Nessus 4.4 Guia de Instalação

Transcrição

1 Nessus 4.4 Guia de Instalação 14 de junho de 2011 (Revisão 9) Copyright Tenable Network Security, Inc. Todos os direitos reservados. Tenable Network Security e Nessus são marcas comerciais registradas da Tenable Network Security, Inc. ProfessionalFeed é marca comercial da Tenable Network Security, Inc. Todos os outros produtos ou serviços são marcas registras de seus respectivos proprietários. Tenable Network Security, Inc Columbia Gateway Drive, Suite 100, Columbia, MD sales@tenable.com

2 Índice Introdução Sistemas operacionais compatíveis... 5 Padrões e convenções... 5 Conceitos básicos... 6 Pré-requisitos... 7 Nessus Unix... 8 Nessus para Windows... 8 Opções de instalação... 8 Inscrições em plugins de vulnerabilidades... 8 Qual é o feed correto?... 9 HomeFeed... 9 ProfessionalFeed... 9 Suporte para IPv Unix/Linux Atualizações...10 Instalação...18 Configuração...22 Diretórios principais do Nessus...22 Criar usuários do Nessus...23 Instalação do código de ativação do plugin...25 Como iniciar o daemon do Nessus...26 Como parar o daemon do Nessus...28 Opções de linha de comando do Nessusd...28 Conexão com o cliente...30 Atualização dos plugins...30 Com que frequência devo atualizar os plugins?...30 Atualização automática dos plugins...31 Programação de atualizações de plugins com o cron...31 Atualização de plugins por meio de proxies da Web...32 Remoção do Nessus...32 Windows...36 Atualizações...36 Atualização do Nessus x...36 Atualização do Nessus x...36 Atualização do Nessus 3.2 e versões posteriores...36 Instalação...37 Download do Nessus...37 Instalação...37 Problemas de instalação...37 Diretórios principais do Nessus...40 Copyright Tenable Network Security, Inc. 2

3 Configuração...41 Nessus Server Manager...41 Alteração da porta padrão do Nessus...42 Registro da instalação do Nessus...42 Restauração dos códigos de ativação Criação e gerenciamento de usuários do Nessus...44 Permitir conexões remotas Inclusão de contas de usuários Firewalls instalados no host Iniciar o daemon do Nessus...48 Atualização dos plugins...49 Com que frequência devo atualizar os plugins?...50 Atualização de plugins por meio de proxies da Web...50 Remoção do Nessus...50 Max OS X...50 Atualizações...50 Instalação...51 Configuração...54 Nessus Server Manager...54 Registro da instalação do Nessus...55 Restauração dos códigos de ativação Criação e gerenciamento de usuários do Nessus...57 Permissão de conexões remotas Inclusão de contas de usuários Iniciar o daemon do Nessus...58 Atualização dos plugins...59 Com que frequência devo atualizar os plugins?...59 Remoção do Nessus...60 Configuração do daemon do Nessus (usuários avançados)...60 Configuração do Nessus com certificado SSL personalizado...65 Nessus sem acesso à Internet...67 Registro do scanner Nessus...67 Como obter e instalar plugins atualizados...70 Windows...70 Linux, Solaris e FreeBSD...70 Max OS X...71 Como trabalhar como SecurityCenter...71 Descrição do SecurityCenter...71 Configuração do Nessus para funcionar com o SecurityCenter...72 Unix/Mac OS X...72 Windows...72 Como configurar o Nessus para "escutar" como um daemon de rede Criação de contas de usuários no Windows Como ativar o serviço Nessus no Windows Firewalls instalados no host Configuração do SecurityCenter para funcionar com o Nessus...74 Copyright Tenable Network Security, Inc. 3

4 Solução de problemas do Nessus para Windows...75 Problemas de instalação/atualização...75 Problemas de varredura...75 Para obter mais informações...76 Declarações de licença de terceiros...78 Sobre a Tenable Network Security...82 Copyright Tenable Network Security, Inc. 4

5 INTRODUÇÃO Este documento descreve a instalação e a configuração de scanner do vulnerabilidades Nessus 4.4 da Tenable Network Security. Envie-nos seus comentários e sugestões pelo support@tenable.com. A Tenable Network Security, Inc. desenvolveu e produziu o scanner de vulnerabilidades Nessus. Além de aprimorar constantemente o motor de detecção do Nessus, a Tenable cria a maioria dos plugins disponíveis para o scanner, além de verificações de conformidade e uma grande variedade de políticas de auditoria. Os pré-requisitos, opções de implementação e orientações de instalação serão descritos neste documento. O leitor deve ter conhecimentos básicos sobre Unix e varreduras de vulnerabilidades. A partir do Nessus 4.4, o gerenciamento do servidor Nessus pelo usuário é realizado por uma interface da Web e dispensa o uso de um NessusClient autônomo. O NessusClient autônomo continua a se conectar e operar o scanner, mas deixará de ser atualizado. SISTEMAS OPERACIONAIS COMPATÍVEIS O Nessus está disponível e funciona com vários sistemas operacionais e plataformas: > Debian 5 (i386 e x86-64) > Fedora Core 12, 13 e 14 (i386 e x86-64) > FreeBSD 8 (i386 e x86-64) > Mac OS X 10.4, 10.5 e 10.6 (i386, x86-64, ppc) > Red Hat ES 4 / CentOS 4 (i386) > Red Hat ES 5 / CentOS 5 / Oracle Linux 5 (i386 e x86-64) > Red Hat ES 6 / CentOS 6 (i386 e x86-64) [Servidor, Desktop, Estação de Trabalho] > Solaris 10 (Sparc) > SuSE 9.3 (i386) > SuSE 10.0 e 11 (i386 e x86-64) > Ubuntu 8.04, 9.10, e (i386 e x86-64) > Windows XP, Server 2003, Server 2008, Server 2008 R2, Vista e 7 (i386 e x86-64) PADRÕES E CONVENÇÕES Este documento é a tradução de uma versão original em inglês. Algumas partes do texto permanecem em inglês para indicar a representação do próprio produto. Em toda a documentação, os nomes de arquivos, daemons e executáveis são indicados com a fonte courier bold, por exemplo: setup.exe. As opções de linha de comando e palavras-chaves também são impressas indicadas com a fonte courier bold. As opções de linha de comando podem ou não conter o prompt da linha de comando e o texto gerado pelos resultados do comando. Normalmente, o comando executado será apresentado em negrito para indicar o que o usuário digitou. Um exemplo da execução do comando pwd do Unix é apresentado a seguir: # pwd /opt/nessus/ # Copyright Tenable Network Security, Inc. 5

6 As observações e considerações importantes são destacadas com este símbolo nas caixas de texto escurecidas. As dicas, exemplos e práticas recomendadas são destacados com este símbolo em branco sobre fundo azul. CONCEITOS BÁSICOS O Nessus é um scanner de segurança de rede completo, moderno e fácil de usar. Atualmente, é considerado um dos principais produtos do seu gênero em todo o setor de segurança e conta com o apoio de organizações profissionais de segurança da informação, como o Instituto SANS. O Nessus permite realizar auditorias remotas e determinar se a rede foi invadida ou usada de maneira indevida. O Nessus também permite verificar a presença de vulnerabilidades, especificações de conformidade, violações de políticas de conteúdo e outras anomalias em um computador local. > Varredura inteligente Ao contrário de outros scanners de segurança, o Nessus não gera alarmes falsos. Ou seja, o programa não pressupõe que um determinado serviço está sendo executado em uma porta fixa. Isto significa que, se o servidor Web for executado na porta 1234, o Nessus o detectará e testará sua segurança da forma apropriada. O programa verificará uma vulnerabilidade por meio de exploração sempre que possível. Nos casos em que isso não for confiável ou afetar negativamente o alvo, o Nessus conta com um banner de servidor para determinar a presença da vulnerabilidade. Nesse caso, o relatório gerado indicará se esse método foi utilizado. > Arquitetura modular A arquitetura cliente/servidor oferece a flexibilidade de instalar o scanner (servidor) e conectar-se à interface gráfica do usuário (cliente) por intermédio de qualquer computador com um navegador, reduzindo assim os custos de gerenciamento (um servidor pode ser acessado por vários clientes). > Compatível com CVE A maioria dos plugins se conecta ao CVE para que os administradores possam recuperar mais informações sobre vulnerabilidades publicadas. As referências ao Bugtraq (BID), OSVDB e alertas de segurança dos fornecedores também são incorporadas com frequência. > Arquitetura de plugin Os testes de segurança são gerados por meio de um plugin externo e agrupado em uma das 42 famílias. Dessa forma, é possível adicionar facilmente seus próprios testes, selecionar plugins específicos ou escolher uma família inteira sem a necessidade de leitura do código do mecanismo do servidor Nessus, nessusd. A lista completa dos plugins do Nessus está disponível em > NASL O scanner Nessus utiliza NASL (Nessus Attack Scripting Language), uma linguagem criada especificamente para a criação de testes de segurança de maneira fácil e rápida. Copyright Tenable Network Security, Inc. 6

7 > Banco de dados de vulnerabilidades de segurança atualizado A Tenable dedicase a desenvolver verificações de segurança para vulnerabilidades emergentes. Nosso banco de dados de verificações de segurança é atualizado diariamente e todas as verificações de segurança mais recentes estão disponíveis no link > Teste simultâneo de hosts Dependendo da configuração do sistema de scanner Nessus, é possível auditar um grande número de hosts ao mesmo tempo. > Reconhecimento inteligente do serviço O Nessus reconhece quando os hosts de destino não são compatíveis os números de portas atribuídos pelo IANA. Isto significa que reconhecerá um servidor de FTP executado em uma porta que não seja padrão (por exemplo: 31337) ou um servidor de Web funcionando na porta 8080 em vez da porta 80. > Vários serviços Se dois ou mais servidores de Web forem executados em um host (por exemplo: um na porta 80 e outro na porta 8080), o Nessus identificará e testará todos eles. > Compatibilidade entre plugins Os testes de segurança realizados pelos plugins do Nessus impedem que sejam realizadas verificações desnecessárias. Se o servidor de FTP não permitir logins anônimos, não serão realizadas verificações de segurança relacionadas a logins anônimos. > Relatórios completos Além de detectar as vulnerabilidades de segurança existentes na rede e o nível de risco de cada uma delas (baixo, médio, alto e grave), o Nessus oferece soluções de como atenuá-las. > Suporte total a SSL O Nessus é capaz de testar os serviços oferecidos por SSL, como HTTPS, SMTPS, IMAPS entre outros. > Smart Plugins (opcional) O Nessus determinará quais plugins devem ou não ser aplicados ao host remoto. Por exemplo: o Nessus não verificará vulnerabilidades de sendmail no Postfix. Esta opção é denominada otimização. > Testes não destrutivos (opcional) Determinadas verificações podem ser prejudiciais a alguns serviços de rede. Caso não queira correr o risco de causar uma falha de serviço na sua rede, ative a opção safe checks (verificação segura) do Nessus. Este comando fará com que o Nessus use banners em vez de explorar falhas reais para detectar uma vulnerabilidade. > Fórum aberto Encontrou um erro? Dúvidas sobre o Nessus? Inicie uma discussão em PRÉ-REQUISITOS A Tenable recomenda, no mínimo, 2 GB de memória para o funcionamento correto do Nessus. Para varreduras maiores em várias redes, recomendam-se pelo menos 3 GB de memória, mas podem ser necessários até 4 GB. Recomenda-se um processador Pentium 3 operando a 2 GHz ou superior. Para usar o Mac OS X, recomenda-se um processador Intel Dual Core de 2 GHz ou superior. Copyright Tenable Network Security, Inc. 7

8 O Nessus pode funcionar em uma instância do VMware, no entanto, se o computador simulado usar a conversão de endereços de rede (NAT) para acessar a rede, diversas verificações de vulnerabilidade do Nessus, a enumeração de hosts e a identificação de sistemas operacionais serão afetadas negativamente. NESSUS UNIX Antes de instalar o Nessus no Unix/Linux, são necessárias algumas bibliotecas. Normalmente, acompanham a maioria dos sistemas operacionais e dispensam uma instalação separada. > OpenSSL (por exemplo: openssl, libssl, libcrypto) > zlib > Biblioteca GNU C (por exemplo: libc) NESSUS PARA WINDOWS As atualizações feitas pela Microsoft no Windows XP SP2 e nas versões mais recentes (Home e Pro) podem afetar o desempenho do Nessus para Windows. Para aumentar a velocidade e a confiabilidade das varreduras, é recomendável que o Nessus para Windows seja instalado em um produto de servidor da família Microsoft Windows, como o Windows Server Para obter mais informações, consulte a seção Solução de Problemas do Nessus para Windows. OPÇÕES DE INSTALAÇÃO Ao instalar o Nessus, muitas vezes é necessário ter conhecimentos de roteamento, filtros e políticas de firewall. Recomenda-se que o Nessus seja instalado de modo que a conectividade IP com as redes a serem examinadas não seja prejudicada. A instalação em um dispositivo NAT não é desejável, a menos que a varredura seja realizada na rede interna. Sempre que a verificação de vulnerabilidade for direcionada a um NAT ou proxy de aplicativos, a verificação pode ser distorcida e gerar um falso positivo ou negativo. Além disso, se o sistema no qual o Nessus está instalado tiver firewalls no computador, as ferramentas podem limitar a eficácia de uma varredura remota de vulnerabilidades. Os firewalls de host podem interferir na varredura de vulnerabilidades de rede. Dependendo da configuração do firewall, pode impedir, gerar falsos negativos ou ocultar as sondas de uma varredura do Nessus. INSCRIÇÕES EM PLUGINS DE VULNERABILIDADES Um grande número de vulnerabilidades emergentes é divulgado por fornecedores, pesquisadores e outras fontes todos os dias. A Tenable se esforça para testar e disponibilizar o mais rapidamente possível as verificações de vulnerabilidades publicadas recentemente, normalmente 24 horas após a divulgação. A verificação de uma vulnerabilidade específica é conhecida pelo scanner Nessus como um plugin. A lista completa de todos os plugins do Nessus está disponível em A Tenable distribui os plugins de vulnerabilidades mais recente em dois modos do Nessus: ProfessionalFeed e HomeFeed. Os plugins são baixados diretamente da Tenable por meio de um processo automatizado do Nessus. O Nessus verifica as assinaturas digitais de todos os plugins baixados para garantir Copyright Tenable Network Security, Inc. 8

9 a integridade dos arquivos. Nas instalações do Nessus sem acesso à Internet, pode ser usado um processo de atualização offline para garantir que o scanner permaneça atualizado. Com o Nessus 4, o usuário deve se registrar para obter um feed de plugin e atualizá-los antes de iniciar o Nessus e a interface de varredura do Nessus se torne disponível. A atualização do plugin ocorre em segundo plano após o registro inicial do scanner e pode levar vários minutos. QUAL É O FEED CORRETO? As instruções específicas para configurar o Nessus para receber um HomeFeed ou um ProfessionalFeed serão apresentadas mais adiante neste documento. Para saber qual é o feed do Nessus adequado para o seu ambiente, considere os seguintes aspectos: HomeFeed Se o Nessus for instalado para uso doméstico e não profissional, o usuário deve se inscrever no HomeFeed. Novos plugins para as vulnerabilidades de segurança mais recentes são liberados imediatamente para os usuários do HomeFeed. O uso do HomeFeeds é gratuito, mas há uma licença separada do HomeFeed cujos termos e condições os usuários devem aceitar. Para se inscrever no HomeFeed, acesse e registre a sua cópia do Nessus para usar o HomeFeed. Use o código de ativação que receberá no processo de registro ao configurar o Nessus para fazer atualizações. Os usuários do HomeFeed não têm acesso ao Tenable Support Portal, às verificações de conformidade ou às políticas de auditoria de conteúdo. ProfessionalFeed Se o Nessus for usado para fins profissionais (por exemplo: consultoria), seja em um ambiente público ou privado, o usuário deve adquirir um ProfessionalFeed. Novos plugins para as vulnerabilidades de segurança mais recentes são liberados imediatamente para os usuários do ProfessionalFeed. Os clientes do SecurityCenter são automaticamente inscritos no ProfessionalFeed e não precisam adquirir outro feed, a menos que tenham um scanner Nessus que não seja gerenciado pelo SecurityCenter. A Tenable presta suporte comercial aos clientes do ProfessionalFeed e usuários do Nessus 4 através do Tenable Support Portal ou por . O ProfessionalFeed também contém um conjunto de verificações de conformidade de host para Unix e Windows, que permitem realizar auditorias de conformidade, como SOX, FISMA ou FDCC. É possível adquirir um ProfessionalFeed na Loja Online da Tenable ( ou por meio de uma ordem de compra enviada aos Parceiros Autorizados do ProfessionalFeed. O usuário receberá um código de ativação da Tenable. Esse código será usado para configurar a cópia do Nessus para atualizações. Se o Nessus for usado junto com o SecurityCenter da Tenable, o SecurityCenter terá acesso ao ProfessionalFeed e atualizará automaticamente os scanners Nessus. Alguns dispositivos de rede que realizam a inspeção dinâmica (stateful inspection), como firewalls, balanceadores de carga e sistemas de Copyright Tenable Network Security, Inc. 9

10 detecção/prevenção de intrusões, podem reagir negativamente quando uma varredura for realizada através deles. O Nessus possui várias opções de configuração que podem ajudar a reduzir o impacto da varredura por meio desses dispositivos, no entanto, a melhor maneira de prevenir os problemas inerentes à varredura com esses dispositivos de rede é realizar uma varredura credenciada. SUPORTE PARA IPV6 A partir da versão 3.2 Beta, o Nessus permite a varredura de recursos que usam o IPv6. Muitos sistemas operacionais e dispositivos são distribuídos atualmente com suporte para IPv6. Para realizar varreduras de recursos com IPv6, pelo menos uma interface IPv6 deve ser configurada no computador em que o Nessus estiver instalado e o Nessus deve estar em uma rede que reconheça o IPv6 (o Nessus não pode examinar recursos IPv6 através do IPv4, mas pode enumerar as interfaces IPv6 através de varreduras credenciadas por IPv4). A notação IPv6 completa e compactada é reconhecida para iniciar varreduras. O Microsoft Windows não possui algumas das principais APIs necessárias para a falsificação de pacotes IPv6 (por exemplo: obtenção do endereço MAC do roteador, tabela de roteamento etc.). Isto, por sua vez, impede que o scanner de portas funcione corretamente. A Tenable está desenvolvendo aprimoramentos que solucionem as restrições de API em futuras versões do Nessus. UNIX/LINUX ATUALIZAÇÕES Esta seção descreve como atualizar o Nessus a partir de uma versão de instalação anterior do programa. A tabela a seguir apresenta instruções de atualização do servidor Nessus em todas as plataformas suportadas anteriormente. Os parâmetros de configuração e os usuários criados anteriormente permanecerão intactos. Antes de interromper o nessusd, verifique se todas as varreduras em execução foram concluídas. Todas as instruções especiais de atualização são indicadas em uma observação após o exemplo. Plataforma Instruções de atualização Red Hat ES 4 (32 bits), ES 5 (32 e 64 bits) Comandos de atualização # service nessusd stop Use um dos comandos abaixo correspondente à versão do Red Hat que está em uso: Copyright Tenable Network Security, Inc. 10

11 # rpm -Uvh Nessus es4.i386.rpm # rpm -Uvh Nessus es5.i386.rpm # rpm -Uvh Nessus es5.x86_64.rpm Quando a atualização for concluída, reinicie o serviço nessusd com o seguinte comando: # service nessusd start Exemplo de resultado # service nessusd stop Shutting down Nessus services: [ OK ] # rpm -Uvh Nessus es4.i386.rpm Preparing... ########################################### [100%] Shutting down Nessus services: 1: Nessus ########################################## [100%] nessusd (Nessus) for Linux (C) Tenable Network Security, Inc. Fedora Core 12, 13 e 14 (32 e 64 bits) Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /sbin/service nessusd start # service nessusd start Starting Nessus services: [ OK ] # Comandos de atualização # service nessusd stop Use um dos comandos abaixo correspondente à versão do Fedora Core que está em uso: # rpm -Uvh Nessus fc12.i386.rpm # rpm -Uvh Nessus fc12.x86_64.rpm # rpm -Uvh Nessus fc14.i386.rpm # rpm -Uvh Nessus fc14.x86_64.rpm Quando a atualização for concluída, reinicie o serviço nessusd com o seguinte comando: # service nessusd start Exemplo de resultado # service nessusd stop Shutting down Nessus services: [ OK ] # rpm -Uvh Nessus fc12.i386.rpm Copyright Tenable Network Security, Inc. 11

12 SuSE 9.3 (32 bits), 10 (32 e 64 bits) Preparing... ################################################ [100%] Shutting down Nessus services: 1:Nessus ###################################### [100%] nessusd (Nessus) for Linux (C) Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /sbin/service nessusd start # service nessusd start Starting Nessus services: [ OK ] # Comandos de atualização # service nessusd stop Use um dos comandos abaixo correspondente à versão do SuSE que está em uso: # rpm -Uvh Nessus suse9.3.i586.rpm # rpm -Uvh Nessus suse10.0.i586.rpm # rpm -Uvh Nessus suse10.x86_64.rpm Quando a atualização for concluída, reinicie o serviço nessusd com o seguinte comando: # service nessusd start Exemplo de resultado # service nessusd stop Shutting down Nessus services: [ OK ] # rpm -Uvh Nessus suse10.0.i586.rpm Preparing... ############################################### [100%] Shutting down Nessus services: 1:Nessus ###################################### [100%] nessusd (Nessus) for Linux (C) Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin user Copyright Tenable Network Security, Inc. 12

13 Debian 5 (32 e 64 bits) - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /sbin/service nessusd start # service nessusd start Starting Nessus services: [ OK ] # Comandos de atualização # /etc/init.d/nessusd stop Use um dos comandos abaixo correspondente à versão do Debian que está em uso: # dpkg -i Nessus debian5_i386.deb # dpkg -i Nessus debian5_amd64.deb # /etc/init.d/nessusd start Exemplo de resultado # /etc/init.d/nessusd stop # dpkg -i Nessus debian5_i386.deb (Reading database files and directories currently installed.) Preparing to replace nessus (using Nessus debian5_i386.deb)... Shutting down Nessus :. Unpacking replacement nessus... Setting up nessus (4.4.0)... nessusd (Nessus) for Linux (C) 2009 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /etc/init.d/nessusd start # /etc/init.d/nessusd start Starting Nessus :. # Copyright Tenable Network Security, Inc. 13

14 Ubuntu 8.04, 9.10, e (32 e 64 bits) Comandos de atualização # /etc/init.d/nessusd stop Use um dos comandos abaixo correspondente à versão do Ubuntu que está em uso: # dpkg -i Nessus ubuntu804_i386.deb # dpkg -i Nessus ubuntu804_amd64.deb # dpkg -i Nessus ubuntu910_i386.deb # dpkg -i Nessus ubuntu910_amd64.deb # dpkg -i Nessus ubuntu1010_amd64.deb # dpkg -i Nessus ubuntu1010_i386.deb # /etc/init.d/nessusd start Exemplo de resultado # /etc/init.d/nessusd stop # dpkg -i Nessus ubuntu804_i386.deb (Reading database files and directories currently installed.) Preparing to replace nessus (using Nessus ubuntu810_i386.deb)... Shutting down Nessus :. Unpacking replacement nessus... Setting up nessus (4.4.0)... nessusd (Nessus) for Linux (C) 2011 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /etc/init.d/nessusd start # /etc/init.d/nessusd start Starting Nessus :. # Solaris 10 (Sparc) Comandos de atualização # /etc/init.d/nessusd stop # pkginfo grep nessus O exemplo a seguir descreve o resultado do comando anterior Copyright Tenable Network Security, Inc. 14

15 exibindo o pacote do Nessus: application TNBLnessus Vulnerability Scanner The Nessus Network Para excluir o pacote do Nessus de um sistema Solaris, execute o seguinte comando: # pkgrm <package name> # gunzip Nessus-4.x.x-solaris-sparc.pkg.gz # pkgadd -d./nessus solaris-sparc.pkg The following packages are available: 1 TNBLnessus TNBLnessus (sparc) Select package(s) you wish to process (or 'all' to process all packages). (default: all) [?,??,q]: 1 # /etc/init.d/nessusd start Exemplo de resultado # /etc/init.d/nessusd stop # pkginfo grep nessus application TNBLnessus Vulnerability Scanner The Nessus Network # pkgrm TNBLnessus (output redacted) ## Updating system information. Removal of <TNBLnessus> was successful. # gunzip Nessus solaris-sparc.pkg.gz # pkgadd -d./nessus solaris-sparc.pkg The following packages are available: 1 TNBLnessus The Nessus Network Vulnerability Scanner (sparc) Select package(s) you wish to process (or 'all' to process all packages). (default: all) [?,??,q]: 1 Processing package instance <TNBLnessus> from </export/home/cbf/tenable/nessus solarissparc.pkg> The Nessus Network Vulnerability Scanner (sparc) ## Processing package information. ## Processing system information. 13 package pathnames are already properly installed. ## Verifying disk space requirements. ## Checking for conflicts with packages already installed. Copyright Tenable Network Security, Inc. 15

16 ## Checking for setuid/setgid programs. This package contains scripts which will be executed with super-user permission during the process of installing this package. Do you want to continue with the installation of <TNBLnessus> [y,n,?]y Installing The Nessus Network Vulnerability Scanner as <TNBLnessus> ## Installing part 1 of 1. (output redacted) ## Executing postinstall script. - Please run /opt/nessus/sbin/nessus-adduser to add a user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /etc/init.d/nessusd start Installation of <TNBLnessus> was successful. # /etc/init.d/nessusd start # Observações Para atualizar o Nessus no Solaris, é preciso desinstalar primeiro a versão existente e instalar a versão mais recente. Este processo não excluirá os arquivos de configuração ou os arquivos que não faziam parte da instalação original. FreeBSD 8 (32 e 64 bits) Se forem encontrados erros de compatibilidade de bibliotecas, verifique se o último Cluster de Patches Recomendados do Solaris da Sun foi aplicado. Comandos de atualização # killall nessusd # pkg_info Este comando gera uma lista de todos os pacotes instalados, e suas descrições. O exemplo a seguir descreve o resultado do comando anterior exibindo o pacote do Nessus: Nessus A powerful security scanner Exclua o pacote do Nessus por meio do seguinte comando: # pkg_delete <package name> Use um dos comandos abaixo correspondente à versão do Copyright Tenable Network Security, Inc. 16

17 FreeBSD que está em uso: # pkg_add Nessus fbsd8.tbz # pkg_add Nessus fbsd8.amd64.tbz # /usr/local/nessus/sbin/nessusd -D Exemplo de resultado # killall nessusd # pkg_delete Nessus # pkg_add Nessus fbsd8.tbz nessusd (Nessus) for FreeBSD (C) 2011 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /usr/local/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /usr/local/etc/rc.d/nessusd.sh start # /usr/local/nessus/sbin/nessusd -D nessusd (Nessus) for FreeBSD (C) 2011 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded # Observações Para atualizar o Nessus no FreeBSD, é preciso desinstalar primeiro a versão existente e instalar a versão mais recente. Este processo não excluirá os arquivos de configuração ou os arquivos que não faziam parte da instalação original. Copyright Tenable Network Security, Inc. 17

18 INSTALAÇÃO A atualização e o processamento inicial dos plugins do Nessus podem demorar alguns minutos. O servidor da Web exibirá a mensagem Nessus is initializing.. (O Nessus está iniciando...) e será recarregado quando terminar. Baixe a última versão do Nessus em ou por meio do Tenable Support Portal. Verifique a integridade do pacote de instalação ao comparar o checksum MD5 do download com o checksum MD5 listado no arquivo MD5.asc aqui. Exceto quando indicado em contrário, todos os comandos devem ser executados como usuário root do sistema. Em geral, as contas comuns de usuários não possuem os privilégios necessários para instalar este software. A tabela a seguir apresenta instruções de instalação do servidor Nessus em todas as plataformas suportadas. Todas as instruções especiais de atualização são indicadas em uma observação após o exemplo. Plataforma Instruções de instalação Red Hat ES 4 (32 bits), ES 5 (32 e 64 bits) Comando de instalação Use um dos comandos abaixo correspondente à versão do Red Hat que está em uso: # rpm -ivh Nessus es4.i386.rpm # rpm -ivh Nessus es5.i386.rpm # rpm -ivh Nessus es5.x86_64.rpm Exemplo de resultado # rpm -ivh Nessus es4.i386.rpm Preparing... ########################################### [100%] 1:Nessus ########################################### [100%] nessusd (Nessus) for Linux (C) Tenable Network Security, Inc. - Please run /opt/nessus//sbin/nessus-adduser to add a user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /sbin/service nessusd start # Fedora Core 12, 13 e 14 (32 e 64 bits) Comando de instalação Use um dos comandos abaixo correspondente à versão do Fedora Core que está em uso: Copyright Tenable Network Security, Inc. 18

19 # rpm -ivh Nessus fc12.i386.rpm # rpm -ivh Nessus fc12.x86_64.rpm # rpm -ivh Nessus fc14.i386.rpm # rpm -ivh Nessus fc14.x86_64.rpm Exemplo de resultado # rpm -ivh Nessus fc12.i386.rpm Preparing... ########################################### [100%] 1:Nessus ########################################### [100%] nessusd (Nessus) for Linux (C) Tenable Network Security, Inc. SuSE 9.3 (32 bits), 10 (32 e 64 bits) - Please run /opt/nessus//sbin/nessus-adduser to add a user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /sbin/service nessusd start # Comando de instalação Use um dos comandos abaixo correspondente à versão do SuSE que que está em uso: # rpm -ivh Nessus suse9.3.i586.rpm # rpm -ivh Nessus suse10.0.i586.rpm # rpm ivh Nessus suse10.x86_64.rpm Exemplo de resultado # rpm -ivh Nessus suse10.0.i586.rpm Preparing... ################################## [100%] 1:Nessus ################################## [100%] Nessusd {Nessus} for Linux (C) Tenable Network Security, Inc. Debian 5 (32 e 64 bits) - Please run /opt/nessus//sbin/nessus-adduser to add a user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /etc/rc.d/nessusd start # Comando de instalação Use um dos comandos abaixo correspondente à versão do Debian que está em uso: # dpkg -i Nessus debian5_i386.deb Copyright Tenable Network Security, Inc. 19

20 # dpkg -i Nessus debian5_amd64.deb Exemplo de resultado # dpkg -i Nessus debian5_i386.deb Selecting previously deselected package nessus. (Reading database files and directories currently installed.) Unpacking nessus (from Nessus debian5_i386.deb)... Setting up nessus (4.4.0)... nessusd (Nessus) for Linux (C) Tenable Network Security, Inc. - Please run /opt/nessus/sbin/nessus-adduser to add a user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /etc/init.d/nessusd start # Observações O daemon Nessus não pode ser iniciado até que o Nessus tenha sido registrado e um plugin baixado. Normalmente, o Nessus vem com um conjunto de plugins vazio. Ao tentar iniciar o Nessus sem plugins, o seguinte resultado será gerado: # /etc/init.d/nessusd start Starting Nessus :. # Missing plugins. Attempting a plugin update... Your installation is missing plugins. Please register and try again. To register, please visit Ubuntu 8.04, 9.10, e (32 e 64 bits) Comando de instalação Use um dos comandos abaixo correspondente à versão do Ubuntu que está em uso: # dpkg -i Nessus ubuntu804_i386.deb # dpkg -i Nessus ubuntu804_amd64.deb # dpkg -i Nessus ubuntu910_i386.deb # dpkg -i Nessus ubuntu910_amd64.deb # dpkg -i Nessus ubuntu1010_amd64.deb # dpkg -i Nessus ubuntu1010_i386.deb Exemplo de resultado # dpkg -i Nessus ubuntu804_amd64.deb Selecting previously deselected package nessus. (Reading database files and directories currently installed.) Unpacking nessus (from Nessus ubuntu804_amd64.deb)... Setting up nessus (4.4.0)... - Please run /opt/nessus/sbin/nessus-adduser to add a user Copyright Tenable Network Security, Inc. 20

21 - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /etc/init.d/nessusd start # Solaris 10 (Sparc) Comando de instalação # gunzip Nessus solaris-sparc.pkg.gz # pkgadd -d./nessus solaris-sparc.pkg The following packages are available: 1 TNBLnessus The Nessus Network Vulnerability Scanner (sparc) Select package(s) you wish to process (or 'all' to process all packages). (default: all) [?,??,q]:1 Exemplo de resultado # gunzip Nessus solaris-sparc.pkg.gz # pkgadd -d./nessus solaris-sparc.pkg The following packages are available: 1 TNBLnessus The Nessus Network Vulnerability Scanner (sparc) Select package(s) you wish to process (or 'all' to process all packages). (default: all) [?,??,q]:1 Processing package instance <TNBLnessus> from </tmp/nessus solaris-sparc.pkg> The Nessus Network Vulnerability Scanner(sparc) ## Processing package information. ## Processing system information. ## Verifying disk space requirements. ## Checking for conflicts with packages already installed. ## Checking for setuid/setgid programs. This package contains scripts which will be executed with super-user permission during the process of installing this package. Do you want to continue with the installation of <TNBLnessus> [y,n,?]y Installing The Nessus Network Vulnerability Scanner as <TNBLnessus> ## Installing part 1 of 1. (output redacted) ## Executing postinstall script. - Please run /opt/nessus/sbin/nessus-adduser to add a user - Register your Nessus scanner at to obtain Copyright Tenable Network Security, Inc. 21

22 all the newest plugins - You can start nessusd by typing /etc/init.d/nessusd start Installation of <TNBLnessus> was successful. # /etc/init.d/nessusd start # Observações Se forem encontrados erros de compatibilidade de bibliotecas, verifique se o último Cluster de Patches Recomendados do Solaris da Sun foi aplicado. FreeBSD 8 (32 e 64 bits) Comando de instalação Use um dos comandos abaixo correspondente à versão do FreeBSD que está em uso: # pkg_add Nessus fbsd8.tbz # pkg_add Nessus fbsd8.amd64.tbz Exemplo de resultado # pkg_add Nessus fbsd8.tbz nessusd (Nessus) for FreeBSD (C) Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /usr/local/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /usr/local/etc/rc.d/nessusd.sh start # Depois que o Nessus for instalado, recomenda-se personalizar o arquivo de configuração fornecido de acordo com o seu ambiente, conforme descrito na seção Configuração. O Nessus deve ser instalado em /opt/nessus. No entanto, se /opt/nessus for um link simbólico apontando para outro lugar, ele será aceito. CONFIGURAÇÃO Diretórios principais do Nessus A tabela a seguir indica o local de instalação e os diretórios principais usados pelo Nessus: Copyright Tenable Network Security, Inc. 22

23 Diretório inicial do Nessus Distribuições do Unix Subdiretórios do Nessus Objetivo Red Hat, SuSE, Debian, Ubuntu, Solaris: /opt/nessus FreeBSD: /usr/local/nessus./etc/nessus/ Arquivos de configuração./var/nessus/users/<username>/kbs/ Banco de dados de conhecimento dos usuários salvo em disco./lib/nessus/plugins/ Plugins do Nessus Mac OS X: /Library/Nessus/run./var/nessus/logs/ Arquivos de log do Nessus Criar usuários do Nessus Crie pelo menos um usuário do Nessus para que os utilitários clientes possam se conectar ao Nessus para iniciar varreduras e acessar os resultados. Exceto quando indicado em contrário, todos os comandos devem ser executados como usuário root do sistema. Para autenticar a senha use o comando nessus-adduser para adicionar usuários. Recomenda-se que o primeiro usuário criado seja o usuário admin. Cada usuário do Nessus possui um conjunto de regras denominadas regras do usuário, que controlam o que podem e não podem fazer durante a varredura. Normalmente, se as regras do usuário não forem inseridas durante a criação de um novo usuário do Nessus, o usuário poderá realizar a varredura em qualquer intervalo de IPs. O Nessus reconhece um conjunto global de regras mantido no arquivo nessusd.rules. Essas regras têm precedência sobre as regras específicas do usuário. As regras específicas de um usuário são criadas para refinar ainda mais as regras globais existentes. # /opt/nessus/sbin/nessus-adduser Login : sumi_nessus Login password : Login password (again) : Do you want this user to be a Nessus 'admin' user? (can upload plugins, etc...) (y/n) [n]: y User rules nessusd has a rules system which allows you to restrict the hosts that sumi_nessus has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser manual for the rules syntax Copyright Tenable Network Security, Inc. 23

24 Enter the rules for this user, and enter a BLANK LINE once you are done : (the user can have an empty rules set) Login : sumi_nessus Password : *********** This user will have 'admin' privileges within the Nessus server Rules : Is that ok? (y/n) [y] y User added # Um usuário que não seja administrador não poderá enviar plugins ao Nessus, não poderá reiniciá-lo remotamente (necessário após o envio de um plugin) e não poderá ignorar a configuração max_hosts/max_checks em nessusd.conf. Caso seja necessário o uso do SecurityCenter pelo usuário, ele deverá ser um usuário admin. O SecurityCenter mantém a sua própria lista de users e define permissões para seus usuários. O scanner Nessus é capaz de reconhecer uma disposição complexa de vários usuários. Por exemplo: diversas pessoas uma organização podem ter acesso ao mesmo scanner Nessus, mas com a capacidade de examinar intervalos IP diferentes, restringindo o acesso a alguns intervalos de IP restritos a pessoas autorizadas. O exemplo a seguir destaca a criação de um segundo usuário do Nessus com autenticação por senha e regras que limitam o usuário à varredura de uma sub-rede classe B, /16. Para ver mais exemplos e a sintaxe das regras de usuários, consulte as páginas man nessus-adduser. # /opt/nessus/sbin/nessus-adduser Login : tater_nessus Login password : Login password (again) : Do you want this user to be a Nessus 'admin' user? (can upload plugins, etc...) (y/n) [n]: n User rules nessusd has a rules system which allows you to restrict the hosts that tater_nessus has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser manual for the rules syntax Enter the rules for this user, and enter a BLANK LINE once you are done : (the user can have an empty rules set) accept /16 deny /0 Login : tater_nessus Copyright Tenable Network Security, Inc. 24

25 Password : *********** Rules : accept /16 deny /0 Is that ok? (y/n) [y] y User added # Para visualizar a página man nessus-adduser(8), pode ser necessário, em alguns sistemas operacionais, executar os seguintes comandos: # export MANPATH=/opt/nessus/man # man nessus-adduser No Nessus 4.0.x e versões anteriores, a autenticação entre o Cliente Nessus e o Servidor Nessus podia ser configurada através de certificados SSL. Isso deixou de ser exigido, pois o servidor Nessus é acessado por meio de autenticação SSL pela Web e não por um cliente Nessus independente. A única exceção é a autenticação entre o SecurityCenter e o servidor Nessus, pois o SecurityCenter funciona como um cliente Nessus. As informações sobre a autenticação do certificado SSL nesta configuração estão disponíveis na documentação do SecurityCenter. Instalação do código de ativação do plugin Se o Tenable SecurityCenter for usado, o código de ativação e as atualizações do plugin serão gerenciadas por meio do SecurityCenter. Para se comunicar com o SecurityCenter, o Nessus precisa ser iniciado e, para isso, requer um código de ativação válido e plugins. Para fazer com que o Nessus ignore essa exigência e seja iniciado (para receber as atualizações de plugins do SecurityCenter), execute o seguinte comando: # nessus-fetch --security-center Logo após a execução do comando nessus-fetch acima, use o respectivo comando para iniciar o servidor Nessus. O servidor Nessus pode ser adicionado em seguida ao SecurityCenter por meio da interface da Web do SecurityCenter. Consulte a configuração de um feed centralizado de plugins para vários scanners Nessus na documentação do SecurityCenter. Antes de iniciar o Nessus pela primeira vez, é preciso fornecer um código de ativação para baixar os plugins atuais. O download e o processamento inicial dos plugins exigirá um tempo a mais antes que o servidor Nessus esteja pronto. Dependendo do serviço de assinatura, o usuário receberá um código de ativação com o qual poderá baixar os plugins do ProfessionalFeed ou do HomeFeed. Isto irá sincronizar o scanner Nessus do usuário com todos os plugins disponíveis. Os códigos de ativação podem se formados por sequências de 16 ou 20 caracteres alfanuméricos com traços. Copyright Tenable Network Security, Inc. 25

26 Para instalar o código de ativação, digite o seguinte comando no sistema onde o Nessus está instalado (<license code>): Linux e Solaris: # /opt/nessus/bin/nessus-fetch --register <Activation Code> FreeBSD: # /usr/local/nessus/bin/nessus-fetch --register <Activation Code> Depois do registro inicial, o Nessus baixará e reunirá os plugins obtidos de plugins.nessus.org, plugins-customers.nessus.org ou plugins-us.nessus.org em segundo plano. Pode levar até 10 minutos para que o servidor Nessus esteja pronto ao realizar este procedimento pela primeira vez. Quando a mensagem nessusd is ready (nessusd está pronto) surgir no log do nessusd.messages, o servidor Nessus aceitará conexões de clientes e a interface de varredura ficará disponível. O código de ativação não diferencia maiúsculas de minúsculas. É necessária uma conexão à Internet para esta etapa. Se o Nessus for usado em um sistema que não possui conexão à Internet, siga as etapas indicadas na seção Nessus sem acesso à Internet para instalar o código de ativação. O exemplo abaixo mostra as etapas necessárias para registrar o código de ativação do plugin, acessar os plugins mais recentes no site do Nessus e verificar se o download foi realizado com sucesso. # /opt/nessus/bin/nessus-fetch --register XXXX-XXXX-XXXX-XXXX-XXXX Your activation code has been registered properly thank you. Now fetching the newest plugin set from plugins.nessus.org... Your Nessus installation is now up-to-date. If auto_update is set to 'yes' in nessusd.conf, Nessus will update the plugins by itself. # cat /opt/nessus/lib/nessus/plugins/plugin_feed_info.inc PLUGIN_SET = " "; PLUGIN_FEED = "ProfessionalFeed (Direct)"; O arquivo plugin_feed_info.inc, localizado no diretório /opt/nessus/lib/nessus/plugins/, verificará qual conjunto de plugins e tipo de feed você possui. Leia o arquivo para ajudá-lo a garantir que os últimos plugins estejam disponíveis. COMO INICIAR O DAEMON DO NESSUS O Nessus não será iniciado até que o scanner seja registrado e os plugins sejam baixados. Os usuários do SecurityCenter que digitaram o comando a seguir não precisarão fornecer um código de registro ou baixar plugins. # nessus-fetch --security-center Copyright Tenable Network Security, Inc. 26

27 Inicie o serviço Nessus como root com o seguinte comando: Linux e Solaris: # /opt/nessus/sbin/nessus-service -D FreeBSD: # /usr/local/nessus/sbin/nessus-service -D O exemplo a seguir mostra uma tela de inicialização do nessusd no Red Hat: # /opt/nessus/sbin/nessus-service -D nessusd (Nessus) for Linux (C) Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded # Para suprimir o resultado do comando, use a opção -q da seguinte forma: Linux e Solaris: # /opt/nessus/sbin/nessus-service -q -D FreeBSD: # /usr/local/nessus/sbin/nessus-service -q -D O Nessus também pode ser iniciado com o comando a seguir, dependendo da plataforma de sistema operacional: Sistema operacional Red Hat Fedora Core SuSE Debian FreeBSD Comando para iniciar o nessusd # /sbin/service nessusd start # /sbin/service nessusd start # /etc/rc.d/nessusd start # /etc/init.d/nessusd start # /usr/local/etc/rc.d/nessusd.sh start Copyright Tenable Network Security, Inc. 27

28 Solaris Ubuntu # /etc/init.d/nessusd start # /etc/init.d/nessusd start Depois de iniciar o serviço nessusd, os usuários do SecurityCenter concluirão a instalação e configuração iniciais do seu scanner Nessus 4. Se o SecurityCenter não for usado para se conectar ao nessusd, prossiga com as seguintes instruções para instalar o código de ativação do plugin. COMO PARAR O DAEMON DO NESSUS Caso seja necessário parar o serviço nessusd por qualquer motivo, o comando a seguir interromperá o Nessus e todas as varreduras em andamento: # killall nessusd Em vez disso, recomendamos que os scripts de desligamento gradual sejam usados: Sistema operacional Red Hat Fedora Core SuSE Debian FreeBSD Solaris Ubuntu Comando de interrupção do nessusd # /sbin/service nessusd stop # /sbin/service nessusd stop # /etc/rc.d/nessusd stop # /etc/init.d/nessusd stop # /usr/local/etc/rc.d/nessusd.sh stop # /etc/init.d/nessusd stop # /etc/init.d/nessusd stop OPÇÕES DE LINHA DE COMANDO DO NESSUSD Além de executar o servidor nessusd, várias outras opções de linha de comando podem ser usadas quando necessário. A tabela a seguir contém informações sobre esses vários comandos opcionais. Opção Descrição -c <config-file> Ao iniciar o servidor nessusd, esta opção é usada para especificar o arquivo de configuração nessusd do servidor a ser usado. Ele permite o uso de outro arquivo de configuração em Copyright Tenable Network Security, Inc. 28

29 vez do /opt/nessus/etc/nessus/nessusd.conf padrão (ou /usr/local/nessus/etc/nessus/nessusd.conf no FreeBSD). -a <address> Ao iniciar o servidor nessusd, esta opção é usada para instruir o servidor que escute apenas as conexões no endereço <address> que sejam um IP e não um nome de computador. Esta opção é útil ao executar o nessusd em um gateway e se o usuário não desejar que usuários externos se conectem ao nessusd. -S <ip[,ip2,...]> Ao iniciar o servidor nessusd, este comando força o IP de origem das conexões estabelecidas pelo Nessus durante a varredura de <ip>. Esta opção só será útil se o usuário tiver um computador com vários homes e endereços IP públicos que podem ser usados em vez do IP padrão. Para que esta configuração funcione, o host que executa o nessusd deve ter várias placas de rede com esses endereços IP definidos. -p <port-number> Ao iniciar o servidor nessusd, esta opção instrui o servidor que escute conexões do cliente na porta <port-number> em vez de escutar na porta 1241, que é a porta padrão. -D Ao iniciar o servidor nessusd, esta opção fará com que o servidor funcione em segundo plano (no modo daemon). -v Exibe o número da versão e desconecta. -l Exibe as informações sobre a licença do feed do plugin e desconecta. -h Mostra o resumo dos comandos e desconecta. --ipv4-only --ipv6-only Escuta apenas o soquete IPv4. Escuta apenas o soquete IPv6. -q Funciona no modo silencioso ao suprimir todas as mensagens enviadas a stdout. -R Força o reprocessamento dos plugins. -t Verifica a data e hora de cada plugin na inicialização. -K Define uma senha mestra para o scanner. Se uma senha mestra for definida, o Nessus irá criptografar todas as políticas e credenciais contidas neles com a chave fornecida pelo usuário (mais segura que a chave padrão). Se uma senha for definida, a interface de Web solicitará a senha durante a inicialização. Copyright Tenable Network Security, Inc. 29

30 ATENÇÃO: Se a senha mestra for definida e perdida, o administrador e o suporte da Tenable não poderão recuperá-la. Um exemplo de uso é mostrado a seguir: Linux: # /opt/nessus/sbin/nessus-service [-vhd] [-c <config-file>] [-p <portnumber>] [-a <address>] [-S <ip[,ip,...]>] FreeBSD: # /usr/local/nessus/sbin/nessus-service [-vhd] [-c <config-file>] [-p <portnumber>] [-a <address>] [-S <ip[,ip,...]>] CONEXÃO COM O CLIENTE Depois que a instalação for concluída e os plugins atualizados e processados, o servidor Nessus estará pronto para que um cliente se conecte a ele. A Tenable permite o acesso ao servidor Nessus por meio de um servidor Web original (normalmente porta 8834), da linha de comando ou da interface do SecurityCenter (abordada na seção Trabalhando com SecurityCenter ). As informações sobre como acessar o servidor Web/interface de usuário e a operação por linha de comando estão disponíveis no Guia do Usuário Nessus localizado em A atualização e o processamento inicial dos plugins do Nessus podem demorar alguns minutos. O servidor Web estará disponível, mas não permitirá o login até que o processamento do plugin seja concluído. ATUALIZAÇÃO DOS PLUGINS O comando a seguir é usado para atualizar o scanner Nessus com os plugins mais recentes: Linux e Solaris: # /opt/nessus/sbin/nessus-update-plugins FreeBSD: # /usr/local/nessus/sbin/nessus-update-plugins À medida que novas falhas são descobertas e publicadas todos os dias, novos plugins do Nessus são escritos diariamente. Para manter o scanner Nessus atualizado com os últimos plugins, tornando suas varreduras tão precisas quanto possível, é preciso atualizar os plugins regularmente. Com que frequência devo atualizar os plugins? Em geral, atualizar os plugins do Nessus uma vez ao dia é suficiente para a maioria das organizações. Caso seja necessário obter os plugins mais recentes e o usuário pretende realizar atualizações contínuas ao longo do dia, basta atualizar uma vez a cada quatro horas, pois praticamente não há nenhum benefício em atualizar com mais frequência. Copyright Tenable Network Security, Inc. 30

31 Atualização automática dos plugins Desde a versão 3.0, o Nessus localiza os plugins mais recentes de maneira automática e regular. Isto é feito com a opção auto_update localizada no arquivo nessusd.conf. A opção padrão é yes (sim). A opção auto_update_delay determina quantas vezes o Nessus atualizará seus plugins, em horas, cujo valor padrão é 24. O valor mínimo de quatro horas pode ser usado. A atualização de plugins ocorre no número de horas após o início do nessusd e prossegue a cada N horas após a última atualização. Para que esta opção funcione corretamente, é preciso verificar se o feed do código de ativação do plugin do scanner foi registrado corretamente. Use o seguinte comando para fazer a verificação: Linux e Solaris: # /opt/nessus/bin/nessus-fetch --check FreeBSD: # /usr/local/nessus/bin/nessus-fetch --check As atualizações automáticas de plugins só ocorrerão se: > A opção auto_update estiver definida como yes (sim) no arquivo nessusd.conf ; > O código de ativação do feed do plugin tiver sido registrado por meio do nessus-fetch nesse scanner quando estiver diretamente conectado à Internet; e > O scanner não for gerenciado remotamente por um Tenable SecurityCenter. Observe que o registro offline de um feed de plugin não permitirá que o Nessus localize os plugins mais recentes automaticamente. Programação de atualizações de plugins com o cron Se a sua organização tiver algum motivo técnico ou logístico para não permitir que o Nessus atualize os plugins automaticamente, pode-se também configurar uma tarefa cron para esta finalidade. Para configurar o sistema para atualizar os plugins todas as noites por meio do cron, execute as etapas a seguir: > Entre no root digitando su root (ou sudo bash se o usuário tiver privilégios sudo). > No root, digite crontab -e to para editar o crontab do usuário root. > Adicione a seguinte linha ao crontab: 28 3 * * * /opt/nessus/sbin/nessus-update-plugins A configuração acima acionará o comando nessus-update-plugins todos os dias às 03h28. Uma vez que o nessus-update-plugins reinicia o nessusd automaticamente sem interromper as varreduras em andamento, não é preciso realizar nenhuma ação. Ao configurar o cron para atualizações de plugins, evite iniciar a atualização ser iniciada na "hora cheia". Ao configurar um agendamento, escolha um minuto aleatório após a hora cheia, entre :05 e :55, e inicie o download. Copyright Tenable Network Security, Inc. 31

32 A partir do 4.4, o Nessus atualiza os plugins enquanto houver varreduras em andamento. Quando a atualização for concluída, todas as varreduras subsequentes serão iniciadas com o conjunto de plugins atualizado. O usuário não precisa sair da interface de Web durante este processo. Atualização de plugins por meio de proxies da Web Nos sistemas operacionais Unix, o Nessus permite registrar o produto e atualizar plugins por meio de proxies da Web, que exigem autenticação básica. As configurações de proxy podem ser encontradas no arquivo /opt/nessus/etc/nessus/nessus-fetch.rc. Quatro linhas relevantes controlam a conectividade por proxy. Veja a seguir as linhas com exemplos de sintaxe: proxy=myproxy.example.com proxy_port=8080 proxy_username=juser proxy_password=squirrel Para a diretiva proxy, pode-se usar um nome de host DNS ou um endereço IP. Apenas um proxy pode ser especificado no arquivo nessus-fetch.rc. Além disso, uma diretiva user_agent pode ser especificada, se necessário, que instrui o Nessus a usar um user agent HTTP personalizado. REMOÇÃO DO NESSUS A tabela a seguir apresenta instruções de remoção do servidor Nessus em todas as plataformas suportadas. Exceto pelas instruções usadas com o Mac OS X, as instruções fornecidas não excluirão os arquivos de configuração ou os arquivos que não faziam parte da instalação original. Os arquivos que faziam parte do pacote original, e que foram alterados desde a instalação, também não serão excluídos. Para excluir completamente os arquivos restantes, use o comando a seguir: Linux e Solaris: # rm -rf /opt/nessus FreeBSD: # rm -rf /usr/local/nessus/bin Plataforma Instruções de remoção Red Hat ES 4 (32 bits), ES 5 (32 e 64 bits) Comando de remoção Determine o nome do pacote: # rpm -qa grep Nessus Use o resultado do comando acima para excluir o pacote: # rpm -e <Package Name> Copyright Tenable Network Security, Inc. 32

33 Exemplo de resultado # rpm -qa grep -i nessus Nessus es5 # rpm -e Nessus es5 # Fedora Core 12, 13 e 14 (32 e 64 bits) Comando de remoção Determine o nome do pacote: # rpm -qa grep Nessus Use o resultado do comando acima para excluir o pacote: # rpm -e <Package Name> SuSE 9.3 (32 bits), 10 (32 e 64 bits) Comando de remoção Determine o nome do pacote: # rpm -qa grep Nessus Debian 5 (32 e 64 bits) Use o resultado do comando acima para excluir o pacote: # rpm -e <Package Name> Comando de remoção Determine o nome do pacote: # dpkg -l grep -i nessus Use o resultado do comando acima para excluir o pacote: # dpkg -r <package name> Exemplo de resultado # dpkg -l grep nessus ii nessus Version 4 of the Nessus Scanner # dpkg -r nessus # Ubuntu 8.04, 9.10, e (32 e 64 bits) Comando de remoção Determine o nome do pacote: # dpkg -l grep -i nessus Use o resultado do comando acima para excluir o pacote: # dpkg -r <package name> Exemplo de # dpkg -l grep -i nessus Copyright Tenable Network Security, Inc. 33

34 resultado ii nessus Version 4 of the Nessus Scanner # Solaris 10 (Sparc) Comando de remoção Parar o serviço nessusd: # /etc/init.d/nessusd stop Determine o nome do pacote: # pkginfo grep i nessus Exclua o pacote Nessus: # pkgrm <package name> Exemplo de resultado O exemplo a seguir descreve o resultado do comando anterior exibindo o pacote do Nessus: # pkginfo grep i nessus application TNBLnessus Vulnerability Scanner # pkgrm TNBLnessus # The Nessus Network FreeBSD 8 (32 e 64 bits) Comando de remoção Parar o Nessus: # killall nessusd Determine o nome do pacote: # pkg_info grep -i nessus Exclua o pacote Nessus: # pkg_delete <package name> Exemplo de resultado # killall nessusd # pkg_info grep -i nessus Nessus A powerful security scanner # pkg_delete Nessus # Max OS X Comando de remoção Abra uma janela de terminal: Em Applications (Aplicativos), clique em Utilities (Utilitários) e, em seguida, clique em Terminal ou X11. Na janela de comando, use o comando Copyright Tenable Network Security, Inc. 34

35 sudo para executar um shell de raiz e exclua os diretórios do Nessus da seguinte maneira: $ sudo /bin/sh Password: # ls -ld /Library/Nessus # rm -rf /Library/Nessus # ls -ld /Library/Nessus # ls -ld /Applications/Nessus # rm -rf /Applications/Nessus # ls -ld /Applications/Nessus # ls -ld /Library/Receipts/Nessus* # rm -rf /Library/Receipts/Nessus* # ls -ld /Library/Receipts/Nessus* # exit Exemplo de resultado Observações $ sudo /bin/sh Password: # ls -ld /Library/Nessus drwxr-xr-x 6 root admin 204 Apr 6 15:12 /Library/Nessus # rm -rf /Library/Nessus # ls -ld /Library/Nessus ls: /Library/Nessus: No such file or directory # ls -ld /Applications/Nessus drwxr-xr-x 4 root admin 136 Apr 6 15:12 /Applications/Nessus # rm -rf /Applications/Nessus # ls -ld /Applications/Nessus # ls -ld /Library/Receipts/Nessus* drwxrwxr-x 3 root admin 102 Apr 6 15:11 /Library/Receipts/Nessus Client.pkg drwxrwxr-x 3 root admin 102 Apr 6 15:11 /Library/Receipts/Nessus Server.pkg # rm -rf /Library/Receipts/Nessus* # ls -ld /Library/Receipts/Nessus* ls: /Library/Receipts/Nessus*: No such file or directory # exit $ Não tente executar este processo se não estiver familiarizado com os comandos de shell do Unix. Os comandos ls estão incluídos para verificar se o nome do caminho foi digitado corretamente. Copyright Tenable Network Security, Inc. 35

36 WINDOWS ATUALIZAÇÕES Atualização do Nessus x Ao atualizar o Nessus de uma versão 4.x para uma distribuição mais recente 4.x, o processo de atualização perguntará se o usuário deseja apagar todo o conteúdo do diretório Nessus. Selecione a opção Yes (Sim) para simular um processo de desinstalação. Se esta opção for selecionada, os usuários criados anteriormente, as políticas de varredura e os resultados das varreduras serão excluídos e o scanner deixará de ser registrado. Atualização do Nessus x Não é possível realizar a atualização direta do Nessus 3.0.x para o Nessus 4.x, mas é possível usar uma atualização para a versão 3.2 como passo intermediário para garantir que as principais configurações de varredura e políticas sejam preservadas. Se não for necessário preservar as configurações de varredura, primeiro desinstale o Nessus 3.x e, depois, instale uma nova cópia do Nessus 4. Se optar pela atualização para o 3.2 como passo intermediário, consulte o Guia de Instalação do Nessus 3.2 para obter mais informações. Atualização do Nessus 3.2 e versões posteriores Se o Nessus 3.2 ou posterior for utilizado, é possível baixar o pacote do Nessus 4 e instalálo sem desinstalar a versão existente. Todos os relatórios anteriores de varredura de vulnerabilidades e de políticas serão salvos e não serão excluídos, se necessário. A mensagem a seguir é exibida durante a atualização, que oferece ao usuário a opção de salvar ou excluir a instalação anterior: Clique em Yes (Sim) para permitir que o Nessus exclua toda a pasta do Nessus juntamente com todos os arquivos adicionados manualmente ou No (Não) para manter a pasta do Nessus junto com as varreduras, relatórios, etc. existentes. Depois que a nova versão do Nessus for instalada, ainda estarão disponíveis para visualização e exportação. Atenção! Se Yes for selecionado, todos os arquivos do diretório Nessus serão excluídos, incluindo os arquivos de log, os plugins personalizados adicionados manualmente e outros itens. Selecione esta opção com cuidado! Copyright Tenable Network Security, Inc. 36

37 INSTALAÇÃO Download do Nessus A versão mais recente do Nessus está disponível no endereço O Nessus 4.4 está disponível para Windows XP, Server 2003, Server 2008, Vista e Windows 7. Verifique a integridade do pacote de instalação comparando o checksum MD5 do download com o checksum indicado no MD5.asc arquivo aqui O tamanho e nomes dos arquivos de distribuição do Nessus variam um pouco de uma versão para outra, mas têm cerca de 12 MB. Instalação O Nessus é distribuído como um arquivo de instalação executável. Coloque o arquivo no sistema em que será instalado ou em uma unidade compartilhada que o sistema possa acessar. É preciso instalar o Nessus com uma conta administrativa e não como um usuário sem privilégios. Se a mensagem de erro relacionada a permissões Access Denied (Acesso Negado) for exibida ou se ocorrerem erros que indiquem que uma ação ocorreu devido à falta de privilégios, verifique se está usando uma conta com privilégios administrativos. Se surgirem erros ao usar utilitários de linha de comando, execute cmd.exe privilégios de Executar como... configurados como administrador. Alguns pacotes de software antivírus podem classificar o Nessus como um worm ou algum tipo de malware. Isto se deve ao grande número de conexões TCP geradas durante uma varredura. Se o software antivírus gerar um aviso, clique em permitir para que o Nessus possa continuar a varredura. A maioria dos pacotes AV também permite adicionar processos em uma lista de exceções. Adicione Nessus.exe e Nessus-service.exe à lista para prevenir esses avisos. Problemas de instalação Copyright Tenable Network Security, Inc. 37

38 Durante o processo de instalação, o Nessus solicitará ao usuário algumas informações básicas. Antes de começar, o usuário deve aceitar o contrato de licença: Depois de aceitar o contrato, escolha o local onde o Nessus será instalado: Quando solicitado para selecionar o Setup Type (Tipo de instalação), escolha Complete (Completo). Copyright Tenable Network Security, Inc. 38

39 Será solicitado que você confirme a instalação: Quando a instalação for concluída, clique em Finish (Concluir). Copyright Tenable Network Security, Inc. 39

40 Diretórios principais do Nessus Diretório inicial do Nessus Windows Subdiretórios do Nessus Objetivo \Program Files\Tenable\Nessus \conf \data \nessus\plugins \nessus\users\<username>\kbs \nessus\logs Arquivos de configuração Modelos de folhas de estilo Plugins do Nessus Banco de dados de conhecimento dos usuários salvo em disco Arquivos de log do Nessus Se o espaço em disco necessário para manter os logs existir fora do sistema de arquivos /opt, monte o diretório de destino desejado com mount --bind <olddir> <newdir> ou a sintaxe apropriada para a sua versão. Não é possível usar links simbólicos para realizar essa tarefa. Copyright Tenable Network Security, Inc. 40

41 CONFIGURAÇÃO Esta seção descreve como configurar o servidor Nessus 4 em um sistema Windows. Nessus Server Manager Para iniciar, parar e configurar o servidor Nessus, use o Nessus Server Manager. Esta interface permite: > Registrar o servidor Nessus em nessus.org para receber plugins atualizados > Executar uma atualização de plugins > Configurar se o servidor Nessus deve ser iniciado ou não sempre que o Windows for iniciado > Gerenciar os usuários do Nessus > Iniciar ou desconectar o servidor Nessus Navegue até o Nessus Server Manager por meio do menu Iniciar da seguinte maneira: Iniciar -> Programas -> Tenable Network Security -> Nessus -> Nessus Server Manager. Isto carregará o Nessus Server Manager (nessussvrmanager.exe) da maneira indicada abaixo: Copyright Tenable Network Security, Inc. 41

42 O botão Start Nessus Server (Iniciar Servidor Nessus) permanecerá indisponível até que o servidor Nessus seja registrado. Alteração da porta padrão do Nessus Para alterar a porta de escuta do servidor Nessus, edite o arquivo nessusd.conf localizado em C:\Program Files\Tenable\Nessus\conf\ As instruções de configuração a seguir podem ser editadas para alterar o ouvinte do serviço Nessus e as preferências do servidor Web: # Port to listen to (old NTP protocol). Used for pre 4.2 NessusClient # connections : listen_port = 1241 # Port for the Nessus Web Server to listen to (new XMLRPC protocol) : xmlrpc_listen_port = 8834 Depois de alterar os valores, desconecte o serviço Nessus através do Nessus Server Manager e reinicie-o. O uso do cliente antigo através do protocolo NTP está disponível apenas para os clientes do ProfessionalFeed. Registro da instalação do Nessus Se o Tenable SecurityCenter for usado, o código de ativação e as atualizações do plugin serão gerenciadas por meio do SecurityCenter. Para se comunicar com o SecurityCenter, o Nessus precisa ser iniciado e, para isso, requer um código de ativação válido e plugins. Para fazer com que o Nessus ignore essa exigência e seja iniciado (para poder receber as informações do SecurityCenter), execute o seguinte comando no prompt do MS-DOS: C:\Program Files\Tenable\Nessus>nessus-fetch --security-center Logo após a execução do comando nessus-fetch acima, use o gerenciador de serviços do Windows para iniciar o servidor Nessus. O servidor Nessus pode ser adicionado em seguida ao SecurityCenter por meio da interface da Web do SecurityCenter. Consulte a configuração de um feed centralizado de plugins para vários scanners Nessus na documentação do SecurityCenter. Após a instalação, é preciso registrar o servidor Nessus. O registro do servidor garante o acesso aos plugins mais recentes da nessus.org e que as auditorias estejam atualizadas. Depois do registro inicial, a Nessus baixará e reunirá em segundo plano os plugins obtidos em plugins.nessus.org. Pode levar até 10 minutos para que o servidor Nessus esteja pronto ao realizar este procedimento pela primeira vez. Até que os plugins sejam baixados e reunidos, a interface do servidor da Web não estará disponível. O código de ativação não diferencia maiúsculas de minúsculas. Copyright Tenable Network Security, Inc. 42

43 Para registrar o Nessus, clique em Obtain an activation code (Obter um Código de Ativação) para ir à página Nessa página, é possível obter um ProfessionalFeed ou um HomeFeed. O ProfessionalFeed é necessário para uso comercial e oferece atualizações de plugins, suporte ao cliente, auditorias de configuração, appliance virtual entre outras opções. O HomeFeed é necessário para usuários domésticos e não é licenciado para uso profissional ou comercial. Uma vez que as informações necessárias forem fornecidas e processadas, o usuário receberá um com o código de ativação, que garante o usuário o direito de acessar os plugins do ProfessionalFeed ou HomeFeed. Digite-o no campo apropriado e clique no botão Register (Registrar). Observe que é preciso digitar o nome de usuário e a senha de administrador. Quando o Nessus Server Manager autorizar o código de ativação de feeds, a atualização dos plugins do Nessus será iniciada. O processo pode demorar alguns minutos devido ao tamanho do primeiro arquivo de plugin. Se a cópia do Nessus não for registrada, o usuário não receberá plugins atualizados e não poderá iniciar o servidor Nessus. Após o registro, a interface do Nessus Server Manager exibirá o seguinte: Copyright Tenable Network Security, Inc. 43

44 Nota: O Nessus também pode ser iniciado a partir da linha de comando: C:\Windows\system32>net stop "Tenable Nessus" The Tenable Nessus service is stopping. The Tenable Nessus service was stopped successfully. C:\Windows\system32>net start "Tenable Nessus" The Tenable Nessus service is starting. The Tenable Nessus service was started successfully. C:\Windows\system32> Restauração dos códigos de ativação Em alguns casos, pode ser necessário alterar os códigos de ativação (por exemplo: atualizar do HomeFeed para o ProfessionalFeed). Isto pode ser feito com o botão Clear registration file (Limpar arquivo de registro) da interface do Nessus Server Manager. Após a confirmação, a ação cancelará o registro da cópia do Nessus até que um novo código de ativação seja obtido e o produto registrado novamente. Criação e gerenciamento de usuários do Nessus Permitir conexões remotas Para usar o scanner Nessus de maneira remota (por exemplo: com o SecurityCenter), é preciso selecionar Allow remote users to connect to this server (Permitir que usuários remotos se conectem a este servidor). Se esta opção ficar desmarcada, o servidor Nessus estará disponível apenas para clientes locais. Se esta opção for marcada, o servidor Nessus poderá ser acessado através de clientes instalados no localhost, clientes instalados em um host remoto ou pela interface do SecurityCenter (que será discutida mais adiante neste documento na seção Trabalhar com SecurityCenter ). As informações sobre os clientes Nessus estão disponíveis no Manual do Usuário do Nessus 4.4. Inclusão de contas de usuários Clique em Manage Users (Gerenciar Usuários...) para criar e gerenciar contas no servidor Nessus: Copyright Tenable Network Security, Inc. 44

45 Para criar um usuário, clique no botão + e digite um novo nome de usuário e senha. Marque a caixa de seleção Administrator (Administrador) se o usuário for um administrador: Copyright Tenable Network Security, Inc. 45

46 Selecione um nome na lista e clique no botão Edit (Editar...) para alterar a senha do usuário (veja imagem abaixo). Clique no botão - com um usuário selecionado para excluir o usuário após a confirmação. Copyright Tenable Network Security, Inc. 46

47 Não é possível renomear um usuário. Para alterar o nome de um usuário, exclua o usuário e crie um novo usuário com o nome de login apropriado. Observe que o Nessus usa uma conta administrativa interna para comunicação local entre a interface de usuário do Nessus e o Tenable Nessus Service. Essa conta não pode ser usada para a conexão remota de um cliente Nessus. Firewalls instalados no host Se o servidor Nessus estiver configurado em um host com um firewall pessoal, como Zone Alarm, Sygate, firewall do Windows XP ou qualquer outro software de firewall, será necessário que as conexões sejam permitidas a partir do endereço IP do cliente Nessus. Normalmente, a porta 8834 é usada para o Nessus Web Server (interface do usuário). Nos sistemas Microsoft XP Service Pack 2 (SP2) e posteriores, clique em Central de Segurança no Painel de Controle para gerenciar as configurações da opção Firewall do Windows. Para abrir a porta 8834, selecione a guia Exceções e adicione a porta 8834 à lista. Copyright Tenable Network Security, Inc. 47

48 Para outros softwares de firewall pessoal, consulte a documentação para obter instruções de configuração. Iniciar o daemon do Nessus Para iniciar o daemon do Nessus, clique no botão Start Nessus Server (Iniciar o Servidor Nessus) no Nessus Server Manager. Para iniciar o Nessus automaticamente, marque a caixa de seleção Start the Nessus Server when Windows boots (Iniciar o servidor Nessus quando o Windows for iniciado). O Nessus pode ser instalado como o serviço Tenable Nessus no Windows e configurado para iniciar automaticamente se o sistema for reinicializado. Marque a opção Start the Nessus Server when Windows boots (Iniciar o servidor Nessus quando o Windows for iniciado) para configurá-lo. Inicie o serviço nessusd para concluir a instalação e configuração iniciais do scanner Nessus 4 e prossiga à seção Trabalhar com SecurityCenter. Se o daemon do Nessus não estiver em execução ou se a interface de usuário não estiver disponível, o navegador irá gerar uma mensagem de erro indicando que não foi possível se conectar. O servidor Nessus será executado no localhost ( ) e, por padrão, escutará a porta 1241 para clientes antigos. Para verificar se o Nessus está escutando na porta 1241, na linha de comando do Windows, use o comando netstat -an findstr 1241 da maneira indicada abaixo: C:\Documents and Settings\admin>netstat -an findstr 1241 TCP : :0 LISTENING Copyright Tenable Network Security, Inc. 48

49 Observe se o resultado contém :1241, o que significa que um servidor está escutando nessa porta. Isto pode ser usado para verificar se o Servidor Web (interface do usuário) está disponível, alterando-se de 1241 para 8834 no comando acima. Observe que o Nessus Service é iniciado automaticamente após a instalação e a atualização do plugin somente. A atualização e o processamento inicial dos plugins do Nessus podem demorar alguns minutos. O servidor Web exibirá a mensagem Nessus is initializing. (O Nessus está iniciando...) e será recarregado quando terminar. Ao se conectar à interface da Web pela primeira vez, o navegador pode exibir um aviso sobre uma conexão não confiável. Isto ocorre porque o Nessus é distribuído com um certificado SSL padrão. Para obter mais informações, consulte o Guia do Usuário do Nessus. ATUALIZAÇÃO DOS PLUGINS O Nessus possui centenas de plugins (ou scripts) que verificam vulnerabilidades da rede e do host. Novas vulnerabilidades são descobertas regularmente e novos plugins são desenvolvidos para detectar essas vulnerabilidades. Para manter o scanner Nessus atualizado com os últimos plugins e tornar as varreduras mais precisas, é preciso atualizar os plugins diariamente. A opção Perform a daily plugin update (Executar uma atualização diária do plugin) configura o servidor Nessus para atualizar automaticamente os plugins da Tenable a cada 24 horas. A atualização ocorre aproximadamente na hora do dia em que o Nessus foi iniciado. É possível forçar a atualização dos plugins ao clicar no botão Update Plugins (Atualizar plugins) indicado abaixo: Copyright Tenable Network Security, Inc. 49

50 Com que frequência devo atualizar os plugins? Em geral, atualizar os plugins do Nessus uma vez ao dia é suficiente para a maioria das organizações. Caso seja necessário obter plugins recém-atualizados e realizar atualizações contínuas ao longo do dia, basta atualizar uma vez a cada quatro horas, pois praticamente não há nenhum benefício em atualizar com mais frequência. Atualização de plugins por meio de proxies da Web O Nessus no Windows permite o registro do produto e atualizações de plugins por meio de proxies da Web que requerem autenticação básica. As configurações de proxy podem ser encontradas no arquivo C:\Program Files\Tenable\Nessus\conf\nessus-fetch.rc. Quatro linhas relevantes controlam a conectividade por proxy. Veja a seguir as linhas com exemplos de sintaxe: proxy=myproxy.example.com proxy_port=8080 proxy_username=juser proxy_password=guineapig Para a diretiva proxy, pode-se usar um nome de host DNS ou um endereço IP. Apenas um proxy pode ser especificado no arquivo nessus-fetch.rc. Além disso, uma diretiva user_agent pode ser especificada, se necessário, que instrui o Nessus a usar um user agent HTTP personalizado. A partir do Nessus 4.2, os scanners do Microsoft Windows permitem a autenticação por proxy, inclusive NTLM. REMOÇÃO DO NESSUS Para remover o Nessus, abra o Painel de Controle e selecione Adicionar ou remover programas. Selecione Tenable Nessus e clique em Alterar/Remover Isto abrirá o Assistente do InstallShield. Siga as instruções do assistente para excluir completamente o Nessus. O usuário poderá optar por remover inteiramente a pasta do Nessus. Responda Yes somente se não desejar manter nenhum resultado de varreduras ou políticas gerado. MAX OS X ATUALIZAÇÕES A atualização de uma versão antiga do Nessus é semelhante a uma nova instalação. No entanto, é preciso parar e reiniciar o servidor Nessus no final da instalação. Baixe o arquivo Nessus-4.x.x.dmg.gz e, em seguida, clique duas vezes sobre ele para descompactá-lo. Clique duas vezes no arquivo Nessus-4.x.x.dmg para montar a imagem de disco e fazer com que apareça em Devices (Dispositivos) no Finder (Localizador). Quando o volume Nessus 4 aparecer no Finder, clique duas vezes no arquivo Nessus 4. Quando a instalação for concluída, navegue até /Applications/Nessus/ e execute o Nessus Server Manager. Para concluir a atualização, clique no botão Update Plugins (Atualizar plugins): Copyright Tenable Network Security, Inc. 50

51 INSTALAÇÃO A versão mais recentes Nessus está disponível em O Nessus está disponível para o Mac OS X 10.4 e Verifique a integridade do pacote de instalação ao comparar o checksum MD5 do download com o checksum MD5 listado no arquivo MD5.asc aqui. Para instalar o Nessus no Mac OS X, baixe o arquivo Nessus-4.x.x.dmg.gz e clique duas vezes nele para descompactá-lo. Clique duas vezes no arquivo Nessus-4.x.x.dmg para montar a imagem de disco e fazer com que apareça em Devices (Dispositivos) no Finder (Localizador). Quando o volume Nessus 4 aparecer no Finder, clique duas vezes no arquivo Nessus 4 conforme exemplo a seguir: Copyright Tenable Network Security, Inc. 51

52 Observe que será preciso digitar o nome de usuário e a senha de administrador em vários pontos durante a instalação. A instalação será exibida da seguinte maneira: Clique em Continue (Continuar). Uma caixa de diálogo será exibida solicitando que você aceite os termos da licença antes de continuar: Copyright Tenable Network Security, Inc. 52

53 Depois de aceitar a licença, outra caixa de diálogo será exibida, que permite alterar o local de instalação padrão, conforme indicado a seguir: Clique no botão Install (Instalar) para continuar a instalação. Neste momento, o usuário deverá digitar o nome de usuário e a senha de administrador. Quando a seguinte tela for exibida a instalação terá sido concluída com êxito: Copyright Tenable Network Security, Inc. 53

54 CONFIGURAÇÃO Esta seção descreve como configurar o servidor Nessus 4 em um sistema Mac OS X. Nessus Server Manager Para iniciar, parar e configurar o servidor Nessus, use o programa Nessus Server Manager localizado em /Applications/Nessus/: Observe que o Nessus Client é mostrado na pasta Nessus, mesmo se o Nessus for atualizado. Não é mais necessário usar o Nessus Client para gerenciar as varreduras do Nessus e pode ser excluído, a critério do usuário. Nessus Client.url é um link para gerenciar o Nessus através do navegador. As novas instalações não incluem o Nessus Client. A interface do Nessus Server Manager permite: > Registrar o servidor Nessus em nessus.org para receber plugins atualizados > Executar uma atualização de plugins > Configurar se o servidor Nessus será iniciado sempre que o Mac OS X for iniciado > Gerenciar os usuários do Nessus > Iniciar ou parar o servidor Nessus Sempre que o Nessus Server Manager for iniciado, é preciso inserir o nome de usuário e a senha de administrador, pois a interação com o servidor Nessus exige privilégios de root. Para iniciar o Nessus Server Manager, clique duas vezes no ícone. A tela inicial será apresentada como no exemplo a seguir: Copyright Tenable Network Security, Inc. 54

55 O botão Start Nessus Server (Iniciar Servidor Nessus) permanecerá indisponível até que o servidor Nessus seja registrado. Registro da instalação do Nessus Se o Tenable SecurityCenter for usado, o código de ativação e as atualizações do plugin serão gerenciadas por meio do SecurityCenter. Para se comunicar com o SecurityCenter, o Nessus precisa ser iniciado e, para isso, requer um código de ativação válido e plugins. Para fazer com que o Nessus ignore essa exigência e seja iniciado (para poder receber as informações do SecurityCenter), execute o seguinte comando no prompt do shell de raiz: # /Library/Nessus/run/bin/nessus-fetch --security-center Logo após a execução do comando nessus-fetch acima, use o respectivo comando para iniciar o servidor Nessus. O servidor Nessus pode ser adicionado em seguida ao SecurityCenter por meio da interface da Web do SecurityCenter. Consulte a configuração de um feed centralizado de plugins para vários scanners Nessus na documentação do SecurityCenter. Copyright Tenable Network Security, Inc. 55

56 Após a instalação, é preciso registrar o servidor Nessus. O registro do servidor garante o acesso aos plugins mais recentes da nessus.org e que as auditorias estejam atualizadas. Para registrar o Nessus, clique em Obtain an activation code (Obter um Código de Ativação) para ir à página Nessa página, é possível obter um ProfessionalFeed ou um HomeFeed. O ProfessionalFeed é necessário para uso comercial e oferece atualizações de plugins, suporte ao cliente, auditorias de configuração, appliance virtual entre outras opções. O HomeFeed é necessário para usuários domésticos e não é licenciado para uso profissional ou comercial. Quando as informações solicitadas forem processadas, o usuário receberá um com o código de ativação que garante o acesso ao ProfessionalFeed ou ao HomeFeed de plugins. Digite-o no campo apropriado e clique no botão Register (Registrar). Observe que é preciso digitar o nome de usuário e a senha de administrador. Quando o Nessus Server Manager autorizar o código de ativação de feeds, a atualização dos plugins do Nessus será iniciada. Esse processo pode demorar alguns minutos, pois o primeiro arquivo de plugin baixado é grande. Se a cópia do Nessus não for registrada, o usuário não receberá plugins atualizados e não poderá iniciar o servidor Nessus. Após o registro, a interface do Nessus Server Manager exibirá o seguinte: Copyright Tenable Network Security, Inc. 56

57 Restauração dos códigos de ativação Eventualmente, será preciso alterar os códigos de ativação (por exemplo: atualizar do HomeFeed para o ProfessionalFeed). Isto pode ser feito com o botão Clear registration file (Limpar arquivo de registro) da interface do Nessus Server Manager. Após a confirmação, a ação cancelará o registro da cópia do Nessus até que um novo código de ativação seja obtido e o produto registrado novamente. Criação e gerenciamento de usuários do Nessus Permissão de conexões remotas Se o scanner Nessus for usado no modo remoto (com o SecurityCenter, por exemplo), selecione Allow remote users to connect to this server ( Permitir que usuários remotos se conectem a este servidor ). Se esta opção ficar desmarcada, o servidor Nessus estará disponível apenas para o cliente local do Nessus. Se esta opção for marcada, o servidor Nessus poderá ser acessado através de clientes instalados no localhost, clientes instalados em um host remoto ou pela interface do SecurityCenter (que será discutida mais adiante neste documento na seção Trabalhar com SecurityCenter ). As informações sobre os clientes Nessus estão disponíveis no Manual do Usuário do Nessus 4.4. Inclusão de contas de usuários Clique em Manage Users (Gerenciar Usuários...) para criar e gerenciar contas no servidor Nessus: Copyright Tenable Network Security, Inc. 57

58 A menos que seja um usuário experiente, não edite nem exclua o usuário localuser, pois isso interromperá o servidor Local Connection para o Nessus. Para criar um usuário, clique no botão + e digite um novo nome de usuário e senha. Marque a caixa de seleção Administrator (Administrador) se o usuário for um administrador. Selecione um nome na lista e clique no botão Edit (Editar...) para alterar a senha do usuário (veja imagem abaixo). Clique no botão - com um usuário selecionado para excluir o usuário após a confirmação. Não é possível renomear um usuário. Para alterar o nome de um usuário, exclua o usuário e crie um novo usuário com o nome de login apropriado. Iniciar o daemon do Nessus Para iniciar o daemon do Nessus, clique no botão Start Nessus Server (Iniciar o Servidor Nessus) no Nessus Server Manager. Se desejar que o Nessus seja iniciado automaticamente, clique na caixa Start the Nessus Server at bootup (Iniciar o servidor Nessus na inicialização). Copyright Tenable Network Security, Inc. 58

59 Quando o serviço nessusd for iniciado, levará alguns minutos para processar os plugins, conforme indicado abaixo: Inicie o serviço nessusd para concluir a instalação e configuração iniciais do scanner Nessus 4 e prossiga à seção Trabalhar com SecurityCenter. ATUALIZAÇÃO DOS PLUGINS O Nessus possui centenas de plugins (ou scripts) que verificam vulnerabilidades da rede e do host. Novas vulnerabilidades são descobertas regularmente e novos plugins são desenvolvidos para detectar essas vulnerabilidades. Para manter o scanner Nessus atualizado com os últimos plugins e tornar as varreduras mais precisas, é preciso atualizar os plugins diariamente. A opção Perform a daily plugin update (Executar uma atualização diária do plugin) configura o servidor Nessus para atualizar automaticamente os plugins da Tenable a cada 24 horas. A atualização ocorre aproximadamente na hora do dia em que o Nessus foi iniciado. É possível forçar a atualização dos plugins ao clicar no botão Update Plugins (Atualizar plugins) indicado abaixo: Com que frequência devo atualizar os plugins? Em geral, atualizar os plugins do Nessus uma vez ao dia é suficiente para a maioria das organizações. Caso seja necessário obter plugins recém-atualizados e realizar atualizações contínuas ao longo do dia, basta atualizar uma vez a cada quatro horas, pois praticamente não há nenhum benefício em atualizar com mais frequência. Marque a caixa de seleção Start the Nessus server when booting (Iniciar o servidor Nessus na inicialização) para permitir o acesso remoto dos usuários e atualizações diárias dos plugins. Copyright Tenable Network Security, Inc. 59

60 REMOÇÃO DO NESSUS Para remover o Nessus, interrompa o serviço Nessus e exclua os seguintes diretórios: /Library/Nessus /Applications/Nessus /Library/Receipts/Nessus* Se não estiver familiarizado com o uso das linhas de comando do Unixem um sistema Mac OS X, entre em contato com o serviço de assistência da Tenable. Existem ferramentas grátis, como o DesInstaller.app ( e o CleanApp ( que também podem ser usadas para remover o Nessus. A Tenable não garante o uso dessas ferramentas, que não foram avaliadas especificamente para a remoção do Nessus. CONFIGURAÇÃO DO DAEMON DO NESSUS (USUÁRIOS AVANÇADOS) O arquivo /opt/nessus/etc/nessus/nessusd.conf contém várias opções configuráveis. Por exemplo: o local com o número máximo de verificações e hosts examinados simultaneamente, os recursos que deseja que o nessusd utilize e a velocidade na qual os dados devem ser lidos, além de várias outras opções. O arquivo é criado automaticamente com as configurações padrão, mas recomenda-se que as configurações sejam analisadas e modificadas adequadamente de acordo com o seu ambiente de varredura. A lista completa de opções de configuração é explicada no final desta seção. Os valores de max_hosts e max_checks podem, eventualmente, afetar muito a capacidade do sistema Nessus de realizar varreduras, bem como dos sistemas que estão sendo examinados em busca de vulnerabilidades na rede. Preste especial atenção a esses dois parâmetros. As duas configurações e seus valores predefinidos são demonstradas no arquivo nessusd.conf: # Maximum number of simultaneous hosts tested: max_hosts = 40 # Maximum number of simultaneous checks against each host tested: max_checks = 5 Observe que essas configurações são substituídas a cada varredura quando o SecurityCenter da Tenable ou a interface de usuário da Nessus for utilizado. Para exibir ou modificar essas opções em um modelo de varredura no SecurityCenter, edite as Scan Options (Opções de Varredura) de Scan Template. Na interface do usuário Nessus, edite a política de varredura e clique em na guia Options (Opções). Lembre-se de que as configurações do nessusd.conf serão sempre substituídas pelos valores definidos nas opções de políticas do SecurityCenter Scan Template ou do cliente Nessus na Web ao realizar uma varredura por meio dessas ferramentas. Copyright Tenable Network Security, Inc. 60

61 Observe que o parâmetro max_checks tem um limite codificado de 15. Qualquer valor acima de 5 causará efeitos adversos frequentes, pois a maioria dos servidores não consegue processar tantas solicitações intrusivas ao mesmo tempo. Observações sobre max_hosts: Como o nome indica, este é o número máximo de sistemas de destino que serão verificados a qualquer momento. Quanto maior o número de sistemas examinados simultaneamente por um único scanner Nessus, mais recursos da RAM, do processador e da largura de banda da rede do sistema de varredura serão consumidos. Ao definir o valor de max_hosts, devese levar em consideração a configuração de hardware do sistema de varredura e outros aplicativos em execução. Uma vez que vários outros fatores específicos do seu ambiente de varredura também afetarão suas varreduras com o Nessus (por exemplo: a política de varredura da sua organização, outros tráfegos de rede, o efeito um tipo particular de varredura sobre os hosts submetidos à varredura), a experiência indicará a configuração ideal de max_hosts. Um ponto de partida convencional para determinar a melhor configuração de max_hosts em um ambiente corporativo consiste em defini-lo como 20 em um sistema Nessus em Unix, e 10 em um scanner Nessus no Windows. Observações sobre max_checks: Este é o número de verificações simultâneas ou plugins que será executado em um único host de destino durante uma varredura. Observe que um ajuste muito alto deste número pode sobrecarregar os sistemas examinados, dependendo dos plugins usados na varredura. Multiplique max_checks por max_hosts para encontrar o número de verificações simultâneas que podem ser executadas a qualquer momento durante uma varredura. Uma vez que max_checks e max_hosts são usados em conjunto, o ajuste de max_checks muito elevado também pode causar limitações de recursos em um sistema de varredura Nessus. Da mesma maneira que o max_hosts, a experiência indicará a configuração ideal de max_checks, mas recomenda-se que esse ajuste seja sempre relativamente baixo. Se o arquivo nessusd.conf for editado, será necessário reiniciar o Nessus para que as alterações sejam efetivadas. Durante o processo de upgrade para a versão 4.4, o Nessus não substituirá o arquivo nessusd.conf atual. Isto fará com que várias opções não sejam incluídas no arquivo de configuração. Para as opções que não são incluídas, o Nessus usará a configuração padrão da maneira incluída em uma instalação nova do 4.4. A tabela a seguir explica resumidamente cada opção de configuração disponível no arquivo nessusd.conf. Muitas destas opções podem ser configuradas através da interface de usuário ao criar uma política de varredura. As opções que são novas na versão estão em negrito. Copyright Tenable Network Security, Inc. 61

62 Opção auto_update auto_update_delay purge_plugin_db throttle_scan logfile www_logfile log_whole_attack dumpfile rules Descrição Atualizações automáticas de plugins. Se esta opção for ativada e o Nessus registrado, o programa será atualizado automaticamente com os plugins mais recentes em plugins.nessus.org. Desative esta opção se o scanner estiver em uma rede isolada sem acesso à Internet. Número de horas de espera entre duas atualizações. Quatro (4) horas é o intervalo mínimo permitido. Determina se o Nessus deve remover o banco de dados de plugins a cada atualização. A seleção da opção yes (sim) fará com que cada atualização seja consideravelmente mais lenta. Controla a velocidade da varredura em caso de sobrecarga da CPU. Local em que o arquivo de log do Nessus é armazenado. Local em que o log do Nessus Web Server (interface do usuário) é armazenado. Registro de todos os detalhes do ataque? Usado para depurar problemas na varredura, mas isso pode consumir muito recursos do disco. Localização de um arquivo de despejo do resultado de uma depuração, se for gerado. Localização do arquivo Nessus Rules. cgi_path port_range optimize_test checks_read_timeout Durante os testes dos servidores de Web, use esta lista de caminhos de CGI delimitada por dois pontos. Intervalo de portas a ser examinado pelos scanners. É possível usar as palavras-chaves default ou all, além de uma lista de portas delimitada por vírgulas ou intervalos de portas. Otimiza o procedimento de teste. A alteração desta a opção para no (não) fará com que as varreduras demorem mais e, portanto, gere mais falsos positivos. Limite de tempo de leitura nos soquetes dos testes. non_simult_ports Portas nas quais dois plugins não devem ser executados simultaneamente. Copyright Tenable Network Security, Inc. 62

63 plugins_timeout safe_checks auto_enable_dependencies silent_dependencies use_mac_addr save_knowledge_base plugin_upload plugin_upload_suffixes slice_network_addresses listen_address listen_port xmlrpc_listen_port xmlrpc_idle_session_timeout xmlrpc_min_password_len enable_listen_ipv4 Duração máxima da atividade de um plugin (em segundos). As verificações seguras dependem da captura de um banner e não de testes ativos de uma vulnerabilidade. Ativa automaticamente os plugins dos quais depende. Se estiver desativado, nem todos os plugins poderão ser executados, mesmo se estiverem selecionados em uma política de varredura. Se estiver ativado, a lista de dependências de plugins e seus resultados não irão figurar no relatório. Designa os hosts por endereço MAC e não por endereço IP (útil para redes DHCP). Salva o banco de dados de conhecimento em disco para uso posterior. Designa se os usuários administradores podem fazer upload de plugins. Sufixos dos plugins que os usuários administradores podem enviar (upload). Se esta opção for ativada, o Nessus, não examinará uma rede de forma incremental ( , , e assim por diante), mas tentará dividir a carga de trabalho por toda a rede (por exemplo: verificará , depois , depois , depois e assim por diante). Endereço IPv4 para "escutar" as conexões de entrada. Porta de escuta (antigo protocolo NTP). Usado para conexões anteriores à versão 4.2 do NessusClient. Porta de escuta do Nessus Web Server (novo protocolo XMLRPC). Desconexão de sessão ociosa do XMLRPC (em minutos). Instrui o Nessus a aplicar uma política de comprimento de senha para os usuários do scanner. Instrui o Nessus a escutar em IPv4. enable_listen_ipv6 Instrui o Nessus a escutar em IPv6, caso o sistema reconheça endereços IPv6. Copyright Tenable Network Security, Inc. 63

64 source_ip ssl_cipher_list disable_ntp Em caso de um sistema de vários homes com IPs diferentes na mesma sub-rede, esta opção informa ao scanner Nessus a placa de rede/ip que deve ser usada nos testes. Se forem fornecidos vários IPs, o Nessus os percorrerá sempre que efetuar uma conexão. Apenas criptografias SSL fortes devem ser usadas na conexão com a porta Permite o uso da palavra-chave forte ou das designações OpenSSL gerais indicadas em Desativa o protocolo NTP anterior. disable_xmlrpc Desativa a nova interface XMLRPC (Servidor Web). nasl_no_signature_check nasl_log_type use_kernel_congestion_detection global.max_scans global.max_web_users global.max_simult_tcp_sessions max_simult_tcp_sessions host.max_simult_tcp_sessions reduce_connections_on_congestion O Nessus deve considerar todos os scripts NASL como assinados? A seleção da opção yes (sim) não é segura e não recomendável. Instrui o tipo de resultado do mecanismo NASL em nessusd.dump. Usa mensagens de congestionamento de TCP do Linux para reduzir a escala de atividade de varredura, se necessário. Se o valor for diferente de zero, define o número máximo de varreduras que podem ocorrer em paralelo. Observação: Se esta opção não for usada, nenhum limite será imposto. Se o valor for diferente de zero, define o máximo de usuários (da Web) que podem se conectar em paralelo. Observação: Se esta opção não for usada, nenhum limite será imposto. Número máximo de sessões TCP simultâneas entre todas as varreduras. Observação: Se esta opção não for usada, nenhum limite será imposto. Número máximo de sessões TCP simultâneas por varredura. Número máximo de sessões TCP simultâneas por host examinado. Reduz o número de sessões TCP simultâneas quando a rede parece estar congestionada. Copyright Tenable Network Security, Inc. 64

65 stop_scan_on_disconnect stop_scan_on_hang Interrompe a varredura de um host desconectado durante a varredura. Interrompe uma varredura possivelmente suspensa. paused_scan_timeout report_crashes nessus_syn_scanner.global_ throughput.max qdb_mem_usage xmlrpc_import_feed_policies Interrompe uma varredura suspensa após n' minutos (0 = nenhum tempo limite). Informa quaisquer falhas à Tenable de maneira anônima? Define o número máximo de pacotes síncronos que o Nessus enviará por segundo durante sua varredura de portas (independentemente de quantos hosts sejam examinados ao mesmo tempo). Ajuste esta configuração de acordo com a sensibilidade do dispositivo remoto a um grande número de pacotes syn. Instrui o Nessus a usar mais ou menos memória quando estiver ocioso. Se o Nessus for instalado em um servidor dedicado, o ajuste desta opção como high (alto) irá requerer mais memória para aumentar o desempenho. Se o Nessus for instalado em um computador compartilhado, o ajuste desta opção como low (baixo) consumirá menos memória, no entanto, o desempenho será afetado de maneira relativa. Se o valor for no, o Nessus não incluirá políticas predefinidas de varredura fornecidas pela Tenable. Os valores em nessusd.conf podem ser substituídos pelas configurações do usuário em um arquivo.nessusrc. Normalmente, a assinatura do HomeFeed aplicará o valor yes ao report_crashes, e uma assinatura do ProfessionalFeed aplicará o valor no ao report_crashes. As informações relacionadas a uma falha no Nessus serão enviadas à Tenable para ajudar a depurar problemas e oferecer o software da mais alta qualidade. Nenhuma informação de identificação pessoal ou do sistema é enviada. CONFIGURAÇÃO DO NESSUS COM CERTIFICADO SSL PERSONALIZADO A instalação padrão do Nessus utiliza um certificado SSL autoassinado. Ao usar a interface da Web para acessar o scanner Nessus pela primeira vez, o navegador exibirá um erro indicando que o certificado não é confiável: Copyright Tenable Network Security, Inc. 65

66 Para evitar avisos do navegador, pode ser usado um certificado SSL personalizado específico da sua organização. Durante a instalação, o Nessus cria dois arquivos que compõem o certificado; servercert.pem e serverkey.pem. Esses arquivos devem ser substituídos por arquivos de certificado gerados por sua organização ou por uma Autoridade de Certificação (CA) confiável. Antes de substituir os arquivos de certificado, interrompa o servidor Nessus. Substitua os dois arquivos e reinicie o servidor Nessus. As conexões subsequentes com o scanner não devem exibir um erro se o certificado tiver sido gerado por uma CA confiável. A tabela a seguir lista a localização dos arquivos de certificados, conforme o sistema operacional: Sistema operacional Linux e Solaris FreeBSD Windows Max OS X Locais dos arquivos de certificação /opt/nessus/com/nessus/ca/servercert.pem /opt/nessus/var/nessus/ca/serverkey.pem /usr/local/nessus/com/nessus/ca/servercert.pem /usr/local/nessus/var/nessus/ca/serverkey.pem C:\Program Files\Tenable\Nessus\nessus\CA\ /Library/Nessus/run/com/nessus/CA/servercert.pem /Library/Nessus/run/var/nessus/CA/serverkey.pem A partir da versão 4.4, o Nessus permite o uso de cadeias de certificados SSL. Copyright Tenable Network Security, Inc. 66

67 É possível também visitar address]:8834/getcert para instalar a CA de raiz no seu navegador. Isto removerá o aviso. NESSUS SEM ACESSO À INTERNET Esta seção descreve as etapas para registrar o scanner Nessus, instalar o código de ativação e receber os plugins atualizados quando o sistema Nessus não tiver acesso direto à Internet. Os códigos de ativação obtidos por meio do processo offline descrito a seguir estão vinculados ao scanner Nessus usado durante o processo inicial. Não é possível usar o pacote de plugins baixado com outro scanner Nessus. REGISTRO DO SCANNER NESSUS É possível obter o código de ativação da assinatura do Nessus ao acessar a conta do Tenable Support Portal para o ProfessionalFeed ou pelo de registro do HomeFeed. É necessário inscrever-se no ProfessionalFeed para usar o Nessus em um ambiente profissional, mesmo que não seja para fins comerciais. Isto inclui a varredura do seu computador no ambiente de trabalho ou computador doméstico usado para fins profissionais. Leia o Contrato de Assinatura para obter mais detalhes sobre o tipo de assinatura no qual o usuário se inscreveu. Os usuários que possuem uma assinatura do HomeFeed devem acessar o endereço para se registrar digitar o endereço de do usuário cadastrado. Para adquirir o ProfessionalFeed, entre em contato com a Tenable pelo sales@tenable.com ou acesse a Loja Online em A Tenable enviará o código de ativação do ProfessionalFeed conforme solicitado. Observe que só é possível usar um código de ativação por scanner, a menos que os scanners sejam gerenciados pelo SecurityCenter. Ao receber o código de ativação, execute o seguinte comando no sistema no qual o Nessus está instalado: Windows: C:\Program Files\Tenable\Nessus>nessus-fetch.exe --challenge Linux e Solaris: # /opt/nessus/bin/nessus-fetch --challenge FreeBSD: # /usr/local/nessus/bin/nessus-fetch --challenge Mac OS X: # /Library/Nessus/run/bin/nessus-fetch --challenge Isto produzirá um string chamado challenge, que tem o seguinte formato: 569ccd9ac72ab3a62a3115a945ef8e710c0d73b8 Copyright Tenable Network Security, Inc. 67

68 Em seguida, acesse copie e cole nas respectivas caixas de texto o string challenge e o código de ativação recebido: Isto produzirá uma URL parecida com a captura de tela abaixo: Copyright Tenable Network Security, Inc. 68

69 A tela dá acesso ao download do feed mais recente de plugins do Nessus (all- 2.0.tar.gz), junto com um link para o arquivo nessus-fetch.rc na parte inferior da tela. Salve a URL, pois será usada sempre que os plugins forem atualizados, conforme descrito na próxima seção. Um código de registro usado para atualizações offline não pode ser usado no mesmo servidor do scanner Nessus através do Nessus Server Manager. Caso seja necessário confirmar o código de registro de um determinado scanner, pode-se usar a opção --code-in-use para o programa nessus-fetch. Copie o arquivo nessus-fetch.rc no host em que o Nessus está instalado, no seguinte diretório: Windows: C:\Program Files\Tenable\Nessus\conf Linux e Solaris: /opt/nessus/etc/nessus/ FreeBSD: /usr/local/nessus/etc/nessus/ Copyright Tenable Network Security, Inc. 69

70 Mac OS X: /Library/Nessus/run/etc/nessus/ O arquivo nessus-fetch.rc deve ser copiado apenas uma vez. Os downloads subsequentes dos plugins do Nessus devem ser copiados para o diretório apropriado a cada vez, conforme descrito na próxima seção. Observe que, normalmente, o Nessus tentará atualizar os plugins a cada 24 horas após o registro. Se não desejar que o Nessus faça a atualização on-line, basta editar nessusd.conf e definir auto_update como no. COMO OBTER E INSTALAR PLUGINS ATUALIZADOS Execute esta etapa sempre que realizar uma atualização offline dos plugins. Windows Para obter os plugins mais recentes, acesse a URL indicada na etapa anterior, baixe o arquivo chamado all-2.0.tar.gz e salve-o no diretório C:\Program Files\Tenable\Nessus\. Para instalar os plugins, execute o seguinte comando: C:\Program Files\Tenable\Nessus>nessus-update-plugins.exe all-2.0.tar.gz Expanding all-2.0.tar.gz Done. You need to restart the Nessus server for the changes to take effect C:\Program Files\Tenable\Nessus> Em seguida, com o Nessus Server Manager, pare e reinicie o servidor Nessus. Depois de instalar os plugins, não é preciso manter o arquivo all-2.0.tar.gz. No entanto, a Tenable recomenda guardar a versão mais recente do arquivo do plugin baixado, caso seja necessário usá-lo novamente. Com isso, os plugins mais recentes estarão disponíveis. Sempre que desejar atualizar os plugins, acesse a URL fornecida, obtenha o tarball, copie-o no sistema em que o Nessus está instalado e execute o comando acima. Linux, Solaris e FreeBSD Para obter os plugins mais recentes, acesse a URL indicada no passo anterior, baixe o arquivo chamado all-2.0.tar.gz e salve-o no diretório /opt/nessus/sbin/ (ou /usr/local/nessus/sbin/ para o FreeBSD). Para instalar os plugins, execute o seguinte comando: Linux e Solaris: # /opt/nessus/sbin/nessus-update-plugins all-2.0.tar.gz FreeBSD: Copyright Tenable Network Security, Inc. 70

71 # /usr/local/nessus/sbin/nessus-update-plugins all-2.0.tar.gz Em seguida, reinicie o processo do Nessus pela linha de comando para que o Nessus use os novos plugins. Para obter instruções sobre como reiniciar o daemon do Nessus, consulte as seções: Como parar o daemon do Nessus e Como iniciar o daemon do Nessus. Depois de instalar os plugins, não é preciso manter o arquivo a ll-2.0.tar.gz. No entanto, a Tenable recomenda guardar a versão mais recente do arquivo do plugin baixado, caso seja necessário usá-lo novamente. Com isso, os plugins mais recentes estarão disponíveis. Sempre que quiser atualizar os plugins, acesse a URL fornecida, obtenha o arquivo.tar, copie-o no sistema em que o Nessus está instalado e execute o comando acima. Max OS X Para obter os plugins mais recentes, acesse a URL indicada no passo anterior, baixe o arquivo chamado all-2.0.tar.gz e salve-o no diretório /Library/Nessus/run/sbin/. Para instalar os plugins, execute o seguinte comando: # /Library/Nessus/run/sbin/nessus-update-plugins all-2.0.tar.gz Em seguida, com o Nessus Server Manager, pare e reinicie o servidor Nessus. Depois de instalar os plugins, não é preciso manter o arquivo all-2.0.tar.gz. No entanto, a Tenable recomenda guardar a versão mais recente do arquivo do plugin baixado, caso seja necessário usá-lo novamente. Com isso, os plugins mais recentes estarão disponíveis. Sempre que quiser atualizar os plugins, acesse a URL fornecida, obtenha o arquivo.tar, copie-o no sistema em que o Nessus está instalado e execute o comando acima. COMO TRABALHAR COMO SECURITYCENTER DESCRIÇÃO DO SECURITYCENTER O Tenable SecurityCenter é um console de gerenciamento pela Web que unifica os processos de detecção de vulnerabilidades e de gerenciamento, gerenciamento de eventos e registros, monitoramento de conformidade e emissão de relatórios sobre todas as opções acima. O SecurityCenter permite a comunicação eficaz dos eventos de segurança com as equipes de TI, gestão e auditoria. O SecurityCenter permite o uso de vários scanners Nessus em conjunto para realizar a varredura periódica de redes de praticamente qualquer porte. Com a API do Nessus (implementação personalizada do protocolo XML-RPC), o SecurityCenter se comunica com os scanners Nessus associados para enviar instruções de varredura e receber os resultados. O SecurityCenter permite que aos usuários e administradores com diferentes níveis de segurança compartilhem informações sobre vulnerabilidades, organizem as vulnerabilidades por prioridade, visualizem os recursos de rede que apresentam problemas de segurança graves, façam recomendações para os administradores do sistema para a correção dos problemas de segurança e acompanhem o processo de correção das vulnerabilidades. O Copyright Tenable Network Security, Inc. 71

72 SecurityCenter recebe dados de diversos sistemas de detecção de intrusões principais, como o Snort e o ISS, por meio do Log Correlation Engine. O SecurityCenter também pode receber informações passivas sobre vulnerabilidades por meio do Passive Vulnerability Scanner da Tenable, de forma que os usuários finais possam descobrir novos hosts, aplicativos, vulnerabilidades e invasões sem a necessidade de realizar uma varredura ativa com o Nessus. CONFIGURAÇÃO DO NESSUS PARA FUNCIONAR COM O SECURITYCENTER Para fazer com que qualquer scanner Nessus seja controlado pelo SecurityCenter, um nome de usuário e uma senha específicos devem estar disponíveis para enviar plugins e realizar uma varredura. O usuário deve ser um usuário administrador configurado durante o processo nessus-adduser, para garantir os privilégios necessários para carregar plugins junto com outras funções administrativas. Se o scanner Nessus for configurado para examinar apenas determinados intervalos de IP, também poderá ser usado pelo SecurityCenter. No entanto, se o SecurityCenter tentar realizar a varredura fora desses intervalos, nenhum dado de vulnerabilidade será relatado. Unix/Mac OS X Em sistemas Unix por linha de comando, siga as instruções para adicionar usuários na seção Criar usuários do Nessus. O usuário criado deve ser um usuário admin. Em sistemas Mac OS X, siga as instruções de criação de usuários na seção Criação e Gerenciamento de Usuários do Nessus. Normalmente, os usuários do Nessus no Mac são criados com privilégios de administrador. Windows Como configurar o Nessus para "escutar" como um daemon de rede O Nessus pode ser configurado para se comunicar com o SecurityCenter. Para isso, é preciso realizar duas tarefas. É preciso adicionar uma conta do SecurityCenter para efetuar o login no Nessus e ativar o serviço Nessus para ouvir as conexões de rede recebidas do SecurityCenter. Criação de contas de usuários no Windows Se o Nessus e o SecurityCenter para Windows forem usados, será preciso criar um usuário por meio da linha de comando e registrá-lo. Isto permitirá que o administrador inicie o serviço nessusd e o SecurityCenter para enviar os plugins. Para executar a tarefa, abra um shell de comando do DOS (Iniciar -> Executar -> cmd) e digite C:\Program Files\Tenable\Nessus. Digite os seguintes comandos para adicionar um usuário e instruir o Nessus a receber plugins do SecurityCenter: C:\Program Files\Tenable\Nessus>nessus-adduser.exe Login : admin Authentication (pass/cert) : [pass] Login password : Login password (again) : Do you want this user to be a Nessus 'admin' user? (can upload plugins, Copyright Tenable Network Security, Inc. 72

73 etc...) (y/n) [n]: y User rules nessusd has a rules system which allows you to restrict the hosts that admin has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser manual for the rules syntax Enter the rules for this user, and enter a BLANK LINE once you are done : (the user can have an empty rules set) Login : admin Password : *********** This user will have 'admin' privileges within the Nessus server Rules : Is that ok? (y/n) [y] y User added # Os usuários do SecurityCenter devem ser sempre usuários administrativos. Como ativar o serviço Nessus no Windows Depois de adicionar o usuário do Nessus, o servidor Nessus deve ser configurado para ativar o serviço Nessus. Isto permite que o SecurityCenter adicione o servidor Nessus. Use o seguinte comando: C:\Program Files\Tenable\Nessus>nessus-fetch.exe --security-center nessusd can now be started, SecurityCenter will upload the plugins C:\Program Files\Tenable\Nessus> Use o gerenciador de serviços do Windows para iniciar o serviço Tenable Nessus. Para verificar se o Nessus está realmente escutando na porta 1241, na linha de comando do Windows, use o comando netstat -an findstr 1241 da maneira indicada abaixo: C:\Documents and Settings\admin>netstat -an findstr 1241 TCP : :0 LISTENING Observe se o resultado contém :1241, o que significa que um servidor está escutando nessa porta. O servidor Nessus pode ser adicionado em seguida ao SecurityCenter por meio da interface da Web do SecurityCenter. Firewalls instalados no host Se o servidor Nessus estiver configurado com um firewall pessoal, como o Zone Alarm, Sygate, BlackICE, firewall do Windows XP ou qualquer outro software de firewall, será necessário que as conexões sejam abertas por intermédio do endereço IP do SecurityCenter. Copyright Tenable Network Security, Inc. 73

74 A porta predefinida é a Nos sistemas Microsoft XP Service Pack 2 e posteriores, clique em Central de Segurança no Painel de Controle para gerenciar as configurações da opção Firewall do Windows. Para abrir a porta 1241, selecione a guia Exceções e adicione a porta 1241 à lista. CONFIGURAÇÃO DO SECURITYCENTER PARA FUNCIONAR COM O NESSUS O Nessus Server pode ser adicionado por meio da interface de administração do SecurityCenter. A interface o SecurityCenter pode ser configurada para acessar e controlar praticamente qualquer scanner Nessus. Clique na guia Resources (Recursos) e, em seguida, clique em Nessus Scanners. Clique em Add (Adicionar) para abrir o diálogo Add Scanner (Adicionar Scanner). O endereço IP do scanner Nessus, a porta do Nessus (padrão: 1241), o ID de login administrativo, o tipo de autenticação e a senha (criada durante a configuração do Nessus) são obrigatórios. Os campos de senha não estarão disponíveis se a autenticação SSL Certificate (Certificado SSL) for selecionada. Além disso, as zonas às quais o scanner Nessus será atribuído podem ser selecionadas. Um exemplo imagem da página de adição de scanners do SecurityCenter é mostrado abaixo: Depois de adicionar com êxito o scanner, a seguinte página é exibida após a seleção do scanner: Consulte mais informações no Guia de Administração do SecurityCenter. Copyright Tenable Network Security, Inc. 74