Tenable Nessus en Debian

Bueno… ok ok, necesitamos hacer configuraciones para hacer más seguras nuestras máquinas, eso es un hecho… pero ¿como podemos probar que tan efectivas son nuestras medidas? … hay varios programas y formas de testear lo que montamos, y entre ellas Tenable Nessus destaca, de hecho en insecure.org está como número uno en el listado de escaners de vulnerabilidades: http://sectools.org/vuln-scanners.html . En general, hay muchas herramientas que nos pueden ayudar a hacer nuestros tests de penetración.

En realidad viene muy bien documentado Nessus, sin embargo doy un mini how-to por si las dudas (como al parecer solo viene la documentación en inglés jeje) y para recorrer puntos básicos de instalación en Debian, si no lo han probado denle una checada por que es de lo mejor que hay.

Requisitos del sistema
- Mínimo 256 mb en ram (para operarlo en una red clase C, para escaneos largos y en múltiples redes, mínimo 1gb, pero la doc dice que puede ocupar hasta 4gb)
- Mínimo procesador Pentium III a 733 Mhz

Instalar Nessus
Bajamos la última versión de la página: http://www.nessus.org/download (bajamos el servidor y el cliente gráfico… mas adelante hablo sobre el cliente).

Para poder instalarlo debemos estar loggeados como root:
# su -lm

Nos vamos al directorio donde lo descargamos y … lo instalamos :O jaja, por defecto se instalará en el directorio /opt/nessus/ :
# dpkg -i Nessus-3.2.1-debian4_i386.deb
Puede tardar un rato en lo que procesa los plugins, pero bueno…

Tras la espera ya está instalado, ahora hablemos de configuraciones.

Configuraciones
Requerimos crear un Nessus user (los comandos deben ser escritos de forma completa, osea, con todo y path, no podemos entrar directo a la carpeta y ejecutarlos como ./ … ordenes del manual jaja), para hacerlo basta con dar el comando:

# /opt/nessus/sbin/nessus-adduser

Creamos un usuario con el nombre admin y cuando nos pregunte Authentication (pass/cert) solo damos Enter, y con esto por default tomará pass. Ahora bien cuando aparesca la parte donde te pregunta si quieres agregar reglas al usuario, podemos dejarlo vacío…lo que haría que este usuario tenga permiso de scanear cualquier rango de IP’s. Ok, entonces en esa parte apretamos CTRL+D. Y damos Enter cuando pregunte si todo esta bien.

¿Y si queríamos darle reglas de restricción al usuario creado? Pues lo ideal sería consultar el manual, pero en Debian antes de hacer “man nessus-adduser” hay que hacer:
# export MANPATH=/opt/nessus/man
# man nessus-adduser

Y como resumen sobre esto tenemos que la sintaxis en las reglas de nessus-adduser son:

accept | deny ip/mask
default accept | deny

Donde mask sería en CIDR y donde default debe ser la ultima regla, define la política del usuario. Ejemplo:

-El usuario puede ver cualquier red menos 192.168.1.0/24
deny 192.168.1.0/24
default accept

Para correr Nessus
# /opt/nessus/sbin/nessusd -D
Con -D lo hacemos correr en background. Otras opciones:

-v : Nos da la version
-h : resumen de comandos
-p <port-number> : hacemos que escuche las conexiones de clientes en otro puerto en vez del 1241.

O al Debian Style:
#/etc/init.d/nessusd start
Con esta manera podemos hacerle start|stop|restart, si lo que queremos es stop, también lo podemos hacer de la siguiente manera:
# killall nessusd

Activar el código de activación para los plugins (valga lo redundante de activar activaciones) :
Para solicitar un código de activación, podemos ir a la página: http://www.nessus.org/plugins/index.php … ister-info , nos lo mandan por correo, es funcional solo por 7 días y solo lo podemos usar una vez.

La guía de instalación nos da el siguiente método para activarlo y verificar que todo salió bien:

# cat /opt/nessus/lib/nessus/plugins/plugin_feed_info.inc
PLUGIN_SET = “200510041848″;
PLUGIN_FEED = “Release”;
# /opt/nessus/bin/nessus-fetch -–register XXXX-XXXX-XXXX-XXXX-XXXX
Your activation code has been registered properly – thank you.
Now fetching the newest plugin set from plugins.nessus.org…
Your Nessus installation is now up-to-date.
If auto_update is set to ‘yes’ in nessusd.conf, Nessus will
update the plugins by itself.
# date
Thu Oct 13 11:15:35 EDT 2005
# cat /opt/nessus/lib/nessus/plugins/plugin_feed_info.inc
PLUGIN_SET = “200510131015″;
PLUGIN_FEED = “Direct”;

A nosotros si optamos por la opcion “gratuita” nos aparecería en PLUGIN_FEED algo como “Registered (7days delay)”. ¿Por qué? Bueno, si leimos en la página de Nessus a la hora de solicitar nuestro código de activación en la página nos decían algo como:

Direct and Registered Plugin Feeds

Two feeds are available only for use with a copy of Nessus provided by Tenable – Direct and Registered

A ‘Direct Feed’ is commercially available which entitles subscribers to the latest vulnerability checks and commercial support for their Nessus 3 installation.

A ‘Registered Feed’ is available for free to the general public, but new plugins are added seven days after they are added to the ‘Direct Feed’.

Verificar que el código haya sido registrado correctamente
# /opt/nessus/bin/nessus-fetch –check

Para el update de los plugins
# /opt/nessus/sbin/nessus-update-plugins

¿Cada cuando hacer update?
Normal: Una vez al dia
Necesidad de seguridad extrema: Una vez cada 4 horas
Nota: Hay opcion de auto_update en el nessusd.conf.

Ok, ahora tras estos pasos ya tenemos a nuestro servidor corriendo y listo para la acción, el siguiente paso es hacernos de un cliente, del NessusClient, el cual es una interfaz GUI para el Nessus. El único requisito en Debian para correrlo es tener X11 instalado jeje.

Bueno, pues nos bajamos el .deb de NessusClient de nessus.org y para instalarlo hacemos como root:
# dpkg -i NessusClint-3.2.1-debian4_i386.deb

Correr NessusClient
# /opt/nessus/bin/NessusClient

Y… bueno, dejaré por ahora este mini how-to en esta parte, para incitar a leer el Users Guide del NessusClient, por que hay mucho que hablar al respecto y bueno, muchos puntos son cubiertos ahí, jeje… también es de interés checar la advanced user guide para tener un panorama mas claro.

Bibliografía

http://www.nessus.org

Nessus 3.2 installation guide
NessusClient 3.2 users guide
man nessus-adduser

Notas: Todo lo que platico aqui viene en la documentación de Nessus por lo que sería buena idea darse una vuelta en los pdfs que se pueden descargar directo de la página de nessus.org , asi como checar los man para nessus. (man nessusd, man nessus-adduser, etc). Para configuraciones sobre /opt/nessus/etc/nessus/nessusd.conf ver el manual de instalación, ahi viene buena información para no saturar el funcionamiento de nuestro Nessus (como por ahí de la pagina 25). Y bueno, usted dirá… si todo viene en los manuales, ¿para que hacer esta guía?. La hago por varias razones, la principal es por que a mi me sirve leer y repasar la documentación jeje, la segunda por que tiendo a hacer resumenes de lo que leo y la tercera para tener una referencia corta ojala sea de utilidad.