Nessus 4.4 Guia de Instalao14 de junho de 2011(Reviso 9)
Copyright 2011. Tenable Network Security, Inc. Todos os direitos
reservados. Tenable Network Security e Nessus so marcas comerciais
registradas da Tenable Network Security, Inc. ProfessionalFeed
marca comercial da Tenable Network Security, Inc. Todos os outros
produtos ou servios so marcas registras de seus respectivos
proprietrios.
Tenable Network Security, Inc. 7063 Columbia Gateway Drive,
Suite 100, Columbia, MD 21046 +1 410 872-0555 [email protected]
www.tenable.com
ndiceIntroduo..................................................................................................................................
5 Sistemas operacionais compatveis
...........................................................................................
5 Padres e
convenes...............................................................................................................
5 Conceitos bsicos
.....................................................................................................................
6 Pr-requisitos
............................................................................................................................
7 Nessus Unix
...............................................................................................................................
8 Nessus para Windows
...............................................................................................................
8 Opes de instalao
................................................................................................................
8 Inscries em plugins de vulnerabilidades
.............................................................................
8 Qual o feed correto?
...............................................................................................................
9
HomeFeed.............................................................................................................................
9
ProfessionalFeed...................................................................................................................
9 Suporte para IPv6
.....................................................................................................................10
Unix/Linux.
................................................................................................................................10
Atualizaes
.............................................................................................................................10
Instalao
.................................................................................................................................18
Configurao
............................................................................................................................22
Diretrios principais do Nessus
............................................................................................22
Criar usurios do
Nessus......................................................................................................23
Instalao do cdigo de ativao do plugin
..........................................................................25
Como iniciar o daemon do
Nessus............................................................................................26
Como parar o daemon do
Nessus.............................................................................................28
Opes de linha de comando do Nessusd
................................................................................28
Conexo com o
cliente..............................................................................................................30
Atualizao dos plugins
............................................................................................................30
Com que frequncia devo atualizar os
plugins?....................................................................30
Atualizao automtica dos plugins
......................................................................................31
Programao de atualizaes de plugins com o cron
...........................................................31
Atualizao de plugins por meio de proxies da Web
.............................................................32
Remoo do Nessus
.................................................................................................................32
Windows
................................................................................................................................36
Atualizaes
.............................................................................................................................36
Atualizao do Nessus 4.0 4.0.x
........................................................................................36
Atualizao do Nessus 3.0 3.0.x
........................................................................................36
Atualizao do Nessus 3.2 e verses posteriores
.................................................................36
Instalao
.................................................................................................................................37
Download do Nessus
............................................................................................................37
Instalao
.............................................................................................................................37
Problemas de instalao
......................................................................................................37
Diretrios principais do Nessus
............................................................................................40
Copyright 2002-2011 Tenable Network Security, Inc.
2
Configurao
............................................................................................................................41
Nessus Server Manager
.......................................................................................................41
Alterao da porta padro do Nessus
...................................................................................42
Registro da instalao do
Nessus.........................................................................................42Restaurao
dos cdigos de ativao
.............................................................................................
44
Criao e gerenciamento de usurios do Nessus
.................................................................44Permitir
conexes remotas
..............................................................................................................
44 Incluso de contas de
usurios........................................................................................................
44 Firewalls instalados no host
.............................................................................................................
47
Iniciar o daemon do Nessus
.................................................................................................48
Atualizao dos plugins
............................................................................................................49
Com que frequncia devo atualizar os
plugins?....................................................................50
Atualizao de plugins por meio de proxies da Web
.............................................................50
Remoo do Nessus
.................................................................................................................50
Max OS X
...............................................................................................................................50
Atualizaes
.............................................................................................................................50
Instalao
.................................................................................................................................51
Configurao
............................................................................................................................54
Nessus Server Manager
.......................................................................................................54
Registro da instalao do
Nessus.........................................................................................55Restaurao
dos cdigos de ativao
.............................................................................................
57
Criao e gerenciamento de usurios do Nessus
.................................................................57Permisso
de conexes remotas
.....................................................................................................
57 Incluso de contas de usurios
........................................................................................................
57
Iniciar o daemon do Nessus
.................................................................................................58
Atualizao dos plugins
............................................................................................................59
Com que frequncia devo atualizar os
plugins?....................................................................59
Remoo do Nessus
.................................................................................................................60
Configurao do daemon do Nessus (usurios avanados)
................................................60 Configurao do
Nessus com certificado SSL personalizado
..............................................65 Nessus sem acesso
Internet
................................................................................................67
Registro do scanner Nessus
.....................................................................................................67
Como obter e instalar plugins atualizados
.................................................................................70
Windows
...............................................................................................................................70
Linux, Solaris e
FreeBSD......................................................................................................70
Max OS X
.............................................................................................................................71
Como trabalhar como SecurityCenter
....................................................................................71
Descrio do
SecurityCenter.....................................................................................................71
Configurao do Nessus para funcionar com o SecurityCenter
................................................72 Unix/Mac OS X
.....................................................................................................................72
Windows
...............................................................................................................................72Como
configurar o Nessus para "escutar" como um daemon de rede
............................................ 72 Criao de contas de
usurios no Windows
....................................................................................
72 Como ativar o servio Nessus no Windows
.....................................................................................
73 Firewalls instalados no host
.............................................................................................................
73
Configurao do SecurityCenter para funcionar com o Nessus
................................................74
Copyright 2002-2011 Tenable Network Security, Inc.
3
Soluo de problemas do Nessus para
Windows..................................................................75
Problemas de instalao/atualizao
........................................................................................75
Problemas de
varredura............................................................................................................75
Para obter mais informaes
..................................................................................................76
Declaraes de licena de terceiros
.......................................................................................78
Sobre a Tenable Network Security
..........................................................................................82
Copyright 2002-2011 Tenable Network Security, Inc.
4
INTRODUOEste documento descreve a instalao e a configurao de
scanner do vulnerabilidades Nessus 4.4 da Tenable Network Security.
Envie-nos seus comentrios e sugestes pelo e-mail
[email protected]. A Tenable Network Security, Inc. desenvolveu e
produziu o scanner de vulnerabilidades Nessus. Alm de aprimorar
constantemente o motor de deteco do Nessus, a Tenable cria a
maioria dos plugins disponveis para o scanner, alm de verificaes de
conformidade e uma grande variedade de polticas de auditoria. Os
pr-requisitos, opes de implementao e orientaes de instalao sero
descritos neste documento. O leitor deve ter conhecimentos bsicos
sobre Unix e varreduras de vulnerabilidades. A partir do Nessus
4.4, o gerenciamento do servidor Nessus pelo usurio realizado por
uma interface da Web e dispensa o uso de um NessusClient autnomo. O
NessusClient autnomo continua a se conectar e operar o scanner, mas
deixar de ser atualizado.
SISTEMAS OPERACIONAIS COMPATVEISO Nessus est disponvel e
funciona com vrios sistemas operacionais e plataformas:
> > > > > > > > > > > >
Debian 5 (i386 e x86-64) Fedora Core 12, 13 e 14 (i386 e x86-64)
FreeBSD 8 (i386 e x86-64) Mac OS X 10.4, 10.5 e 10.6 (i386, x86-64,
ppc) Red Hat ES 4 / CentOS 4 (i386) Red Hat ES 5 / CentOS 5 /
Oracle Linux 5 (i386 e x86-64) Red Hat ES 6 / CentOS 6 (i386 e
x86-64) [Servidor, Desktop, Estao de Trabalho] Solaris 10 (Sparc)
SuSE 9.3 (i386) SuSE 10.0 e 11 (i386 e x86-64) Ubuntu 8.04, 9.10,
10.04 e 10.10 (i386 e x86-64) Windows XP, Server 2003, Server 2008,
Server 2008 R2, Vista e 7 (i386 e x86-64)
PADRES E CONVENESEste documento a traduo de uma verso original
em ingls. Algumas partes do texto permanecem em ingls para indicar
a representao do prprio produto. Em toda a documentao, os nomes de
arquivos, daemons e executveis so indicados com a fonte courier
bold, por exemplo: setup.exe. As opes de linha de comando e
palavras-chaves tambm so impressas indicadas com a fonte courier
bold. As opes de linha de comando podem ou no conter o prompt da
linha de comando e o texto gerado pelos resultados do comando.
Normalmente, o comando executado ser apresentado em negrito para
indicar o que o usurio digitou. Um exemplo da execuo do comando pwd
do Unix apresentado a seguir: # pwd /opt/nessus/ #
Copyright 2002-2011 Tenable Network Security, Inc.
5
As observaes e consideraes importantes so destacadas com este
smbolo nas caixas de texto escurecidas.
As dicas, exemplos e prticas recomendadas so destacados com este
smbolo em branco sobre fundo azul.
CONCEITOS BSICOSO Nessus um scanner de segurana de rede
completo, moderno e fcil de usar. Atualmente, considerado um dos
principais produtos do seu gnero em todo o setor de segurana e
conta com o apoio de organizaes profissionais de segurana da
informao, como o Instituto SANS. O Nessus permite realizar
auditorias remotas e determinar se a rede foi invadida ou usada de
maneira indevida. O Nessus tambm permite verificar a presena de
vulnerabilidades, especificaes de conformidade, violaes de polticas
de contedo e outras anomalias em um computador local.
> Varredura inteligente Ao contrrio de outros scanners de
segurana, o Nessus no
gera alarmes falsos. Ou seja, o programa no pressupe que um
determinado servio est sendo executado em uma porta fixa. Isto
significa que, se o servidor Web for executado na porta 1234, o
Nessus o detectar e testar sua segurana da forma apropriada. O
programa verificar uma vulnerabilidade por meio de explorao sempre
que possvel. Nos casos em que isso no for confivel ou afetar
negativamente o alvo, o Nessus conta com um banner de servidor para
determinar a presena da vulnerabilidade. Nesse caso, o relatrio
gerado indicar se esse mtodo foi utilizado.
> Arquitetura modular A arquitetura cliente/servidor oferece
a flexibilidade de instalar
o scanner (servidor) e conectar-se interface grfica do usurio
(cliente) por intermdio de qualquer computador com um navegador,
reduzindo assim os custos de gerenciamento (um servidor pode ser
acessado por vrios clientes).
> Compatvel com CVE A maioria dos plugins se conecta ao CVE
para que os
administradores possam recuperar mais informaes sobre
vulnerabilidades publicadas. As referncias ao Bugtraq (BID), OSVDB
e alertas de segurana dos fornecedores tambm so incorporadas com
frequncia.
> Arquitetura de plugin Os testes de segurana so gerados por
meio de um plugin
externo e agrupado em uma das 42 famlias. Dessa forma, possvel
adicionar facilmente seus prprios testes, selecionar plugins
especficos ou escolher uma famlia inteira sem a necessidade de
leitura do cdigo do mecanismo do servidor Nessus, nessusd. A lista
completa dos plugins do Nessus est disponvel em
http://www.nessus.org/plugins/index.php?view=all.
> NASL O scanner Nessus utiliza NASL (Nessus Attack Scripting
Language), uma
linguagem criada especificamente para a criao de testes de
segurana de maneira fcil e rpida.
Copyright 2002-2011 Tenable Network Security, Inc.
6
> Banco de dados de vulnerabilidades de segurana atualizado A
Tenable dedicase a desenvolver verificaes de segurana para
vulnerabilidades emergentes. Nosso banco de dados de verificaes de
segurana atualizado diariamente e todas as verificaes de segurana
mais recentes esto disponveis no link
http://www.nessus.org/scripts.php.
> Teste simultneo de hosts Dependendo da configurao do
sistema de scannerNessus, possvel auditar um grande nmero de hosts
ao mesmo tempo.
> Reconhecimento inteligente do servio O Nessus reconhece
quando os hosts de
destino no so compatveis os nmeros de portas atribudos pelo
IANA. Isto significa que reconhecer um servidor de FTP executado em
uma porta que no seja padro (por exemplo: 31337) ou um servidor de
Web funcionando na porta 8080 em vez da porta 80.
> Vrios servios Se dois ou mais servidores de Web forem
executados em um host(por exemplo: um na porta 80 e outro na porta
8080), o Nessus identificar e testar todos eles.
> Compatibilidade entre plugins Os testes de segurana
realizados pelos plugins do
Nessus impedem que sejam realizadas verificaes desnecessrias. Se
o servidor de FTP no permitir logins annimos, no sero realizadas
verificaes de segurana relacionadas a logins annimos.
> Relatrios completos Alm de detectar as vulnerabilidades de
segurana existentesna rede e o nvel de risco de cada uma delas
(baixo, mdio, alto e grave), o Nessus oferece solues de como
atenu-las.
> Suporte total a SSL O Nessus capaz de testar os servios
oferecidos por SSL, comoHTTPS, SMTPS, IMAPS entre outros.
> Smart Plugins (opcional) O Nessus determinar quais plugins
devem ou no seraplicados ao host remoto. Por exemplo: o Nessus no
verificar vulnerabilidades de sendmail no Postfix. Esta opo
denominada otimizao.
> Testes no destrutivos (opcional) Determinadas verificaes
podem ser
prejudiciais a alguns servios de rede. Caso no queira correr o
risco de causar uma falha de servio na sua rede, ative a opo safe
checks (verificao segura) do Nessus. Este comando far com que o
Nessus use banners em vez de explorar falhas reais para detectar
uma vulnerabilidade.
> Frum aberto Encontrou um erro? Dvidas sobre o Nessus?
Inicie uma discusso emhttps://discussions.nessus.org/.
PR-REQUISITOSA Tenable recomenda, no mnimo, 2 GB de memria para
o funcionamento correto do Nessus. Para varreduras maiores em vrias
redes, recomendam-se pelo menos 3 GB de memria, mas podem ser
necessrios at 4 GB. Recomenda-se um processador Pentium 3 operando
a 2 GHz ou superior. Para usar o Mac OS X, recomenda-se um
processador Intel Dual Core de 2 GHz ou superior.
Copyright 2002-2011 Tenable Network Security, Inc.
7
O Nessus pode funcionar em uma instncia do VMware, no entanto,
se o computador simulado usar a converso de endereos de rede (NAT)
para acessar a rede, diversas verificaes de vulnerabilidade do
Nessus, a enumerao de hosts e a identificao de sistemas
operacionais sero afetadas negativamente.
NESSUS UNIXAntes de instalar o Nessus no Unix/Linux, so
necessrias algumas bibliotecas. Normalmente, acompanham a maioria
dos sistemas operacionais e dispensam uma instalao separada.
> > >
OpenSSL (por exemplo: openssl, libssl, libcrypto) zlib
Biblioteca GNU C (por exemplo: libc)
NESSUS PARA WINDOWSAs atualizaes feitas pela Microsoft no
Windows XP SP2 e nas verses mais recentes (Home e Pro) podem afetar
o desempenho do Nessus para Windows. Para aumentar a velocidade e a
confiabilidade das varreduras, recomendvel que o Nessus para
Windows seja instalado em um produto de servidor da famlia
Microsoft Windows, como o Windows Server 2003. Para obter mais
informaes, consulte a seo Soluo de Problemas do Nessus para
Windows.
OPES DE INSTALAOAo instalar o Nessus, muitas vezes necessrio ter
conhecimentos de roteamento, filtros e polticas de firewall.
Recomenda-se que o Nessus seja instalado de modo que a
conectividade IP com as redes a serem examinadas no seja
prejudicada. A instalao em um dispositivo NAT no desejvel, a menos
que a varredura seja realizada na rede interna. Sempre que a
verificao de vulnerabilidade for direcionada a um NAT ou proxy de
aplicativos, a verificao pode ser distorcida e gerar um falso
positivo ou negativo. Alm disso, se o sistema no qual o Nessus est
instalado tiver firewalls no computador, as ferramentas podem
limitar a eficcia de uma varredura remota de vulnerabilidades. Os
firewalls de host podem interferir na varredura de vulnerabilidades
de rede. Dependendo da configurao do firewall, pode impedir, gerar
falsos negativos ou ocultar as sondas de uma varredura do
Nessus.
INSCRIES EM PLUGINS DE VULNERABILIDADESUm grande nmero de
vulnerabilidades emergentes divulgado por fornecedores,
pesquisadores e outras fontes todos os dias. A Tenable se esfora
para testar e disponibilizar o mais rapidamente possvel as
verificaes de vulnerabilidades publicadas recentemente, normalmente
24 horas aps a divulgao. A verificao de uma vulnerabilidade
especfica conhecida pelo scanner Nessus como um plugin. A lista
completa de todos os plugins do Nessus est disponvel em
http://www.nessus.org/plugins/index.php?view=all. A Tenable
distribui os plugins de vulnerabilidades mais recente em dois modos
do Nessus: ProfessionalFeed e HomeFeed. Os plugins so baixados
diretamente da Tenable por meio de um processo automatizado do
Nessus. O Nessus verifica as assinaturas digitais de todos os
plugins baixados para garantir
Copyright 2002-2011 Tenable Network Security, Inc.
8
a integridade dos arquivos. Nas instalaes do Nessus sem acesso
Internet, pode ser usado um processo de atualizao offline para
garantir que o scanner permanea atualizado. Com o Nessus 4, o
usurio deve se registrar para obter um feed de plugin e atualiz-los
antes de iniciar o Nessus e a interface de varredura do Nessus se
torne disponvel. A atualizao do plugin ocorre em segundo plano aps
o registro inicial do scanner e pode levar vrios minutos.
QUAL O FEED CORRETO?As instrues especficas para configurar o
Nessus para receber um HomeFeed ou um ProfessionalFeed sero
apresentadas mais adiante neste documento. Para saber qual o feed
do Nessus adequado para o seu ambiente, considere os seguintes
aspectos:
HomeFeedSe o Nessus for instalado para uso domstico e no
profissional, o usurio deve se inscrever no HomeFeed. Novos plugins
para as vulnerabilidades de segurana mais recentes so liberados
imediatamente para os usurios do HomeFeed. O uso do HomeFeeds
gratuito, mas h uma licena separada do HomeFeed cujos termos e
condies os usurios devem aceitar. Para se inscrever no HomeFeed,
acesse http://www.nessus.org/register/ e registre a sua cpia do
Nessus para usar o HomeFeed. Use o cdigo de ativao que receber no
processo de registro ao configurar o Nessus para fazer atualizaes.
Os usurios do HomeFeed no tm acesso ao Tenable Support Portal, s
verificaes de conformidade ou s polticas de auditoria de
contedo.
ProfessionalFeedSe o Nessus for usado para fins profissionais
(por exemplo: consultoria), seja em um ambiente pblico ou privado,
o usurio deve adquirir um ProfessionalFeed. Novos plugins para as
vulnerabilidades de segurana mais recentes so liberados
imediatamente para os usurios do ProfessionalFeed. Os clientes do
SecurityCenter so automaticamente inscritos no ProfessionalFeed e
no precisam adquirir outro feed, a menos que tenham um scanner
Nessus que no seja gerenciado pelo SecurityCenter. A Tenable presta
suporte comercial aos clientes do ProfessionalFeed e usurios do
Nessus 4 atravs do Tenable Support Portal ou por e-mail. O
ProfessionalFeed tambm contm um conjunto de verificaes de
conformidade de host para Unix e Windows, que permitem realizar
auditorias de conformidade, como SOX, FISMA ou FDCC. possvel
adquirir um ProfessionalFeed na Loja Online da Tenable
(https://store.tenable.com/) ou por meio de uma ordem de compra
enviada aos Parceiros Autorizados do ProfessionalFeed. O usurio
receber um cdigo de ativao da Tenable. Esse cdigo ser usado para
configurar a cpia do Nessus para atualizaes. Se o Nessus for usado
junto com o SecurityCenter da Tenable, o SecurityCenter ter acesso
ao ProfessionalFeed e atualizar automaticamente os scanners
Nessus.
Alguns dispositivos de rede que realizam a inspeo dinmica
(stateful inspection), como firewalls, balanceadores de carga e
sistemas de
Copyright 2002-2011 Tenable Network Security, Inc.
9
deteco/preveno de intruses, podem reagir negativamente quando
uma varredura for realizada atravs deles. O Nessus possui vrias
opes de configurao que podem ajudar a reduzir o impacto da
varredura por meio desses dispositivos, no entanto, a melhor
maneira de prevenir os problemas inerentes varredura com esses
dispositivos de rede realizar uma varredura credenciada.
SUPORTE PARA IPV6A partir da verso 3.2 Beta, o Nessus permite a
varredura de recursos que usam o IPv6. Muitos sistemas operacionais
e dispositivos so distribudos atualmente com suporte para IPv6.
Para realizar varreduras de recursos com IPv6, pelo menos uma
interface IPv6 deve ser configurada no computador em que o Nessus
estiver instalado e o Nessus deve estar em uma rede que reconhea o
IPv6 (o Nessus no pode examinar recursos IPv6 atravs do IPv4, mas
pode enumerar as interfaces IPv6 atravs de varreduras credenciadas
por IPv4). A notao IPv6 completa e compactada reconhecida para
iniciar varreduras. O Microsoft Windows no possui algumas das
principais APIs necessrias para a falsificao de pacotes IPv6 (por
exemplo: obteno do endereo MAC do roteador, tabela de roteamento
etc.). Isto, por sua vez, impede que o scanner de portas funcione
corretamente. A Tenable est desenvolvendo aprimoramentos que
solucionem as restries de API em futuras verses do Nessus.
UNIX/LINUXATUALIZAESEsta seo descreve como atualizar o Nessus a
partir de uma verso de instalao anterior do programa. A tabela a
seguir apresenta instrues de atualizao do servidor Nessus em todas
as plataformas suportadas anteriormente. Os parmetros de configurao
e os usurios criados anteriormente permanecero intactos. Antes de
interromper o nessusd, verifique se todas as varreduras em execuo
foram concludas. Todas as instrues especiais de atualizao so
indicadas em uma observao aps o exemplo. Plataforma Instrues de
atualizao
Red Hat ES 4 (32 bits), ES 5 (32 e 64 bits) Comandos de
atualizao # service nessusd stop Use um dos comandos abaixo
correspondente verso do Red Hat que est em uso:
Copyright 2002-2011 Tenable Network Security, Inc.
10
# rpm -Uvh Nessus-4.4.0-es4.i386.rpm # rpm -Uvh
Nessus-4.4.0-es5.i386.rpm # rpm -Uvh Nessus-4.4.0-es5.x86_64.rpm
Quando a atualizao for concluda, reinicie o servio nessusd com o
seguinte comando: # service nessusd start Exemplo de resultado #
service nessusd stop Shutting down Nessus services: [ OK ] # rpm
-Uvh Nessus-4.4.0-es4.i386.rpm Preparing...
########################################### [100%] Shutting down
Nessus services: 1: Nessus
########################################## [100%] nessusd (Nessus)
4.4.0 for Linux (C) 1998 2011 Tenable Network Security, Inc.
Processing the Nessus plugins...
[##################################################] All plugins
loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin
user - Register your Nessus scanner at
http://www.nessus.org/register/ to obtain all the newest plugins -
You can start nessusd by typing /sbin/service nessusd start #
service nessusd start Starting Nessus services: # Fedora Core 12,
13 e 14 (32 e 64 bits) Comandos de atualizao # service nessusd stop
Use um dos comandos abaixo correspondente verso do Fedora Core que
est em uso: # # # # rpm rpm rpm rpm -Uvh -Uvh -Uvh -Uvh
Nessus-4.4.0-fc12.i386.rpm Nessus-4.4.0-fc12.x86_64.rpm
Nessus-4.4.0-fc14.i386.rpm Nessus-4.4.0-fc14.x86_64.rpm [ OK ]
Quando a atualizao for concluda, reinicie o servio nessusd com o
seguinte comando: # service nessusd start Exemplo de resultado #
service nessusd stop Shutting down Nessus services: # rpm -Uvh
Nessus-4.4.0-fc12.i386.rpm [ OK ]
Copyright 2002-2011 Tenable Network Security, Inc.
11
Preparing... ################################################
[100%] Shutting down Nessus services: 1:Nessus
###################################### [100%] nessusd (Nessus)
4.4.0 for Linux (C) 1998 2011 Tenable Network Security, Inc.
Processing the Nessus plugins...
[##################################################] All plugins
loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin
user - Register your Nessus scanner at
http://www.nessus.org/register/ to obtain all the newest plugins -
You can start nessusd by typing /sbin/service nessusd start #
service nessusd start Starting Nessus services: # SuSE 9.3 (32
bits), 10 (32 e 64 bits) Comandos de atualizao # service nessusd
stop Use um dos comandos abaixo correspondente verso do SuSE que
est em uso: # rpm -Uvh Nessus-4.4.0-suse9.3.i586.rpm # rpm -Uvh
Nessus-4.4.0-suse10.0.i586.rpm # rpm -Uvh
Nessus-4.4.0-suse10.x86_64.rpm Quando a atualizao for concluda,
reinicie o servio nessusd com o seguinte comando: # service nessusd
start Exemplo de resultado # service nessusd stop Shutting down
Nessus services: [ OK ] # rpm -Uvh Nessus-4.4.0-suse10.0.i586.rpm
Preparing... ############################################### [100%]
Shutting down Nessus services: 1:Nessus
###################################### [100%] nessusd (Nessus)
4.4.0 for Linux (C) 1998 2011 Tenable Network Security, Inc.
Processing the Nessus plugins...
[##################################################] All plugins
loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin
user [ OK ]
Copyright 2002-2011 Tenable Network Security, Inc.
12
- Register your Nessus scanner at
http://www.nessus.org/register/ to obtain all the newest plugins -
You can start nessusd by typing /sbin/service nessusd start #
service nessusd start Starting Nessus services: # Debian 5 (32 e 64
bits) Comandos de atualizao # /etc/init.d/nessusd stop Use um dos
comandos abaixo correspondente verso do Debian que est em uso: #
dpkg -i Nessus-4.4.0-debian5_i386.deb # dpkg -i
Nessus-4.4.0-debian5_amd64.deb # /etc/init.d/nessusd start Exemplo
de resultado # /etc/init.d/nessusd stop # dpkg -i
Nessus-4.4.0-debian5_i386.deb (Reading database ... 19831 files and
directories currently installed.) Preparing to replace nessus 4.4.0
(using Nessus-4.4.0debian5_i386.deb) ... Shutting down Nessus : .
Unpacking replacement nessus ... Setting up nessus (4.4.0) ...
nessusd (Nessus) 4.4.0. for Linux (C) 2009 Tenable Network
Security, Inc. Processing the Nessus plugins...
[##################################################] All plugins
loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin
user - Register your Nessus scanner at
http://www.nessus.org/register/ to obtain all the newest plugins -
You can start nessusd by typing /etc/init.d/nessusd start #
/etc/init.d/nessusd start Starting Nessus : . # [ OK ]
Copyright 2002-2011 Tenable Network Security, Inc.
13
Ubuntu 8.04, 9.10, 10.04 e 10.10 (32 e 64 bits) Comandos de
atualizao # /etc/init.d/nessusd stop Use um dos comandos abaixo
correspondente verso do Ubuntu que est em uso: # # # # # # dpkg
dpkg dpkg dpkg dpkg dpkg -i -i -i -i -i -i
Nessus-4.4.0-ubuntu804_i386.deb Nessus-4.4.0-ubuntu804_amd64.deb
Nessus-4.4.0-ubuntu910_i386.deb Nessus-4.4.0-ubuntu910_amd64.deb
Nessus-4.4.0-ubuntu1010_amd64.deb
Nessus-4.4.0-ubuntu1010_i386.deb
# /etc/init.d/nessusd start Exemplo de resultado #
/etc/init.d/nessusd stop # dpkg -i Nessus-4.4.0-ubuntu804_i386.deb
(Reading database ... 19831 files and directories currently
installed.) Preparing to replace nessus 4.4.0 (using
Nessus-4.4.0ubuntu810_i386.deb) ... Shutting down Nessus : .
Unpacking replacement nessus ... Setting up nessus (4.4.0) ...
nessusd (Nessus) 4.4.0. for Linux (C) 2011 Tenable Network
Security, Inc. Processing the Nessus plugins...
[##################################################] All plugins
loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin
user - Register your Nessus scanner at
http://www.nessus.org/register/ to obtain all the newest plugins -
You can start nessusd by typing /etc/init.d/nessusd start #
/etc/init.d/nessusd start Starting Nessus : . # Solaris 10 (Sparc)
Comandos de atualizao # /etc/init.d/nessusd stop # pkginfo | grep
nessus O exemplo a seguir descreve o resultado do comando
anterior
Copyright 2002-2011 Tenable Network Security, Inc.
14
exibindo o pacote do Nessus: application TNBLnessus
Vulnerability Scanner The Nessus Network
Para excluir o pacote do Nessus de um sistema Solaris, execute o
seguinte comando: # pkgrm # gunzip
Nessus-4.x.x-solaris-sparc.pkg.gz # pkgadd -d
./Nessus-4.4.0-solaris-sparc.pkg The following packages are
available: 1 TNBLnessus-4-2-0 TNBLnessus (sparc) 4.4.0 Select
package(s) you wish to process (or 'all' to process all packages).
(default: all) [?,??,q]: 1 # /etc/init.d/nessusd start Exemplo de
resultado # /etc/init.d/nessusd stop # pkginfo | grep nessus
application TNBLnessus Vulnerability Scanner # pkgrm TNBLnessus
(output redacted) ## Updating system information. Removal of was
successful. # gunzip Nessus-4.4.0-solaris-sparc.pkg.gz # pkgadd -d
./Nessus-4.4.0-solaris-sparc.pkg The following packages are
available: 1 TNBLnessus The Nessus Network Vulnerability Scanner
(sparc) 4.4.0 Select package(s) you wish to process (or 'all' to
process all packages). (default: all) [?,??,q]: 1 Processing
package instance from The Nessus Network Vulnerability Scanner
(sparc) 4.4.0 ## Processing package information. ## Processing
system information. 13 package pathnames are already properly
installed. ## Verifying disk space requirements. ## Checking for
conflicts with packages already installed. The Nessus Network
Copyright 2002-2011 Tenable Network Security, Inc.
15
## Checking for setuid/setgid programs. This package contains
scripts which will be executed with super-user permission during
the process of installing this package. Do you want to continue
with the installation of [y,n,?]y Installing The Nessus Network
Vulnerability Scanner as ## Installing part 1 of 1. (output
redacted) ## Executing postinstall script. - Please run
/opt/nessus/sbin/nessus-adduser to add a user - Register your
Nessus scanner at http://www.nessus.org/register/ to obtain all the
newest plugins - You can start nessusd by typing
/etc/init.d/nessusd start Installation of was successful. #
/etc/init.d/nessusd start # Observaes Para atualizar o Nessus no
Solaris, preciso desinstalar primeiro a verso existente e instalar
a verso mais recente. Este processo no excluir os arquivos de
configurao ou os arquivos que no faziam parte da instalao original.
Se forem encontrados erros de compatibilidade de bibliotecas,
verifique se o ltimo Cluster de Patches Recomendados do Solaris da
Sun foi aplicado. FreeBSD 8 (32 e 64 bits) Comandos de atualizao #
killall nessusd # pkg_info Este comando gera uma lista de todos os
pacotes instalados, e suas descries. O exemplo a seguir descreve o
resultado do comando anterior exibindo o pacote do Nessus:
Nessus-4.2.2 A powerful security scanner
Exclua o pacote do Nessus por meio do seguinte comando: #
pkg_delete Use um dos comandos abaixo correspondente verso do
Copyright 2002-2011 Tenable Network Security, Inc.
16
FreeBSD que est em uso: # pkg_add Nessus-4.4.0-fbsd8.tbz #
pkg_add Nessus-4.4.0-fbsd8.amd64.tbz #
/usr/local/nessus/sbin/nessusd -D Exemplo de resultado # killall
nessusd # pkg_delete Nessus-4.2.2 # pkg_add Nessus-4.4.0-fbsd8.tbz
nessusd (Nessus) 4.4.0. for FreeBSD (C) 2011 Tenable Network
Security, Inc. Processing the Nessus plugins...
[##################################################] All plugins
loaded - Please run /usr/local/nessus/sbin/nessus-adduser to add an
admin user - Register your Nessus scanner at
http://www.nessus.org/register/ to obtain all the newest plugins -
You can start nessusd by typing /usr/local/etc/rc.d/nessusd.sh
start # /usr/local/nessus/sbin/nessusd -D nessusd (Nessus) 4.4.0.
for FreeBSD (C) 2011 Tenable Network Security, Inc. Processing the
Nessus plugins...
[##################################################] All plugins
loaded # Observaes Para atualizar o Nessus no FreeBSD, preciso
desinstalar primeiro a verso existente e instalar a verso mais
recente. Este processo no excluir os arquivos de configurao ou os
arquivos que no faziam parte da instalao original.
Copyright 2002-2011 Tenable Network Security, Inc.
17
INSTALAOA atualizao e o processamento inicial dos plugins do
Nessus podem demorar alguns minutos. O servidor da Web exibir a
mensagem Nessus is initializing.. (O Nessus est iniciando...) e ser
recarregado quando terminar. Baixe a ltima verso do Nessus em
http://www.nessus.org/download/ ou por meio do Tenable Support
Portal. Verifique a integridade do pacote de instalao ao comparar o
checksum MD5 do download com o checksum MD5 listado no arquivo
MD5.asc aqui. Exceto quando indicado em contrrio, todos os comandos
devem ser executados como usurio root do sistema. Em geral, as
contas comuns de usurios no possuem os privilgios necessrios para
instalar este software. A tabela a seguir apresenta instrues de
instalao do servidor Nessus em todas as plataformas suportadas.
Todas as instrues especiais de atualizao so indicadas em uma
observao aps o exemplo. Plataforma Instrues de instalao
Red Hat ES 4 (32 bits), ES 5 (32 e 64 bits) Comando de instalao
Use um dos comandos abaixo correspondente verso do Red Hat que est
em uso: # rpm -ivh Nessus-4.4.0-es4.i386.rpm # rpm -ivh
Nessus-4.4.0-es5.i386.rpm # rpm -ivh Nessus-4.4.0-es5.x86_64.rpm
Exemplo de resultado # rpm -ivh Nessus-4.4.0-es4.i386.rpm
Preparing... ########################################### [100%]
1:Nessus ########################################### [100%] nessusd
(Nessus) 4.4.0. for Linux (C) 1998 - 2011 Tenable Network Security,
Inc. - Please run /opt/nessus//sbin/nessus-adduser to add a user -
Register your Nessus scanner at http://www.nessus.org/register/ to
obtain all the newest plugins - You can start nessusd by typing
/sbin/service nessusd start # Fedora Core 12, 13 e 14 (32 e 64
bits) Comando de instalao Use um dos comandos abaixo correspondente
verso do Fedora Core que est em uso:
Copyright 2002-2011 Tenable Network Security, Inc.
18
# # # # Exemplo de resultado
rpm rpm rpm rpm
-ivh -ivh -ivh -ivh
Nessus-4.4.0-fc12.i386.rpm Nessus-4.4.0-fc12.x86_64.rpm
Nessus-4.4.0-fc14.i386.rpm Nessus-4.4.0-fc14.x86_64.rpm
# rpm -ivh Nessus-4.4.0-fc12.i386.rpm Preparing...
########################################### [100%] 1:Nessus
########################################### [100%] nessusd (Nessus)
4.4.0. for Linux (C) 1998 - 2011 Tenable Network Security, Inc. -
Please run /opt/nessus//sbin/nessus-adduser to add a user -
Register your Nessus scanner at http://www.nessus.org/register/ to
obtain all the newest plugins - You can start nessusd by typing
/sbin/service nessusd start #
SuSE 9.3 (32 bits), 10 (32 e 64 bits) Comando de instalao Use um
dos comandos abaixo correspondente verso do SuSE que que est em
uso: # rpm -ivh Nessus-4.4.0-suse9.3.i586.rpm # rpm -ivh
Nessus-4.4.0-suse10.0.i586.rpm # rpm ivh
Nessus-4.4.0-suse10.x86_64.rpm Exemplo de resultado # rpm -ivh
Nessus-4.4.0-suse10.0.i586.rpm Preparing...
################################## [100%] 1:Nessus
################################## [100%] Nessusd {Nessus} 4.4.0.
for Linux (C) 1998 - 2011 Tenable Network Security, Inc. - Please
run /opt/nessus//sbin/nessus-adduser to add a user - Register your
Nessus scanner at http://www.nessus.org/register/ to obtain all the
newest plugins - You can start nessusd by typing /etc/rc.d/nessusd
start # Debian 5 (32 e 64 bits) Comando de instalao Use um dos
comandos abaixo correspondente verso do Debian que est em uso: #
dpkg -i Nessus-4.4.0 -debian5_i386.deb
Copyright 2002-2011 Tenable Network Security, Inc.
19
# dpkg -i Nessus-4.4.0 -debian5_amd64.deb Exemplo de resultado #
dpkg -i Nessus-4.4.0-debian5_i386.deb Selecting previously
deselected package nessus. (Reading database ... 36954 files and
directories currently installed.) Unpacking nessus (from
Nessus-4.4.0-debian5_i386.deb) ... Setting up nessus (4.4.0) ...
nessusd (Nessus) 4.4.0. for Linux (C) 1998 - 2011 Tenable Network
Security, Inc. - Please run /opt/nessus/sbin/nessus-adduser to add
a user - Register your Nessus scanner at
http://www.nessus.org/register/ to obtain all the newest plugins -
You can start nessusd by typing /etc/init.d/nessusd start #
Observaes O daemon Nessus no pode ser iniciado at que o Nessus
tenha sido registrado e um plugin baixado. Normalmente, o Nessus
vem com um conjunto de plugins vazio. Ao tentar iniciar o Nessus
sem plugins, o seguinte resultado ser gerado: # /etc/init.d/nessusd
start Starting Nessus : . # Missing plugins. Attempting a plugin
update... Your installation is missing plugins. Please register and
try again. To register, please visit
http://www.nessus.org/register/ Ubuntu 8.04, 9.10, 10.04 e 10.10
(32 e 64 bits) Comando de instalao Use um dos comandos abaixo
correspondente verso do Ubuntu que est em uso: # # # # # # Exemplo
de resultado dpkg dpkg dpkg dpkg dpkg dpkg -i -i -i -i -i -i
Nessus-4.4.0-ubuntu804_i386.deb Nessus-4.4.0-ubuntu804_amd64.deb
Nessus-4.4.0-ubuntu910_i386.deb Nessus-4.4.0-ubuntu910_amd64.deb
Nessus-4.4.0-ubuntu1010_amd64.deb
Nessus-4.4.0-ubuntu1010_i386.deb
# dpkg -i Nessus-4.4.0-ubuntu804_amd64.deb Selecting previously
deselected package nessus. (Reading database ... 32444 files and
directories currently installed.) Unpacking nessus (from
Nessus-4.4.0-ubuntu804_amd64.deb) ... Setting up nessus (4.4.0) ...
- Please run /opt/nessus/sbin/nessus-adduser to add a user
Copyright 2002-2011 Tenable Network Security, Inc.
20
- Register your Nessus scanner at
http://www.nessus.org/register/ to obtain all the newest plugins -
You can start nessusd by typing /etc/init.d/nessusd start # Solaris
10 (Sparc) Comando de instalao # gunzip
Nessus-4.4.0-solaris-sparc.pkg.gz # pkgadd -d
./Nessus-4.4.0-solaris-sparc.pkg The following packages are
available: 1 TNBLnessus The Nessus Network Vulnerability Scanner
(sparc) 4.4.0 Select package(s) you wish to process (or 'all' to
process all packages). (default: all) [?,??,q]:1 Exemplo de
resultado # gunzip Nessus-4.4.0-solaris-sparc.pkg.gz # pkgadd -d
./Nessus-4.4.0-solaris-sparc.pkg The following packages are
available: 1 TNBLnessus The Nessus Network Vulnerability Scanner
(sparc) 4.4.0 Select package(s) you wish to process (or 'all' to
process all packages). (default: all) [?,??,q]:1 Processing package
instance from The Nessus Network Vulnerability Scanner(sparc) 4.4.0
## Processing package information. ## Processing system
information. ## Verifying disk space requirements. ## Checking for
conflicts with packages already installed. ## Checking for
setuid/setgid programs. This package contains scripts which will be
executed with super-user permission during the process of
installing this package. Do you want to continue with the
installation of [y,n,?]y Installing The Nessus Network
Vulnerability Scanner as ## Installing part 1 of 1. (output
redacted) ## Executing postinstall script. - Please run
/opt/nessus/sbin/nessus-adduser to add a user - Register your
Nessus scanner at http://www.nessus.org/register/ to obtain
Copyright 2002-2011 Tenable Network Security, Inc.
21
all the newest plugins - You can start nessusd by typing
/etc/init.d/nessusd start Installation of was successful. #
/etc/init.d/nessusd start # Observaes Se forem encontrados erros de
compatibilidade de bibliotecas, verifique se o ltimo Cluster de
Patches Recomendados do Solaris da Sun foi aplicado.
FreeBSD 8 (32 e 64 bits) Comando de instalao Use um dos comandos
abaixo correspondente verso do FreeBSD que est em uso: # pkg_add
Nessus-4.4.0-fbsd8.tbz # pkg_add Nessus-4.4.0-fbsd8.amd64.tbz
Exemplo de resultado # pkg_add Nessus-4.4.0-fbsd8.tbz nessusd
(Nessus) 4.4.0 for FreeBSD (C) 1998 2011 Tenable Network Security,
Inc. Processing the Nessus plugins...
[##################################################] All plugins
loaded - Please run /usr/local/nessus/sbin/nessus-adduser to add an
admin user - Register your Nessus scanner at
http://www.nessus.org/register/ to obtain all the newest plugins -
You can start nessusd by typing /usr/local/etc/rc.d/nessusd.sh
start # Depois que o Nessus for instalado, recomenda-se
personalizar o arquivo de configurao fornecido de acordo com o seu
ambiente, conforme descrito na seo Configurao. O Nessus deve ser
instalado em /opt/nessus. No entanto, se /opt/nessus for um link
simblico apontando para outro lugar, ele ser aceito.
CONFIGURAODiretrios principais do NessusA tabela a seguir indica
o local de instalao e os diretrios principais usados pelo
Nessus:
Copyright 2002-2011 Tenable Network Security, Inc.
22
Diretrio inicial do Nessus Distribuies do Unix Red Hat, SuSE,
Debian, Ubuntu, Solaris: /opt/nessus
Subdiretrios do Nessus
Objetivo
./etc/nessus/ ./var/nessus/users//kbs/
Arquivos de configurao Banco de dados de conhecimento dos
usurios salvo em disco Plugins do Nessus Arquivos de log do
Nessus
FreeBSD: /usr/local/nessus Mac OS X: /Library/Nessus/run
./lib/nessus/plugins/ ./var/nessus/logs/
Criar usurios do NessusCrie pelo menos um usurio do Nessus para
que os utilitrios clientes possam se conectar ao Nessus para
iniciar varreduras e acessar os resultados. Exceto quando indicado
em contrrio, todos os comandos devem ser executados como usurio
root do sistema. Para autenticar a senha use o comando
nessus-adduser para adicionar usurios. Recomenda-se que o primeiro
usurio criado seja o usurio admin. Cada usurio do Nessus possui um
conjunto de regras denominadas regras do usurio, que controlam o
que podem e no podem fazer durante a varredura. Normalmente, se as
regras do usurio no forem inseridas durante a criao de um novo
usurio do Nessus, o usurio poder realizar a varredura em qualquer
intervalo de IPs. O Nessus reconhece um conjunto global de regras
mantido no arquivo nessusd.rules. Essas regras tm precedncia sobre
as regras especficas do usurio. As regras especficas de um usurio
so criadas para refinar ainda mais as regras globais existentes. #
/opt/nessus/sbin/nessus-adduser Login : sumi_nessus Login password
: Login password (again) : Do you want this user to be a Nessus
'admin' user ? (can upload plugins, etc...) (y/n) [n]: y User rules
---------nessusd has a rules system which allows you to restrict
the hosts that sumi_nessus has the right to test. For instance, you
may want him to be able to scan his own host only. Please see the
nessus-adduser manual for the rules syntax
Copyright 2002-2011 Tenable Network Security, Inc.
23
Enter the rules for this user, and enter a BLANK LINE once you
are done : (the user can have an empty rules set)
Login : sumi_nessus Password : *********** This user will have
'admin' privileges within the Nessus server Rules : Is that ok ?
(y/n) [y] y User added #
Um usurio que no seja administrador no poder enviar plugins ao
Nessus, no poder reinici-lo remotamente (necessrio aps o envio de
um plugin) e no poder ignorar a configurao max_hosts/max_checks em
nessusd.conf. Caso seja necessrio o uso do SecurityCenter pelo
usurio, ele dever ser um usurio admin. O SecurityCenter mantm a sua
prpria lista de users e define permisses para seus usurios. O
scanner Nessus capaz de reconhecer uma disposio complexa de vrios
usurios. Por exemplo: diversas pessoas uma organizao podem ter
acesso ao mesmo scanner Nessus, mas com a capacidade de examinar
intervalos IP diferentes, restringindo o acesso a alguns intervalos
de IP restritos a pessoas autorizadas. O exemplo a seguir destaca a
criao de um segundo usurio do Nessus com autenticao por senha e
regras que limitam o usurio varredura de uma sub-rede classe B,
172.20.0.0/16. Para ver mais exemplos e a sintaxe das regras de
usurios, consulte as pginas man nessus-adduser. #
/opt/nessus/sbin/nessus-adduser Login : tater_nessus Login password
: Login password (again) : Do you want this user to be a Nessus
'admin' user ? (can upload plugins, etc...) (y/n) [n]: n User rules
---------nessusd has a rules system which allows you to restrict
the hosts that tater_nessus has the right to test. For instance,
you may want him to be able to scan his own host only. Please see
the nessus-adduser manual for the rules syntax Enter the rules for
this user, and enter a BLANK LINE once you are done : (the user can
have an empty rules set) accept 172.20.0.0/16 deny 0.0.0.0/0
Login : tater_nessus
Copyright 2002-2011 Tenable Network Security, Inc.
24
Password : *********** Rules : accept 172.20.0.0/16 deny
0.0.0.0/0 Is that ok ? (y/n) [y] y User added #
Para visualizar a pgina man nessus-adduser(8), pode ser
necessrio, em alguns sistemas operacionais, executar os seguintes
comandos: # export MANPATH=/opt/nessus/man # man nessus-adduser
No Nessus 4.0.x e verses anteriores, a autenticao entre o
Cliente Nessus e o Servidor Nessus podia ser configurada atravs de
certificados SSL. Isso deixou de ser exigido, pois o servidor
Nessus acessado por meio de autenticao SSL pela Web e no por um
cliente Nessus independente. A nica exceo a autenticao entre o
SecurityCenter e o servidor Nessus, pois o SecurityCenter funciona
como um cliente Nessus. As informaes sobre a autenticao do
certificado SSL nesta configurao esto disponveis na documentao do
SecurityCenter.
Instalao do cdigo de ativao do pluginSe o Tenable SecurityCenter
for usado, o cdigo de ativao e as atualizaes do plugin sero
gerenciadas por meio do SecurityCenter. Para se comunicar com o
SecurityCenter, o Nessus precisa ser iniciado e, para isso, requer
um cdigo de ativao vlido e plugins. Para fazer com que o Nessus
ignore essa exigncia e seja iniciado (para receber as atualizaes de
plugins do SecurityCenter), execute o seguinte comando: #
nessus-fetch --security-center Logo aps a execuo do comando
nessus-fetch acima, use o respectivo comando para iniciar o
servidor Nessus. O servidor Nessus pode ser adicionado em seguida
ao SecurityCenter por meio da interface da Web do SecurityCenter.
Consulte a configurao de um feed centralizado de plugins para vrios
scanners Nessus na documentao do SecurityCenter. Antes de iniciar o
Nessus pela primeira vez, preciso fornecer um cdigo de ativao para
baixar os plugins atuais. O download e o processamento inicial dos
plugins exigir um tempo a mais antes que o servidor Nessus esteja
pronto. Dependendo do servio de assinatura, o usurio receber um
cdigo de ativao com o qual poder baixar os plugins do
ProfessionalFeed ou do HomeFeed. Isto ir sincronizar o scanner
Nessus do usurio com todos os plugins disponveis. Os cdigos de
ativao podem se formados por sequncias de 16 ou 20 caracteres
alfanumricos com traos.
Copyright 2002-2011 Tenable Network Security, Inc.
25
Para instalar o cdigo de ativao, digite o seguinte comando no
sistema onde o Nessus est instalado (): Linux e Solaris: #
/opt/nessus/bin/nessus-fetch --register FreeBSD: #
/usr/local/nessus/bin/nessus-fetch --register Depois do registro
inicial, o Nessus baixar e reunir os plugins obtidos de
plugins.nessus.org, plugins-customers.nessus.org ou
plugins-us.nessus.org em segundo plano. Pode levar at 10 minutos
para que o servidor Nessus esteja pronto ao realizar este
procedimento pela primeira vez. Quando a mensagem nessusd is ready
(nessusd est pronto) surgir no log do nessusd.messages, o servidor
Nessus aceitar conexes de clientes e a interface de varredura ficar
disponvel. O cdigo de ativao no diferencia maisculas de
minsculas.
necessria uma conexo Internet para esta etapa. Se o Nessus for
usado em um sistema que no possui conexo Internet, siga as etapas
indicadas na seo Nessus sem acesso Internet para instalar o cdigo
de ativao. O exemplo abaixo mostra as etapas necessrias para
registrar o cdigo de ativao do plugin, acessar os plugins mais
recentes no site do Nessus e verificar se o download foi realizado
com sucesso. # /opt/nessus/bin/nessus-fetch --register
XXXX-XXXX-XXXX-XXXX-XXXX Your activation code has been registered
properly thank you. Now fetching the newest plugin set from
plugins.nessus.org... Your Nessus installation is now up-to-date.
If auto_update is set to 'yes' in nessusd.conf, Nessus will update
the plugins by itself. # cat
/opt/nessus/lib/nessus/plugins/plugin_feed_info.inc PLUGIN_SET =
"200912160934"; PLUGIN_FEED = "ProfessionalFeed (Direct)"; O
arquivo plugin_feed_info.inc, localizado no diretrio
/opt/nessus/lib/nessus/plugins/, verificar qual conjunto de plugins
e tipo de feed voc possui. Leia o arquivo para ajud-lo a garantir
que os ltimos plugins estejam disponveis.
COMO INICIAR O DAEMON DO NESSUSO Nessus no ser iniciado at que o
scanner seja registrado e os plugins sejam baixados. Os usurios do
SecurityCenter que digitaram o comando a seguir no precisaro
fornecer um cdigo de registro ou baixar plugins. # nessus-fetch
--security-center
Copyright 2002-2011 Tenable Network Security, Inc.
26
Inicie o servio Nessus como root com o seguinte comando: Linux e
Solaris: # /opt/nessus/sbin/nessus-service -D FreeBSD: #
/usr/local/nessus/sbin/nessus-service -D O exemplo a seguir mostra
uma tela de inicializao do nessusd no Red Hat: #
/opt/nessus/sbin/nessus-service -D nessusd (Nessus) 4.4.0 for Linux
(C) 1998 - 2011 Tenable Network Security, Inc. Processing the
Nessus plugins...
[##################################################] All plugins
loaded # Para suprimir o resultado do comando, use a opo -q da
seguinte forma: Linux e Solaris: # /opt/nessus/sbin/nessus-service
-q -D FreeBSD: # /usr/local/nessus/sbin/nessus-service -q -D O
Nessus tambm pode ser iniciado com o comando a seguir, dependendo
da plataforma de sistema operacional: Sistema operacional Red Hat
Fedora Core SuSE Debian FreeBSD Comando para iniciar o nessusd #
/sbin/service nessusd start # /sbin/service nessusd start #
/etc/rc.d/nessusd start # /etc/init.d/nessusd start #
/usr/local/etc/rc.d/nessusd.sh start
Copyright 2002-2011 Tenable Network Security, Inc.
27
Solaris Ubuntu
# /etc/init.d/nessusd start # /etc/init.d/nessusd start
Depois de iniciar o servio nessusd, os usurios do SecurityCenter
concluiro a instalao e configurao iniciais do seu scanner Nessus 4.
Se o SecurityCenter no for usado para se conectar ao nessusd,
prossiga com as seguintes instrues para instalar o cdigo de ativao
do plugin.
COMO PARAR O DAEMON DO NESSUSCaso seja necessrio parar o servio
nessusd por qualquer motivo, o comando a seguir interromper o
Nessus e todas as varreduras em andamento: # killall nessusd Em vez
disso, recomendamos que os scripts de desligamento gradual sejam
usados: Sistema operacional Red Hat Fedora Core SuSE Debian FreeBSD
Solaris Ubuntu Comando de interrupo do nessusd # /sbin/service
nessusd stop # /sbin/service nessusd stop # /etc/rc.d/nessusd stop
# /etc/init.d/nessusd stop # /usr/local/etc/rc.d/nessusd.sh stop #
/etc/init.d/nessusd stop # /etc/init.d/nessusd stop
OPES DE LINHA DE COMANDO DO NESSUSDAlm de executar o servidor
nessusd, vrias outras opes de linha de comando podem ser usadas
quando necessrio. A tabela a seguir contm informaes sobre esses
vrios comandos opcionais. Opo -c Descrio Ao iniciar o servidor
nessusd, esta opo usada para especificar o arquivo de configurao
nessusd do servidor a ser usado. Ele permite o uso de outro arquivo
de configurao em
Copyright 2002-2011 Tenable Network Security, Inc.
28
vez do /opt/nessus/etc/nessus/nessusd.conf padro (ou
/usr/local/nessus/etc/nessus/nessusd.conf no FreeBSD). -a Ao
iniciar o servidor nessusd, esta opo usada para instruir o servidor
que escute apenas as conexes no endereo que sejam um IP e no um
nome de computador. Esta opo til ao executar o nessusd em um
gateway e se o usurio no desejar que usurios externos se conectem
ao nessusd. Ao iniciar o servidor nessusd, este comando fora o IP
de origem das conexes estabelecidas pelo Nessus durante a varredura
de . Esta opo s ser til se o usurio tiver um computador com vrios
homes e endereos IP pblicos que podem ser usados em vez do IP
padro. Para que esta configurao funcione, o host que executa o
nessusd deve ter vrias placas de rede com esses endereos IP
definidos. Ao iniciar o servidor nessusd, esta opo instrui o
servidor que escute conexes do cliente na porta em vez de escutar
na porta 1241, que a porta padro. Ao iniciar o servidor nessusd,
esta opo far com que o servidor funcione em segundo plano (no modo
daemon). Exibe o nmero da verso e desconecta. Exibe as informaes
sobre a licena do feed do plugin e desconecta. Mostra o resumo dos
comandos e desconecta. Escuta apenas o soquete IPv4. Escuta apenas
o soquete IPv6. Funciona no modo silencioso ao suprimir todas as
mensagens enviadas a stdout. Fora o reprocessamento dos plugins.
Verifica a data e hora de cada plugin na inicializao. Define uma
senha mestra para o scanner.
-S
-p
-D -v -l -h --ipv4-only --ipv6-only -q -R -t -K
Se uma senha mestra for definida, o Nessus ir criptografar todas
as polticas e credenciais contidas neles com a chave fornecida pelo
usurio (mais segura que a chave padro). Se uma senha for definida,
a interface de Web solicitar a senha durante a inicializao.
Copyright 2002-2011 Tenable Network Security, Inc.
29
ATENO: Se a senha mestra for definida e perdida, o administrador
e o suporte da Tenable no podero recuper-la. Um exemplo de uso
mostrado a seguir: Linux: # /opt/nessus/sbin/nessus-service [-vhD]
[-c ] [-p ] [-a ] [-S ] FreeBSD: #
/usr/local/nessus/sbin/nessus-service [-vhD] [-c ] [-p ] [-a ] [-S
]
CONEXO COM O CLIENTEDepois que a instalao for concluda e os
plugins atualizados e processados, o servidor Nessus estar pronto
para que um cliente se conecte a ele. A Tenable permite o acesso ao
servidor Nessus por meio de um servidor Web original (normalmente
porta 8834), da linha de comando ou da interface do SecurityCenter
(abordada na seo Trabalhando com SecurityCenter). As informaes
sobre como acessar o servidor Web/interface de usurio e a operao
por linha de comando esto disponveis no Guia do Usurio Nessus
localizado em http://www.tenable.com/products/nessus/documentation.
A atualizao e o processamento inicial dos plugins do Nessus podem
demorar alguns minutos. O servidor Web estar disponvel, mas no
permitir o login at que o processamento do plugin seja
concludo.
ATUALIZAO DOS PLUGINSO comando a seguir usado para atualizar o
scanner Nessus com os plugins mais recentes: Linux e Solaris: #
/opt/nessus/sbin/nessus-update-plugins FreeBSD: #
/usr/local/nessus/sbin/nessus-update-plugins medida que novas
falhas so descobertas e publicadas todos os dias, novos plugins do
Nessus so escritos diariamente. Para manter o scanner Nessus
atualizado com os ltimos plugins, tornando suas varreduras to
precisas quanto possvel, preciso atualizar os plugins
regularmente.
Com que frequncia devo atualizar os plugins?Em geral, atualizar
os plugins do Nessus uma vez ao dia suficiente para a maioria das
organizaes. Caso seja necessrio obter os plugins mais recentes e o
usurio pretende realizar atualizaes contnuas ao longo do dia, basta
atualizar uma vez a cada quatro horas, pois praticamente no h
nenhum benefcio em atualizar com mais frequncia.
Copyright 2002-2011 Tenable Network Security, Inc.
30
Atualizao automtica dos pluginsDesde a verso 3.0, o Nessus
localiza os plugins mais recentes de maneira automtica e regular.
Isto feito com a opo auto_update localizada no arquivo
nessusd.conf. A opo padro yes (sim). A opo auto_update_delay
determina quantas vezes o Nessus atualizar seus plugins, em horas,
cujo valor padro 24. O valor mnimo de quatro horas pode ser usado.
A atualizao de plugins ocorre no nmero de horas aps o incio do
nessusd e prossegue a cada N horas aps a ltima atualizao. Para que
esta opo funcione corretamente, preciso verificar se o feed do
cdigo de ativao do plugin do scanner foi registrado corretamente.
Use o seguinte comando para fazer a verificao: Linux e Solaris: #
/opt/nessus/bin/nessus-fetch --check FreeBSD: #
/usr/local/nessus/bin/nessus-fetch --check As atualizaes automticas
de plugins s ocorrero se:
> A opo auto_update estiver definida como yes (sim) no
arquivo nessusd.conf ; > O cdigo de ativao do feed do plugin
tiver sido registrado por meio do nessus-fetch > O scanner no
for gerenciado remotamente por um Tenable SecurityCenter.Observe
que o registro offline de um feed de plugin no permitir que o
Nessus localize os plugins mais recentes automaticamente. nesse
scanner quando estiver diretamente conectado Internet; e
Programao de atualizaes de plugins com o cronSe a sua organizao
tiver algum motivo tcnico ou logstico para no permitir que o Nessus
atualize os plugins automaticamente, pode-se tambm configurar uma
tarefa cron para esta finalidade. Para configurar o sistema para
atualizar os plugins todas as noites por meio do cron, execute as
etapas a seguir:
> Entre no root digitando su root (ou sudo bash se o usurio
tiver privilgios sudo). > No root, digite crontab -e to para
editar o crontab do usurio root. > Adicione a seguinte linha ao
crontab:28 3 * * * /opt/nessus/sbin/nessus-update-plugins A
configurao acima acionar o comando nessus-update-plugins todos os
dias s 03h28. Uma vez que o nessus-update-plugins reinicia o
nessusd automaticamente sem interromper as varreduras em andamento,
no preciso realizar nenhuma ao. Ao configurar o cron para
atualizaes de plugins, evite iniciar a atualizao ser iniciada na
"hora cheia". Ao configurar um agendamento, escolha um minuto
aleatrio aps a hora cheia, entre :05 e :55, e inicie o
download.
Copyright 2002-2011 Tenable Network Security, Inc.
31
A partir do 4.4, o Nessus atualiza os plugins enquanto houver
varreduras em andamento. Quando a atualizao for concluda, todas as
varreduras subsequentes sero iniciadas com o conjunto de plugins
atualizado. O usurio no precisa sair da interface de Web durante
este processo.
Atualizao de plugins por meio de proxies da WebNos sistemas
operacionais Unix, o Nessus permite registrar o produto e atualizar
plugins por meio de proxies da Web, que exigem autenticao bsica. As
configuraes de proxy podem ser encontradas no arquivo
/opt/nessus/etc/nessus/nessus-fetch.rc. Quatro linhas relevantes
controlam a conectividade por proxy. Veja a seguir as linhas com
exemplos de sintaxe: proxy=myproxy.example.com proxy_port=8080
proxy_username=juser proxy_password=squirrel Para a diretiva proxy,
pode-se usar um nome de host DNS ou um endereo IP. Apenas um proxy
pode ser especificado no arquivo nessus-fetch.rc. Alm disso, uma
diretiva user_agent pode ser especificada, se necessrio, que
instrui o Nessus a usar um user agent HTTP personalizado.
REMOO DO NESSUSA tabela a seguir apresenta instrues de remoo do
servidor Nessus em todas as plataformas suportadas. Exceto pelas
instrues usadas com o Mac OS X, as instrues fornecidas no excluiro
os arquivos de configurao ou os arquivos que no faziam parte da
instalao original. Os arquivos que faziam parte do pacote original,
e que foram alterados desde a instalao, tambm no sero excludos.
Para excluir completamente os arquivos restantes, use o comando a
seguir: Linux e Solaris: # rm -rf /opt/nessus FreeBSD: # rm -rf
/usr/local/nessus/bin Plataforma Instrues de remoo
Red Hat ES 4 (32 bits), ES 5 (32 e 64 bits) Comando de remoo
Determine o nome do pacote: # rpm -qa | grep Nessus Use o resultado
do comando acima para excluir o pacote: # rpm -e
Copyright 2002-2011 Tenable Network Security, Inc.
32
Exemplo de resultado
# rpm -qa | grep -i nessus Nessus-4.4.0-es5 # rpm -e
Nessus-4.4.0-es5 #
Fedora Core 12, 13 e 14 (32 e 64 bits) Comando de remoo
Determine o nome do pacote: # rpm -qa | grep Nessus Use o resultado
do comando acima para excluir o pacote: # rpm -e SuSE 9.3 (32
bits), 10 (32 e 64 bits) Comando de remoo Determine o nome do
pacote: # rpm -qa | grep Nessus Use o resultado do comando acima
para excluir o pacote: # rpm -e Debian 5 (32 e 64 bits) Comando de
remoo Determine o nome do pacote: # dpkg -l | grep -i nessus Use o
resultado do comando acima para excluir o pacote: # dpkg -r Exemplo
de resultado # dpkg -l | grep nessus ii nessus 4.4.0 Scanner # dpkg
-r nessus # Ubuntu 8.04, 9.10, 10.04 e 10.10 (32 e 64 bits) Comando
de remoo Determine o nome do pacote: # dpkg -l | grep -i nessus Use
o resultado do comando acima para excluir o pacote: # dpkg -r
Exemplo de # dpkg -l | grep -i nessus Version 4 of the Nessus
Copyright 2002-2011 Tenable Network Security, Inc.
33
resultado
ii nessus Scanner #
4.4.0
Version 4 of the Nessus
Solaris 10 (Sparc) Comando de remoo Parar o servio nessusd: #
/etc/init.d/nessusd stop Determine o nome do pacote: # pkginfo |
grep i nessus Exclua o pacote Nessus: # pkgrm Exemplo de resultado
O exemplo a seguir descreve o resultado do comando anterior
exibindo o pacote do Nessus: # pkginfo | grep i nessus application
TNBLnessus Vulnerability Scanner # pkgrm TNBLnessus # FreeBSD 8 (32
e 64 bits) Comando de remoo Parar o Nessus: # killall nessusd
Determine o nome do pacote: # pkg_info | grep -i nessus Exclua o
pacote Nessus: # pkg_delete Exemplo de resultado # killall nessusd
# pkg_info | grep -i nessus Nessus-4.4.0 A powerful security
scanner # pkg_delete Nessus-4.4.0 # The Nessus Network
Max OS X Comando de remoo Abra uma janela de terminal: Em
Applications (Aplicativos), clique em Utilities (Utilitrios) e, em
seguida, clique em Terminal ou X11. Na janela de comando, use o
comando
Copyright 2002-2011 Tenable Network Security, Inc.
34
sudo para executar um shell de raiz e exclua os diretrios do
Nessus da seguinte maneira: $ sudo /bin/sh Password: # ls -ld
/Library/Nessus # rm -rf /Library/Nessus # ls -ld /Library/Nessus #
ls -ld /Applications/Nessus # rm -rf /Applications/Nessus # ls -ld
/Applications/Nessus # ls -ld /Library/Receipts/Nessus* # rm -rf
/Library/Receipts/Nessus* # ls -ld /Library/Receipts/Nessus* # exit
Exemplo de resultado $ sudo /bin/sh Password: # ls -ld
/Library/Nessus drwxr-xr-x 6 root admin 204 Apr 6 15:12
/Library/Nessus # rm -rf /Library/Nessus # ls -ld /Library/Nessus
ls: /Library/Nessus: No such file or directory # ls -ld
/Applications/Nessus drwxr-xr-x 4 root admin 136 Apr 6 15:12
/Applications/Nessus # rm -rf /Applications/Nessus # ls -ld
/Applications/Nessus # ls -ld /Library/Receipts/Nessus* drwxrwxr-x
3 root admin 102 Apr 6 15:11 /Library/Receipts/Nessus Client.pkg
drwxrwxr-x 3 root admin 102 Apr 6 15:11 /Library/Receipts/Nessus
Server.pkg # rm -rf /Library/Receipts/Nessus* # ls -ld
/Library/Receipts/Nessus* ls: /Library/Receipts/Nessus*: No such
file or directory # exit $ No tente executar este processo se no
estiver familiarizado com os comandos de shell do Unix. Os comandos
ls esto includos para verificar se o nome do caminho foi digitado
corretamente.
Observaes
Copyright 2002-2011 Tenable Network Security, Inc.
35
WINDOWSATUALIZAESAtualizao do Nessus 4.0 4.0.xAo atualizar o
Nessus de uma verso 4.x para uma distribuio mais recente 4.x, o
processo de atualizao perguntar se o usurio deseja apagar todo o
contedo do diretrio Nessus. Selecione a opo Yes (Sim) para simular
um processo de desinstalao. Se esta opo for selecionada, os usurios
criados anteriormente, as polticas de varredura e os resultados das
varreduras sero excludos e o scanner deixar de ser registrado.
Atualizao do Nessus 3.0 3.0.xNo possvel realizar a atualizao
direta do Nessus 3.0.x para o Nessus 4.x, mas possvel usar uma
atualizao para a verso 3.2 como passo intermedirio para garantir
que as principais configuraes de varredura e polticas sejam
preservadas. Se no for necessrio preservar as configuraes de
varredura, primeiro desinstale o Nessus 3.x e, depois, instale uma
nova cpia do Nessus 4. Se optar pela atualizao para o 3.2 como
passo intermedirio, consulte o Guia de Instalao do Nessus 3.2 para
obter mais informaes.
Atualizao do Nessus 3.2 e verses posterioresSe o Nessus 3.2 ou
posterior for utilizado, possvel baixar o pacote do Nessus 4 e
installo sem desinstalar a verso existente. Todos os relatrios
anteriores de varredura de vulnerabilidades e de polticas sero
salvos e no sero excludos, se necessrio. A mensagem a seguir
exibida durante a atualizao, que oferece ao usurio a opo de salvar
ou excluir a instalao anterior:
Clique em Yes (Sim) para permitir que o Nessus exclua toda a
pasta do Nessus juntamente com todos os arquivos adicionados
manualmente ou No (No) para manter a pasta do Nessus junto com as
varreduras, relatrios, etc. existentes. Depois que a nova verso do
Nessus for instalada, ainda estaro disponveis para visualizao e
exportao. Ateno! Se Yes for selecionado, todos os arquivos do
diretrio Nessus sero excludos, incluindo os arquivos de log, os
plugins personalizados adicionados manualmente e outros itens.
Selecione esta opo com cuidado!
Copyright 2002-2011 Tenable Network Security, Inc.
36
INSTALAODownload do NessusA verso mais recente do Nessus est
disponvel no endereo http://www.nessus.org/download/. O Nessus 4.4
est disponvel para Windows XP, Server 2003, Server 2008, Vista e
Windows 7. Verifique a integridade do pacote de instalao comparando
o checksum MD5 do download com o checksum indicado no MD5.asc
arquivoaqui
O tamanho e nomes dos arquivos de distribuio do Nessus variam um
pouco de uma verso para outra, mas tm cerca de 12 MB.
InstalaoO Nessus distribudo como um arquivo de instalao
executvel. Coloque o arquivo no sistema em que ser instalado ou em
uma unidade compartilhada que o sistema possa acessar. preciso
instalar o Nessus com uma conta administrativa e no como um usurio
sem privilgios. Se a mensagem de erro relacionada a permisses
Access Denied (Acesso Negado) for exibida ou se ocorrerem erros que
indiquem que uma ao ocorreu devido falta de privilgios, verifique
se est usando uma conta com privilgios administrativos. Se surgirem
erros ao usar utilitrios de linha de comando, execute cmd.exe
privilgios de Executar como... configurados como administrador.
Alguns pacotes de software antivrus podem classificar o Nessus como
um worm ou algum tipo de malware. Isto se deve ao grande nmero de
conexes TCP geradas durante uma varredura. Se o software antivrus
gerar um aviso, clique em permitir para que o Nessus possa
continuar a varredura. A maioria dos pacotes AV tambm permite
adicionar processos em uma lista de excees. Adicione Nessus.exe e
Nessus-service.exe lista para prevenir esses avisos.
Problemas de instalao
Copyright 2002-2011 Tenable Network Security, Inc.
37
Durante o processo de instalao, o Nessus solicitar ao usurio
algumas informaes bsicas. Antes de comear, o usurio deve aceitar o
contrato de licena:
Depois de aceitar o contrato, escolha o local onde o Nessus ser
instalado:
Quando solicitado para selecionar o Setup Type (Tipo de
instalao), escolha Complete (Completo).
Copyright 2002-2011 Tenable Network Security, Inc.
38
Ser solicitado que voc confirme a instalao:
Quando a instalao for concluda, clique em Finish (Concluir).
Copyright 2002-2011 Tenable Network Security, Inc.
39
Diretrios principais do NessusDiretrio inicial do Nessus Windows
\Program Files\Tenable\Nessus \conf \data \nessus\plugins
\nessus\users\\kbs Arquivos de configurao Modelos de folhas de
estilo Plugins do Nessus Banco de dados de conhecimento dos usurios
salvo em disco Arquivos de log do Nessus Subdiretrios do Nessus
Objetivo
\nessus\logs
Se o espao em disco necessrio para manter os logs existir fora
do sistema de arquivos /opt, monte o diretrio de destino desejado
com mount --bind ou a sintaxe apropriada para a sua verso. No
possvel usar links simblicos para realizar essa tarefa.
Copyright 2002-2011 Tenable Network Security, Inc.
40
CONFIGURAOEsta seo descreve como configurar o servidor Nessus 4
em um sistema Windows.
Nessus Server ManagerPara iniciar, parar e configurar o servidor
Nessus, use o Nessus Server Manager. Esta interface permite:
> Registrar o servidor Nessus em nessus.org para receber
plugins atualizados > Executar uma atualizao de plugins >
Configurar se o servidor Nessus deve ser iniciado ou no sempre que
o Windows for > Gerenciar os usurios do Nessus > Iniciar ou
desconectar o servidor NessusNavegue at o Nessus Server Manager por
meio do menu Iniciar da seguinte maneira: Iniciar -> Programas
-> Tenable Network Security -> Nessus -> Nessus Server
Manager. Isto carregar o Nessus Server Manager
(nessussvrmanager.exe) da maneira indicada abaixo: iniciado
Copyright 2002-2011 Tenable Network Security, Inc.
41
O boto Start Nessus Server (Iniciar Servidor Nessus) permanecer
indisponvel at que o servidor Nessus seja registrado.
Alterao da porta padro do NessusPara alterar a porta de escuta
do servidor Nessus, edite o arquivo nessusd.conf localizado em
C:\Program Files\Tenable\Nessus\conf\ As instrues de configurao a
seguir podem ser editadas para alterar o ouvinte do servio Nessus e
as preferncias do servidor Web: # Port to listen to (old NTP
protocol). Used for pre 4.2 NessusClient # connections :
listen_port = 1241 # Port for the Nessus Web Server to listen to
(new XMLRPC protocol) : xmlrpc_listen_port = 8834 Depois de alterar
os valores, desconecte o servio Nessus atravs do Nessus Server
Manager e reinicie-o. O uso do cliente antigo atravs do protocolo
NTP est disponvel apenas para os clientes do ProfessionalFeed.
Registro da instalao do NessusSe o Tenable SecurityCenter for
usado, o cdigo de ativao e as atualizaes do plugin sero gerenciadas
por meio do SecurityCenter. Para se comunicar com o SecurityCenter,
o Nessus precisa ser iniciado e, para isso, requer um cdigo de
ativao vlido e plugins. Para fazer com que o Nessus ignore essa
exigncia e seja iniciado (para poder receber as informaes do
SecurityCenter), execute o seguinte comando no prompt do MS-DOS:
C:\Program Files\Tenable\Nessus>nessus-fetch --security-center
Logo aps a execuo do comando nessus-fetch acima, use o gerenciador
de servios do Windows para iniciar o servidor Nessus. O servidor
Nessus pode ser adicionado em seguida ao SecurityCenter por meio da
interface da Web do SecurityCenter. Consulte a configurao de um
feed centralizado de plugins para vrios scanners Nessus na
documentao do SecurityCenter. Aps a instalao, preciso registrar o
servidor Nessus. O registro do servidor garante o acesso aos
plugins mais recentes da nessus.org e que as auditorias estejam
atualizadas. Depois do registro inicial, a Nessus baixar e reunir
em segundo plano os plugins obtidos em plugins.nessus.org. Pode
levar at 10 minutos para que o servidor Nessus esteja pronto ao
realizar este procedimento pela primeira vez. At que os plugins
sejam baixados e reunidos, a interface do servidor da Web no estar
disponvel. O cdigo de ativao no diferencia maisculas de
minsculas.
Copyright 2002-2011 Tenable Network Security, Inc.
42
Para registrar o Nessus, clique em Obtain an activation code
(Obter um Cdigo de Ativao) para ir pgina
http://www.nessus.org/plugins/?view=register-info. Nessa pgina,
possvel obter um ProfessionalFeed ou um HomeFeed. O
ProfessionalFeed necessrio para uso comercial e oferece atualizaes
de plugins, suporte ao cliente, auditorias de configurao, appliance
virtual entre outras opes. O HomeFeed necessrio para usurios
domsticos e no licenciado para uso profissional ou comercial. Uma
vez que as informaes necessrias forem fornecidas e processadas, o
usurio receber um e-mail com o cdigo de ativao, que garante o
usurio o direito de acessar os plugins do ProfessionalFeed ou
HomeFeed. Digite-o no campo apropriado e clique no boto Register
(Registrar). Observe que preciso digitar o nome de usurio e a senha
de administrador. Quando o Nessus Server Manager autorizar o cdigo
de ativao de feeds, a atualizao dos plugins do Nessus ser iniciada.
O processo pode demorar alguns minutos devido ao tamanho do
primeiro arquivo de plugin. Se a cpia do Nessus no for registrada,
o usurio no receber plugins atualizados e no poder iniciar o
servidor Nessus. Aps o registro, a interface do Nessus Server
Manager exibir o seguinte:
Copyright 2002-2011 Tenable Network Security, Inc.
43
Nota: O Nessus tambm pode ser iniciado a partir da linha de
comando: C:\Windows\system32>net stop "Tenable Nessus" The
Tenable Nessus service is stopping. The Tenable Nessus service was
stopped successfully. C:\Windows\system32>net start "Tenable
Nessus" The Tenable Nessus service is starting. The Tenable Nessus
service was started successfully. C:\Windows\system32>
Restaurao dos cdigos de ativaoEm alguns casos, pode ser
necessrio alterar os cdigos de ativao (por exemplo: atualizar do
HomeFeed para o ProfessionalFeed). Isto pode ser feito com o boto
Clear registration file (Limpar arquivo de registro) da interface
do Nessus Server Manager. Aps a confirmao, a ao cancelar o registro
da cpia do Nessus at que um novo cdigo de ativao seja obtido e o
produto registrado novamente.
Criao e gerenciamento de usurios do NessusPermitir conexes
remotasPara usar o scanner Nessus de maneira remota (por exemplo:
com o SecurityCenter), preciso selecionar Allow remote users to
connect to this server (Permitir que usurios remotos se conectem a
este servidor). Se esta opo ficar desmarcada, o servidor Nessus
estar disponvel apenas para clientes locais. Se esta opo for
marcada, o servidor Nessus poder ser acessado atravs de clientes
instalados no localhost, clientes instalados em um host remoto ou
pela interface do SecurityCenter (que ser discutida mais adiante
neste documento na seo Trabalhar com SecurityCenter). As informaes
sobre os clientes Nessus esto disponveis no Manual do Usurio do
Nessus 4.4.
Incluso de contas de usuriosClique em Manage Users (Gerenciar
Usurios...) para criar e gerenciar contas no servidor Nessus:
Copyright 2002-2011 Tenable Network Security, Inc.
44
Para criar um usurio, clique no boto + e digite um novo nome de
usurio e senha. Marque a caixa de seleo Administrator
(Administrador) se o usurio for um administrador:
Copyright 2002-2011 Tenable Network Security, Inc.
45
Selecione um nome na lista e clique no boto Edit (Editar...)
para alterar a senha do usurio (veja imagem abaixo). Clique no boto
- com um usurio selecionado para excluir o usurio aps a
confirmao.
Copyright 2002-2011 Tenable Network Security, Inc.
46
No possvel renomear um usurio. Para alterar o nome de um usurio,
exclua o usurio e crie um novo usurio com o nome de login
apropriado.
Observe que o Nessus usa uma conta administrativa interna para
comunicao local entre a interface de usurio do Nessus e o Tenable
Nessus Service. Essa conta no pode ser usada para a conexo remota
de um cliente Nessus.
Firewalls instalados no hostSe o servidor Nessus estiver
configurado em um host com um firewall pessoal, como Zone Alarm,
Sygate, firewall do Windows XP ou qualquer outro software de
firewall, ser necessrio que as conexes sejam permitidas a partir do
endereo IP do cliente Nessus. Normalmente, a porta 8834 usada para
o Nessus Web Server (interface do usurio). Nos sistemas Microsoft
XP Service Pack 2 (SP2) e posteriores, clique em Central de
Segurana no Painel de Controle para gerenciar as configuraes da opo
Firewall do Windows. Para abrir a porta 8834, selecione a guia
Excees e adicione a porta 8834 lista.
Copyright 2002-2011 Tenable Network Security, Inc.
47
Para outros softwares de firewall pessoal, consulte a documentao
para obter instrues de configurao.
Iniciar o daemon do NessusPara iniciar o daemon do Nessus,
clique no boto Start Nessus Server (Iniciar o Servidor Nessus) no
Nessus Server Manager. Para iniciar o Nessus automaticamente,
marque a caixa de seleo Start the Nessus Server when Windows boots
(Iniciar o servidor Nessus quando o Windows for iniciado). O Nessus
pode ser instalado como o servio Tenable Nessus no Windows e
configurado para iniciar automaticamente se o sistema for
reinicializado. Marque a opo Start the Nessus Server when Windows
boots (Iniciar o servidor Nessus quando o Windows for iniciado)
para configur-lo. Inicie o servio nessusd para concluir a instalao
e configurao iniciais do scanner Nessus 4 e prossiga seo Trabalhar
com SecurityCenter. Se o daemon do Nessus no estiver em execuo ou
se a interface de usurio no estiver disponvel, o navegador ir gerar
uma mensagem de erro indicando que no foi possvel se conectar.
O servidor Nessus ser executado no localhost (127.0.0.1) e, por
padro, escutar a porta 1241 para clientes antigos. Para verificar
se o Nessus est escutando na porta 1241, na linha de comando do
Windows, use o comando netstat -an | findstr 1241 da maneira
indicada abaixo: C:\Documents and Settings\admin>netstat -an |
findstr 1241 TCP 0.0.0.0:1241 0.0.0.0:0 LISTENING
Copyright 2002-2011 Tenable Network Security, Inc.
48
Observe se o resultado contm 0.0.0.0:1241, o que significa que
um servidor est escutando nessa porta. Isto pode ser usado para
verificar se o Servidor Web (interface do usurio) est disponvel,
alterando-se de 1241 para 8834 no comando acima. Observe que o
Nessus Service iniciado automaticamente aps a instalao e a
atualizao do plugin somente. A atualizao e o processamento inicial
dos plugins do Nessus podem demorar alguns minutos. O servidor Web
exibir a mensagem Nessus is initializing. (O Nessus est
iniciando...) e ser recarregado quando terminar.
Ao se conectar interface da Web pela primeira vez, o navegador
pode exibir um aviso sobre uma conexo no confivel. Isto ocorre
porque o Nessus distribudo com um certificado SSL padro. Para obter
mais informaes, consulte o Guia do Usurio do Nessus.
ATUALIZAO DOS PLUGINSO Nessus possui centenas de plugins (ou
scripts) que verificam vulnerabilidades da rede e do host. Novas
vulnerabilidades so descobertas regularmente e novos plugins so
desenvolvidos para detectar essas vulnerabilidades. Para manter o
scanner Nessus atualizado com os ltimos plugins e tornar as
varreduras mais precisas, preciso atualizar os plugins diariamente.
A opo Perform a daily plugin update (Executar uma atualizao diria
do plugin) configura o servidor Nessus para atualizar
automaticamente os plugins da Tenable a cada 24 horas. A atualizao
ocorre aproximadamente na hora do dia em que o Nessus foi
iniciado.
possvel forar a atualizao dos plugins ao clicar no boto Update
Plugins (Atualizar plugins) indicado abaixo:
Copyright 2002-2011 Tenable Network Security, Inc.
49
Com que frequncia devo atualizar os plugins?Em geral, atualizar
os plugins do Nessus uma vez ao dia suficiente para a maioria das
organizaes. Caso seja necessrio obter plugins recm-atualizados e
realizar atualizaes contnuas ao longo do dia, basta atualizar uma
vez a cada quatro horas, pois praticamente no h nenhum benefcio em
atualizar com mais frequncia.
Atualizao de plugins por meio de proxies da WebO Nessus no
Windows permite o registro do produto e atualizaes de plugins por
meio de proxies da Web que requerem autenticao bsica. As
configuraes de proxy podem ser encontradas no arquivo C:\Program
Files\Tenable\Nessus\conf\nessus-fetch.rc. Quatro linhas relevantes
controlam a conectividade por proxy. Veja a seguir as linhas com
exemplos de sintaxe: proxy=myproxy.example.com proxy_port=8080
proxy_username=juser proxy_password=guineapig Para a diretiva
proxy, pode-se usar um nome de host DNS ou um endereo IP. Apenas um
proxy pode ser especificado no arquivo nessus-fetch.rc. Alm disso,
uma diretiva user_agent pode ser especificada, se necessrio, que
instrui o Nessus a usar um user agent HTTP personalizado. A partir
do Nessus 4.2, os scanners do Microsoft Windows permitem a
autenticao por proxy, inclusive NTLM.
REMOO DO NESSUSPara remover o Nessus, abra o Painel de Controle
e selecione Adicionar ou remover programas. Selecione Tenable
Nessus e clique em Alterar/Remover Isto abrir o Assistente do
InstallShield. Siga as instrues do assistente para excluir
completamente o Nessus. O usurio poder optar por remover
inteiramente a pasta do Nessus. Responda Yes somente se no desejar
manter nenhum resultado de varreduras ou polticas gerado.
MAX OS XATUALIZAESA atualizao de uma verso antiga do Nessus
semelhante a uma nova instalao. No entanto, preciso parar e
reiniciar o servidor Nessus no final da instalao. Baixe o arquivo
Nessus-4.x.x.dmg.gz e, em seguida, clique duas vezes sobre ele para
descompact-lo. Clique duas vezes no arquivo Nessus-4.x.x.dmg para
montar a imagem de disco e fazer com que aparea em Devices
(Dispositivos) no Finder (Localizador). Quando o volume Nessus 4
aparecer no Finder, clique duas vezes no arquivo Nessus 4. Quando a
instalao for concluda, navegue at /Applications/Nessus/ e execute o
Nessus Server Manager. Para concluir a atualizao, clique no boto
Update Plugins (Atualizar plugins):
Copyright 2002-2011 Tenable Network Security, Inc.
50
INSTALAOA verso mais recentes Nessus est disponvel em
http://www.nessus.org/download/. O Nessus est disponvel para o Mac
OS X 10.4 e 10.5. Verifique a integridade do pacote de instalao ao
comparar o checksum MD5 do download com o checksum MD5 listado no
arquivo MD5.asc aqui. Para instalar o Nessus no Mac OS X, baixe o
arquivo Nessus-4.x.x.dmg.gz e clique duas vezes nele para
descompact-lo. Clique duas vezes no arquivo Nessus-4.x.x.dmg para
montar a imagem de disco e fazer com que aparea em Devices
(Dispositivos) no Finder (Localizador). Quando o volume Nessus 4
aparecer no Finder, clique duas vezes no arquivo Nessus 4 conforme
exemplo a seguir:
Copyright 2002-2011 Tenable Network Security, Inc.
51
Observe que ser preciso digitar o nome de usurio e a senha de
administrador em vrios pontos durante a instalao. A instalao ser
exibida da seguinte maneira:
Clique em Continue (Continuar). Uma caixa de dilogo ser exibida
solicitando que voc aceite os termos da licena antes de
continuar:
Copyright 2002-2011 Tenable Network Security, Inc.
52
Depois de aceitar a licena, outra caixa de dilogo ser exibida,
que permite alterar o local de instalao padro, conforme indicado a
seguir:
Clique no boto Install (Instalar) para continuar a instalao.
Neste momento, o usurio dever digitar o nome de usurio e a senha de
administrador. Quando a seguinte tela for exibida a instalao ter
sido concluda com xito:
Copyright 2002-2011 Tenable Network Security, Inc.
53
CONFIGURAOEsta seo descreve como configurar o servidor Nessus 4
em um sistema Mac OS X.
Nessus Server ManagerPara iniciar, parar e configurar o servidor
Nessus, use o programa Nessus Server Manager localizado em
/Applications/Nessus/:
Observe que o Nessus Client mostrado na pasta Nessus, mesmo se o
Nessus for atualizado. No mais necessrio usar o Nessus Client para
gerenciar as varreduras do Nessus e pode ser excludo, a critrio do
usurio. Nessus Client.url um link para gerenciar o Nessus atravs do
navegador. As novas instalaes no incluem o Nessus Client. A
interface do Nessus Server Manager permite:
> > > > >
Registrar o servidor Nessus em nessus.org para receber plugins
atualizados Executar uma atualizao de plugins Configu