Guía de instalación y configuración de
Nessus 5.2
9 de enero de 2014 (Revisión 18)
Índice
Introducción ... 4
Estándares y convenciones ... 4
Organización ... 4
Nuevo en Nessus 5.2 ... 4
Actualizaciones de funciones importantes ... 5
Compatibilidad del sistema operativo ... 5
Antecedentes ... 5
Requisitos previos ... 7
Nessus Unix ... 7
Nessus Windows ... 7
Opciones de implementación ... 7
Firewalls basados en hosts ... 8
Plugins de vulnerabilidades ... 8
Tipos de productos de Nessus ... 8
Compatibilidad con IPv6 ... 9
Migración de modo de evaluación a modo con licencia ... 9
Unix/Linux ... 9
Actualización ... 9
Instalación ... 13
Inicio del demonio de Nessus ... 16
Detención del demonio de Nessus ... 17
Eliminación de Nessus ... 17
Windows ... 19
Actualización ... 19
Actualización desde Nessus 4.x... 19
Actualización desde Nessus 3.x... 20
Instalación ... 21
Descarga de Nessus ... 21
Instalación ... 21
Cuestiones de la instalación ... 21
Inicio y detención del demonio de Nessus ... 24
Eliminación de Nessus ... 24
Mac OS X ... 24
Actualización ... 24
Instalación ... 25
Cuestiones de la instalación ... 25
Inicio y detención del servicio Nessus ... 29
Eliminación de Nessus ... 30
Registro de fuentes y configuración de la UI ... 30
Configuración ... 37
Servidor de correo ... 38
Restablecimiento de códigos de activación y actualizaciones sin conexión... 40
Opciones de configuración avanzada ... 41
Creación y administración de usuarios de Nessus ... 42
Configuración del demonio de Nessus (usuarios avanzados) ... 43
Opciones de configuración ... 45
Configuración de Nessus con un certificado SSL personalizado ... 48
Autenticación de Nessus con certificado SSL ... 49
Autenticación de certificados SSL de cliente ... 49
Configuración de Nessus para certificados ... 49
Creación de certificados SSL de Nessus para inicio de sesión ... 50
Habilitación de conexiones con smart card (tarjeta inteligente) o CAC (Tarjeta de acceso común) ... 52
Conexión con un explorador habilitado para certificados o tarjetas ... 53
Nessus sin acceso a Internet ... 55
Generación de un Challenge Code (Código de desafío) ... 55
Obtención e instalación de plugins actualizados ... 56
Uso y administración de Nessus desde la línea de comandos ... 58
Directorios principales de Nessus ... 58
Creación y administración de usuarios de Nessus con limitaciones de cuenta ... 58
Opciones de líneas de comandos de Nessusd... 59
Manipulación del servicio Nessus por medio de la Interfaz de línea de comandos (CLI) de Windows
... 61
Trabajo con SecurityCenter ... 61
Descripción general de SecurityCenter ... 61
Configuración de SecurityCenter para trabajar con Nessus ... 61
Firewalls basados en hosts ... 62
Solución de problemas de Nessus Windows ... 63
Problemas de instalación/actualización ... 63
Problemas de análisis ... 63
Para obtener más información ... 64
Introducción
Este documento describe la instalación y la configuración del analizador de vulnerabilidades Nessus 5.2 de Tenable Network Security. Envíe sus comentarios o sugerencias por correo electrónico a [email protected].
Tenable Network Security, Inc. es el autor y el administrador del analizador de vulnerabilidades Nessus. Además de mejorar permanentemente el motor Nessus, Tenable diseña la mayoría de los plugins disponibles para el analizador, así como también las comprobaciones de compatibilidad y una amplia variedad de directivas de auditoría.
En este documento se abordarán los requisitos previos, las opciones de implementación y las instrucciones paso a paso sobre la instalación. Se supone que se cuenta con un conocimiento básico de Unix y de los análisis de vulnerabilidades.
Estándares y convenciones
En toda la documentación, los nombres de archivo, demonios y archivos ejecutables se indican con fuente courier negrita, por ejemplo, setup.exe.
Las opciones de líneas de comandos y las palabras clave también se indican con fuente courier negrita. Los ejemplos de líneas de comandos pueden incluir o no el indicador de la línea de comandos y el texto de salida de los resultados del comando. Los ejemplos de líneas de comandos mostrarán el comando ejecutado en courier negrita para indicar lo que el usuario escribió, mientras que el resultado de muestra generado por el sistema se indicará en courier (normal). Este es un ejemplo de ejecución del comando pwd de Unix:
# pwd
/opt/nessus/ #
Las consideraciones y notas importantes se resaltan con este símbolo y cuadros de texto grises.
Las sugerencias, los ejemplos y las prácticas recomendadas se resaltan con este símbolo y con letras blancas en cuadros de texto azules.
Organización
Ya que la GUI de Nessus es estándar independientemente del sistema operativo, este documento se presenta con información específica del sistema operativo primero, y luego con la funcionalidad común a todos los sistemas operativos.
Nuevo en Nessus 5.2
Con el lanzamiento de Nessus 5, la configuración del servidor (demonio) de Nessus y la administración de usuarios se controla a través de la UI de Nessus, no a través del NessusClient independiente ni del archivo nessusd.conf. La GUI de Nessus es una interfaz web que controla la configuración, creación de directivas, análisis y todos los informes.
A partir del 22 de agosto de 2013 se han modificado los nombres de productos Nessus que se indican a continuación:
Nombre antiguo del producto Nombre nuevo del producto Nessus ProfessionalFeed Nessus
La lista de los nombres de producto oficiales de Nessus es la siguiente: Nessus®
Nessus Perimeter Service Nessus Auditor Bundles Nessus Home
Actualizaciones de funciones importantes
Estas son algunas de las nuevas características de Nessus 5.2. Para obtener una lista completa de los cambios, consulte Release Notes (Notas de la versión) en el Discussions Forum (Foro de discusión).
Ahora, IPv6 se admite en la mayoría de las instalaciones de Windows.
El código de activación para la inscripción puede obtenerse durante el proceso de instalación desde Nessus. Nessus tiene la opción de tomar capturas de pantalla durante un análisis de vulnerabilidades, las que se
agregarán al informe como evidencia de la vulnerabilidad.
Un panel de preferencias del sistema para la administración del servicio de Nessus en Mac OS X. Paquetes RPM de Nessus con firma digital para respaldar las distribuciones.
Menor uso de la memoria y de espacio en el disco.
Interfaz web más rápida y con mayor capacidad de respuesta, que utiliza menos ancho de banda. Nuevas funciones agregadas a NASL para permitir plugins más complejos que utilizan menos código.
Una vez que finalizó un análisis, los resultados pueden enviarse automáticamente por correo electrónico a un usuario.
Compatibilidad del sistema operativo
Nessus se encuentra disponible para una variedad de plataformas y sistemas operativos, y es compatible con ellos: Debian 6 (i386 y x86-64)
Fedora Core 16, 17 y 18 (i386 y x86-64) FreeBSD 9 (i386 y x86-64)
Mac OS X 10.8 y 10.9 (i386 y x86-64) Red Hat ES 4/CentOS 4 (i386)
Red Hat ES 5/CentOS 5/Oracle Linux 5 (i386 y x86-64)
Red Hat ES 6/CentOS 6/Oracle Linux 6 (i386 y x86-64) [servidor, equipo de escritorio, estación de trabajo] SuSE 10 (x86-64), 11 (i386 y x86-64)
Ubuntu 10.04 (paquete 9.10), 11.10, 12.04 y 12.10 (i386 y x86-64)
Windows XP, Server 2003, Server 2008, Server 2008 R2*, Server 2012, Vista, 7 y 8 (i386 y x86-64)
Tenga en cuenta que en el Windows Server 2008 R2, la versión integrada de Microsoft IE no interactúa adecuadamente con una instalación Java. Esto hace que Nessus no funcione de la manera esperada en algunas situaciones. Además, la directiva de Microsoft recomienda no utilizar MSIE en sistemas operativos de servidores.
Nessus utiliza varios paquetes de software de terceros distribuidos bajo diversas licencias. Si ejecuta nessusd (o nessusd.exe en Windows) con el argumento –l podrá ver una lista de esas licencias de software de terceros.
Antecedentes
Nessus es un analizador de seguridad de redes potente y fácil de usar, con una amplia base de datos de plugins que se actualiza a diario. Actualmente se encuentra entre los productos más importantes de este tipo en todo el sector de la seguridad, y cuenta con el respaldo de organizaciones profesionales de seguridad de la información, tales como SANS Institute. Nessus le permite realizar auditorías de forma remota en una red en particular y determinar si ha sido
un equipo específico para analizar vulnerabilidades, especificaciones de compatibilidad, violaciones de directivas de contenido y otros temas.
Análisis inteligente: a diferencia de muchos otros analizadores de seguridad, Nessus no da nada por sentado. Es decir, no supondrá que un servicio dado se ejecuta en un puerto fijo. Esto significa que si usted ejecuta su servidor web en el puerto 1234, Nessus lo detectará y probará su seguridad según corresponda. Cuando sea posible, intentará validar una vulnerabilidad a través de su explotación. En los casos en que no sea confiable o se pueda afectar de manera negativa el destino, Nessus puede basarse en un banner del servidor para determinar la presencia de la vulnerabilidad. En tales casos, quedará registrado en el informe resultante si se usó este método. Arquitectura modular: la arquitectura cliente/servidor proporciona la flexibilidad necesaria para implementar el
analizador (servidor) y conectarse con la GUI (cliente) desde cualquier equipo mediante un explorador web, con lo cual se reducen los costos de administración (varios clientes pueden acceder a un único servidor).
Compatible con CVE: la mayoría de los plugins se enlazan con CVE, para que los administradores obtengan más información sobre las vulnerabilidades publicadas. También incluyen frecuentemente referencias a Bugtraq (BID), OSVDB y las alertas de seguridad de proveedores.
Arquitectura de plugins: cada prueba de seguridad está diseñada como plugin externo, y se agrupa en una de 42 familias. De esta forma, usted puede añadir fácilmente sus propias pruebas, seleccionar plugins específicos o elegir una familia entera sin tener que leer el código del motor de servidores Nessus, nessusd. La lista completa de los plugins de Nessus está disponible en http://www.nessus.org/plugins/index.php?view=all.
NASL: el analizador Nessus incluye NASL (Nessus Attack Scripting Language) (Lenguaje Attack Scripting de Nessus), un lenguaje diseñado específicamente para crear pruebas de seguridad de manera rápida y sencilla. Base de datos actualizada de vulnerabilidades de seguridad: Tenable se centra en el desarrollo de
comprobaciones de seguridad correspondientes a vulnerabilidades recientemente divulgadas. Nuestra base de datos de comprobaciones de seguridad se actualiza diariamente, y todas las comprobaciones de seguridad más recientes se encuentran disponibles en http://www.tenable.com/plugins/index.php?view=newest.
Prueba varios hosts de forma simultánea: según la configuración del sistema del analizador Nessus, usted puede probar una gran cantidad de hosts simultáneamente.
Reconocimiento de servicios inteligente: Nessus no supone que los hosts de destino respeten los números de puertos asignados por IANA (Autoridad de asignación de números de Internet). Esto significa que reconocerá un servidor FTP que se ejecute en un puerto no estándar (por ejemplo, 31337) o un servidor web que se ejecute en el puerto 8080 en lugar del 80.
Varios servicios: si se emplean dos o más servidores web en un host (por ejemplo, uno en el puerto 80 y el otro en el puerto 8080), Nessus los identificará y los probará todos.
Cooperación de plugins: las pruebas de seguridad realizadas por los plugins de Nessus cooperan de manera tal que no se lleven a cabo comprobaciones innecesarias. Si su servidor FTP no ofrece inicios de sesión anónimos, no se realizarán comprobaciones de seguridad relacionadas con estos.
Informes completos: Nessus no solo le informará qué vulnerabilidades de seguridad existen en su red y el nivel de riesgo de cada una de ellas (Info, Low, Medium, High y Critical) (informativo, bajo, medio, alto y crítico), sino que también le notificará sobre cómo mitigarlas, ofreciendo soluciones.
Compatibilidad total con SSL: Nessus tiene la capacidad para probar los servicios ofrecidos sobre SSL, tales como HTTPS, SMTPS, IMAPS y otros.
Plugins inteligentes (opcional): Nessus cuenta con una opción de “optimización” que determinará qué plugins deben o no iniciarse en el host remoto. Por ejemplo, Nessus no probará las vulnerabilidades de sendmail respecto de Postfix.
Comprobaciones no destructivas (opcional): ciertas comprobaciones pueden ser perjudiciales para servicios de red específicos. Si no desea arriesgarse a provocar un error de servicio en la red, habilite la opción “safe checks” (comprobaciones seguras) de Nessus, que hará que Nessus se base en los banners en lugar de la explotación de errores reales para determinar si hay alguna vulnerabilidad.
Foro abierto: ¿encontró un error? ¿Tiene preguntas sobre Nessus? Inicie un debate en
https://discussions.nessus.org/.
Requisitos previos
Tenable recomienda el siguiente hardware según cómo utilice Nessus. Tenga en cuenta que estos recursos se
recomiendan específicamente para ejecutar Nessus. Para software o carga de trabajo adicional en el equipo necesitará otros recursos.
Escenario CPU/Memoria Espacio en el
disco Análisis de Nessus de redes
pequeñas
CPU: 1 Pentium 4 con doble núcleo y 2 GHz (Intel® con doble núcleo para Mac OS X)
Memoria: 2 GB de RAM (se recomienda 4 GB de RAM)
30 GB
Análisis de Nessus de redes grandes con registros de auditoría y generación de informes en PDF
CPU: 1 Pentium 4 con doble núcleo y 3 GHz (se recomienda 2 dobles núcleos)
Memoria: 3 o 4 GB de RAM (se recomienda 8 GB de RAM)
30 GB
Nessus se puede ejecutar en una instancia de VMware, pero si el equipo virtual emplea la Network Address Translation, NAT (Traducción de direcciones de red) para conectarse con la red, muchas de las comprobaciones de vulnerabilidades de Nessus, la enumeración de hosts y la identificación de sistemas operativos se verán afectadas de manera negativa.
Nessus Unix
Antes de instalar Nessus en Unix/Linux, se requieren varias bibliotecas. Muchos sistemas operativos las instalan de forma predeterminada y normalmente no requieren una instalación independiente:
zlib
GNU C Library (es decir, libc)
Oracle Java (solo para informes en PDF)
Java debe estar instalado en el host antes de instalar Nessus. Si instala Java después, deberá reinstalar Nessus.
Nessus Windows
Microsoft ha incorporado cambios a Windows XP SP2 y versiones más recientes que pueden afectar el rendimiento de Nessus Windows. Para lograr un mayor rendimiento y confiabilidad de análisis, se recomienda muy especialmente que Nessus Windows se instale en un servidor que pertenezca a la familia de Microsoft Windows, como Windows Server 2003. Para obtener más información sobre este tema, consulte la sección “Nessus Windows Troubleshooting” (Solución
de problemas de Nessus Windows).
Opciones de implementación
Al implementar Nessus, a menudo resulta útil tener conocimiento sobre directivas de firewalls, enrutamiento y filtros. Se recomienda implementar Nessus de modo que tenga una buena conectividad IP con las redes que analiza. No es
deseable la implementación detrás de un dispositivo NAT, a menos que analice la red interna. Toda vez que se realice un análisis de vulnerabilidades a través de un NAT o un proxy de aplicación de algún tipo, la comprobación se puede
personales o de escritorio, estas herramientas pueden limitar considerablemente la eficacia de un análisis de vulnerabilidades remoto.
Los firewalls basados en hosts pueden interferir con el análisis de vulnerabilidades de red. De acuerdo con la configuración del firewall, este puede evitar, distorsionar u ocultar los sondeos del análisis de Nessus.
Algunos dispositivos de red que llevan a cabo una inspección con estado, tales como firewalls, equilibradores de carga y sistemas de detección o prevención de intrusos, pueden reaccionar de forma negativa cuando se lleva a cabo un análisis a través de ellos. Nessus cuenta con una cantidad de opciones de ajuste preciso que pueden ayudar a reducir el efecto de los análisis a través de tales dispositivos, pero el método óptimo para evitar los problemas que son inherentes al análisis a través de dichos dispositivos de red consiste en la realización de un análisis con credenciales.
Firewalls basados en hosts
Si su servidor Nessus está configurado en un host con un firewall “personal” como ZoneAlarm, el Firewall de Windows o cualquier otro software de firewall, es necesario que se habiliten las conexiones desde la dirección IP del cliente de Nessus. De manera predeterminada, se utiliza el puerto 8834 para el servidor web de Nessus (interfaz del usuario). En los
sistemas Microsoft XP Service Pack 2 (SP2) y posteriores, hacer clic en el ícono “Security Center” (Centro de seguridad) que se encuentra en “Control Panel” (Panel de control), le da al usuario la oportunidad de administrar la configuración del “Windows Firewall” (Firewall de Windows). Para abrir el puerto TCP 8834, seleccione la ficha “Exceptions”
(Excepciones) y luego añada el puerto “8834” a la lista.
En el caso de otro software de firewall personal, consulte la documentación del proveedor para obtener las instrucciones de configuración.
Plugins de vulnerabilidades
Todos los días los proveedores, los investigadores y demás fuentes publican numerosas vulnerabilidades nuevas. Tenable se esfuerza para que las comprobaciones de vulnerabilidades recientemente publicadas se prueben y se pongan a disposición de los usuarios a la mayor brevedad, normalmente dentro de las 24 horas de la divulgación. La comprobación de una vulnerabilidad específica tiene en el analizador Nessus la denominación “plugin”. La lista completa de los plugins de Nessus está disponible en http://www.nessus.org/plugins/index.php?view=all. Tenable distribuye los plugins de vulnerabilidad más recientes en dos modos: para Nessus y Nessus Home.
Los plugins se descargan directamente desde Tenable a través de un proceso automatizado de Nessus. Nessus verifica las firmas digitales de todas las descargas de plugins para garantizar la integridad de los archivos. En el caso de las instalaciones de Nessus sin acceso a Internet, existe un proceso de actualización sin conexión que se puede usar para garantizar que el analizador permanezca actualizado.
Usted deberá registrarse para recibir una fuente de plugins y actualizarlos antes de que se inicie Nessus y se ponga a disposición la interfaz de análisis de Nessus. La actualización de plugins se realiza en segundo plano, después del registro inicial del analizador, y puede llevar varios minutos.
Tipos de productos de Nessus
Tenable brinda soporte comercial, por medio del Tenable Support Portal (Portal de soporte de Tenable) o por correo electrónico, a clientes de Nessus que estén usando la versión 5 o posterior. Nessus también incluye un conjunto de comprobaciones de compatibilidad basadas en hosts para Unix y Windows que son muy útiles para realizar auditorías de compatibilidad, tales como SOX, FISMA o PCI DSS.
Puede comprar Nessus en la Tienda en línea de Tenable en https://store.tenable.com/ o por medio de una orden de compra a través de Authorized Nessus Partners (Socios autorizados de Nessus). Posteriormente recibirá de Tenable un código de activación. Este código se usará al configurar su copia de Nessus para recibir actualizaciones.
Si usa Nessus junto con SecurityCenter de Tenable, SecurityCenter actualizará de manera automática sus analizadores de Nessus.
Si representa a una organización benéfica 501(c)(3), quizá califique para recibir Nessus sin costo. Para obtener más información, visite la página web del Tenable Charitable Organization Subscription Program (Programa de suscripción de organizaciones benéficas de Tenable).
Si usa Nessus de forma doméstica con fines no profesionales, puede suscribirse a Nessus Home. El uso de Nessus Home es gratuito. Sin embargo, existe un acuerdo de suscripción independiente de Nessus Home cuyo cumplimiento debe aceptarse por parte de los usuarios.
Compatibilidad con IPv6
Nessus admite análisis de recursos con IPv6. Muchos sistemas operativos y dispositivos se distribuyen con la
compatibilidad con IPv6 habilitada de manera predeterminada. Para realizar análisis respecto de recursos IPv6 se debe configurar al menos una interfaz IPv6 en el host en el que Nessus está instalado, y Nessus debe encontrarse en una red compatible con IPv6 (Nessus no puede analizar recursos IPv6 sobre IPv4, pero puede enumerar las interfaces IPv6 mediante análisis con credenciales sobre IPv4). Al iniciar los análisis, se admite la notación IPv6 completa y la comprimida.
Las versiones anteriores de Microsoft Windows carecen de algunas de las API clave que son necesarias para la falsificación de paquetes IPv6 (por ejemplo, obtener la dirección MAC del enrutador, tabla de enrutamiento, etc.). Esto a su vez impide que el analizador de puertos funcione correctamente. Como resultado, la
compatibilidad con IPv6 no está disponible en Windows XP ni Server 2003.
El análisis de intervalos de direcciones IP IPv6 Global Unicast no es compatible a menos que las IP se ingresen de manera separada (es decir, en formato de lista). Nessus no es compatible con intervalos expresados como intervalos guionados o direcciones CIDR. Nessus sí es compatible con intervalos de enlaces locales con la directiva “link6” como destino del análisis o el enlace local con “%eth0”.
Migración de modo de evaluación a modo con licencia
Si instala Nessus con una licencia de evaluación, se recomienda muy especialmente que lo desinstale antes de migrar a la copia con licencia completa. Puede exportar y reimportar a la nueva instalación cualquier directiva y resultado de análisis que haya creado.
Unix/Linux
Actualización
Esta sección explica cómo realizar una actualización de Nessus a partir de una instalación anterior del software. Descargue la última versión de Nessus en http://www.tenable.com/products/nessus/select-your-operating-system o a través del Tenable Support Portal (Portal de soporte de Tenable). Confirme la integridad del paquete de instalación comparando la suma de comprobación MD5 de la descarga con la que aparece en el archivo MD5.asc aquí.
A menos que se indique lo contrario, todos los comandos se deben ejecutar como usuario raíz del sistema. Las cuentas de usuario normales no cuentan habitualmente con los privilegios necesarios para instalar este software.
La siguiente tabla ofrece instrucciones de actualización para el servidor Nessus en todas las plataformas admitidas anteriormente. Los parámetros de configuración y los usuarios que se crearon previamente permanecerán intactos.
Asegúrese de que todo análisis en ejecución haya finalizado antes de detener nessusd.
Toda instrucción de actualización especial, si la hay, se proporciona en forma de nota después del ejemplo.
Plataforma Instrucciones de actualización
Red Hat ES 4 y CentOS 4 (32 bits); Red Hat ES 5, CentOS 5 y Oracle Linux 5 (32 y 64 bits); Red Hat ES 6, CentOS 6 y Oracle Linux 6 (32 y 64 bits)
Comandos de actualización # service nessusd stop
Use uno de los comandos apropiados que se indican a continuación, que corresponda a la versión de Red Hat que está ejecutando:
# rpm -Uvh Nessus-5.2.4-es4.i386.rpm # rpm -Uvh Nessus-5.2.4-es5.i386.rpm # rpm -Uvh Nessus-5.2.4-es5.x86_64.rpm # rpm -Uvh Nessus-5.2.4-es6.i686.rpm # rpm -Uvh Nessus-5.2.4-es6.x86_64.rpm
Una vez que la actualización haya finalizado, reinicie el servicio nessusd mediante el siguiente comando:
# service nessusd start
Resultados de muestra # service nessusd stop
Shutting down Nessus services: [ OK ]
# rpm -Uvh Nessus-5.2.4-es5.i386.rpm Preparing...
########################################### [100%] Shutting down Nessus services: /etc/init.d/nessusd: … 1:Nessus
########################################### [100%] Fetching the newest plugins from nessus.org... Fetching the newest updates from nessus.org...
Done. The Nessus server will start processing these plugins within a minute
nessusd (Nessus) 5.2.4 [build R23016] for Linux (C) 1998 - 2013 Tenable Network Security, Inc. Processing the Nessus plugins...
[##################################################] All plugins loaded
- You can start nessusd by typing /sbin/service nessusd start - Then go to https://localhost:8834/ to configure your scanner# service nessusd start
Starting Nessus services: [ OK ]
# Fedora Core 16, 17 y 18 (32 y 64 bits)
Use uno de los comandos apropiados que se indican a continuación, que corresponda a la versión de Fedora Core que está ejecutando:
# rpm -Uvh Nessus-5.2.4-fc16.i686.rpm # rpm -Uvh Nessus-5.2.4-fc16.x86_64.rpm
Una vez que la actualización haya finalizado, reinicie el servicio nessusd mediante el siguiente comando:
# service nessusd start
Resultados de muestra # service nessusd stop
Shutting down Nessus services: [ OK ]
# rpm -Uvh Nessus-5.2.4-fc16.i386.rpm [..]
# service nessusd start
Starting Nessus services: [ OK ]
# SuSE 10 (64 bits), 11 (32 y 64 bits)
Comandos de actualización # service nessusd stop
Use uno de los comandos apropiados que se indican a continuación, que corresponda a la versión de SuSE que está ejecutando:
# rpm -Uvh Nessus-5.2.4-suse10.x86_64.rpm # rpm -Uvh Nessus-5.2.4-suse11.i586.rpm # rpm -Uvh Nessus-5.2.4-suse11.x86_64.rpm
Una vez que la actualización haya finalizado, reinicie el servicio nessusd mediante el siguiente comando:
# service nessusd start
Resultados de muestra # service nessusd stop
Shutting down Nessus services: [ OK ]
# rpm -Uvh Nessus-5.2.4-suse11.i586.rpm Preparing...
[..]
# service nessusd start
Starting Nessus services: [ OK ]
# Debian 6 (32 y 64 bits)
Comandos de actualización # /etc/init.d/nessusd stop
Use uno de los comandos apropiados que se indican a continuación, que corresponda a la versión de Debian que está ejecutando:
# dpkg -i Nessus-5.2.4-debian6_amd64.deb # /etc/init.d/nessusd start
Resultados de muestra # /etc/init.d/nessusd stop
# dpkg -i Nessus-5.2.4-debian6_i386.deb
(Reading database ... 19831 files and directories currently installed.)
Preparing to replace nessus 5.2.3 (using Nessus-5.2.4-debian6_i386.deb) ...
[..]
# /etc/init.d/nessusd start Starting Nessus : .
#
Ubuntu 10.04 (paquete 9.10), 11.10, 12.04 y 12.10 (i386 y x86-64)
Comandos de actualización # /etc/init.d/nessusd stop
Use uno de los comandos apropiados que se indican a continuación, que corresponda a la versión de Ubuntu que está ejecutando:
# dpkg -i Nessus-5.2.4-ubuntu910_i386.deb # dpkg -i Nessus-5.2.4-ubuntu910_amd64.deb # dpkg -i Nessus-5.2.4-ubuntu1110_i386.deb # dpkg -i Nessus-5.2.4-ubuntu1110_amd64.deb # /etc/init.d/nessusd start
Resultados de muestra # /etc/init.d/nessusd stop
# dpkg -i Nessus-5.2.4-ubuntu1110_i386.deb
(Reading database ... 19831 files and directories currently installed.)
Preparing to replace nessus 5.2.3 (using Nessus-5.2.4- ubuntu1110_i386.deb) ... [..] # /etc/init.d/nessusd start Starting Nessus : . # FreeBSD 9 (32 y 64 bits)
Comandos de actualización # killall nessusd # pkg_info
Este comando generará una lista de todos los paquetes instalados y sus
descripciones. A continuación se indica un ejemplo de resultados que corresponde al comando anterior y que muestra el paquete de Nessus:
Nessus-5.2.3 A powerful security scanner Quite el paquete de Nessus mediante el siguiente comando: # pkg_delete <package name>
Use uno de los comandos apropiados que se indican a continuación, que corresponda a la versión de FreeBSD que está ejecutando:
# pkg_add Nessus-5.2.4-fbsd9.tbz
# pkg_add Nessus-5.2.4-fbsd9.amd64.tbz # /usr/local/nessus/sbin/nessusd -D
Resultados de muestra # killall nessusd
# pkg_delete Nessus-5.2.3
# pkg_add Nessus-5.2.4-fbsd9.tbz nessusd (Nessus) 5.2.4. for FreeBSD (C) 2013 Tenable Network Security, Inc. [..]
# /usr/local/nessus/sbin/nessusd -D nessusd (Nessus) 5.2.4. for FreeBSD (C) 2013 Tenable Network Security, Inc. Processing the Nessus plugins...
[##################################################] All plugins loaded
#
Notas Para actualizar Nessus en FreeBSD, primero debe desinstalar la versión existente y
luego instalar la versión más nueva. Este proceso no quitará los archivos de configuración ni los archivos que no formaban parte de la instalación original.
Instalación
Descargue la última versión de Nessus en http://www.tenable.com/products/nessus/select-your-operating-system o a través del Tenable Support Portal (Portal de soporte de Tenable). Confirme la integridad del paquete de instalación comparando la suma de comprobación MD5 de la descarga con la que aparece en el archivo MD5.asc aquí.
A menos que se indique lo contrario, todos los comandos se deben ejecutar como usuario raíz del sistema. Las cuentas de usuario normales no cuentan habitualmente con los privilegios necesarios para instalar este software.
La siguiente tabla ofrece instrucciones de instalación para el servidor Nessus en todas las plataformas admitidas. Toda instrucción de instalación especial, si la hay, se proporciona en forma de nota después del ejemplo.
Plataforma Instrucciones de instalación
Red Hat ES 4 y CentOS 4 (32 bits); Red Hat ES 5, CentOS 5 y Oracle Linux 5 (32 y 64 bits); Red Hat ES 6, CentOS 6 y Oracle Linux 6 (32 y 64 bits)
Comando de instalación Use uno de los comandos apropiados que se indican a continuación, que corresponda a la versión de Red Hat que está ejecutando:
# rpm -ivh Nessus-5.2.4-es4.i386.rpm # rpm -ivh Nessus-5.2.4-es5.i386.rpm # rpm -ivh Nessus-5.2.4-es5.x86_64.rpm # rpm -ivh Nessus-5.2.4-es6.i686.rpm # rpm -ivh Nessus-5.2.4-es6.x86_64.rpm
Resultados de muestra # rpm -ivh Nessus-5.2.4-es4.i386.rpm
Preparing...
########################################### [100%] 1:Nessus
########################################### [100%] nessusd (Nessus) 5.2.4 [build R23011] for Linux (C) 1998 - 2013 Tenable Network Security, Inc. Processing the Nessus plugins...
[##################################################] All plugins loaded
- You can start nessusd by typing /sbin/service nessusd start - Then go to https://localhost:8834/ to configure your scanner #
Fedora Core 16, 17 y 18 (32 y 64 bits)
Comando de instalación Use uno de los comandos apropiados que se indican a continuación, que corresponda a la versión de Fedora Core que está ejecutando:
# rpm -ivh Nessus-5.2.4-fc16.i686.rpm # rpm -ivh Nessus-5.2.4-fc16.x86_64.rpm
Resultados de muestra # rpm -ivh Nessus-5.2.4-fc16.i386.rpm
Preparing... [..]
# SuSE 10 (64 bits), 11 (32 y 64 bits)
Comando de instalación Use uno de los comandos apropiados que se indican a continuación, que corresponda a la versión de SuSE que está ejecutando:
# rpm –ivh Nessus-5.2.4-suse10.x86_64.rpm # rpm -ivh Nessus-5.2.4-suse11.i586.rpm # rpm –ivh Nessus-5.2.4-suse11.x86_64.rpm
Resultados de muestra # rpm -ivh Nessus-5.2.4-suse11.i586.rpm
Preparing...################################## [100%] 1:Nessus ################################## [100%]
[..] # Debian 6 (32 y 64 bits)
Comando de instalación Use uno de los comandos apropiados que se indican a continuación, que corresponda a la versión de Debian que está ejecutando:
# dpkg -i Nessus-5.2.4 –debian6_i386.deb # dpkg -i Nessus-5.2.4 –debian6_amd64.deb
Resultados de muestra # dpkg -i Nessus-5.2.4-debian6_i386.deb
Selecting previously deselected package nessus.
(Reading database ... 36954 files and directories currently installed.)
Unpacking nessus (from Nessus-5.2.4-debian6_i386.deb) ... Setting up nessus (5.2.4) ...
[..] #
Ubuntu 10.04 (paquete 9.10), 11.10, 12.04 y 12.10 (i386 y x86-64)
Comando de instalación Use uno de los comandos apropiados que se indican a continuación, que corresponda a la versión de Ubuntu que está ejecutando:
# dpkg -i Nessus-5.2.4-ubuntu910_i386.deb # dpkg -i Nessus-5.2.4-ubuntu910_amd64.deb # dpkg -i Nessus-5.2.4-ubuntu1110_i386.deb # dpkg -i Nessus-5.2.4-ubuntu1110_amd64.deb
Resultados de muestra # dpkg -i Nessus-5.2.4-ubuntu1110_amd64.deb
Selecting previously deselected package nessus.
(Reading database ... 32444 files and directories currently installed.)
Unpacking nessus (from Nessus-5.2.4-ubuntu1110_amd64.deb) ... Setting up nessus (5.2.4) ...
[..] # FreeBSD 9 (32 y 64 bits)
Comando de instalación Use uno de los comandos apropiados que se indican a continuación, que corresponda a la versión de FreeBSD que está ejecutando:
# pkg_add Nessus-5.2.4-fbsd9.tbz
# pkg_add Nessus-5.2.4-fbsd9.amd64.tbz
Resultados de muestra # pkg_add Nessus-5.2.4-fbsd9.tbz
nessusd (Nessus) 5.2.4 for FreeBSD
[..] #
Después de finalizar la instalación, inicie el demonio nessusd como se indica en la siguiente sección, según la distribución. Una vez que Nessus esté instalado, debe visitar la URL del analizador proporcionada para finalizar el proceso de registro.
Nota: las instalaciones con Unix pueden proveer una URL con un nombre de host relativo que no esté en DNS (por ejemplo, https://myserver:8834/). Si el nombre de host no está en DNS, debe conectarse al servidor Nessus utilizando una dirección IP o un nombre DNS válido.
Después de finalizar el proceso, se recomienda que autentique y personalice las opciones de configuración para su entorno, según se describe en la sección “Feed Registration and GUI Configuration” (Registro de fuentes y configuración
de la GUI).
Nessus debe instalarse en /opt/nessus. Sin embargo, se aceptará un enlace simbólico que señale a /opt/nessus.
Inicio del demonio de Nessus
Inicie el servicio de Nessus como raíz mediante el siguiente comando: Linux:
# /opt/nessus/sbin/nessus-service -D FreeBSD:
# /usr/local/nessus/sbin/nessus-service -D
A continuación se incluye un ejemplo de los resultados en pantalla al iniciar nessusd para Red Hat:
[root@squirrel ~]# /sbin/service nessusd start
Starting Nessus services: [ OK ] [root@squirrel ~]#
Si desea suprimir el resultado del comando, use la opción “-q” de la siguiente forma: Linux:
# /opt/nessus/sbin/nessus-service -q -D FreeBSD:
# /usr/local/nessus/sbin/nessus-service -q -D
De forma alternativa, Nessus puede iniciarse mediante el siguiente comando de acuerdo con la plataforma del sistema operativo:
Sistema operativo Comando para iniciar nessusd
Red Hat, CentOS y Oracle Linux # /sbin/service nessusd start
SuSE # /etc/rc.d/nessusd start
Debian # /etc/init.d/nessusd start
FreeBSD # /usr/local/etc/rc.d/nessusd.sh start
Ubuntu # /etc/init.d/nessusd start
Continúe con la sección “Feed Registration and GUI Configuration” (Registro de fuentes y configuración de la GUI) para
instalar el plugin Activation Code (Código de activación).
Detención del demonio de Nessus
Si por cualquier motivo necesita detener el servicio nessusd, el siguiente comando suspenderá Nessus y detendrá de manera inmediata cualquier análisis en curso:
# killall nessusd
En su lugar, se recomienda que use las secuencias de comando de apagado más ordenadas proporcionadas por su sistema operativo:
Sistema operativo Comando para detener nessusd
Red Hat, CentOS y Oracle Linux # /sbin/service nessusd stop
Fedora Core # /sbin/service nessusd stop
SuSE # /etc/rc.d/nessusd stop
Debian # /etc/init.d/nessusd stop
FreeBSD # /usr/local/etc/rc.d/nessusd.sh stop
Ubuntu # /etc/init.d/nessusd stop
Eliminación de Nessus
La siguiente tabla ofrece instrucciones para eliminar el servidor Nessus en todas las plataformas admitidas. Con excepción de las instrucciones para Mac OS X, las instrucciones proporcionadas no quitarán los archivos de
configuración ni los archivos que no formaban parte de la instalación original. Los archivos que eran parte del paquete original pero sufrieron modificaciones desde la instalación, tampoco serán quitados. Para quitar por completo los archivos restantes, use el siguiente comando:
Linux:
# rm -rf /opt/nessus FreeBSD:
Plataforma Instrucciones de eliminación
Red Hat ES 4 y CentOS 4 (32 bits); Red Hat ES 5, CentOS 5 y Oracle Linux 5 (32 y 64 bits); Red Hat ES 6, CentOS 6 y Oracle Linux 6 (32 y 64 bits)
Comando de eliminación Determine el nombre del paquete: # rpm -qa | grep Nessus
Use los resultados del comando anterior para quitar el paquete: # rpm -e <Package Name>
Resultados de muestra # rpm -qa | grep -i nessus
Nessus-5.2.4-es5
# rpm -e Nessus-5.2.4-es5 #
Fedora Core 16, 17 y 18 (32 y 64 bits)
Comando de eliminación Determine el nombre del paquete: # rpm -qa | grep Nessus
Use los resultados del comando anterior para quitar el paquete: # rpm -e <Package Name>
SuSE 10 (64 bits), 11 (32 y 64 bits)
Comando de eliminación Determine el nombre del paquete: # rpm -qa | grep Nessus
Use los resultados del comando anterior para quitar el paquete: # rpm -e <Package Name>
Debian 6 (32 y 64 bits)
Comando de eliminación Determine el nombre del paquete: # dpkg -l | grep -i nessus
Use los resultados del comando anterior para quitar el paquete: # dpkg -r <package name>
Resultados de muestra # dpkg -l | grep nessus
ii nessus 5.2.4 Version 5 of the Nessus Scanner
# dpkg -r nessus #
Ubuntu 10.04 (paquete 9.10), 11.10, 12.04 y 12.10 (i386 y x86-64)
Comando de eliminación Determine el nombre del paquete: # dpkg -l | grep -i nessus
Use los resultados del comando anterior para quitar el paquete: # dpkg -r <package name>
Resultados de muestra # dpkg -l | grep -i nessus
ii nessus 5.2.4 Version 5 of the Nessus Scanner
# FreeBSD 9 (32 y 64 bits)
Comando de eliminación Detenga Nessus: # killall nessusd
Determine el nombre del paquete: # pkg_info | grep -i nessus Quite el paquete de Nessus:
# pkg_delete <package name>
Resultados de muestra # killall nessusd
# pkg_info | grep -i nessus
Nessus-5.2.4 A powerful security scanner # pkg_delete Nessus-5.2.4
#
Windows
Actualización
Actualizar de Nessus 5.x a una versión 5.x superior es fácil y no requiere consideraciones especiales.
Actualización desde Nessus 4.x
Al actualizar Nessus desde una versión 4.x a una distribución más reciente 5.x, el proceso de actualización le preguntará al usuario si desea eliminar todo lo que contiene el directorio de Nessus. Elegir esta opción (al seleccionar “Yes”) imitará un proceso de desinstalación. Si elige esta opción, los usuarios creados anteriormente, las directivas de análisis
Haga clic en “Yes” para permitir que Nessus intente eliminar toda la carpeta Nessus junto con todo archivo agregado manualmente, o “No” para conservar la carpeta Nessus junto con los análisis, informes, etc. existentes. Después de que se haya instalado la nueva versión de Nessus, aún podrán verse y exportarse.
Es posible que se le pida al usuario que reinicie el sistema según la versión que está instalando y la versión que estáactualmente en el sistema:
Actualización desde Nessus 3.x
No se admite una actualización directa de Nessus 3.0.x a Nessus 5.x. Sin embargo, puede utilizar una actualización a 4 como paso intermedio para garantizar que se preserven la configuración y directivas de análisis fundamentales. Si no es necesario conservar la configuración de análisis, desinstale primero Nessus 3.x y luego instale una copia nueva de Nessus 5.
Si selecciona “Yes”, se eliminarán todos los archivos del directorio de Nessus, incluidos los archivos de registro y los plugins personalizados añadidos de forma manual, entre otros. Utilice esta opción con cuidado.
Instalación
Descarga de Nessus
La última versión de Nessus está disponible en http://www.tenable.com/products/nessus/select-your-operating-system o a través del Tenable Support Portal (Portal de soporte de Tenable). Nessus 5 está disponible para Windows XP, Server 2003, Server 2008, Vista y Windows 7. Confirme la integridad del paquete de instalación comparando la suma de comprobación MD5 de la descarga con la que aparece en el archivo MD5.asc aquí.
Los nombres y los tamaños de los archivos de distribución de Nessus varían ligeramente de una versión a otra, pero tienen un tamaño de aproximadamente 25 MB.
Instalación
Nessus se distribuye como archivo de instalación ejecutable. Coloque el archivo en el sistema en el que se está instalando o en una unidad compartida a la que tenga acceso el sistema.
Debe instalar Nessus empleando una cuenta administrativa y no como usuario sin privilegios. Si se producen errores relacionados con los permisos, “Access Denied” (Acceso denegado) o errores que sugieren que una acción tuvo lugar debido a la falta de privilegios, asegúrese de que esté usando una cuenta con privilegios administrativos. Si se producen estos errores al usar las utilidades de líneas de comandos, ejecute cmd.exe con los privilegios “Run as…” (Ejecutar como) establecidos en “administrator” (administrador).
Algunos paquetes de software antivirus pueden incluir a Nessus en la categoría de gusano o de alguna forma de software malintencionado (malware). Lo anterior se debe a la gran cantidad de conexiones TCP
generadas durante un análisis. Si su software antivirus produce una advertencia, haga clic en "allow" (permitir) para que Nessus pueda seguir analizando. La mayoría de los paquetes de antivirus también le permiten añadir procesos a una lista de excepciones. Añada Nessus.exe y Nessus-service.exe a esta lista para evitar tales advertencias.
Se recomienda que obtenga un código de activación de fuente de plugins antes de iniciar el proceso de instalación, ya que esa información será necesaria para poder autenticar en la interfaz GUI de Nessus. Para ver más información sobre cómo obtener un código de activación, lea la sección Vulnerability Plugins (Plugins de vulnerabilidad).
Durante el proceso de instalación, Nessus le solicitará que introduzca algunos datos básicos. Antes de comenzar, debe leer y aceptar el contrato de licencia:
Después de finalizar la instalación inicial, Nessus comenzará la instalación de un controlador independiente que se utiliza para permitir la comunicación Ethernet de Nessus, si es que aún no lo tiene en su sistema:
Una vez que haya finalizado la instalación, haga clic en “Finish” (Finalizar):
En este momento, Nessus cargará en su explorador web predeterminado una página que manejará la configuración inicial, tratada en la sección “Feed Registration and GUI Configuration” (Registro de fuentes y configuración de la GUI).
Inicio y detención del demonio de Nessus
Durante la instalación y la operación diaria de Nessus, no suele ser necesario manipular el servicio de Nessus. Sin embargo, en algunos casos un administrador puede querer detener o reiniciar temporalmente el servicio.
Esto se puede hacer en un sistema Windows abriendo el menú “Start” (Inicio) y haciendo clic en “Run” (Ejecutar). En el cuadro “Run” (Ejecutar), escriba “services.msc” para abrir el Windows Service Manager (Administrador de servicios de Windows):
Haga clic derecho en el servicio “Tenable Nessus” para ver un cuadro de diálogo que le permite iniciar, detener, pausar, reanudar o reiniciar el servicio según el estado actual.
Además, el servicio Nessus puede manipularse por medio de la línea de comandos. Para obtener más información, consulte la sección “Nessus Service Manipulation via Windows CLI” (Manipulación del servicio de Nessus mediante la
CLI de Windows) en este documento.
Eliminación de Nessus
Para quitar Nessus, en Control Panel (Panel de control), abra “Add or Remove Programs” (Agregar o quitar programas). Seleccione “Tenable Nessus”, y luego haga clic en el botón “Change/Remove” (Cambiar o quitar). Esto abrirá el
asistente InstallShield Wizard. Siga las instrucciones de este asistente para quitar Nessus por completo. Se le preguntará si desea quitar toda la carpeta Nessus. Responda “Yes” solo si no desea conservar ninguna directiva ni resultado de análisis que pueda haber generado.
Al desinstalar Nessus, Windows le preguntará si desea continuar, pero mostrará lo que parece ser un archivo arbitrario .msi sin certificación. Por ejemplo:
C:\Windows\Installer\778608.msi Autor: Unknown (Desconocido)
Esto se debe a que Windows conserva una copia interna del instalador de Nessus y la utiliza para iniciar el proceso de desinstalación. Es seguro aprobar esta solicitud.
Mac OS X
Actualización
Las actualizaciones a partir de una versión anterior de Nessus son similares a la realización de una instalación nueva. Descargue el archivo Nessus-5.x.x.dmg.gz, y luego haga doble clic en él para descomprimirlo. Haga doble clic en el archivo Nessus-5.x.x.dmg, con lo que se montará la imagen de disco y hará que aparezca en “Devices” (Dispositivos) en “Finder” (Buscador). Cuando el volumen “Nessus 5” aparezca en el “Finder” (Buscador), haga doble clic en el archivo Nessus 5. Una vez que se haya finalizado la instalación, inicie sesión en Nessus a través de su explorador, en
Instalación
La última versión de Nessus está disponible en http://www.tenable.com/products/nessus/select-your-operating-system o a través del Tenable Support Portal (Portal de soporte de Tenable). Nessus está disponible para Mac OS X 10.8 y 10.9. Confirme la integridad del paquete de instalación comparando la suma de comprobación MD5 de la descarga con la que aparece en el archivo MD5.asc aquí.
El tamaño del archivo de distribución de Nessus para Mac OS X es ligeramente diferente entre una y otra publicación, pero aproximadamente pesa 45 MB.
Para instalar Nessus en Mac OS X, debe descargar el archivo Nessus-5.x.x.dmg.gz y luego hacer doble clic en él para descomprimirlo. Haga doble clic en el archivo Nessus-5.x.x.dmg, con lo que se montará la imagen de disco y hará que aparezca en “Devices” (Dispositivos) en “Finder” (Buscador). Cuando el volumen “Nessus 5” aparezca en “Finder” (Buscador), haga doble clic en el archivo Nessus 5 como se muestra a continuación:
Tenga en cuenta que se le solicitará un nombre de usuario y contraseña de administrador en algún momento de la instalación.
Cuestiones de la instalación
Haga clic en “Continue” (Continuar) y se mostrará la licencia del software. Haga clic en “Continue” nuevamente, y aparecerá un cuadro de diálogo que le pedirá que acepte las condiciones de la licencia antes de continuar:
Después de aceptar la licencia, aparecerá otro cuadro de diálogo que le permitirá cambiar la ubicación predeterminada de la instalación, como se muestra a continuación:
Haga clic en el botón “Install” (Instalar) para continuar la instalación. En este punto se le solicitará que introduzca el nombre de usuario y contraseña de administrador:
La instalación ha finalizado correctamente cuando aparece la siguiente pantalla:
En este momento, Nessus cargará en su explorador web predeterminado una página que manejará la configuración inicial, tratada en la sección “Feed Registration and GUI Configuration” (Registro de fuentes y configuración de la GUI).
Inicio y detención del servicio Nessus
Después de la instalación, se iniciará el servicio nessusd. En cada reinicio, el servicio se iniciará automáticamente. Si existe una razón para iniciar o detener el servicio, esto puede realizarse a través de una ventana de terminal (línea de comandos) o por medio de System Preferences (Preferencias del sistema). Si hace por medio de la línea de comandos, debe ejecutarse como “root” (raíz) o a través de sudo:
Acción Comando para administrar nessusd
Inicio # launchctl load -w /Library/LaunchDaemons/com.tenablesecurity.nessusd.plist
Detención # launchctl unload -w /Library/LaunchDaemons/com.tenablesecurity.nessusd.plist
Como alternativa, puede administrar el servicio de Nessus por medio de System Preferences (Preferencias del sistema):
Haga clic en “Nessus” en System Preferences (Preferencias del sistema) para cargar el panel Nessus.Preferences (Preferencias de Nessus):
Para hacer cambios en el estado del servicio, haga clic en el ícono del candado y escriba la contraseña de la raíz. Esto le permitirá cambiar la configuración de inicio del sistema o iniciar y detener el servicio de Nessus:
Eliminación de Nessus
Para quitar Nessus, elimine los siguientes directorios (y subdirectorios) y archivos:
/Library/Receipts/Nessus*/Library/LaunchDaemons/com.tenablesecurity.nessusd.plist /Library/Nessus
/Library/PreferencePanes/Nessus Preferences.prefPane /Applications/Nessus
Si no tiene conocimientos del uso de la línea de comandos de Unix en un sistema Mac OS X, comuníquese con la Asistencia técnica de Tenable para obtener ayuda.
Existen herramientas gratuitas como “DesInstaller.app” (http://www.macupdate.com/info.php/id/7511) y “CleanApp”
(http://www.macupdate.com/info.php/id/21453/cleanapp) que también se pueden usar para quitar Nessus. Tenable no
guarda ningún tipo de relación con estas herramientas, que no se probaron específicamente para quitar Nessus.
Registro de fuentes y configuración de la UI
En esta sección se describe cómo configurar el servidor Nessus 5 en todas las plataformas. A partir de Nessus 5 las opciones de configuración inicial, como las opciones de proxy y el suministro de un Código de activación, se realizan a través de un proceso web. Después de la instalación de Nessus tiene seis horas para completar el proceso de registro, por razones de seguridad. Si no lo hace en ese tiempo, debe reiniciar nessusd y el proceso de registro.
El Nessus Server Manager utilizado en Nessus 4 está en desuso.
Si la instalación del software no abre su explorador web con la página de configuración, puede cargar un explorador e ir a
http://[Nessus Server IP]:8834/WelcomeToNessus-Install/welcome (o a la URL provista durante el proceso de instalación)
para comenzar el proceso. Nota: las instalaciones con Unix pueden proveer una URL con un nombre de host relativo que no esté en DNS (por ejemplo, http://mybox:8834/). Si el nombre de host no está en DNS, debe conectarse al servidor Nessus utilizando una dirección IP o un nombre DNS válido.
La pantalla inicial sirve como advertencia de que todo el tráfico hacia la GUI de Nessus se realiza por SSL (HTTPS). La primera vez que se conecte al servidor web Nessus, su explorador mostrará algún tipo de error que indica que la conexión no es confiable debido a un certificado SSL autofirmado. En la primera conexión, acepte el certificado para continuar la configuración. Las instrucciones para instalar un certificado personalizado se tratan más adelante en este documento, en la sección “Configuring Nessus with Custom SSL Certificate” (Configuración de Nessus con un certificado SSL personalizado).
Debido a la implementación técnica de los certificados SSL, no es posible enviar un certificado con Nessus que sea confiable para los exploradores. Para evitar esta advertencia, debe utilizar un certificado
Una vez que lo aceptó, se le redirigirá a la pantalla inicial de registro que comienza las instrucciones paso a paso:
El primer paso es crear una cuenta para el servidor Nessus. La cuenta inicial será de administrador; esta cuenta tiene acceso a la ejecución de comandos en el sistema operativo subyacente de la instalación de Nessus, por lo que se debe considerar de la misma manera que cualquier otra cuenta de administrador:
La siguiente pantalla solicita un Código de activación de plugins y le permite configurar parámetros de proxy opcionales. Si no tiene un código, puede obtener uno por medio del Tenable Support Portal (Portal de soporte de Tenable) o a través de su canal de ventas. Una vez que se registró, recibirá un correo electrónico con un enlace para activar el código. Debe activar su código antes de pasadas 24 horas para que Nessus siga funcionando.
Si usa el Tenable SecurityCenter, el código de activación y las actualizaciones de los plugins se administran desde SecurityCenter. Para comunicarse con SecurityCenter, Nessus necesita iniciarse, lo cual normalmente no se podrá lograr sin un código de activación y plugins válidos. Para que Nessus ignore este requisito y se inicie (y pueda así obtener la información de SecurityCenter), escriba “SecurityCenter” (respetando
mayúsculas y minúsculas) sin comillas en el cuadro Activation Code (Código de activación). Después de iniciar Nessus, los usuarios de SecurityCenter habrán completado la instalación y configuración iniciales del analizador Nessus y podrán pasar a la sección “Working with SecurityCenter” (Trabajo con SecurityCenter).
Si no registra su copia de Nessus, no recibirá ningún plugin nuevo y no podrá iniciar el servidor Nessus. Nota: el código de activación no distingue mayúsculas de minúsculas.
Si su servidor Nessus se encuentra en una red que utiliza un proxy para comunicarse con Internet, haga clic en “Optional Proxy Settings” (Configuración de proxy opcional) para escribir la información correspondiente. Los parámetros de proxy pueden agregarse en cualquier momento después de finalizar la instalación.
Si escoge la opción ‘offline’ (sin conexión) para su activación, tenga en cuenta que ‘offline’ debe escribirse con minúsculas.
En el siguiente paso debe ingresar el Activation Code (Código de activación) que recibió por medio de la página de registro de Tenable Nessus. Una vez que se finalizó la configuración del Código de activación y los parámetros de proxy opcionales, haga clic en “Next” (Siguiente) para registrar su analizador:
Después del registro, Nessus debe descargar los plugins de Tenable. Este proceso puede tomar varios minutos, ya que transfiere una gran cantidad de datos al equipo, verifica la integridad de los archivos, y los compila en una base de datos interna:
Después del registro inicial, Nessus descargará y compilará los plugins obtenidos del puerto 443 de plugins.nessus.org, plugins-customers.nessus.org o plugins-us.nessus.org en segundo plano.
Una vez que se hayan descargado y compilado los plugins, la GUI de Nessus se inicializará y el servidor Nessus se iniciará:
Con las credenciales administrativas creadas durante la instalación, inicie sesión en la interfaz de Nessus para verificar el acceso.
Una vez autenticado, haga clic en la flecha hacia abajo junto al nombre de usuario (por ejemplo, “admin”) y seleccione “Settings” (Configuración) para ver información sobre Nessus y la fuente actual.
Configuración
Con el lanzamiento de Nessus 5, toda la configuración del servidor de Nessus se controla a través de la GUI. El archivo nessusd.conf está en desuso. Además, los parámetros de proxy, el registro de fuentes de suscripción y las
Servidor de correo
En el menú “Settings” (Configuración), por medio de la lista desplegable en la parte superior izquierda, la ficha “Mail Server” (Servidor de correo) le permite configurar un servidor SMTP para enviarle automáticamente por correo electrónico los resultados de los análisis finalizados.
Opción Descripción
Host El host o IP del servidor SMTP (por ejemplo, smtp.example.com).
Port (Puerto) El puerto del servidor SMTP (por ejemplo, 25).
From (sender email) (De [correo electrónico del remitente])
De quién debe figurar que proviene el informe.
Auth Method (Método de autenticación)
Método para autenticar el servidor SMTP. Es compatible con None, Plain, NTLM, Login y CRAM-MD5.
Username (Nombre de usuario)
El nombre de usuario utilizado para autenticar el servidor SMTP.
Password (Contraseña) La contraseña relacionada con el nombre de usuario.
Nessus Server Hostname (for email links) (Nombre de
La dirección IP o el nombre de host del servidor de Nessus. Tenga en cuenta que esto solo funcionará si el usuario que lee el informe puede acceder al host de Nessus.
host del servidor de Nessus [para enlaces de correo electrónico])
Configuración de la fuente del plugin
En el menú “Settings” (Configuración), por medio de la lista desplegable en la parte superior izquierda, la ficha “Plugin Feed” (Fuente de plugin) le permite configurar un proxy web para actualizaciones de plugins. Esto es necesario si su organización necesita que todo el tráfico web sea dirigido a través de un proxy corporativo:
Existen seis campos que controlan la configuración del proxy, pero solo son necesarios el host y el puerto. También puede suministrarse un nombre de usuario y una contraseña si es necesario.
Opción Descripción
Custom Plugin Host (Host de plugins personalizado)
Opcional: esto puede utilizarse para forzar a Nessus a actualizar plugins desde un host específico. Por ejemplo, si los plugins se deben actualizar desde un lugar en EE. UU., puede especificar “plugins-us.nessus.org”.
Host El host o IP del proxy (por ejemplo, proxy.example.com).
Port (Puerto) El puerto del proxy (por ejemplo, 8080).
Username (Nombre de usuario)
Opcional: si se requiere un nombre de usuario para el uso del proxy (por ejemplo, “jdoe”).
Password (Contraseña) Opcional: si se requiere una contraseña para el uso del proxy (por ejemplo, “guineapigs”).
User-Agent (Agente-usuario)
Opcional: si el proxy que utiliza filtra agentes de usuario HTTP específicos, se puede suministrar una cadena agente-usuario personalizada.
Restablecimiento de códigos de activación y actualizaciones sin conexión
Después de haber introducido el Código de activación inicial durante el proceso de configuración, los cambios adicionales al Código de activación se hacen a través de la ficha “About” (Acerca de) en “Settings” (Configuración). Puede acceder haciendo clic en la flecha hacia abajo junto al nombre de usuario en la esquina superior derecha de la UI y escogiendo “Settings” (Configuración). Desde esta pantalla, hay botones en la esquina superior derecha para
“Register” (Registrar) y “Upload Plugins” (Cargar plugins). Al ingresar un nuevo código en el campo “Update Registration” (Actualizar registro) del botón “Register” (Registrar) y hacer clic en “Save” (Guardar) se actualizará el analizador Nessus con el nuevo código (por ejemplo, si actualiza de Nessus Home a Nessus comercial).
El botón “Upload Plugins” (Cargar plugins) le permite especificar un archivo de plugins para el procesamiento. Para obtener más detalles acerca de la actualización sin conexión, consulte la sección “Nessus without Internet Access”
(Nessus sin acceso a Internet) más adelante en este documento.
El uso del cliente heredado a través del protocolo NTP es admitido por Nessus 5, pero solo está disponible para clientes de Nessus.
Si, en cualquier momento, necesita verificar el código de registro para un analizador específico, puede usar la opción --code-in-use del programa nessus-fetch. Tenga en cuenta que para esta opción necesita privilegios de administrador y conectividad a la red.
Opciones de configuración avanzada
Nessus utiliza una amplia variedad de opciones de configuración para ofrecer un control más pormenorizado de cómo funciona el analizador. En la ficha “Advanced”, por medio de la lista desplegable en la parte superior izquierda, un usuario administrador puede modificar estos parámetros.
ADVERTENCIA: cualquier cambio en la configuración del analizador Nessus afectará a TODOS los usuarios de Nessus. Modifique estas opciones con cuidado.
Puede configurar cada opción modificando el campo correspondiente y haciendo clic en el botón “Save” (Guardar) que está en la base de la pantalla. Además, puede quitar por completo la opción haciendo clic en el botón .
De manera predeterminada, la GUI de Nessus opera en el puerto 8834. Para cambiar este puerto, modifique xmlrpc_listen_port para escoger el puerto deseado. El servidor Nessus procesará el cambio en unos minutos. Si requiere preferencias adicionales, haga clic en el botón “Add Preference Item” (Agregar elemento de preferencia), escriba el nombre y el valor, y presione “Save” (Guardar). Una vez que la preferencia se actualizó y se guardó, Nessus procesará los cambios en unos minutos.
Para obtener más detalles acerca de cada opción de configuración, consulte la sección “Configure the Nessus Daemon
Creación y administración de usuarios de Nessus
Durante la configuración inicial se crea un usuario administrador. Utilizando las credenciales especificadas durante la configuración, inicie sesión en la GUI de Nessus. Una vez obtenida la autenticación, haga clic en el encabezado “Users” (Usuarios) de la parte superior:
Para crear un nuevo usuario, haga clic en “New User” (Nuevo usuario), en la esquina superior izquierda. Esto abrirá un diálogo que le pide que ingrese los siguientes detalles obligatorios:
Escriba el nombre de usuario y la contraseña, repita la contraseña y decida si el usuario tendrá privilegios de administrador.
No puede cambiar el nombre de los usuarios. Si desea cambiar el nombre de un usuario, debe eliminar al usuario y crear un nuevo usuario con el nombre de inicio de sesión correspondiente.
Para eliminar un usuario, seleccione la casilla de verificación a la derecha del nombre de la cuenta en la lista y luego “Delete” (Eliminar) arriba, o haga clic en la “X” a la derecha del nombre de la cuenta.
Un usuario que no sea administrador no puede cargar plugins en Nessus, no puede reiniciarlo remotamente (esto es necesario después de cargar un plugin), ni puede anular el parámetro max_hosts/max_checks en la sección de configuración. Si el usuario va a ser utilizado por SecurityCenter, debe ser un usuario
administrador. SecurityCenter mantiene su propia lista de usuarios y establece los permisos para ellos.
Si necesita que una cuenta de usuario de Nessus tenga restricciones, puede hacerlo utilizando la interfaz de la línea de comandos (CLI); esto se trata más adelante en el documento, en la sección Using and Managing Nessus from the
Command Line” (Uso y administración de Nessus desde la línea de comandos).
Configuración del demonio de Nessus (usuarios avanzados)
El menú de configuración de la GUI de Nessus contiene varias opciones configurables. Por ejemplo, es aquí donde se especifican la cantidad máxima de comprobaciones y de hosts que se analizarán por vez, los recursos que desea que nessusd use y la velocidad a la que se deben leer los datos, así como muchas otras opciones. Se recomienda revisar y modificar estos parámetros según su entorno de análisis. Al final de esta sección se explica la lista completa de opciones de configuración.