Instalando en: Ubuntu 9.04 – Jaunty Jackalope -
Arquitectura: amd64
¿Qué es Nessus?
Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en nessusd, el daemon Nessus, que realiza el escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o gráfico) que muestra el avance y reporte de los escaneos. Desde consola nessus puede ser programado para hacer escaneos programados con cron.
En operación normal, nessus comienza escaneando los puertos con nmap o con su propio escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para atacarlo. Las pruebas de vulnerabilidad, disponibles como una larga lista de plugins, son escritos en NASL (Nessus Attack Scripting Language, Lenguaje de Scripting de Ataque Nessus por sus siglas en inglés), un lenguaje scripting optimizado para interacciones personalizadas en redes.
Opcionalmente, los resultados del escaneo pueden ser exportados en reportes en varios formatos, como texto plano, XML, HTML, y LaTeX. Los resultados también pueden ser guardados en una base de conocimiento para referencia en futuros escaneos de vulnerabilidades.
Algunas de las pruebas de vulnerabilidades de Nessus pueden causar que los servicios o sistemas operativos se corrompan y caigan. El usuario puede evitar esto desactivando “unsafe test” (pruebas no seguras) antes de escanear.
http://es.wikipedia.org/wiki/Nessus
Bueno pues ya había hecho una entrada en el viejo blog sobre como instalar Nessus en Debian pero que pruebo Ubuntu en la laptop quiero instalar Nessus asi que describiré el proceso por si a alguien le sirve 
Paso 1: Descargamos Nessus de http://www.nessus.org/download/nessus_download.php cuidando el elegir el paquete más acorde a nuestra arquitectura y distribución. (para mi caso Ubuntu 8.10 and 9.04 (64 bits) ).
Paso 2: Nos pasamos a root…
# sudo su
Vamos a la carpeta donde descargamos el .deb y ejecutamos:
# dpkg -i nombredenessus.deb
Puede tardar un rato en lo que procesa los plugins, pero bueno…
Tras la espera ya está instalado, ahora hablemos de configuraciones.
Configuraciones
Requerimos crear un Nessus user (los comandos deben ser escritos de forma completa, osea, con todo y path, no podemos entrar directo a la carpeta y ejecutarlos como ./ … ordenes del manual jaja), para hacerlo basta con dar el comando:
# /opt/nessus/sbin/nessus-adduser
Login: admin
Authentication (pass/cert) : [pass]
Login password: tupasswordaqui
Do you want this user to be a Nessus ‘admin’ user ? (can upload plugins, etc…) (y/n) [n]: y
Creamos un usuario con el nombre admin y cuando nos pregunte Authentication (pass/cert) solo damos Enter, y con esto por default tomará pass. Ahora bien cuando aparesca la parte donde te pregunta si quieres agregar reglas al usuario, podemos dejarlo vacío…lo que haría que este usuario tenga permiso de scanear cualquier rango de IP’s. Ok, entonces en esa parte apretamos soo damos ENTER y no escribimos nada de reglas por ahora (para nuestro caso no aplica). Y damos Enter cuando pregunte si todo esta bien.
¿Y si queríamos darle reglas de restricción al usuario creado? Pues lo ideal sería consultar el manual, pero en Debian antes de hacer “man nessus-adduser” hay que hacer:
# export MANPATH=/opt/nessus/man
# man nessus-adduser
Y como resumen sobre esto tenemos que la sintaxis en las reglas de nessus-adduser son:
accept | deny ip/mask
default accept | deny
Donde mask sería en CIDR y donde default debe ser la ultima regla, define la política del usuario. Ejemplo:
-El usuario puede ver cualquier red menos 192.168.1.0/24
deny 192.168.1.0/24
default accept
Para correr Nessus
# /opt/nessus/sbin/nessus-service -D
Con -D lo hacemos correr en background. Otras opciones:
-v : Nos da la version
-h : resumen de comandos
-p <port-number> : hacemos que escuche las conexiones de clientes en otro puerto en vez del 1241.
Activar el código de activación para los plugins (valga lo redundante de activar activaciones) :
Para solicitar un código de activación, podemos ir a la página: http://www.nessus.org/plugins/index.php … ister-info , nos lo mandan por correo, es funcional solo por 7 días y solo lo podemos usar una vez. (buscamos el Home Feed)
La guía de instalación nos da el siguiente método para activarlo y verificar que todo salió bien:
# cat /opt/nessus/lib/nessus/plugins/plugin_feed_info.inc
PLUGIN_SET = “200510041848″;
PLUGIN_FEED = “Release”;
# /opt/nessus/bin/nessus-fetch –register XXXX-XXXX-XXXX-XXXX-XXXXYour activation code has been registered properly – thank you.
Now fetching the newest plugin set from plugins.nessus.org…
Your Nessus installation is now up-to-date.
If auto_update is set to ‘yes’ in nessusd.conf, Nessus will
update the plugins by itself.
# date
Thu Oct 13 11:15:35 EDT 2005
# cat /opt/nessus/lib/nessus/plugins/plugin_feed_info.inc
PLUGIN_SET = “200510131015″;
PLUGIN_FEED = “Direct”;
A nosotros si optamos por la opcion “gratuita” nos aparecería en PLUGIN_FEED algo como “Registered (7days delay)” o “Home Feed”. ¿Por qué? Bueno, si leimos en la página de Nessus a la hora de solicitar nuestro código de activación en la página nos decían algo como:
Professional and Home Plugin Feeds
Two feeds are available only for use with a copy of Nessus provided by Tenable – the ProfessionalFeed and the HomeFeed
A ‘ProfessionalFeed‘ is required for any organization of individual to use Nessus professionally. It offers vulnerability updates, support and more. Customers who purchase Tenable’s Security Center receive access to this feed with their annual product maintenance.
A ‘HomeFeed‘ is available for free to individual home users, and cannot be used by organizations or individuals professionally.
Verificar que el código haya sido registrado correctamente
# /opt/nessus/bin/nessus-fetch –check
Para el update de los plugins
# /opt/nessus/sbin/nessus-update-plugins
¿Cada cuando hacer update?
Normal: Una vez al dia
Necesidad de seguridad extrema: Una vez cada 4 horas
Nota: Hay opcion de auto_update en el nessusd.conf.
Ok, ahora tras estos pasos ya tenemos a nuestro servidor corriendo y listo para la acción, el siguiente paso es hacernos de un cliente, del NessusClient, el cual es una interfaz GUI para el Nessus. El único requisito en Debian para correrlo es tener X11 instalado jeje.
Bueno, pues nos bajamos el .deb de NessusClient de nessus.org y para instalarlo hacemos como root:
# dpkg -i paquetenessus.deb
Correr NessusClient
# /opt/nessus/bin/NessusClient
O tambien ya debería estar en: Aplicaciones-> Internet -> NessusClient
Y… bueno, dejaré por ahora este mini how-to en esta parte, para incitar a leer el Users Guide del NessusClient, por que hay mucho que hablar al respecto y bueno, muchos puntos son cubiertos ahí, jeje… también es de interés checar la advanced user guide para tener un panorama mas claro.
Bibliografía
Nessus 3.2 installation guide
NessusClient 3.2 users guide
man nessus-adduser
Notas: Todo lo que platico aqui viene en la documentación de Nessus por lo que sería buena idea darse una vuelta en los pdfs que se pueden descargar directo de la página de nessus.org , asi como checar los man para nessus. (man nessusd, man nessus-adduser, etc). Para configuraciones sobre /opt/nessus/etc/nessus/nessusd.conf ver el manual de instalación, ahi viene buena información para no saturar el funcionamiento de nuestro Nessus (como por ahí de la pagina 25). Y bueno, usted dirá… si todo viene en los manuales, ¿para que hacer esta guía?. La hago por varias razones, la principal es por que a mi me sirve leer y repasar la documentación jeje, la segunda por que tiendo a hacer resumenes de lo que leo y la tercera para tener una referencia corta ojala sea de utilidad.
Fuente original:
http://richieblog.wordpress.com/2008/07/02/tenable-nessus-en-debian/
Commentarios