin de Nessus para Mac OS X es ligeramente diferente entre una y otra publicacin, pero aproximadamente pesa 45 MB.
31
Para instalar Nessus en Mac OS X, debe descargar el archivo Nessus-5.x.x.dmg.gz y luego hacer doble clic en l para descomprimirlo. Haga doble clic en el archivo Nessus-5.x.x.dmg, con lo que se montar la imagen de disco y har que aparezca en Devices (Dispositivos) en Finder (Buscador). Cuando el volumen Nessus 5 aparezca en Finder (Buscador), haga doble clic en el archivo Nessus 5 como se muestra a continuacin:
Tenga en cuenta que se le solicitar un nombre de usuario y contrasea de administrador en algn momento de la instalacin.
32
Haga clic en Continue (Continuar) y se mostrar la licencia del software. Haga clic en Continue nuevamente, y aparecer un cuadro de dilogo que le pedir que acepte las condiciones de la licencia antes de continuar:
33
Despus de aceptar la licencia, aparecer otro cuadro de dilogo que le permitir cambiar la ubicacin predeterminada de la instalacin, como se muestra a continuacin:
Haga clic en el botn Install (Instalar) para continuar la instalacin. En este punto se le solicitar que introduzca el nombre de usuario y contrasea de administrador:
34
En este momento, Nessus cargar en su explorador web predeterminado una pgina que manejar la configuracin inicial, tratada en la seccin Registro de fuentes y configuracin de la GUI.
35
Si la instalacin del software no abre su explorador web con la pgina de configuracin, puede cargar un explorador e ir a http://[Nessus Server IP]:8834/WelcomeToNessus-Install/welcome (o a la URL provista durante el proceso de instalacin) para comenzar el proceso. Nota: Las instalaciones con Unix pueden proveer una URL con un nombre de host relativo que no est en DNS (por ejemplo, http://mybox:8834/). Si el nombre de host no est en DNS, debe conectarse al servidor Nessus utilizando una direccin IP o un nombre DNS vlido.
36
La pantalla inicial sirve como advertencia de que todo el trfico hacia la GUI de Nessus se realiza por SSL (HTTPS). La primera vez que se conecte al servidor web Nessus, su explorador mostrar algn tipo de error que indica que la conexin no es confiable debido a un certificado SSL autofirmado. En la primera conexin, acepte el certificado para continuar la configuracin. Las instrucciones para instalar un certificado personalizado se tratan ms adelante en este documento, en la seccin Configuracin de Nessus con un certificado SSL personalizado. Debido a la implementacin tcnica de los certificados SSL, no es posible enviar un certificado con Nessus que sea confiable para los exploradores. Para evitar esta advertencia, debe utilizar un certificado personalizado para su organizacin.
37
Segn el explorador que utilice, puede haber un dilogo adicional que le permita aceptar el certificado:
38
Una vez que lo acept, se le redirigir a la pantalla inicial de registro que comienza las instrucciones paso a paso:
El primer paso es crear una cuenta para el servidor Nessus. La cuenta inicial ser de administrador; esta cuenta tiene acceso a la ejecucin de comandos en el sistema operativo subyacente de la instalacin de Nessus, por lo que se debe considerar de la misma manera que cualquier otra cuenta de administrador:
39
La siguiente pantalla solicita un Cdigo de activacin de plugins y le permite configurar parmetros de proxy opcionales. Si usa el Tenable SecurityCenter, el cdigo de activacin y las actualizaciones de los plugins se administran desde SecurityCenter. Para comunicarse con SecurityCenter, Nessus necesita iniciarse, lo cual normalmente no se podr lograr sin un cdigo de activacin y plugins vlidos. Para que Nessus ignore este requisito y se inicie (y pueda as obtener la informacin de SecurityCenter), escriba SecurityCenter (con maysculas y minsculas) sin comillas en el cuadro Activation Code (Cdigo de activacin). Despus de iniciar Nessus, los usuarios de SecurityCenter habrn completado la instalacin y configuracin iniciales del analizador Nessus y podrn pasar a la seccin Trabajo con SecurityCenter.
Si no registra su copia de Nessus, no recibir ningn plugin nuevo y no podr iniciar el servidor Nessus. Nota: el cdigo de activacin no distingue maysculas de minsculas. Si su servidor Nessus se encuentra en una red que utiliza un proxy para comunicarse con Internet, haga clic en Optional Proxy Settings (Configuracin de proxy opcional) para escribir la informacin correspondiente. Los parmetros de proxy pueden agregarse en cualquier momento despus de finalizar la instalacin.
40
Una vez que se finaliz la configuracin del Cdigo de activacin y los parmetros de proxy opcionales, haga clic en Next (Siguiente) para registrar su analizador:
41
Despus del registro, Nessus debe descargar los plugins de Tenable. Este proceso puede tomar varios minutos, ya que transfiere una gran cantidad de datos al equipo, verifica la integridad de los archivos y los compila en una base de datos interna:
Despus del registro inicial, Nessus descargar y compilar los plugins obtenidos del puerto 443 de plugins.nessus.org, plugins-customers.nessus.org o pluginsus.nessus.org en segundo plano. Una vez que se hayan descargado y compilado los plugins, la GUI de Nessus se inicializar y el servidor Nessus se iniciar:
42
Con las credenciales administrativas creadas durante la instalacin, inicie sesin en la interfaz de Nessus para verificar el acceso.
CONFIGURACIN
Con el lanzamiento de Nessus 5, toda la configuracin del servidor de Nessus se controla a travs de la GUI. El archivo nessusd.conf est en desuso. Adems, los parmetros de proxy, el registro de fuentes de suscripcin y las actualizaciones sin conexin tambin se administran a travs de la GUI.
43
Existen seis campos que controlan la configuracin del proxy, pero solo son necesarios el host y el puerto. Tambin puede suministrarse un nombre de usuario y una contrasea si es necesario. Opcin Host (Host) Port (Puerto) Username (Nombre de usuario) Password (Contrasea) Descripcin El host o IP del proxy (por ejemplo, proxy.example.com). El puerto del proxy (por ejemplo, 8080). Opcional: si se requiere un nombre de usuario para el uso del proxy (por ejemplo, jdoe). Opcional: si se requiere una contrasea para el uso del proxy (por ejemplo, guineapigs).
44
Opcional: si el proxy que utiliza filtra agentes de usuario HTTP especficos, se puede suministrar una cadena agente-usuario personalizada. Opcional: esto puede utilizarse para forzar a Nessus a actualizar plugins desde un host especfico. Por ejemplo, si los plugins se deben actualizar desde un lugar en EE. UU., puede especificar plugins-us.nessus.org.
A partir de Nessus 4.2, los analizadores de Microsoft Windows admiten la autenticacin de proxy, incluido NTLM.
Tambin puede forzar una actualizacin de plugin en cualquier momento haciendo clic en Update Plugins (Actualizar plugins). Si una actualizacin de plugin falla por cualquier motivo (por ejemplo, una interrupcin en la conexin a la red), Nessus volver a intentarla 10 minutos despus. La seccin Offline Update (Actualizacin sin conexin) le permite especificar un archivo de plugins para el procesamiento. Para obtener ms detalles acerca de la actualizacin sin conexin, consulte la seccin Nessus sin acceso a Internet ms adelante en este documento. El uso del cliente heredado a travs del protocolo NTP es admitido por Nessus 5, pero solo est disponible para clientes de ProfessionalFeed.
45
Puede configurar cada opcin modificando el campo correspondiente y haciendo clic en el botn Save (Guardar) que est en la base de la pantalla. Adems, puede quitar por completo la opcin haciendo clic en el botn . De manera predeterminada, la GUI de Nessus opera en el puerto 8834. Para cambiar este puerto, modifique xmlrpc_listen_port para escoger el puerto deseado. El servidor Nessus procesar el cambio en unos minutos. Si requiere preferencias adicionales, haga clic en el botn Add Preference Item (Agregar elemento de preferencia), escriba el nombre y el valor, y presione Save (Guardar). Una vez que la preferencia se actualiz y se guard, Nessus procesar los cambios en unos minutos. Para obtener ms detalles acerca de cada opcin de configuracin, consulte la seccin Configuracin del demonio de Nessus (usuarios avanzados) de este documento.
46
Para crear un nuevo usuario, Haga clic en New User (Nuevo usuario), en la esquina superior derecha. Esto abrir un dilogo que le pide que ingrese los siguientes detalles obligatorios:
Escriba el nombre de usuario y la contrasea, repita la contrasea y decida si el usuario tendr privilegios de administrador.
47
Si necesita modificar una cuenta de usuario, escoja la cuenta en la lista y haga clic en Edit:
No puede cambiar el nombre de los usuarios. Si desea cambiar el nombre de un usuario, debe eliminar al usuario y crear un nuevo usuario con el nombre de inicio de sesin correspondiente. Para eliminar un usuario, seleccione el cuadro de verificacin junto a la cuenta en la lista, seleccione Options (Opciones) en la esquina superior derecha, haga clic en Delete User (Eliminar usuario) y confirme:
Un usuario que no sea administrador no puede subir plugins a Nessus, no puede reiniciarlo remotamente (esto es necesario despus de subir un plugin), ni puede anular el parmetro max_hosts/max_checks en la seccin de configuracin. Si el usuario va a ser utilizado por SecurityCenter, debe ser un usuario administrador. SecurityCenter mantiene su propia lista de usuarios y establece los permisos para ellos. Si necesita que una cuenta de usuario de Nessus tenga limitaciones, puede hacerlo utilizando la interfaz de la lnea de comandos (CLI); esto se trata ms adelante en el documento, en la seccin Uso y administracin de Nessus desde la lnea de comandos.
48
Tenga en cuenta que esta configuracin ser reemplazada en cada anlisis al usar SecurityCenter de Tenable o en la directiva personalizada de la interfaz de usuario de Nessus. Para ver o modificar estas opciones para una plantilla de anlisis en SecurityCenter, modifique Scan Options (Opciones de anlisis) en Scan Template (Plantilla de anlisis). En la Nessus User Interface (Interfaz de usuario de Nessus), modifique la directiva de anlisis, y luego haga clic en la ficha Options (Opciones). Tenga en cuenta que el parmetro max_checks posee un lmite, codificado de forma rgida, de 15. Cualquier valor mayor de 5 producir normalmente efectos adversos, ya que la mayora de los servidores no pueden procesar tantas solicitudes intrusivas al mismo tiempo. Notas sobre max_hosts: Como el nombre lo indica, representa la cantidad mxima de sistemas de destino que se examinarn en un momento dado. Mientras mayor sea la cantidad de sistemas analizados de forma simultnea por un analizador Nessus individual, mayor exigencia se aplicar a la memoria RAM, el procesador y el ancho de banda de la red del sistema de ese analizador. Al establecer el valor max_hosts, tenga en cuenta la configuracin del hardware del sistema del analizador y de otras aplicaciones que se ejecuten en este.
49
Dado que tambin afectar a los anlisis de Nessus una cantidad de otros factores que son exclusivos de su entorno de anlisis (por ejemplo, la directiva de su organizacin respecto de los anlisis, otro trfico presente en la red, el efecto que un tipo de anlisis en particular tenga en los hosts de destino de su anlisis), la experimentacin le proporcionar el valor ptimo para max_hosts. Un punto de partida conservador para determinar el mejor valor de max_hosts en un entorno empresarial sera establecerlo en 20 en sistemas Nessus basados en Unix, y en 10 en analizadores Nessus para Windows. Notas sobre max_checks: Es la cantidad de comprobaciones o plugins que se ejecutarn de forma simultnea en un nico host de destino durante un anlisis. Tenga en cuenta que establecer esta cantidad en un valor demasiado elevado podra saturar los sistemas que est analizando, segn qu plugins use en el anlisis. Multiplique max_checks por max_hosts para encontrar la cantidad de comprobaciones simultneas que se podran ejecutar en un momento dado durante un anlisis. Debido a que max_checks y max_hosts se usan en conjunto, establecer max_checks en un valor demasiado elevado tambin puede provocar restricciones de recursos en el sistema del analizador Nessus. Al igual que con max_hosts, la experimentacin le proporcionar el valor ptimo para max_checks, pero se recomienda que siempre est establecido en un valor relativamente bajo.
OPCIONES DE CONFIGURACIN
En la siguiente tabla se incluye una breve explicacin de cada opcin de configuracin disponible en el men de configuracin. Muchas de estas opciones son configurables a travs de la interfaz del usuario al crear una directiva de anlisis. Opcin auto_enable_ dependencies Descripcin Activa de manera automtica los plugins de los que depende. Si se encuentra deshabilitada, no todos los plugins se pueden ejecutar, a pesar de haber sido seleccionados en una directiva de anlisis. Actualizaciones automticas de plugins. Si se encuentra habilitada y Nessus est registrado, obtenga los plugins ms recientes de plugins.nessus.org automticamente. Deshabilite la opcin si el analizador se encuentra en una red aislada que no puede conectarse con Internet. Cantidad de horas que se deben esperar entre una actualizacin y otra. El intervalo mnimo permitido es cuatro (4) horas. Durante la prueba de los servidores web, use esta lista de rutas de acceso CGI delimitada por dos puntos. Lee el tiempo de espera para los sockets de las pruebas.
auto_update
50
Deshabilita el protocolo heredado NTP anterior. Deshabilita la nueva interfaz de XMLRPC (servidor web). Ubicacin de un archivo de descarga correspondiente a los resultados de la depuracin, en caso de que se genere. Indica a Nessus que escuche en IPv4. Indica a Nessus que escuche en IPv6, si el sistema admite las direcciones IPv6. Si est establecida en un nmero distinto de cero, define la cantidad mxima de anlisis que pueden producirse de forma paralela. Nota: si esta opcin no se usa, no se aplicar ningn lmite. Cantidad mxima de sesiones TCP simultneas entre todos los anlisis. Nota: si esta opcin no se usa, no se aplicar ningn lmite. Si est establecida en un nmero distinto de cero, define la cantidad mxima de usuarios (web) que se pueden conectar de forma paralela. Nota: si esta opcin no se usa, no se aplicar ningn lmite. Cantidad mxima de sesiones TCP simultneas por host analizado. La direccin IPv4 a la que escuchar para las conexiones entrantes. Si est establecida en 127.0.0.1, se limitar el acceso a conexiones locales nicamente. Puerto que se escuchar (protocolo NTP anterior). Usado para conexiones de NessusClient anteriores a 4.2. Desea registrar todos los detalles del ataque? Resulta til para depurar problemas con el anlisis, pero puede usar el disco duro de forma intensiva. Lugar en el que se almacena el archivo de registro de Nessus. Cantidad mxima de hosts comprobados al mismo tiempo durante un anlisis. Cantidad mxima de comprobaciones simultneas en cada host probado. Cantidad mxima de sesiones TCP simultneas por anlisis. Indica el tipo de resultados del motor NASL en nessusd.dump.
listen_port log_whole_attack
51
nasl_no_signature_check
Nessus debe considerar todas las secuencias de comandos NASL como firmadas? Seleccionar yes es poco seguro y no recomendado. Establece la cantidad mxima de paquetes SYN que Nessus enviar por segundo durante su anlisis de puertos (independientemente de la cantidad de hosts que se analicen de forma paralela). Ajuste esta opcin en funcin de la sensibilidad del dispositivo remoto ante grandes cantidades de paquetes SYN. Puertos en los cuales no se deben ejecutar dos plugins de manera simultnea. Optimiza el procedimiento de prueba. Si cambia la opcin a no, har que los anlisis demoren ms y normalmente producir ms falsos positivos. Elimina un anlisis pausado despus de cierta cantidad de minutos (0 indica que no haya tiempo de espera). Indica si los usuarios administradores pueden cargar plugins. Sufijos de los plugins que puede cargar el usuario administrador. Duracin mxima de la actividad de un plugin (en segundos). Intervalo de los puertos que sern analizados por los analizadores de puertos. Se pueden usar las palabras clave all o default, as como tambin una lista de puertos o intervalos de puertos delimitados por comas. Nessus debe purgar la base de datos de los plugins en cada actualizacin? Esto indica a Nessus que quite, vuelva a descargar y vuelva a compilar la base de datos de plugins para cada actualizacin. Elegir Yes (S) har que cada actualizacin sea considerablemente ms lenta. Indica a Nessus que use ms o menos memoria al estar inactivo. Si Nessus se ejecuta en un servidor dedicado, establecer esta opcin en high (alta) usar ms memoria para aumentar el rendimiento. Si Nessus se ejecuta en un equipo compartido, establecer esta opcin en low (baja) usar considerablemente menos memoria, pero a expensas de un efecto moderado en el rendimiento. Reduce la cantidad de sesiones TCP paralelas cuando la red parece congestionada. Desea crear informes annimos sobre bloqueos para Tenable? Ubicacin del archivo de reglas de Nessus (nessusd.rules).
nessus_syn_scanner. global_throughput.max
non_simult_ports optimize_test
purge_plugin_db
qdb_mem_usage
52
safe_checks
Las comprobaciones seguras se basan en la captacin de banners en lugar de pruebas activas en busca de vulnerabilidades. Guarda la base de conocimiento en el disco para usar posteriormente. Si est habilitada la opcin, la lista de dependencias de los plugins y sus resultados no se incluyen en el informe. Se puede escoger un plugin como parte de una directiva que dependa de otros plugins para ejecutarse. De manera predeterminada, Nessus ejecutar esas dependencias de plugins, pero no incluir su resultado en el informe. Si configura esta opcin en no har que tanto el plugin seleccionado como cualquier dependencia de plugin aparezcan en el informe. Si esta opcin est establecida, Nessus no analizar una red incrementalmente (10.0.0.1, luego 10.0.0.2, luego 10.0.0.3 y sucesivamente) sino que intentar dividir la carga de trabajo por toda la red (por ejemplo, analizar 10.0.0.1, luego 10.0.0.127, luego 10.0.0.2, luego 10.0.0.128 y sucesivamente). En el caso de un sistema con mltiples hosts y diferentes direcciones IP en la misma subred, esta opcin indica al analizador Nessus qu NIC/IP usar para las pruebas. Si se proporcionan varias IP, Nessus las recorrer toda vez que realice una conexin. Asegura que solo se empleen cifrados SSL strong" (slidos) al conectarse con el puerto 1241. Admite la palabra clave strong (slido) o las designaciones generales de OpenSSL, segn se enumeran en http://www.openssl.org/docs/apps/ciphers.html. Detiene el anlisis de un host que parece haberse desconectado durante el anlisis. Detiene un anlisis que parece estar suspendido. Acelera el anlisis cuando la CPU est sobrecargada. Usa los mensajes de congestin TCP de Linux para reducir la actividad de anlisis segn sea necesario. Lugar en el que se almacena el registro de Nessus Web Server (interfaz de usuario). Tiempo de espera de sesin inactiva XMLRPC (en minutos). Si esta opcin est establecida en no, Nessus no incluir directivas de anlisis predeterminadas proporcionadas por Tenable.
save_knowledge_base silent_dependencies
slice_network_addresses
source_ip
ssl_cipher_list
stop_scan_on_disconnect
53
Puerto para que escuche Nessus Web Server (nuevo protocolo XMLRPC). Ordena a Nessus que aplique una directiva para la longitud de una contrasea de los usuarios de un analizador.
De manera predeterminada report_crashes est establecido en yes (s). La informacin relacionada con los bloqueos de Nessus se enviar a Tenable para ayudar a depurar problemas y brindar un software de la mayor calidad posible. No se enviar a Tenable ningn tipo de informacin de identificacin personal ni del sistema. Un usuario administrador de Nessus puede establecer esta configuracin como no (no).
Para evitar advertencias por parte del explorador, se puede usar un certificado SSL personalizado que sea especfico para su organizacin. Durante la instalacin, Nessus crea dos archivos que conforman el certificado: servercert.pem y serverkey.pem. Estos archivos deben ser reemplazados con archivos de certificado generados por su organizacin o por una Entidad de certificacin (CA) confiable. Antes de reemplazar los archivos de certificado, detenga el servidor Nessus. Reemplace los dos archivos y reinicie el servidor Nessus. Las conexiones al analizador posteriores no deberan mostrar un error si el certificado fue generado por una CA de confianza.
54
La siguiente tabla enumera la ubicacin de los archivos de certificado de acuerdo con el sistema operativo: Sistema operativo Linux y Solaris FreeBSD Windows Mac OS X Ubicaciones de los archivos de certificado /opt/nessus/com/nessus/CA/servercert.pem /opt/nessus/var/nessus/CA/serverkey.pem /usr/local/nessus/com/nessus/CA/servercert.pem /usr/local/nessus/var/nessus/CA/serverkey.pem C:\Program Files\Tenable\Nessus\nessus\CA\ /Library/Nessus/run/com/nessus/CA/servercert.pem /Library/Nessus/run/var/nessus/CA/serverkey.pem
Nessus 5 admite cadenas de certificados SSL. Tambin puede visitar https://[IP address]:8834/getcert para instalar la CA raz en su explorador, lo que quitar la advertencia. Para implementar una cadena de certificados intermedia, se debe colocar un archivo llamado serverchain.pem en el mismo directorio que el archivo servercert.pem. Debe contener los certificados intermedios 1-n (certificados pblicos concatenados) necesarios para construir la cadena de certificados completa del servidor Nessus, para su certificado raz definitivo (que sea confiable para el explorador del usuario).
55
Cuando se le pida el nombre de host, escriba el nombre de DNS o la direccin IP del servidor en el explorador, como https://hostname:8834/ o https://ipaddress:8834/. El certificado predeterminado utiliza el nombre de host. 2. Si se utilizar un certificado CA en lugar del certificado generado por Nessus, haga una copia del certificado CA autofirmado con el comando correspondiente de su sistema operativo: Linux/Unix: # cp /opt/nessus/com/nessus/CA/cacert.pem /opt/nessus/com/nessus/CA/ORIGcacert.pem Windows: C:\> copy \Program Files\Tenable\Nessus\Nessus\CA\cacert.pem C:\Program Files\Tenable\Nessus\nessus\CA\ORIGcacert.pem 3. Si los certificados que se utilizarn para autenticacin son creados por una CA que no sea el servidor Nessus, el certificado CA debe instalarse en el servidor Nessus: Linux/Unix: Copie el certificado CA de la organizacin en /opt/nessus/com/nessus/CA/cacert.pem Windows: Copie el certificado CA de la organizacin en C:\Program Files\Tenable\Nessus\Nessus\CA\cacert.pem 4. Configure el servidor Nessus para la autenticacin de certificados. Cuando la autenticacin de certificados est habilitada, el inicio de sesin con nombre de usuario y contrasea est deshabilitado. Linux/Unix: # /opt/nessus/sbin/nessus-fix -set force_pubkey_auth=yes Windows: C:\> \program files\Tenable\Nessus\nessus-fix -set force_pubkey_auth=yes 5. Una vez que el CA est instalado y el parmetro force_pubkey_auth est habilitado, reinicie los servicios de Nessus con el comando service nessusd restart. Despus de configurar Nessus con el/los certificado/s CA adecuado/s, los usuarios pueden iniciar sesin en Nessus con SSL client certificates (certificados SSL de cliente), Smart Cards (tarjetas inteligentes) y CAC (Tarjetas de acceso comn).
56
57
User rules ---------nessusd has a rules system which allows you to restrict the hosts that firstuser has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser(8) man page for the rules syntax Enter the rules for this user, and enter a BLANK LINE once you are done: (the user can have an empty rules set) User added to Nessus. Another client certificate? [n]: Your client certificates are in C:\Users\admin\AppData\Local\Temp\nessus0000040e You will have to copy them by hand
Los certificados de cliente se crearn en un directorio temporal aleatorio adecuado segn el sistema. El directorio temporal se identificar en la lnea que comience con Your client certificates are in (Sus certificados de cliente estn en). 3. Habr dos archivos creados en el directorio temporal, cert_squirrel.pem y key_squirrel.pem. Estos archivos deben combinarse y exportarse en un formato que pueda importarse al explorador web, como .pfx. Esto se puede realizar con el programa openssl y el siguiente comando: # openssl pkcs12 -export -out combined_squirrel.pfx -inkey key_squirrel.pem -in cert_squirrel.pem -chain -CAfile /opt/nessus/com/nessus/CA/cacert.pem -passout pass:'SecretWord' -name 'Nessus User Certificate for: squirrel' El archivo de resultado combined_squirrel.pfx se crear en el directorio desde el cual se lanz el comando. Luego, este archivo debe importarse al almacenamiento de certificados personales del explorador web.
HABILITACIN DE CONEXIONES CON SMART CARDS (TARJETAS INTELIGENTES) O CAC (TARJETAS DE ACCESO COMN)
Una vez que se implement la certificacin CA para smart cards (tarjetas inteligentes), CAC (Tarjetas de acceso comn) o de dispositivos similares, deben crearse los usuarios que correspondan para coincidir en Nessus. En este proceso, los usuarios creados deben coincidir con los CN utilizados en la tarjeta con la que cada usuario se conectar. 1. En el servidor Nessus, ejecute el comando nessus-mkcert-client. Linux/Unix: # /opt/nessus/sbin/nessus-mkcert-client Windows (ejecutar como usuario administrador local): C:\> \Program Files\Tenable\Nessus\nessus-mkcert-client.exe
58
2. Complete los campos como se indica. El proceso, en un servidor de Linux/Unix o Windows, es idntico. El nombre de usuario debe coincidir con el CN suministrado por el certificado en la tarjeta. Do you want to register the users in the Nessus server as soon as you create their certificates ? [n]: y -----------------------------------------------------------------------------Creation Nessus SSL client Certificate -----------------------------------------------------------------------------This script will now ask you the relevant information to create the SSL client certificates for Nessus. Client certificate life time in days [365]: Your country (two letter code) [US]: Your state or province name [NY]: MD Your location (e.g. town) [New York]: Columbia Your organization []: Content Your organizational unit []: Tenable ********** We are going to ask you some question for each client certificate If some question have a default answer, you can force an empty answer by entering a single dot '.' ********* User #1 name (e.g. Nessus username) []: squirrel Should this user be administrator? [n]: y Country (two letter code) [US]: State or province name [MD]: Location (e.g. town) [Columbia]: Organization [Content]: Organizational unit [Tenable]: e-mail []: User rules ---------nessusd has a rules system which allows you to restrict the hosts that firstuser has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser(8) man page for the rules syntax Enter the rules for this user, and enter a BLANK LINE once you are done: (the user can have an empty rules set) User added to Nessus. Another client certificate? [n]: Your client certificates are in C:\Users\admin\AppData\Local\Temp\nessus0000040e You will have to copy them by hand
59
Los certificados de cliente se crearn en un directorio temporal aleatorio adecuado segn el sistema. El directorio temporal se identificar en la lnea que comience con Your client certificates are in (Sus certificados de cliente estn en). Para el uso de la autenticacin con tarjeta, no necesita estos certificados y puede eliminarlos. 3. Una vez creado, un usuario con la tarjeta adecuada puede acceder al servidor Nessus y autenticarse automticamente ingresando su PIN o una contrasea similar.
2. El explorador presentar una lista de las identidades de certificados disponibles entre las que puede escoger:
60
3. Una vez que haya seleccionado un certificado, se le solicitar que ingrese el PIN o contrasea del certificado (si corresponde) para acceder a su certificado. Una vez que ingrese el PIN o la contrasea correctamente, el certificado estar disponible para la sesin actual con Nessus.
4. Al navegar la interfaz web de Nessus, el usuario puede ver brevemente la pantalla de nombre de usuario y contrasea seguida de un inicio de sesin automtico como el usuario designado. La interfaz de usuario de Nessus puede usarse normalmente. Si cierra sesin, ver la pantalla de inicio de sesin estndar de Nessus. Si desea volver a iniciar sesin con el mismo certificado, actualice su explorador. Si necesita utilizar otro certificado, debe reiniciar la sesin de su explorador.
61
Una vez que posea el Activation Code (cdigo de activacin), ejecute el siguiente comando en el sistema en el que se ejecute Nessus: Windows: C:\Program Files\Tenable\Nessus>nessus-fetch.exe --challenge Linux y Solaris: # /opt/nessus/bin/nessus-fetch --challenge FreeBSD: # /usr/local/nessus/bin/nessus-fetch --challenge Mac OS X: # /Library/Nessus/run/bin/nessus-fetch --challenge De esta forma se producir una cadena denominada challenge code (cdigo de desafo) que tiene el siguiente aspecto: 569ccd9ac72ab3a62a3115a945ef8e710c0d73b8
62
Esta accin mostrar una direccin URL que ser similar a la captura de pantalla que se muestra a continuacin:
Esta pantalla le brinda acceso para descargar las fuentes de plugins de Nessus ms recientes (all-2.0.tar.gz), junto con un enlace al archivo nessus-fetch.rc que est en la parte inferior de la pantalla. Guarde esta direccin URL, ya que la usar cada vez que actualice sus plugins, como se describe a continuacin.
No se puede emplear un cdigo de registro usado para actualizaciones sin conexin en el mismo servidor del analizador Nessus a travs de Nessus Server Manager. Si, en cualquier momento, necesita verificar el cdigo de registro para un analizador especfico, puede usar la opcin --code-in-use del programa nessus-fetch. Copie el archivo nessus-fetch.rc en el host en que se ejecuta Nessus, en el siguiente directorio: Windows: C:\Program Files\Tenable\Nessus\conf Linux y Solaris: /opt/nessus/etc/nessus/
63
FreeBSD: /usr/local/nessus/etc/nessus/ Mac OS X: /Library/Nessus/run/etc/nessus/ El archivo nessus-fetch-rc solo debe copiarse una vez. Las descargas posteriores de los plugins de Nessus debern copiarse en el directorio correspondiente en cada ocasin, como se describe a continuacin. Tenga en cuenta que, de forma predeterminada, Nessus intentar actualizar sus plugins cada 24 horas despus de que usted lo haya registrado. Si no quiere intentar esta actualizacin en lnea, cambie el parmetro auto_update a no en el men Configuration -> Advanced (Configuracin - > Opciones avanzadas). Efecte este paso cada vez que realice una actualizacin sin conexin de sus plugins.
Una vez descargado, mueva el archivo all-2.0.tar.gz al directorio de Nessus. A continuacin, ordnele a Nessus que procese el archivo de plugins: Windows: C:\Program Files\Tenable\Nessus>nessus-update-plugins.exe all-2.0.tar.gz Unix (modifique la ruta para su instalacin): # /opt/nessus/sbin/nessus-update-plugins all-2.0.tar.gz Una vez procesado, debe reiniciar Nessus para que los cambios entren en vigencia. Consulte las secciones Manipulacin del servicio de Nessus mediante la CLI de Windows o Arranque/Parada del demonio de Nessus (Unix) para ver los detalles sobre cmo realizar un reinicio. Una vez instalados los plugins, no es necesario que conserve el archivo all-2.0.tar.gz. Sin embargo, Tenable recomienda que conserve la versin ms reciente del archivo de plugins descargado, en caso de que lo necesite nuevamente. Usted contar ahora con los plugins ms recientes que estn disponibles. Cada vez que desee actualizar sus plugins sin conexin a Internet, debe visitar la direccin URL proporcionada, obtener el archivo tar/gz, copiarlo en el sistema en el que se ejecute Nessus, y repetir el proceso anterior.
64
./lib/nessus/plugins/ ./var/nessus/logs/
La siguiente tabla enumera la ubicacin de la instalacin y los directorios principales usados por Nessus en Windows: Directorio principal de Nessus Windows \Program Files\Tenable\Nessus \conf \data \nessus\plugins \nessus\users\<username>\kbs Archivos de configuracin Plantillas de hojas de estilo Plugins de Nessus Base de conocimiento del usuario guardada en el disco Archivos de registro de Nessus Subdirectorios de Nessus Objetivo
\nessus\logs
65
66
-a <address>
-S <ip[,ip2,...]>
-p <port-number>
-D -v -l -h --ipv4-only --ipv6-only -q
67
-R -t -K
Fuerza el reprocesamiento de los plugins. Comprueba la marca de tiempo de cada plugin al iniciarse para solo compilar los plugins recientemente actualizados. Establece la contrasea maestra para el analizador.
Si se establece una contrasea maestra, Nessus cifrar todas las directivas y toda credencial contenida en ellas con la clave suministrada por el usuario (considerablemente ms segura que la clave predeterminada). Si se establece una contrasea, la interfaz web se la solicitar durante el inicio. ADVERTENCIA: si se estableci la contrasea maestra y se extravi, ni su administrador ni la Asistencia tcnica de Tenable podrn recuperarla. A continuacin se indica un ejemplo de uso: Linux: # /opt/nessus/sbin/nessus-service [-vhD] [-c <config-file>] [-p <portnumber>] [-a <address>] [-S <ip[,ip,...]>] FreeBSD: # /usr/local/nessus/sbin/nessus-service [-vhD] [-c <config-file>] [-p <portnumber>] [-a <address>] [-S <ip[,ip,...]>]
MANIPULACIN DEL SERVICIO NESSUS POR MEDIO DE LA INTERFAZ DE LA LNEA DE COMANDOS (CLI) DE WINDOWS
Nessus tambin puede iniciarse o detenerse desde la lnea de comandos. Tenga en cuenta que la ventana de comandos debe abrirse con privilegios de administrador: C:\Windows\system32>net stop "Tenable Nessus" The Tenable Nessus service is stopping. The Tenable Nessus service was stopped successfully. C:\Windows\system32>net start "Tenable Nessus" The Tenable Nessus service is starting. The Tenable Nessus service was started successfully. C:\Windows\system32>
68
69
A continuacin se muestra una captura de pantalla de un ejemplo de la pgina Add Scanner (Agregar analizador) de SecurityCenter:
Despus de aadir correctamente el analizador, aparecer la siguiente pgina tras la seleccin del analizador:
70
A continuacin se muestra una captura de pantalla de un ejemplo de la pgina Add Scanner de SecurityCenter 4.4:
Para obtener ms informacin acerca de cmo integrar Nessus y SecurityCenter, consulte la Gua de administracin de SecurityCenter.
71
PROBLEMAS DE ANLISIS
Problema: no puedo analizar a travs de mi conexin PPP o PPTP. Solucin: actualmente no se admite esta opcin. En futuras versiones de Nessus Windows se incluir esta funcionalidad. Problema: un anlisis de virus de mi sistema informa una gran cantidad de virus en Nessus Windows. Solucin: algunas aplicaciones antivirus pueden indicar que algunos de los plugins de Nessus son virus. Excluya el directorio de plugins de los anlisis de virus, ya que en este directorio no hay programas ejecutables. Problema: cuando analizo un dispositivo inusual, como una controladora RAID, el anlisis se anula porque Nessus la detecta como impresora. Solucin: deshabilite la opcin Safe Checks (Comprobaciones seguras) en la directiva de anlisis antes de analizar el dispositivo. El anlisis de una impresora normalmente requerir que esta se reinicie; por lo tanto, cuando est establecida la opcin Safe Checks (Comprobaciones seguras), los dispositivos que se identifiquen como impresoras no se analizarn.
72
Problema: aparentemente, los anlisis SYN no esperan a que se establezca la conexin con los puertos en Nessus Windows. Solucin: esto es correcto en lo que respecta al hecho de que el anlisis SYN no establece una conexin TCP total. Sin embargo, no cambia los resultados del anlisis. Problema: al realizar un anlisis qu factores afectan el rendimiento al ejecutar Nessus Windows en un sistema Windows XP? Solucin: Microsoft ha incorporado cambios a Windows XP Service Pack 2 y 3 (Home y Pro) que pueden afectar el rendimiento de Nessus Windows y producir falsos negativos. La pila de TCP/IP ahora limita la cantidad de intentos incompletos simultneos de conexin TCP saliente. Una vez alcanzado el lmite, los intentos de conexin subsiguientes se colocan en una cola y se resuelven a una velocidad fija (10 por segundo). Si ingresan demasiados en la cola, es posible que se eliminen. Para obtener ms informacin, consulte la siguiente pgina de Microsoft TechNet:
http://technet.microsoft.com/en-us/library/bb457156.aspx
El efecto que produce en los anlisis de Nessus en Windows XP son los posibles falsos negativos, ya que XP solo permite 10 conexiones nuevas incompletas por segundo (en un estado SYN). Para lograr mayor precisin se recomienda que, en un sistema Windows XP, la opcin de aceleracin de anlisis de puertos de Nessus est establecida en los siguientes valores, los cuales se encuentran en la configuracin de anlisis individual para cada directiva de anlisis: Max number of hosts: 10 Max number of security checks: 4 Para lograr un mayor rendimiento y confiabilidad de anlisis, se recomienda muy especialmente que Nessus Windows se instale en un servidor que pertenezca a la familia de Microsoft Windows, como Windows Server 2003 o Windows Server 2008.
73
> Nessus User Guide (Gua del usuario de Nessus): instrucciones sobre cmo > Nessus Credential Checks for Unix and Windows (Comprobaciones con
configurar y operar la interfaz de usuario de Nessus. credenciales de Nessus para Unix y Windows): informacin sobre cmo llevar a cabo anlisis de red autenticados mediante el analizador de vulnerabilidades Nessus. gua de alto nivel para comprender y ejecutar las comprobaciones de compatibilidad con Nessus y SecurityCenter. compatibilidad con Nessus): gua completa de la sintaxis de las comprobaciones de compatibilidad con Nessus. del formato de archivo .nessus, que se present con Nessus 3.2 y NessusClient 3.2. en Nessus): describe la interfaz y el protocolo XML-RPC en Nessus.
> Nessus Compliance Checks (Comprobaciones de compatibilidad con Nessus): > Nessus Compliance Checks Reference (Referencia para comprobaciones de
> Nessus v2 File Format (Formato de archivo de Nessus v2): describe la estructura > Nessus XML-RPC Protocol Specification (Especificacin del protocolo XML-RPC > Real-Time Compliance Monitoring (Supervisin de compatibilidad en tiempo > Gua de administracin de SecurityCenter
Estos son otros recursos en lnea: real): describe el modo en que pueden usarse las soluciones de Tenable para colaborar con el cumplimiento de distintos tipos de normas gubernamentales y financieras.
Foro de debate de Nessus: https://discussions.nessus.org/ Blog de Tenable: http://blog.tenable.com/ Podcast de Tenable: http://blog.tenablesecurity.com/podcast/ Videos de ejemplos de uso: http://www.youtube.com/user/tenablesecurity Canal de Twitter de Tenable: http://twitter.com/tenablesecurity
No dude en comunicarse con Tenable a travs de support@tenable.com o sales@tenable.com, o bien visite nuestro sitio web http://www.tenable.com/.
74
LOS TITULARES DE LOS DERECHOS DE AUTOR Y SUS COLABORADORES PROPORCIONAN EL PRESENTE SOFTWARE EN SU ESTADO ACTUAL Y NO SE OFRECE NINGN TIPO DE GARANTAS, NI EXPLCITAS NI IMPLCITAS, ENTRE LAS QUE SE INCLUYEN, SIN LIMITACIN, LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y APTITUD PARA UN FIN DETERMINADO. EN NINGUNA CIRCUNSTANCIA, NI EL PROPIETARIO DE LOS DERECHOS DE AUTOR NI SUS COLABORADORES SERN RESPONSABLES EN CASO DE DAOS DIRECTOS, INDIRECTOS, INCIDENTALES, ESPECIALES, PUNITIVOS O EMERGENTES (ENTRE LOS QUE
75
SE INCLUYEN, SIN LIMITACIN, LA ADQUISICIN DE BIENES O SERVICIOS SUBSTITUTOS, LA PRDIDA DE LA CAPACIDAD DE USO, DATOS O GANANCIAS, O LA INTERRUPCIN DE LAS ACTIVIDADES COMERCIALES) INDEPENDIENTEMENTE DE SUS CAUSAS Y EN FUNCIN DE CUALQUIER TEORA DE RESPONSABILIDAD, YA SEA POR CONTRATO, RESPONSABILIDAD OBJETIVA O PERJUICIO (ENTRE LOS QUE SE INCLUYE LA NEGLIGENCIA U OTROS) QUE SURJAN POR CUALQUIER MOTIVO DEL USO DEL PRESENTE SOFTWARE, AUN SI SE INFORMASE DE LA POSIBILIDAD DE DICHOS DAOS. Partes - Copyright (c) 2000 The NetBSD Foundation, Inc. Todos los derechos reservados. NETBSD FOUNDATION, INC. Y SUS COLABORADORES PROPORCIONAN EL PRESENTE SOFTWARE EN SU ESTADO ACTUAL Y NO SE OFRECE NINGN TIPO DE GARANTAS, NI EXPLCITAS NI IMPLCITAS, ENTRE LAS QUE SE INCLUYEN, SIN LIMITACIN, LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y APTITUD PARA UN FIN DETERMINADO. EN NINGUNA CIRCUNSTANCIA, NI LA FUNDACIN NI SUS COLABORADORES SERN RESPONSABLES EN CASO DE DAOS DIRECTOS, INDIRECTOS, INCIDENTALES, ESPECIALES, PUNITIVOS O EMERGENTES (ENTRE LOS QUE SE INCLUYEN, SIN LIMITACIN, LA ADQUISICIN DE BIENES O SERVICIOS SUBSTITUTOS, LA PRDIDA DE LA CAPACIDAD DE USO, DATOS O GANANCIAS, O LA INTERRUPCIN DE LAS ACTIVIDADES COMERCIALES) INDEPENDIENTEMENTE DE SUS CAUSAS Y EN FUNCIN DE CUALQUIER TEORA DE RESPONSABILIDAD, YA SEA POR CONTRATO, RESPONSABILIDAD OBJETIVA O PERJUICIO (ENTRE LOS QUE SE INCLUYE LA NEGLIGENCIA U OTROS) QUE SURJAN POR CUALQUIER MOTIVO DEL USO DEL PRESENTE SOFTWARE, AUN SI SE INFORMASE DE LA POSIBILIDAD DE DICHOS DAOS. Partes - Copyright (c) 1995-1999 Kungliga Tekniska Hogskolan (Instituto Real de Tecnologa, Estocolmo, Suecia). Todos los derechos reservados. EL INSTITUTO Y SUS COLABORADORES PROPORCIONAN EL PRESENTE SOFTWARE EN SU ESTADO ACTUAL Y NO SE OFRECE NINGN TIPO DE GARANTAS, NI EXPLCITAS NI IMPLCITAS, ENTRE LAS QUE SE INCLUYEN, SIN LIMITACIN, LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y APTITUD PARA UN FIN DETERMINADO. EN NINGUNA CIRCUNSTANCIA, NI EL INSTITUTO NI SUS COLABORADORES SERN RESPONSABLES EN CASO DE DAOS DIRECTOS, INDIRECTOS, INCIDENTALES, ESPECIALES, PUNITIVOS O EMERGENTES (ENTRE LOS QUE SE INCLUYEN, SIN LIMITACIN, LA ADQUISICIN DE BIENES O SERVICIOS SUBSTITUTOS, LA PRDIDA DE LA CAPACIDAD DE USO, DATOS O GANANCIAS O LA INTERRUPCIN DE LAS ACTIVIDADES COMERCIALES), INDEPENDIENTEMENTE DE SUS CAUSAS Y EN FUNCIN DE CUALQUIER TEORA DE RESPONSABILIDAD, YA SEA POR CONTRATO, RESPONSABILIDAD OBJETIVA O PERJUICIO (ENTRE LOS QUE SE INCLUYE LA NEGLIGENCIA U OTROS) QUE SURJAN POR CUALQUIER MOTIVO DEL USO DEL PRESENTE SOFTWARE, AUN SI SE INFORMASE DE LA POSIBILIDAD DE DICHOS DAOS. Partes - Copyright (c) 1998, 1999, 2000 Thai Open Source Software Center Ltd and Clark Cooper Partes - Copyright (c) 2001, 2002, 2003, 2004, 2005, 2006 Expat maintainers. EL PRESENTE SOFTWARE SE PROPORCIONA EN SU ESTADO ACTUAL Y NO SE OFRECE NINGN TIPO DE GARANTAS, NI EXPLCITAS NI IMPLCITAS, ENTRE LAS QUE SE INCLUYEN, SIN LIMITACIN, LAS GARANTAS DE COMERCIABILIDAD, APTITUD PARA UN FIN DETERMINADO Y NO INFRACCIN. EN NINGUNA CIRCUNSTANCIA, NI LOS AUTORES NI
76
LOS TITULARES DE LOS DERECHOS DE AUTOR SE CONSIDERARN RESPONSABLES EN CASO DE RECLAMOS, DAOS U OTRO TIPO DE RESPONSABILIDAD, POR UNA ACCIN CONTRACTUAL, UN PERJUICIO O ALGN OTRO MOTIVO, YA SEA QUE SURJAN DEL SOFTWARE O DEL USO DE ESTE U OTRAS ACTIVIDADES REALIZADAS CON ESTE, O BIEN SE ENCUENTREN RELACIONADOS CON ESTE. Este producto incluye software desarrollado por el OpenSSL Project (Proyecto OpenSSL) para que se use en el Kit de herramientas OpenSSL. (http://www.openssl.org/) Copyright (c) 1998-2007 The OpenSSL Project. Todos los derechos reservados. THE OpenSSL PROJECT PROPORCIONA EL PRESENTE SOFTWARE EN SU ESTADO ACTUAL Y NO SE OFRECE NINGN TIPO DE GARANTAS, NI EXPLCITAS NI IMPLCITAS, ENTRE LAS QUE SE INCLUYEN, SIN LIMITACIN, LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y APTITUD PARA UN FIN DETERMINADO. EN NINGUNA CIRCUNSTANCIA, NI THE OpenSSL PROJECT NI SUS COLABORADORES SERN RESPONSABLES EN CASO DE DAOS DIRECTOS, INDIRECTOS, INCIDENTALES, ESPECIALES, PUNITIVOS O EMERGENTES (ENTRE LOS QUE SE INCLUYEN, SIN LIMITACIN, LA ADQUISICIN DE BIENES O SERVICIOS SUBSTITUTOS, LA PRDIDA DE LA CAPACIDAD DE USO, DATOS O GANANCIAS, O LA INTERRUPCIN DE LAS ACTIVIDADES COMERCIALES), INDEPENDIENTEMENTE DE SUS CAUSAS Y EN FUNCIN DE CUALQUIER TEORA DE RESPONSABILIDAD, YA SEA POR CONTRATO, RESPONSABILIDAD OBJETIVA O PERJUICIO (ENTRE LOS QUE SE INCLUYE LA NEGLIGENCIA U OTROS) QUE SURJAN POR CUALQUIER MOTIVO DEL USO DEL PRESENTE SOFTWARE, AUN SI SE INFORMASE DE LA POSIBILIDAD DE DICHOS DAOS. Partes - Copyright (C) 1998-2003 Daniel Veillard. Todos los derechos reservados. Por el presente se concede autorizacin, de forma gratuita, a cualquier persona que obtenga una copia de este software y archivos de documentacin relacionados (el "Software") a realizar actividades con el Software sin restriccin alguna, lo cual incluye, sin limitacin, los derechos de usar, copiar, modificar, fusionar, publicar, distribuir, sublicenciar o vender copias del Software, y a permitir a las personas a las que se les proporcione el software realizar dichas acciones, con las siguientes condiciones: El aviso de derechos de autor indicado y el presente aviso de autorizacin se incluirn en todas las copias o partes considerables del Software. EL PRESENTE SOFTWARE SE PROPORCIONA EN SU ESTADO ACTUAL Y NO SE OFRECE NINGN TIPO DE GARANTAS, NI EXPLCITAS NI IMPLCITAS, ENTRE LAS QUE SE INCLUYEN, SIN LIMITACIN, LAS GARANTAS DE COMERCIABILIDAD, APTITUD PARA UN FIN DETERMINADO Y NO INFRACCIN. EN NINGUNA CIRCUNSTANCIA DANIEL VEILLARD SE CONSIDERAR RESPONSABLE EN CASO DE RECLAMOS, DAOS U OTRO TIPO DE RESPONSABILIDAD, POR UNA ACCIN CONTRACTUAL, UN PERJUICIO O ALGN OTRO MOTIVO, YA SEA QUE SURJAN DEL SOFTWARE O DEL USO DE ESTE U OTRAS ACTIVIDADES REALIZADAS CON L, O BIEN SE ENCUENTREN RELACIONADOS CON ESTE. Partes - Copyright (C) 2001-2002 Thomas Broyer, Charlie Bozeman y Daniel Veillard. Todos los derechos reservados. Por el presente se concede autorizacin, de forma gratuita, a cualquier persona que obtenga una copia de este software y archivos de documentacin relacionados (el "Software") a
77
realizar actividades con el Software sin restriccin alguna, lo cual incluye, sin limitacin, los derechos de usar, copiar, modificar, fusionar, publicar, distribuir, sublicenciar o vender copias del Software, y a permitir a las personas a las que se les proporcione el software realizar dichas acciones, con las siguientes condiciones: El aviso de derechos de autor indicado y el presente aviso de autorizacin se incluirn en todas las copias o partes considerables del Software. EL PRESENTE SOFTWARE SE PROPORCIONA EN SU ESTADO ACTUAL Y NO SE OFRECE NINGN TIPO DE GARANTAS, NI EXPLCITAS NI IMPLCITAS, ENTRE LAS QUE SE INCLUYEN, SIN LIMITACIN, LAS GARANTAS DE COMERCIABILIDAD, APTITUD PARA UN FIN DETERMINADO Y NO INFRACCIN. EN NINGUNA CIRCUNSTANCIA LOS AUTORES SE CONSIDERARN RESPONSABLES EN CASO DE RECLAMOS, DAOS U OTRO TIPO DE RESPONSABILIDAD, POR UNA ACCIN CONTRACTUAL, UN PERJUICIO O ALGN OTRO MOTIVO, YA SEA QUE SURJAN DEL SOFTWARE O DEL USO DE ESTE U OTRAS ACTIVIDADES REALIZADAS CON L, O BIEN SE ENCUENTREN RELACIONADOS CON ESTE.
78
Tenable Network Security, Inc. 7063 Columbia Gateway Drive Suite 100 Columbia, MD 21046, EE. UU. 410.872.0555
www.tenable.com
79