Nessus 4.4 Installation Guide PTB

Nessus 4.4 Guia de Instalao14 de junho de 2011(Reviso 9)

Copyright 2011. Tenable Network Security, Inc. Todos os direitos reservados. Tenable Network Security e Nessus so marcas comerciais registradas da Tenable Network Security, Inc. ProfessionalFeed marca comercial da Tenable Network Security, Inc. Todos os outros produtos ou servios so marcas registras de seus respectivos proprietrios.

Tenable Network Security, Inc. 7063 Columbia Gateway Drive, Suite 100, Columbia, MD 21046 +1 410 872-0555 [email protected] www.tenable.com

ndiceIntroduo.................................................................................................................................. 5 Sistemas operacionais compatveis ........................................................................................... 5 Padres e convenes............................................................................................................... 5 Conceitos bsicos ..................................................................................................................... 6 Pr-requisitos ............................................................................................................................ 7 Nessus Unix ............................................................................................................................... 8 Nessus para Windows ............................................................................................................... 8 Opes de instalao ................................................................................................................ 8 Inscries em plugins de vulnerabilidades ............................................................................. 8 Qual o feed correto? ............................................................................................................... 9 HomeFeed............................................................................................................................. 9 ProfessionalFeed................................................................................................................... 9 Suporte para IPv6 .....................................................................................................................10 Unix/Linux. ................................................................................................................................10 Atualizaes .............................................................................................................................10 Instalao .................................................................................................................................18 Configurao ............................................................................................................................22 Diretrios principais do Nessus ............................................................................................22 Criar usurios do Nessus......................................................................................................23 Instalao do cdigo de ativao do plugin ..........................................................................25 Como iniciar o daemon do Nessus............................................................................................26 Como parar o daemon do Nessus.............................................................................................28 Opes de linha de comando do Nessusd ................................................................................28 Conexo com o cliente..............................................................................................................30 Atualizao dos plugins ............................................................................................................30 Com que frequncia devo atualizar os plugins?....................................................................30 Atualizao automtica dos plugins ......................................................................................31 Programao de atualizaes de plugins com o cron ...........................................................31 Atualizao de plugins por meio de proxies da Web .............................................................32 Remoo do Nessus .................................................................................................................32 Windows ................................................................................................................................36 Atualizaes .............................................................................................................................36 Atualizao do Nessus 4.0 4.0.x ........................................................................................36 Atualizao do Nessus 3.0 3.0.x ........................................................................................36 Atualizao do Nessus 3.2 e verses posteriores .................................................................36 Instalao .................................................................................................................................37 Download do Nessus ............................................................................................................37 Instalao .............................................................................................................................37 Problemas de instalao ......................................................................................................37 Diretrios principais do Nessus ............................................................................................40

Copyright 2002-2011 Tenable Network Security, Inc.

2

Configurao ............................................................................................................................41 Nessus Server Manager .......................................................................................................41 Alterao da porta padro do Nessus ...................................................................................42 Registro da instalao do Nessus.........................................................................................42Restaurao dos cdigos de ativao ............................................................................................. 44

Criao e gerenciamento de usurios do Nessus .................................................................44Permitir conexes remotas .............................................................................................................. 44 Incluso de contas de usurios........................................................................................................ 44 Firewalls instalados no host ............................................................................................................. 47

Iniciar o daemon do Nessus .................................................................................................48 Atualizao dos plugins ............................................................................................................49 Com que frequncia devo atualizar os plugins?....................................................................50 Atualizao de plugins por meio de proxies da Web .............................................................50 Remoo do Nessus .................................................................................................................50 Max OS X ...............................................................................................................................50 Atualizaes .............................................................................................................................50 Instalao .................................................................................................................................51 Configurao ............................................................................................................................54 Nessus Server Manager .......................................................................................................54 Registro da instalao do Nessus.........................................................................................55Restaurao dos cdigos de ativao ............................................................................................. 57

Criao e gerenciamento de usurios do Nessus .................................................................57Permisso de conexes remotas ..................................................................................................... 57 Incluso de contas de usurios ........................................................................................................ 57

Iniciar o daemon do Nessus .................................................................................................58 Atualizao dos plugins ............................................................................................................59 Com que frequncia devo atualizar os plugins?....................................................................59 Remoo do Nessus .................................................................................................................60 Configurao do daemon do Nessus (usurios avanados) ................................................60 Configurao do Nessus com certificado SSL personalizado ..............................................65 Nessus sem acesso Internet ................................................................................................67 Registro do scanner Nessus .....................................................................................................67 Como obter e instalar plugins atualizados .................................................................................70 Windows ...............................................................................................................................70 Linux, Solaris e FreeBSD......................................................................................................70 Max OS X .............................................................................................................................71 Como trabalhar como SecurityCenter ....................................................................................71 Descrio do SecurityCenter.....................................................................................................71 Configurao do Nessus para funcionar com o SecurityCenter ................................................72 Unix/Mac OS X .....................................................................................................................72 Windows ...............................................................................................................................72Como configurar o Nessus para "escutar" como um daemon de rede ............................................ 72 Criao de contas de usurios no Windows .................................................................................... 72 Como ativar o servio Nessus no Windows ..................................................................................... 73 Firewalls instalados no host ............................................................................................................. 73

Configurao do SecurityCenter para funcionar com o Nessus ................................................74


3

Soluo de problemas do Nessus para Windows..................................................................75 Problemas de instalao/atualizao ........................................................................................75 Problemas de varredura............................................................................................................75 Para obter mais informaes ..................................................................................................76 Declaraes de licena de terceiros .......................................................................................78 Sobre a Tenable Network Security ..........................................................................................82


4

INTRODUOEste documento descreve a instalao e a configurao de scanner do vulnerabilidades Nessus 4.4 da Tenable Network Security. Envie-nos seus comentrios e sugestes pelo e-mail [email protected]. A Tenable Network Security, Inc. desenvolveu e produziu o scanner de vulnerabilidades Nessus. Alm de aprimorar constantemente o motor de deteco do Nessus, a Tenable cria a maioria dos plugins disponveis para o scanner, alm de verificaes de conformidade e uma grande variedade de polticas de auditoria. Os pr-requisitos, opes de implementao e orientaes de instalao sero descritos neste documento. O leitor deve ter conhecimentos bsicos sobre Unix e varreduras de vulnerabilidades. A partir do Nessus 4.4, o gerenciamento do servidor Nessus pelo usurio realizado por uma interface da Web e dispensa o uso de um NessusClient autnomo. O NessusClient autnomo continua a se conectar e operar o scanner, mas deixar de ser atualizado.

SISTEMAS OPERACIONAIS COMPATVEISO Nessus est disponvel e funciona com vrios sistemas operacionais e plataformas:

> > > > > > > > > > > >

Debian 5 (i386 e x86-64) Fedora Core 12, 13 e 14 (i386 e x86-64) FreeBSD 8 (i386 e x86-64) Mac OS X 10.4, 10.5 e 10.6 (i386, x86-64, ppc) Red Hat ES 4 / CentOS 4 (i386) Red Hat ES 5 / CentOS 5 / Oracle Linux 5 (i386 e x86-64) Red Hat ES 6 / CentOS 6 (i386 e x86-64) [Servidor, Desktop, Estao de Trabalho] Solaris 10 (Sparc) SuSE 9.3 (i386) SuSE 10.0 e 11 (i386 e x86-64) Ubuntu 8.04, 9.10, 10.04 e 10.10 (i386 e x86-64) Windows XP, Server 2003, Server 2008, Server 2008 R2, Vista e 7 (i386 e x86-64)

PADRES E CONVENESEste documento a traduo de uma verso original em ingls. Algumas partes do texto permanecem em ingls para indicar a representao do prprio produto. Em toda a documentao, os nomes de arquivos, daemons e executveis so indicados com a fonte courier bold, por exemplo: setup.exe. As opes de linha de comando e palavras-chaves tambm so impressas indicadas com a fonte courier bold. As opes de linha de comando podem ou no conter o prompt da linha de comando e o texto gerado pelos resultados do comando. Normalmente, o comando executado ser apresentado em negrito para indicar o que o usurio digitou. Um exemplo da execuo do comando pwd do Unix apresentado a seguir: # pwd /opt/nessus/ #


5

As observaes e consideraes importantes so destacadas com este smbolo nas caixas de texto escurecidas.

As dicas, exemplos e prticas recomendadas so destacados com este smbolo em branco sobre fundo azul.

CONCEITOS BSICOSO Nessus um scanner de segurana de rede completo, moderno e fcil de usar. Atualmente, considerado um dos principais produtos do seu gnero em todo o setor de segurana e conta com o apoio de organizaes profissionais de segurana da informao, como o Instituto SANS. O Nessus permite realizar auditorias remotas e determinar se a rede foi invadida ou usada de maneira indevida. O Nessus tambm permite verificar a presena de vulnerabilidades, especificaes de conformidade, violaes de polticas de contedo e outras anomalias em um computador local.

> Varredura inteligente Ao contrrio de outros scanners de segurana, o Nessus no

gera alarmes falsos. Ou seja, o programa no pressupe que um determinado servio est sendo executado em uma porta fixa. Isto significa que, se o servidor Web for executado na porta 1234, o Nessus o detectar e testar sua segurana da forma apropriada. O programa verificar uma vulnerabilidade por meio de explorao sempre que possvel. Nos casos em que isso no for confivel ou afetar negativamente o alvo, o Nessus conta com um banner de servidor para determinar a presena da vulnerabilidade. Nesse caso, o relatrio gerado indicar se esse mtodo foi utilizado.

> Arquitetura modular A arquitetura cliente/servidor oferece a flexibilidade de instalar

o scanner (servidor) e conectar-se interface grfica do usurio (cliente) por intermdio de qualquer computador com um navegador, reduzindo assim os custos de gerenciamento (um servidor pode ser acessado por vrios clientes).

> Compatvel com CVE A maioria dos plugins se conecta ao CVE para que os

administradores possam recuperar mais informaes sobre vulnerabilidades publicadas. As referncias ao Bugtraq (BID), OSVDB e alertas de segurana dos fornecedores tambm so incorporadas com frequncia.

> Arquitetura de plugin Os testes de segurana so gerados por meio de um plugin

externo e agrupado em uma das 42 famlias. Dessa forma, possvel adicionar facilmente seus prprios testes, selecionar plugins especficos ou escolher uma famlia inteira sem a necessidade de leitura do cdigo do mecanismo do servidor Nessus, nessusd. A lista completa dos plugins do Nessus est disponvel em http://www.nessus.org/plugins/index.php?view=all.

> NASL O scanner Nessus utiliza NASL (Nessus Attack Scripting Language), uma

linguagem criada especificamente para a criao de testes de segurana de maneira fcil e rpida.


6

> Banco de dados de vulnerabilidades de segurana atualizado A Tenable dedicase a desenvolver verificaes de segurana para vulnerabilidades emergentes. Nosso banco de dados de verificaes de segurana atualizado diariamente e todas as verificaes de segurana mais recentes esto disponveis no link http://www.nessus.org/scripts.php.

> Teste simultneo de hosts Dependendo da configurao do sistema de scannerNessus, possvel auditar um grande nmero de hosts ao mesmo tempo.

> Reconhecimento inteligente do servio O Nessus reconhece quando os hosts de

destino no so compatveis os nmeros de portas atribudos pelo IANA. Isto significa que reconhecer um servidor de FTP executado em uma porta que no seja padro (por exemplo: 31337) ou um servidor de Web funcionando na porta 8080 em vez da porta 80.

> Vrios servios Se dois ou mais servidores de Web forem executados em um host(por exemplo: um na porta 80 e outro na porta 8080), o Nessus identificar e testar todos eles.

> Compatibilidade entre plugins Os testes de segurana realizados pelos plugins do

Nessus impedem que sejam realizadas verificaes desnecessrias. Se o servidor de FTP no permitir logins annimos, no sero realizadas verificaes de segurana relacionadas a logins annimos.

> Relatrios completos Alm de detectar as vulnerabilidades de segurana existentesna rede e o nvel de risco de cada uma delas (baixo, mdio, alto e grave), o Nessus oferece solues de como atenu-las.

> Suporte total a SSL O Nessus capaz de testar os servios oferecidos por SSL, comoHTTPS, SMTPS, IMAPS entre outros.

> Smart Plugins (opcional) O Nessus determinar quais plugins devem ou no seraplicados ao host remoto. Por exemplo: o Nessus no verificar vulnerabilidades de sendmail no Postfix. Esta opo denominada otimizao.

> Testes no destrutivos (opcional) Determinadas verificaes podem ser

prejudiciais a alguns servios de rede. Caso no queira correr o risco de causar uma falha de servio na sua rede, ative a opo safe checks (verificao segura) do Nessus. Este comando far com que o Nessus use banners em vez de explorar falhas reais para detectar uma vulnerabilidade.

> Frum aberto Encontrou um erro? Dvidas sobre o Nessus? Inicie uma discusso emhttps://discussions.nessus.org/.

PR-REQUISITOSA Tenable recomenda, no mnimo, 2 GB de memria para o funcionamento correto do Nessus. Para varreduras maiores em vrias redes, recomendam-se pelo menos 3 GB de memria, mas podem ser necessrios at 4 GB. Recomenda-se um processador Pentium 3 operando a 2 GHz ou superior. Para usar o Mac OS X, recomenda-se um processador Intel Dual Core de 2 GHz ou superior.


7

O Nessus pode funcionar em uma instncia do VMware, no entanto, se o computador simulado usar a converso de endereos de rede (NAT) para acessar a rede, diversas verificaes de vulnerabilidade do Nessus, a enumerao de hosts e a identificao de sistemas operacionais sero afetadas negativamente.

NESSUS UNIXAntes de instalar o Nessus no Unix/Linux, so necessrias algumas bibliotecas. Normalmente, acompanham a maioria dos sistemas operacionais e dispensam uma instalao separada.

> > >

OpenSSL (por exemplo: openssl, libssl, libcrypto) zlib Biblioteca GNU C (por exemplo: libc)

NESSUS PARA WINDOWSAs atualizaes feitas pela Microsoft no Windows XP SP2 e nas verses mais recentes (Home e Pro) podem afetar o desempenho do Nessus para Windows. Para aumentar a velocidade e a confiabilidade das varreduras, recomendvel que o Nessus para Windows seja instalado em um produto de servidor da famlia Microsoft Windows, como o Windows Server 2003. Para obter mais informaes, consulte a seo Soluo de Problemas do Nessus para Windows.

OPES DE INSTALAOAo instalar o Nessus, muitas vezes necessrio ter conhecimentos de roteamento, filtros e polticas de firewall. Recomenda-se que o Nessus seja instalado de modo que a conectividade IP com as redes a serem examinadas no seja prejudicada. A instalao em um dispositivo NAT no desejvel, a menos que a varredura seja realizada na rede interna. Sempre que a verificao de vulnerabilidade for direcionada a um NAT ou proxy de aplicativos, a verificao pode ser distorcida e gerar um falso positivo ou negativo. Alm disso, se o sistema no qual o Nessus est instalado tiver firewalls no computador, as ferramentas podem limitar a eficcia de uma varredura remota de vulnerabilidades. Os firewalls de host podem interferir na varredura de vulnerabilidades de rede. Dependendo da configurao do firewall, pode impedir, gerar falsos negativos ou ocultar as sondas de uma varredura do Nessus.

INSCRIES EM PLUGINS DE VULNERABILIDADESUm grande nmero de vulnerabilidades emergentes divulgado por fornecedores, pesquisadores e outras fontes todos os dias. A Tenable se esfora para testar e disponibilizar o mais rapidamente possvel as verificaes de vulnerabilidades publicadas recentemente, normalmente 24 horas aps a divulgao. A verificao de uma vulnerabilidade especfica conhecida pelo scanner Nessus como um plugin. A lista completa de todos os plugins do Nessus est disponvel em http://www.nessus.org/plugins/index.php?view=all. A Tenable distribui os plugins de vulnerabilidades mais recente em dois modos do Nessus: ProfessionalFeed e HomeFeed. Os plugins so baixados diretamente da Tenable por meio de um processo automatizado do Nessus. O Nessus verifica as assinaturas digitais de todos os plugins baixados para garantir


8

a integridade dos arquivos. Nas instalaes do Nessus sem acesso Internet, pode ser usado um processo de atualizao offline para garantir que o scanner permanea atualizado. Com o Nessus 4, o usurio deve se registrar para obter um feed de plugin e atualiz-los antes de iniciar o Nessus e a interface de varredura do Nessus se torne disponvel. A atualizao do plugin ocorre em segundo plano aps o registro inicial do scanner e pode levar vrios minutos.

QUAL O FEED CORRETO?As instrues especficas para configurar o Nessus para receber um HomeFeed ou um ProfessionalFeed sero apresentadas mais adiante neste documento. Para saber qual o feed do Nessus adequado para o seu ambiente, considere os seguintes aspectos:

HomeFeedSe o Nessus for instalado para uso domstico e no profissional, o usurio deve se inscrever no HomeFeed. Novos plugins para as vulnerabilidades de segurana mais recentes so liberados imediatamente para os usurios do HomeFeed. O uso do HomeFeeds gratuito, mas h uma licena separada do HomeFeed cujos termos e condies os usurios devem aceitar. Para se inscrever no HomeFeed, acesse http://www.nessus.org/register/ e registre a sua cpia do Nessus para usar o HomeFeed. Use o cdigo de ativao que receber no processo de registro ao configurar o Nessus para fazer atualizaes. Os usurios do HomeFeed no tm acesso ao Tenable Support Portal, s verificaes de conformidade ou s polticas de auditoria de contedo.

ProfessionalFeedSe o Nessus for usado para fins profissionais (por exemplo: consultoria), seja em um ambiente pblico ou privado, o usurio deve adquirir um ProfessionalFeed. Novos plugins para as vulnerabilidades de segurana mais recentes so liberados imediatamente para os usurios do ProfessionalFeed. Os clientes do SecurityCenter so automaticamente inscritos no ProfessionalFeed e no precisam adquirir outro feed, a menos que tenham um scanner Nessus que no seja gerenciado pelo SecurityCenter. A Tenable presta suporte comercial aos clientes do ProfessionalFeed e usurios do Nessus 4 atravs do Tenable Support Portal ou por e-mail. O ProfessionalFeed tambm contm um conjunto de verificaes de conformidade de host para Unix e Windows, que permitem realizar auditorias de conformidade, como SOX, FISMA ou FDCC. possvel adquirir um ProfessionalFeed na Loja Online da Tenable (https://store.tenable.com/) ou por meio de uma ordem de compra enviada aos Parceiros Autorizados do ProfessionalFeed. O usurio receber um cdigo de ativao da Tenable. Esse cdigo ser usado para configurar a cpia do Nessus para atualizaes. Se o Nessus for usado junto com o SecurityCenter da Tenable, o SecurityCenter ter acesso ao ProfessionalFeed e atualizar automaticamente os scanners Nessus.

Alguns dispositivos de rede que realizam a inspeo dinmica (stateful inspection), como firewalls, balanceadores de carga e sistemas de


9

deteco/preveno de intruses, podem reagir negativamente quando uma varredura for realizada atravs deles. O Nessus possui vrias opes de configurao que podem ajudar a reduzir o impacto da varredura por meio desses dispositivos, no entanto, a melhor maneira de prevenir os problemas inerentes varredura com esses dispositivos de rede realizar uma varredura credenciada.

SUPORTE PARA IPV6A partir da verso 3.2 Beta, o Nessus permite a varredura de recursos que usam o IPv6. Muitos sistemas operacionais e dispositivos so distribudos atualmente com suporte para IPv6. Para realizar varreduras de recursos com IPv6, pelo menos uma interface IPv6 deve ser configurada no computador em que o Nessus estiver instalado e o Nessus deve estar em uma rede que reconhea o IPv6 (o Nessus no pode examinar recursos IPv6 atravs do IPv4, mas pode enumerar as interfaces IPv6 atravs de varreduras credenciadas por IPv4). A notao IPv6 completa e compactada reconhecida para iniciar varreduras. O Microsoft Windows no possui algumas das principais APIs necessrias para a falsificao de pacotes IPv6 (por exemplo: obteno do endereo MAC do roteador, tabela de roteamento etc.). Isto, por sua vez, impede que o scanner de portas funcione corretamente. A Tenable est desenvolvendo aprimoramentos que solucionem as restries de API em futuras verses do Nessus.

UNIX/LINUXATUALIZAESEsta seo descreve como atualizar o Nessus a partir de uma verso de instalao anterior do programa. A tabela a seguir apresenta instrues de atualizao do servidor Nessus em todas as plataformas suportadas anteriormente. Os parmetros de configurao e os usurios criados anteriormente permanecero intactos. Antes de interromper o nessusd, verifique se todas as varreduras em execuo foram concludas. Todas as instrues especiais de atualizao so indicadas em uma observao aps o exemplo. Plataforma Instrues de atualizao

Red Hat ES 4 (32 bits), ES 5 (32 e 64 bits) Comandos de atualizao # service nessusd stop Use um dos comandos abaixo correspondente verso do Red Hat que est em uso:


10

# rpm -Uvh Nessus-4.4.0-es4.i386.rpm # rpm -Uvh Nessus-4.4.0-es5.i386.rpm # rpm -Uvh Nessus-4.4.0-es5.x86_64.rpm Quando a atualizao for concluda, reinicie o servio nessusd com o seguinte comando: # service nessusd start Exemplo de resultado # service nessusd stop Shutting down Nessus services: [ OK ] # rpm -Uvh Nessus-4.4.0-es4.i386.rpm Preparing... ########################################### [100%] Shutting down Nessus services: 1: Nessus ########################################## [100%] nessusd (Nessus) 4.4.0 for Linux (C) 1998 2011 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at http://www.nessus.org/register/ to obtain all the newest plugins - You can start nessusd by typing /sbin/service nessusd start # service nessusd start Starting Nessus services: # Fedora Core 12, 13 e 14 (32 e 64 bits) Comandos de atualizao # service nessusd stop Use um dos comandos abaixo correspondente verso do Fedora Core que est em uso: # # # # rpm rpm rpm rpm -Uvh -Uvh -Uvh -Uvh Nessus-4.4.0-fc12.i386.rpm Nessus-4.4.0-fc12.x86_64.rpm Nessus-4.4.0-fc14.i386.rpm Nessus-4.4.0-fc14.x86_64.rpm [ OK ]

Quando a atualizao for concluda, reinicie o servio nessusd com o seguinte comando: # service nessusd start Exemplo de resultado # service nessusd stop Shutting down Nessus services: # rpm -Uvh Nessus-4.4.0-fc12.i386.rpm [ OK ]


11

Preparing... ################################################ [100%] Shutting down Nessus services: 1:Nessus ###################################### [100%] nessusd (Nessus) 4.4.0 for Linux (C) 1998 2011 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at http://www.nessus.org/register/ to obtain all the newest plugins - You can start nessusd by typing /sbin/service nessusd start # service nessusd start Starting Nessus services: # SuSE 9.3 (32 bits), 10 (32 e 64 bits) Comandos de atualizao # service nessusd stop Use um dos comandos abaixo correspondente verso do SuSE que est em uso: # rpm -Uvh Nessus-4.4.0-suse9.3.i586.rpm # rpm -Uvh Nessus-4.4.0-suse10.0.i586.rpm # rpm -Uvh Nessus-4.4.0-suse10.x86_64.rpm Quando a atualizao for concluda, reinicie o servio nessusd com o seguinte comando: # service nessusd start Exemplo de resultado # service nessusd stop Shutting down Nessus services: [ OK ] # rpm -Uvh Nessus-4.4.0-suse10.0.i586.rpm Preparing... ############################################### [100%] Shutting down Nessus services: 1:Nessus ###################################### [100%] nessusd (Nessus) 4.4.0 for Linux (C) 1998 2011 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin user [ OK ]


12

- Register your Nessus scanner at http://www.nessus.org/register/ to obtain all the newest plugins - You can start nessusd by typing /sbin/service nessusd start # service nessusd start Starting Nessus services: # Debian 5 (32 e 64 bits) Comandos de atualizao # /etc/init.d/nessusd stop Use um dos comandos abaixo correspondente verso do Debian que est em uso: # dpkg -i Nessus-4.4.0-debian5_i386.deb # dpkg -i Nessus-4.4.0-debian5_amd64.deb # /etc/init.d/nessusd start Exemplo de resultado # /etc/init.d/nessusd stop # dpkg -i Nessus-4.4.0-debian5_i386.deb (Reading database ... 19831 files and directories currently installed.) Preparing to replace nessus 4.4.0 (using Nessus-4.4.0debian5_i386.deb) ... Shutting down Nessus : . Unpacking replacement nessus ... Setting up nessus (4.4.0) ... nessusd (Nessus) 4.4.0. for Linux (C) 2009 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at http://www.nessus.org/register/ to obtain all the newest plugins - You can start nessusd by typing /etc/init.d/nessusd start # /etc/init.d/nessusd start Starting Nessus : . # [ OK ]


13

Ubuntu 8.04, 9.10, 10.04 e 10.10 (32 e 64 bits) Comandos de atualizao # /etc/init.d/nessusd stop Use um dos comandos abaixo correspondente verso do Ubuntu que est em uso: # # # # # # dpkg dpkg dpkg dpkg dpkg dpkg -i -i -i -i -i -i Nessus-4.4.0-ubuntu804_i386.deb Nessus-4.4.0-ubuntu804_amd64.deb Nessus-4.4.0-ubuntu910_i386.deb Nessus-4.4.0-ubuntu910_amd64.deb Nessus-4.4.0-ubuntu1010_amd64.deb Nessus-4.4.0-ubuntu1010_i386.deb

# /etc/init.d/nessusd start Exemplo de resultado # /etc/init.d/nessusd stop # dpkg -i Nessus-4.4.0-ubuntu804_i386.deb (Reading database ... 19831 files and directories currently installed.) Preparing to replace nessus 4.4.0 (using Nessus-4.4.0ubuntu810_i386.deb) ... Shutting down Nessus : . Unpacking replacement nessus ... Setting up nessus (4.4.0) ... nessusd (Nessus) 4.4.0. for Linux (C) 2011 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at http://www.nessus.org/register/ to obtain all the newest plugins - You can start nessusd by typing /etc/init.d/nessusd start # /etc/init.d/nessusd start Starting Nessus : . # Solaris 10 (Sparc) Comandos de atualizao # /etc/init.d/nessusd stop # pkginfo | grep nessus O exemplo a seguir descreve o resultado do comando anterior


14

exibindo o pacote do Nessus: application TNBLnessus Vulnerability Scanner The Nessus Network

Para excluir o pacote do Nessus de um sistema Solaris, execute o seguinte comando: # pkgrm # gunzip Nessus-4.x.x-solaris-sparc.pkg.gz # pkgadd -d ./Nessus-4.4.0-solaris-sparc.pkg The following packages are available: 1 TNBLnessus-4-2-0 TNBLnessus (sparc) 4.4.0 Select package(s) you wish to process (or 'all' to process all packages). (default: all) [?,??,q]: 1 # /etc/init.d/nessusd start Exemplo de resultado # /etc/init.d/nessusd stop # pkginfo | grep nessus application TNBLnessus Vulnerability Scanner # pkgrm TNBLnessus (output redacted) ## Updating system information. Removal of was successful. # gunzip Nessus-4.4.0-solaris-sparc.pkg.gz # pkgadd -d ./Nessus-4.4.0-solaris-sparc.pkg The following packages are available: 1 TNBLnessus The Nessus Network Vulnerability Scanner (sparc) 4.4.0 Select package(s) you wish to process (or 'all' to process all packages). (default: all) [?,??,q]: 1 Processing package instance from The Nessus Network Vulnerability Scanner (sparc) 4.4.0 ## Processing package information. ## Processing system information. 13 package pathnames are already properly installed. ## Verifying disk space requirements. ## Checking for conflicts with packages already installed. The Nessus Network


15

## Checking for setuid/setgid programs. This package contains scripts which will be executed with super-user permission during the process of installing this package. Do you want to continue with the installation of [y,n,?]y Installing The Nessus Network Vulnerability Scanner as ## Installing part 1 of 1. (output redacted) ## Executing postinstall script. - Please run /opt/nessus/sbin/nessus-adduser to add a user - Register your Nessus scanner at http://www.nessus.org/register/ to obtain all the newest plugins - You can start nessusd by typing /etc/init.d/nessusd start Installation of was successful. # /etc/init.d/nessusd start # Observaes Para atualizar o Nessus no Solaris, preciso desinstalar primeiro a verso existente e instalar a verso mais recente. Este processo no excluir os arquivos de configurao ou os arquivos que no faziam parte da instalao original. Se forem encontrados erros de compatibilidade de bibliotecas, verifique se o ltimo Cluster de Patches Recomendados do Solaris da Sun foi aplicado. FreeBSD 8 (32 e 64 bits) Comandos de atualizao # killall nessusd # pkg_info Este comando gera uma lista de todos os pacotes instalados, e suas descries. O exemplo a seguir descreve o resultado do comando anterior exibindo o pacote do Nessus: Nessus-4.2.2 A powerful security scanner

Exclua o pacote do Nessus por meio do seguinte comando: # pkg_delete Use um dos comandos abaixo correspondente verso do


16

FreeBSD que est em uso: # pkg_add Nessus-4.4.0-fbsd8.tbz # pkg_add Nessus-4.4.0-fbsd8.amd64.tbz # /usr/local/nessus/sbin/nessusd -D Exemplo de resultado # killall nessusd # pkg_delete Nessus-4.2.2 # pkg_add Nessus-4.4.0-fbsd8.tbz nessusd (Nessus) 4.4.0. for FreeBSD (C) 2011 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /usr/local/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at http://www.nessus.org/register/ to obtain all the newest plugins - You can start nessusd by typing /usr/local/etc/rc.d/nessusd.sh start # /usr/local/nessus/sbin/nessusd -D nessusd (Nessus) 4.4.0. for FreeBSD (C) 2011 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded # Observaes Para atualizar o Nessus no FreeBSD, preciso desinstalar primeiro a verso existente e instalar a verso mais recente. Este processo no excluir os arquivos de configurao ou os arquivos que no faziam parte da instalao original.


17

INSTALAOA atualizao e o processamento inicial dos plugins do Nessus podem demorar alguns minutos. O servidor da Web exibir a mensagem Nessus is initializing.. (O Nessus est iniciando...) e ser recarregado quando terminar. Baixe a ltima verso do Nessus em http://www.nessus.org/download/ ou por meio do Tenable Support Portal. Verifique a integridade do pacote de instalao ao comparar o checksum MD5 do download com o checksum MD5 listado no arquivo MD5.asc aqui. Exceto quando indicado em contrrio, todos os comandos devem ser executados como usurio root do sistema. Em geral, as contas comuns de usurios no possuem os privilgios necessrios para instalar este software. A tabela a seguir apresenta instrues de instalao do servidor Nessus em todas as plataformas suportadas. Todas as instrues especiais de atualizao so indicadas em uma observao aps o exemplo. Plataforma Instrues de instalao

Red Hat ES 4 (32 bits), ES 5 (32 e 64 bits) Comando de instalao Use um dos comandos abaixo correspondente verso do Red Hat que est em uso: # rpm -ivh Nessus-4.4.0-es4.i386.rpm # rpm -ivh Nessus-4.4.0-es5.i386.rpm # rpm -ivh Nessus-4.4.0-es5.x86_64.rpm Exemplo de resultado # rpm -ivh Nessus-4.4.0-es4.i386.rpm Preparing... ########################################### [100%] 1:Nessus ########################################### [100%] nessusd (Nessus) 4.4.0. for Linux (C) 1998 - 2011 Tenable Network Security, Inc. - Please run /opt/nessus//sbin/nessus-adduser to add a user - Register your Nessus scanner at http://www.nessus.org/register/ to obtain all the newest plugins - You can start nessusd by typing /sbin/service nessusd start # Fedora Core 12, 13 e 14 (32 e 64 bits) Comando de instalao Use um dos comandos abaixo correspondente verso do Fedora Core que est em uso:


18

# # # # Exemplo de resultado

rpm rpm rpm rpm

-ivh -ivh -ivh -ivh

Nessus-4.4.0-fc12.i386.rpm Nessus-4.4.0-fc12.x86_64.rpm Nessus-4.4.0-fc14.i386.rpm Nessus-4.4.0-fc14.x86_64.rpm

# rpm -ivh Nessus-4.4.0-fc12.i386.rpm Preparing... ########################################### [100%] 1:Nessus ########################################### [100%] nessusd (Nessus) 4.4.0. for Linux (C) 1998 - 2011 Tenable Network Security, Inc. - Please run /opt/nessus//sbin/nessus-adduser to add a user - Register your Nessus scanner at http://www.nessus.org/register/ to obtain all the newest plugins - You can start nessusd by typing /sbin/service nessusd start #

SuSE 9.3 (32 bits), 10 (32 e 64 bits) Comando de instalao Use um dos comandos abaixo correspondente verso do SuSE que que est em uso: # rpm -ivh Nessus-4.4.0-suse9.3.i586.rpm # rpm -ivh Nessus-4.4.0-suse10.0.i586.rpm # rpm ivh Nessus-4.4.0-suse10.x86_64.rpm Exemplo de resultado # rpm -ivh Nessus-4.4.0-suse10.0.i586.rpm Preparing... ################################## [100%] 1:Nessus ################################## [100%] Nessusd {Nessus} 4.4.0. for Linux (C) 1998 - 2011 Tenable Network Security, Inc. - Please run /opt/nessus//sbin/nessus-adduser to add a user - Register your Nessus scanner at http://www.nessus.org/register/ to obtain all the newest plugins - You can start nessusd by typing /etc/rc.d/nessusd start # Debian 5 (32 e 64 bits) Comando de instalao Use um dos comandos abaixo correspondente verso do Debian que est em uso: # dpkg -i Nessus-4.4.0 -debian5_i386.deb


19

# dpkg -i Nessus-4.4.0 -debian5_amd64.deb Exemplo de resultado # dpkg -i Nessus-4.4.0-debian5_i386.deb Selecting previously deselected package nessus. (Reading database ... 36954 files and directories currently installed.) Unpacking nessus (from Nessus-4.4.0-debian5_i386.deb) ... Setting up nessus (4.4.0) ... nessusd (Nessus) 4.4.0. for Linux (C) 1998 - 2011 Tenable Network Security, Inc. - Please run /opt/nessus/sbin/nessus-adduser to add a user - Register your Nessus scanner at http://www.nessus.org/register/ to obtain all the newest plugins - You can start nessusd by typing /etc/init.d/nessusd start # Observaes O daemon Nessus no pode ser iniciado at que o Nessus tenha sido registrado e um plugin baixado. Normalmente, o Nessus vem com um conjunto de plugins vazio. Ao tentar iniciar o Nessus sem plugins, o seguinte resultado ser gerado: # /etc/init.d/nessusd start Starting Nessus : . # Missing plugins. Attempting a plugin update... Your installation is missing plugins. Please register and try again. To register, please visit http://www.nessus.org/register/ Ubuntu 8.04, 9.10, 10.04 e 10.10 (32 e 64 bits) Comando de instalao Use um dos comandos abaixo correspondente verso do Ubuntu que est em uso: # # # # # # Exemplo de resultado dpkg dpkg dpkg dpkg dpkg dpkg -i -i -i -i -i -i Nessus-4.4.0-ubuntu804_i386.deb Nessus-4.4.0-ubuntu804_amd64.deb Nessus-4.4.0-ubuntu910_i386.deb Nessus-4.4.0-ubuntu910_amd64.deb Nessus-4.4.0-ubuntu1010_amd64.deb Nessus-4.4.0-ubuntu1010_i386.deb

# dpkg -i Nessus-4.4.0-ubuntu804_amd64.deb Selecting previously deselected package nessus. (Reading database ... 32444 files and directories currently installed.) Unpacking nessus (from Nessus-4.4.0-ubuntu804_amd64.deb) ... Setting up nessus (4.4.0) ... - Please run /opt/nessus/sbin/nessus-adduser to add a user


20

- Register your Nessus scanner at http://www.nessus.org/register/ to obtain all the newest plugins - You can start nessusd by typing /etc/init.d/nessusd start # Solaris 10 (Sparc) Comando de instalao # gunzip Nessus-4.4.0-solaris-sparc.pkg.gz # pkgadd -d ./Nessus-4.4.0-solaris-sparc.pkg The following packages are available: 1 TNBLnessus The Nessus Network Vulnerability Scanner (sparc) 4.4.0 Select package(s) you wish to process (or 'all' to process all packages). (default: all) [?,??,q]:1 Exemplo de resultado # gunzip Nessus-4.4.0-solaris-sparc.pkg.gz # pkgadd -d ./Nessus-4.4.0-solaris-sparc.pkg The following packages are available: 1 TNBLnessus The Nessus Network Vulnerability Scanner (sparc) 4.4.0 Select package(s) you wish to process (or 'all' to process all packages). (default: all) [?,??,q]:1 Processing package instance from The Nessus Network Vulnerability Scanner(sparc) 4.4.0 ## Processing package information. ## Processing system information. ## Verifying disk space requirements. ## Checking for conflicts with packages already installed. ## Checking for setuid/setgid programs. This package contains scripts which will be executed with super-user permission during the process of installing this package. Do you want to continue with the installation of [y,n,?]y Installing The Nessus Network Vulnerability Scanner as ## Installing part 1 of 1. (output redacted) ## Executing postinstall script. - Please run /opt/nessus/sbin/nessus-adduser to add a user - Register your Nessus scanner at http://www.nessus.org/register/ to obtain


21

all the newest plugins - You can start nessusd by typing /etc/init.d/nessusd start Installation of was successful. # /etc/init.d/nessusd start # Observaes Se forem encontrados erros de compatibilidade de bibliotecas, verifique se o ltimo Cluster de Patches Recomendados do Solaris da Sun foi aplicado.

FreeBSD 8 (32 e 64 bits) Comando de instalao Use um dos comandos abaixo correspondente verso do FreeBSD que est em uso: # pkg_add Nessus-4.4.0-fbsd8.tbz # pkg_add Nessus-4.4.0-fbsd8.amd64.tbz Exemplo de resultado # pkg_add Nessus-4.4.0-fbsd8.tbz nessusd (Nessus) 4.4.0 for FreeBSD (C) 1998 2011 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /usr/local/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at http://www.nessus.org/register/ to obtain all the newest plugins - You can start nessusd by typing /usr/local/etc/rc.d/nessusd.sh start # Depois que o Nessus for instalado, recomenda-se personalizar o arquivo de configurao fornecido de acordo com o seu ambiente, conforme descrito na seo Configurao. O Nessus deve ser instalado em /opt/nessus. No entanto, se /opt/nessus for um link simblico apontando para outro lugar, ele ser aceito.

CONFIGURAODiretrios principais do NessusA tabela a seguir indica o local de instalao e os diretrios principais usados pelo Nessus:


22

Diretrio inicial do Nessus Distribuies do Unix Red Hat, SuSE, Debian, Ubuntu, Solaris: /opt/nessus

Subdiretrios do Nessus

Objetivo

./etc/nessus/ ./var/nessus/users//kbs/

Arquivos de configurao Banco de dados de conhecimento dos usurios salvo em disco Plugins do Nessus Arquivos de log do Nessus

FreeBSD: /usr/local/nessus Mac OS X: /Library/Nessus/run

./lib/nessus/plugins/ ./var/nessus/logs/

Criar usurios do NessusCrie pelo menos um usurio do Nessus para que os utilitrios clientes possam se conectar ao Nessus para iniciar varreduras e acessar os resultados. Exceto quando indicado em contrrio, todos os comandos devem ser executados como usurio root do sistema. Para autenticar a senha use o comando nessus-adduser para adicionar usurios. Recomenda-se que o primeiro usurio criado seja o usurio admin. Cada usurio do Nessus possui um conjunto de regras denominadas regras do usurio, que controlam o que podem e no podem fazer durante a varredura. Normalmente, se as regras do usurio no forem inseridas durante a criao de um novo usurio do Nessus, o usurio poder realizar a varredura em qualquer intervalo de IPs. O Nessus reconhece um conjunto global de regras mantido no arquivo nessusd.rules. Essas regras tm precedncia sobre as regras especficas do usurio. As regras especficas de um usurio so criadas para refinar ainda mais as regras globais existentes. # /opt/nessus/sbin/nessus-adduser Login : sumi_nessus Login password : Login password (again) : Do you want this user to be a Nessus 'admin' user ? (can upload plugins, etc...) (y/n) [n]: y User rules ---------nessusd has a rules system which allows you to restrict the hosts that sumi_nessus has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser manual for the rules syntax


23

Enter the rules for this user, and enter a BLANK LINE once you are done : (the user can have an empty rules set)

Login : sumi_nessus Password : *********** This user will have 'admin' privileges within the Nessus server Rules : Is that ok ? (y/n) [y] y User added #

Um usurio que no seja administrador no poder enviar plugins ao Nessus, no poder reinici-lo remotamente (necessrio aps o envio de um plugin) e no poder ignorar a configurao max_hosts/max_checks em nessusd.conf. Caso seja necessrio o uso do SecurityCenter pelo usurio, ele dever ser um usurio admin. O SecurityCenter mantm a sua prpria lista de users e define permisses para seus usurios. O scanner Nessus capaz de reconhecer uma disposio complexa de vrios usurios. Por exemplo: diversas pessoas uma organizao podem ter acesso ao mesmo scanner Nessus, mas com a capacidade de examinar intervalos IP diferentes, restringindo o acesso a alguns intervalos de IP restritos a pessoas autorizadas. O exemplo a seguir destaca a criao de um segundo usurio do Nessus com autenticao por senha e regras que limitam o usurio varredura de uma sub-rede classe B, 172.20.0.0/16. Para ver mais exemplos e a sintaxe das regras de usurios, consulte as pginas man nessus-adduser. # /opt/nessus/sbin/nessus-adduser Login : tater_nessus Login password : Login password (again) : Do you want this user to be a Nessus 'admin' user ? (can upload plugins, etc...) (y/n) [n]: n User rules ---------nessusd has a rules system which allows you to restrict the hosts that tater_nessus has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser manual for the rules syntax Enter the rules for this user, and enter a BLANK LINE once you are done : (the user can have an empty rules set) accept 172.20.0.0/16 deny 0.0.0.0/0

Login : tater_nessus


24

Password : *********** Rules : accept 172.20.0.0/16 deny 0.0.0.0/0 Is that ok ? (y/n) [y] y User added #

Para visualizar a pgina man nessus-adduser(8), pode ser necessrio, em alguns sistemas operacionais, executar os seguintes comandos: # export MANPATH=/opt/nessus/man # man nessus-adduser

No Nessus 4.0.x e verses anteriores, a autenticao entre o Cliente Nessus e o Servidor Nessus podia ser configurada atravs de certificados SSL. Isso deixou de ser exigido, pois o servidor Nessus acessado por meio de autenticao SSL pela Web e no por um cliente Nessus independente. A nica exceo a autenticao entre o SecurityCenter e o servidor Nessus, pois o SecurityCenter funciona como um cliente Nessus. As informaes sobre a autenticao do certificado SSL nesta configurao esto disponveis na documentao do SecurityCenter.

Instalao do cdigo de ativao do pluginSe o Tenable SecurityCenter for usado, o cdigo de ativao e as atualizaes do plugin sero gerenciadas por meio do SecurityCenter. Para se comunicar com o SecurityCenter, o Nessus precisa ser iniciado e, para isso, requer um cdigo de ativao vlido e plugins. Para fazer com que o Nessus ignore essa exigncia e seja iniciado (para receber as atualizaes de plugins do SecurityCenter), execute o seguinte comando: # nessus-fetch --security-center Logo aps a execuo do comando nessus-fetch acima, use o respectivo comando para iniciar o servidor Nessus. O servidor Nessus pode ser adicionado em seguida ao SecurityCenter por meio da interface da Web do SecurityCenter. Consulte a configurao de um feed centralizado de plugins para vrios scanners Nessus na documentao do SecurityCenter. Antes de iniciar o Nessus pela primeira vez, preciso fornecer um cdigo de ativao para baixar os plugins atuais. O download e o processamento inicial dos plugins exigir um tempo a mais antes que o servidor Nessus esteja pronto. Dependendo do servio de assinatura, o usurio receber um cdigo de ativao com o qual poder baixar os plugins do ProfessionalFeed ou do HomeFeed. Isto ir sincronizar o scanner Nessus do usurio com todos os plugins disponveis. Os cdigos de ativao podem se formados por sequncias de 16 ou 20 caracteres alfanumricos com traos.


25

Para instalar o cdigo de ativao, digite o seguinte comando no sistema onde o Nessus est instalado (): Linux e Solaris: # /opt/nessus/bin/nessus-fetch --register FreeBSD: # /usr/local/nessus/bin/nessus-fetch --register Depois do registro inicial, o Nessus baixar e reunir os plugins obtidos de plugins.nessus.org, plugins-customers.nessus.org ou plugins-us.nessus.org em segundo plano. Pode levar at 10 minutos para que o servidor Nessus esteja pronto ao realizar este procedimento pela primeira vez. Quando a mensagem nessusd is ready (nessusd est pronto) surgir no log do nessusd.messages, o servidor Nessus aceitar conexes de clientes e a interface de varredura ficar disponvel. O cdigo de ativao no diferencia maisculas de minsculas.

necessria uma conexo Internet para esta etapa. Se o Nessus for usado em um sistema que no possui conexo Internet, siga as etapas indicadas na seo Nessus sem acesso Internet para instalar o cdigo de ativao. O exemplo abaixo mostra as etapas necessrias para registrar o cdigo de ativao do plugin, acessar os plugins mais recentes no site do Nessus e verificar se o download foi realizado com sucesso. # /opt/nessus/bin/nessus-fetch --register XXXX-XXXX-XXXX-XXXX-XXXX Your activation code has been registered properly thank you. Now fetching the newest plugin set from plugins.nessus.org... Your Nessus installation is now up-to-date. If auto_update is set to 'yes' in nessusd.conf, Nessus will update the plugins by itself. # cat /opt/nessus/lib/nessus/plugins/plugin_feed_info.inc PLUGIN_SET = "200912160934"; PLUGIN_FEED = "ProfessionalFeed (Direct)"; O arquivo plugin_feed_info.inc, localizado no diretrio /opt/nessus/lib/nessus/plugins/, verificar qual conjunto de plugins e tipo de feed voc possui. Leia o arquivo para ajud-lo a garantir que os ltimos plugins estejam disponveis.

COMO INICIAR O DAEMON DO NESSUSO Nessus no ser iniciado at que o scanner seja registrado e os plugins sejam baixados. Os usurios do SecurityCenter que digitaram o comando a seguir no precisaro fornecer um cdigo de registro ou baixar plugins. # nessus-fetch --security-center


26

Inicie o servio Nessus como root com o seguinte comando: Linux e Solaris: # /opt/nessus/sbin/nessus-service -D FreeBSD: # /usr/local/nessus/sbin/nessus-service -D O exemplo a seguir mostra uma tela de inicializao do nessusd no Red Hat: # /opt/nessus/sbin/nessus-service -D nessusd (Nessus) 4.4.0 for Linux (C) 1998 - 2011 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded # Para suprimir o resultado do comando, use a opo -q da seguinte forma: Linux e Solaris: # /opt/nessus/sbin/nessus-service -q -D FreeBSD: # /usr/local/nessus/sbin/nessus-service -q -D O Nessus tambm pode ser iniciado com o comando a seguir, dependendo da plataforma de sistema operacional: Sistema operacional Red Hat Fedora Core SuSE Debian FreeBSD Comando para iniciar o nessusd # /sbin/service nessusd start # /sbin/service nessusd start # /etc/rc.d/nessusd start # /etc/init.d/nessusd start # /usr/local/etc/rc.d/nessusd.sh start


27

Solaris Ubuntu

# /etc/init.d/nessusd start # /etc/init.d/nessusd start

Depois de iniciar o servio nessusd, os usurios do SecurityCenter concluiro a instalao e configurao iniciais do seu scanner Nessus 4. Se o SecurityCenter no for usado para se conectar ao nessusd, prossiga com as seguintes instrues para instalar o cdigo de ativao do plugin.

COMO PARAR O DAEMON DO NESSUSCaso seja necessrio parar o servio nessusd por qualquer motivo, o comando a seguir interromper o Nessus e todas as varreduras em andamento: # killall nessusd Em vez disso, recomendamos que os scripts de desligamento gradual sejam usados: Sistema operacional Red Hat Fedora Core SuSE Debian FreeBSD Solaris Ubuntu Comando de interrupo do nessusd # /sbin/service nessusd stop # /sbin/service nessusd stop # /etc/rc.d/nessusd stop # /etc/init.d/nessusd stop # /usr/local/etc/rc.d/nessusd.sh stop # /etc/init.d/nessusd stop # /etc/init.d/nessusd stop

OPES DE LINHA DE COMANDO DO NESSUSDAlm de executar o servidor nessusd, vrias outras opes de linha de comando podem ser usadas quando necessrio. A tabela a seguir contm informaes sobre esses vrios comandos opcionais. Opo -c Descrio Ao iniciar o servidor nessusd, esta opo usada para especificar o arquivo de configurao nessusd do servidor a ser usado. Ele permite o uso de outro arquivo de configurao em


28

vez do /opt/nessus/etc/nessus/nessusd.conf padro (ou /usr/local/nessus/etc/nessus/nessusd.conf no FreeBSD). -a Ao iniciar o servidor nessusd, esta opo usada para instruir o servidor que escute apenas as conexes no endereo que sejam um IP e no um nome de computador. Esta opo til ao executar o nessusd em um gateway e se o usurio no desejar que usurios externos se conectem ao nessusd. Ao iniciar o servidor nessusd, este comando fora o IP de origem das conexes estabelecidas pelo Nessus durante a varredura de . Esta opo s ser til se o usurio tiver um computador com vrios homes e endereos IP pblicos que podem ser usados em vez do IP padro. Para que esta configurao funcione, o host que executa o nessusd deve ter vrias placas de rede com esses endereos IP definidos. Ao iniciar o servidor nessusd, esta opo instrui o servidor que escute conexes do cliente na porta em vez de escutar na porta 1241, que a porta padro. Ao iniciar o servidor nessusd, esta opo far com que o servidor funcione em segundo plano (no modo daemon). Exibe o nmero da verso e desconecta. Exibe as informaes sobre a licena do feed do plugin e desconecta. Mostra o resumo dos comandos e desconecta. Escuta apenas o soquete IPv4. Escuta apenas o soquete IPv6. Funciona no modo silencioso ao suprimir todas as mensagens enviadas a stdout. Fora o reprocessamento dos plugins. Verifica a data e hora de cada plugin na inicializao. Define uma senha mestra para o scanner.

-S

-p

-D -v -l -h --ipv4-only --ipv6-only -q -R -t -K

Se uma senha mestra for definida, o Nessus ir criptografar todas as polticas e credenciais contidas neles com a chave fornecida pelo usurio (mais segura que a chave padro). Se uma senha for definida, a interface de Web solicitar a senha durante a inicializao.


29

ATENO: Se a senha mestra for definida e perdida, o administrador e o suporte da Tenable no podero recuper-la. Um exemplo de uso mostrado a seguir: Linux: # /opt/nessus/sbin/nessus-service [-vhD] [-c ] [-p ] [-a ] [-S ] FreeBSD: # /usr/local/nessus/sbin/nessus-service [-vhD] [-c ] [-p ] [-a ] [-S ]

CONEXO COM O CLIENTEDepois que a instalao for concluda e os plugins atualizados e processados, o servidor Nessus estar pronto para que um cliente se conecte a ele. A Tenable permite o acesso ao servidor Nessus por meio de um servidor Web original (normalmente porta 8834), da linha de comando ou da interface do SecurityCenter (abordada na seo Trabalhando com SecurityCenter). As informaes sobre como acessar o servidor Web/interface de usurio e a operao por linha de comando esto disponveis no Guia do Usurio Nessus localizado em http://www.tenable.com/products/nessus/documentation. A atualizao e o processamento inicial dos plugins do Nessus podem demorar alguns minutos. O servidor Web estar disponvel, mas no permitir o login at que o processamento do plugin seja concludo.

ATUALIZAO DOS PLUGINSO comando a seguir usado para atualizar o scanner Nessus com os plugins mais recentes: Linux e Solaris: # /opt/nessus/sbin/nessus-update-plugins FreeBSD: # /usr/local/nessus/sbin/nessus-update-plugins medida que novas falhas so descobertas e publicadas todos os dias, novos plugins do Nessus so escritos diariamente. Para manter o scanner Nessus atualizado com os ltimos plugins, tornando suas varreduras to precisas quanto possvel, preciso atualizar os plugins regularmente.

Com que frequncia devo atualizar os plugins?Em geral, atualizar os plugins do Nessus uma vez ao dia suficiente para a maioria das organizaes. Caso seja necessrio obter os plugins mais recentes e o usurio pretende realizar atualizaes contnuas ao longo do dia, basta atualizar uma vez a cada quatro horas, pois praticamente no h nenhum benefcio em atualizar com mais frequncia.


30

Atualizao automtica dos pluginsDesde a verso 3.0, o Nessus localiza os plugins mais recentes de maneira automtica e regular. Isto feito com a opo auto_update localizada no arquivo nessusd.conf. A opo padro yes (sim). A opo auto_update_delay determina quantas vezes o Nessus atualizar seus plugins, em horas, cujo valor padro 24. O valor mnimo de quatro horas pode ser usado. A atualizao de plugins ocorre no nmero de horas aps o incio do nessusd e prossegue a cada N horas aps a ltima atualizao. Para que esta opo funcione corretamente, preciso verificar se o feed do cdigo de ativao do plugin do scanner foi registrado corretamente. Use o seguinte comando para fazer a verificao: Linux e Solaris: # /opt/nessus/bin/nessus-fetch --check FreeBSD: # /usr/local/nessus/bin/nessus-fetch --check As atualizaes automticas de plugins s ocorrero se:

> A opo auto_update estiver definida como yes (sim) no arquivo nessusd.conf ; > O cdigo de ativao do feed do plugin tiver sido registrado por meio do nessus-fetch > O scanner no for gerenciado remotamente por um Tenable SecurityCenter.Observe que o registro offline de um feed de plugin no permitir que o Nessus localize os plugins mais recentes automaticamente. nesse scanner quando estiver diretamente conectado Internet; e

Programao de atualizaes de plugins com o cronSe a sua organizao tiver algum motivo tcnico ou logstico para no permitir que o Nessus atualize os plugins automaticamente, pode-se tambm configurar uma tarefa cron para esta finalidade. Para configurar o sistema para atualizar os plugins todas as noites por meio do cron, execute as etapas a seguir:

> Entre no root digitando su root (ou sudo bash se o usurio tiver privilgios sudo). > No root, digite crontab -e to para editar o crontab do usurio root. > Adicione a seguinte linha ao crontab:28 3 * * * /opt/nessus/sbin/nessus-update-plugins A configurao acima acionar o comando nessus-update-plugins todos os dias s 03h28. Uma vez que o nessus-update-plugins reinicia o nessusd automaticamente sem interromper as varreduras em andamento, no preciso realizar nenhuma ao. Ao configurar o cron para atualizaes de plugins, evite iniciar a atualizao ser iniciada na "hora cheia". Ao configurar um agendamento, escolha um minuto aleatrio aps a hora cheia, entre :05 e :55, e inicie o download.


31

A partir do 4.4, o Nessus atualiza os plugins enquanto houver varreduras em andamento. Quando a atualizao for concluda, todas as varreduras subsequentes sero iniciadas com o conjunto de plugins atualizado. O usurio no precisa sair da interface de Web durante este processo.

Atualizao de plugins por meio de proxies da WebNos sistemas operacionais Unix, o Nessus permite registrar o produto e atualizar plugins por meio de proxies da Web, que exigem autenticao bsica. As configuraes de proxy podem ser encontradas no arquivo /opt/nessus/etc/nessus/nessus-fetch.rc. Quatro linhas relevantes controlam a conectividade por proxy. Veja a seguir as linhas com exemplos de sintaxe: proxy=myproxy.example.com proxy_port=8080 proxy_username=juser proxy_password=squirrel Para a diretiva proxy, pode-se usar um nome de host DNS ou um endereo IP. Apenas um proxy pode ser especificado no arquivo nessus-fetch.rc. Alm disso, uma diretiva user_agent pode ser especificada, se necessrio, que instrui o Nessus a usar um user agent HTTP personalizado.

REMOO DO NESSUSA tabela a seguir apresenta instrues de remoo do servidor Nessus em todas as plataformas suportadas. Exceto pelas instrues usadas com o Mac OS X, as instrues fornecidas no excluiro os arquivos de configurao ou os arquivos que no faziam parte da instalao original. Os arquivos que faziam parte do pacote original, e que foram alterados desde a instalao, tambm no sero excludos. Para excluir completamente os arquivos restantes, use o comando a seguir: Linux e Solaris: # rm -rf /opt/nessus FreeBSD: # rm -rf /usr/local/nessus/bin Plataforma Instrues de remoo

Red Hat ES 4 (32 bits), ES 5 (32 e 64 bits) Comando de remoo Determine o nome do pacote: # rpm -qa | grep Nessus Use o resultado do comando acima para excluir o pacote: # rpm -e


32

Exemplo de resultado

# rpm -qa | grep -i nessus Nessus-4.4.0-es5 # rpm -e Nessus-4.4.0-es5 #

Fedora Core 12, 13 e 14 (32 e 64 bits) Comando de remoo Determine o nome do pacote: # rpm -qa | grep Nessus Use o resultado do comando acima para excluir o pacote: # rpm -e SuSE 9.3 (32 bits), 10 (32 e 64 bits) Comando de remoo Determine o nome do pacote: # rpm -qa | grep Nessus Use o resultado do comando acima para excluir o pacote: # rpm -e Debian 5 (32 e 64 bits) Comando de remoo Determine o nome do pacote: # dpkg -l | grep -i nessus Use o resultado do comando acima para excluir o pacote: # dpkg -r Exemplo de resultado # dpkg -l | grep nessus ii nessus 4.4.0 Scanner # dpkg -r nessus # Ubuntu 8.04, 9.10, 10.04 e 10.10 (32 e 64 bits) Comando de remoo Determine o nome do pacote: # dpkg -l | grep -i nessus Use o resultado do comando acima para excluir o pacote: # dpkg -r Exemplo de # dpkg -l | grep -i nessus Version 4 of the Nessus


33

resultado

ii nessus Scanner #

4.4.0

Version 4 of the Nessus

Solaris 10 (Sparc) Comando de remoo Parar o servio nessusd: # /etc/init.d/nessusd stop Determine o nome do pacote: # pkginfo | grep i nessus Exclua o pacote Nessus: # pkgrm Exemplo de resultado O exemplo a seguir descreve o resultado do comando anterior exibindo o pacote do Nessus: # pkginfo | grep i nessus application TNBLnessus Vulnerability Scanner # pkgrm TNBLnessus # FreeBSD 8 (32 e 64 bits) Comando de remoo Parar o Nessus: # killall nessusd Determine o nome do pacote: # pkg_info | grep -i nessus Exclua o pacote Nessus: # pkg_delete Exemplo de resultado # killall nessusd # pkg_info | grep -i nessus Nessus-4.4.0 A powerful security scanner # pkg_delete Nessus-4.4.0 # The Nessus Network

Max OS X Comando de remoo Abra uma janela de terminal: Em Applications (Aplicativos), clique em Utilities (Utilitrios) e, em seguida, clique em Terminal ou X11. Na janela de comando, use o comando


34

sudo para executar um shell de raiz e exclua os diretrios do Nessus da seguinte maneira: $ sudo /bin/sh Password: # ls -ld /Library/Nessus # rm -rf /Library/Nessus # ls -ld /Library/Nessus # ls -ld /Applications/Nessus # rm -rf /Applications/Nessus # ls -ld /Applications/Nessus # ls -ld /Library/Receipts/Nessus* # rm -rf /Library/Receipts/Nessus* # ls -ld /Library/Receipts/Nessus* # exit Exemplo de resultado $ sudo /bin/sh Password: # ls -ld /Library/Nessus drwxr-xr-x 6 root admin 204 Apr 6 15:12 /Library/Nessus # rm -rf /Library/Nessus # ls -ld /Library/Nessus ls: /Library/Nessus: No such file or directory # ls -ld /Applications/Nessus drwxr-xr-x 4 root admin 136 Apr 6 15:12 /Applications/Nessus # rm -rf /Applications/Nessus # ls -ld /Applications/Nessus # ls -ld /Library/Receipts/Nessus* drwxrwxr-x 3 root admin 102 Apr 6 15:11 /Library/Receipts/Nessus Client.pkg drwxrwxr-x 3 root admin 102 Apr 6 15:11 /Library/Receipts/Nessus Server.pkg # rm -rf /Library/Receipts/Nessus* # ls -ld /Library/Receipts/Nessus* ls: /Library/Receipts/Nessus*: No such file or directory # exit $ No tente executar este processo se no estiver familiarizado com os comandos de shell do Unix. Os comandos ls esto includos para verificar se o nome do caminho foi digitado corretamente.

Observaes


35

WINDOWSATUALIZAESAtualizao do Nessus 4.0 4.0.xAo atualizar o Nessus de uma verso 4.x para uma distribuio mais recente 4.x, o processo de atualizao perguntar se o usurio deseja apagar todo o contedo do diretrio Nessus. Selecione a opo Yes (Sim) para simular um processo de desinstalao. Se esta opo for selecionada, os usurios criados anteriormente, as polticas de varredura e os resultados das varreduras sero excludos e o scanner deixar de ser registrado.

Atualizao do Nessus 3.0 3.0.xNo possvel realizar a atualizao direta do Nessus 3.0.x para o Nessus 4.x, mas possvel usar uma atualizao para a verso 3.2 como passo intermedirio para garantir que as principais configuraes de varredura e polticas sejam preservadas. Se no for necessrio preservar as configuraes de varredura, primeiro desinstale o Nessus 3.x e, depois, instale uma nova cpia do Nessus 4. Se optar pela atualizao para o 3.2 como passo intermedirio, consulte o Guia de Instalao do Nessus 3.2 para obter mais informaes.

Atualizao do Nessus 3.2 e verses posterioresSe o Nessus 3.2 ou posterior for utilizado, possvel baixar o pacote do Nessus 4 e installo sem desinstalar a verso existente. Todos os relatrios anteriores de varredura de vulnerabilidades e de polticas sero salvos e no sero excludos, se necessrio. A mensagem a seguir exibida durante a atualizao, que oferece ao usurio a opo de salvar ou excluir a instalao anterior:

Clique em Yes (Sim) para permitir que o Nessus exclua toda a pasta do Nessus juntamente com todos os arquivos adicionados manualmente ou No (No) para manter a pasta do Nessus junto com as varreduras, relatrios, etc. existentes. Depois que a nova verso do Nessus for instalada, ainda estaro disponveis para visualizao e exportao. Ateno! Se Yes for selecionado, todos os arquivos do diretrio Nessus sero excludos, incluindo os arquivos de log, os plugins personalizados adicionados manualmente e outros itens. Selecione esta opo com cuidado!


36

INSTALAODownload do NessusA verso mais recente do Nessus est disponvel no endereo http://www.nessus.org/download/. O Nessus 4.4 est disponvel para Windows XP, Server 2003, Server 2008, Vista e Windows 7. Verifique a integridade do pacote de instalao comparando o checksum MD5 do download com o checksum indicado no MD5.asc arquivoaqui

O tamanho e nomes dos arquivos de distribuio do Nessus variam um pouco de uma verso para outra, mas tm cerca de 12 MB.

InstalaoO Nessus distribudo como um arquivo de instalao executvel. Coloque o arquivo no sistema em que ser instalado ou em uma unidade compartilhada que o sistema possa acessar. preciso instalar o Nessus com uma conta administrativa e no como um usurio sem privilgios. Se a mensagem de erro relacionada a permisses Access Denied (Acesso Negado) for exibida ou se ocorrerem erros que indiquem que uma ao ocorreu devido falta de privilgios, verifique se est usando uma conta com privilgios administrativos. Se surgirem erros ao usar utilitrios de linha de comando, execute cmd.exe privilgios de Executar como... configurados como administrador. Alguns pacotes de software antivrus podem classificar o Nessus como um worm ou algum tipo de malware. Isto se deve ao grande nmero de conexes TCP geradas durante uma varredura. Se o software antivrus gerar um aviso, clique em permitir para que o Nessus possa continuar a varredura. A maioria dos pacotes AV tambm permite adicionar processos em uma lista de excees. Adicione Nessus.exe e Nessus-service.exe lista para prevenir esses avisos.

Problemas de instalao


37

Durante o processo de instalao, o Nessus solicitar ao usurio algumas informaes bsicas. Antes de comear, o usurio deve aceitar o contrato de licena:

Depois de aceitar o contrato, escolha o local onde o Nessus ser instalado:

Quando solicitado para selecionar o Setup Type (Tipo de instalao), escolha Complete (Completo).


38

Ser solicitado que voc confirme a instalao:

Quando a instalao for concluda, clique em Finish (Concluir).


39

Diretrios principais do NessusDiretrio inicial do Nessus Windows \Program Files\Tenable\Nessus \conf \data \nessus\plugins \nessus\users\\kbs Arquivos de configurao Modelos de folhas de estilo Plugins do Nessus Banco de dados de conhecimento dos usurios salvo em disco Arquivos de log do Nessus Subdiretrios do Nessus Objetivo

\nessus\logs

Se o espao em disco necessrio para manter os logs existir fora do sistema de arquivos /opt, monte o diretrio de destino desejado com mount --bind ou a sintaxe apropriada para a sua verso. No possvel usar links simblicos para realizar essa tarefa.


40

CONFIGURAOEsta seo descreve como configurar o servidor Nessus 4 em um sistema Windows.

Nessus Server ManagerPara iniciar, parar e configurar o servidor Nessus, use o Nessus Server Manager. Esta interface permite:

> Registrar o servidor Nessus em nessus.org para receber plugins atualizados > Executar uma atualizao de plugins > Configurar se o servidor Nessus deve ser iniciado ou no sempre que o Windows for > Gerenciar os usurios do Nessus > Iniciar ou desconectar o servidor NessusNavegue at o Nessus Server Manager por meio do menu Iniciar da seguinte maneira: Iniciar -> Programas -> Tenable Network Security -> Nessus -> Nessus Server Manager. Isto carregar o Nessus Server Manager (nessussvrmanager.exe) da maneira indicada abaixo: iniciado


41

O boto Start Nessus Server (Iniciar Servidor Nessus) permanecer indisponvel at que o servidor Nessus seja registrado.

Alterao da porta padro do NessusPara alterar a porta de escuta do servidor Nessus, edite o arquivo nessusd.conf localizado em C:\Program Files\Tenable\Nessus\conf\ As instrues de configurao a seguir podem ser editadas para alterar o ouvinte do servio Nessus e as preferncias do servidor Web: # Port to listen to (old NTP protocol). Used for pre 4.2 NessusClient # connections : listen_port = 1241 # Port for the Nessus Web Server to listen to (new XMLRPC protocol) : xmlrpc_listen_port = 8834 Depois de alterar os valores, desconecte o servio Nessus atravs do Nessus Server Manager e reinicie-o. O uso do cliente antigo atravs do protocolo NTP est disponvel apenas para os clientes do ProfessionalFeed.

Registro da instalao do NessusSe o Tenable SecurityCenter for usado, o cdigo de ativao e as atualizaes do plugin sero gerenciadas por meio do SecurityCenter. Para se comunicar com o SecurityCenter, o Nessus precisa ser iniciado e, para isso, requer um cdigo de ativao vlido e plugins. Para fazer com que o Nessus ignore essa exigncia e seja iniciado (para poder receber as informaes do SecurityCenter), execute o seguinte comando no prompt do MS-DOS: C:\Program Files\Tenable\Nessus>nessus-fetch --security-center Logo aps a execuo do comando nessus-fetch acima, use o gerenciador de servios do Windows para iniciar o servidor Nessus. O servidor Nessus pode ser adicionado em seguida ao SecurityCenter por meio da interface da Web do SecurityCenter. Consulte a configurao de um feed centralizado de plugins para vrios scanners Nessus na documentao do SecurityCenter. Aps a instalao, preciso registrar o servidor Nessus. O registro do servidor garante o acesso aos plugins mais recentes da nessus.org e que as auditorias estejam atualizadas. Depois do registro inicial, a Nessus baixar e reunir em segundo plano os plugins obtidos em plugins.nessus.org. Pode levar at 10 minutos para que o servidor Nessus esteja pronto ao realizar este procedimento pela primeira vez. At que os plugins sejam baixados e reunidos, a interface do servidor da Web no estar disponvel. O cdigo de ativao no diferencia maisculas de minsculas.


42

Para registrar o Nessus, clique em Obtain an activation code (Obter um Cdigo de Ativao) para ir pgina http://www.nessus.org/plugins/?view=register-info. Nessa pgina, possvel obter um ProfessionalFeed ou um HomeFeed. O ProfessionalFeed necessrio para uso comercial e oferece atualizaes de plugins, suporte ao cliente, auditorias de configurao, appliance virtual entre outras opes. O HomeFeed necessrio para usurios domsticos e no licenciado para uso profissional ou comercial. Uma vez que as informaes necessrias forem fornecidas e processadas, o usurio receber um e-mail com o cdigo de ativao, que garante o usurio o direito de acessar os plugins do ProfessionalFeed ou HomeFeed. Digite-o no campo apropriado e clique no boto Register (Registrar). Observe que preciso digitar o nome de usurio e a senha de administrador. Quando o Nessus Server Manager autorizar o cdigo de ativao de feeds, a atualizao dos plugins do Nessus ser iniciada. O processo pode demorar alguns minutos devido ao tamanho do primeiro arquivo de plugin. Se a cpia do Nessus no for registrada, o usurio no receber plugins atualizados e no poder iniciar o servidor Nessus. Aps o registro, a interface do Nessus Server Manager exibir o seguinte:


43

Nota: O Nessus tambm pode ser iniciado a partir da linha de comando: C:\Windows\system32>net stop "Tenable Nessus" The Tenable Nessus service is stopping. The Tenable Nessus service was stopped successfully. C:\Windows\system32>net start "Tenable Nessus" The Tenable Nessus service is starting. The Tenable Nessus service was started successfully. C:\Windows\system32>

Restaurao dos cdigos de ativaoEm alguns casos, pode ser necessrio alterar os cdigos de ativao (por exemplo: atualizar do HomeFeed para o ProfessionalFeed). Isto pode ser feito com o boto Clear registration file (Limpar arquivo de registro) da interface do Nessus Server Manager. Aps a confirmao, a ao cancelar o registro da cpia do Nessus at que um novo cdigo de ativao seja obtido e o produto registrado novamente.

Criao e gerenciamento de usurios do NessusPermitir conexes remotasPara usar o scanner Nessus de maneira remota (por exemplo: com o SecurityCenter), preciso selecionar Allow remote users to connect to this server (Permitir que usurios remotos se conectem a este servidor). Se esta opo ficar desmarcada, o servidor Nessus estar disponvel apenas para clientes locais. Se esta opo for marcada, o servidor Nessus poder ser acessado atravs de clientes instalados no localhost, clientes instalados em um host remoto ou pela interface do SecurityCenter (que ser discutida mais adiante neste documento na seo Trabalhar com SecurityCenter). As informaes sobre os clientes Nessus esto disponveis no Manual do Usurio do Nessus 4.4.

Incluso de contas de usuriosClique em Manage Users (Gerenciar Usurios...) para criar e gerenciar contas no servidor Nessus:


44

Para criar um usurio, clique no boto + e digite um novo nome de usurio e senha. Marque a caixa de seleo Administrator (Administrador) se o usurio for um administrador:


45

Selecione um nome na lista e clique no boto Edit (Editar...) para alterar a senha do usurio (veja imagem abaixo). Clique no boto - com um usurio selecionado para excluir o usurio aps a confirmao.


46

No possvel renomear um usurio. Para alterar o nome de um usurio, exclua o usurio e crie um novo usurio com o nome de login apropriado.

Observe que o Nessus usa uma conta administrativa interna para comunicao local entre a interface de usurio do Nessus e o Tenable Nessus Service. Essa conta no pode ser usada para a conexo remota de um cliente Nessus.

Firewalls instalados no hostSe o servidor Nessus estiver configurado em um host com um firewall pessoal, como Zone Alarm, Sygate, firewall do Windows XP ou qualquer outro software de firewall, ser necessrio que as conexes sejam permitidas a partir do endereo IP do cliente Nessus. Normalmente, a porta 8834 usada para o Nessus Web Server (interface do usurio). Nos sistemas Microsoft XP Service Pack 2 (SP2) e posteriores, clique em Central de Segurana no Painel de Controle para gerenciar as configuraes da opo Firewall do Windows. Para abrir a porta 8834, selecione a guia Excees e adicione a porta 8834 lista.


47

Para outros softwares de firewall pessoal, consulte a documentao para obter instrues de configurao.

Iniciar o daemon do NessusPara iniciar o daemon do Nessus, clique no boto Start Nessus Server (Iniciar o Servidor Nessus) no Nessus Server Manager. Para iniciar o Nessus automaticamente, marque a caixa de seleo Start the Nessus Server when Windows boots (Iniciar o servidor Nessus quando o Windows for iniciado). O Nessus pode ser instalado como o servio Tenable Nessus no Windows e configurado para iniciar automaticamente se o sistema for reinicializado. Marque a opo Start the Nessus Server when Windows boots (Iniciar o servidor Nessus quando o Windows for iniciado) para configur-lo. Inicie o servio nessusd para concluir a instalao e configurao iniciais do scanner Nessus 4 e prossiga seo Trabalhar com SecurityCenter. Se o daemon do Nessus no estiver em execuo ou se a interface de usurio no estiver disponvel, o navegador ir gerar uma mensagem de erro indicando que no foi possvel se conectar.

O servidor Nessus ser executado no localhost (127.0.0.1) e, por padro, escutar a porta 1241 para clientes antigos. Para verificar se o Nessus est escutando na porta 1241, na linha de comando do Windows, use o comando netstat -an | findstr 1241 da maneira indicada abaixo: C:\Documents and Settings\admin>netstat -an | findstr 1241 TCP 0.0.0.0:1241 0.0.0.0:0 LISTENING


48

Observe se o resultado contm 0.0.0.0:1241, o que significa que um servidor est escutando nessa porta. Isto pode ser usado para verificar se o Servidor Web (interface do usurio) est disponvel, alterando-se de 1241 para 8834 no comando acima. Observe que o Nessus Service iniciado automaticamente aps a instalao e a atualizao do plugin somente. A atualizao e o processamento inicial dos plugins do Nessus podem demorar alguns minutos. O servidor Web exibir a mensagem Nessus is initializing. (O Nessus est iniciando...) e ser recarregado quando terminar.

Ao se conectar interface da Web pela primeira vez, o navegador pode exibir um aviso sobre uma conexo no confivel. Isto ocorre porque o Nessus distribudo com um certificado SSL padro. Para obter mais informaes, consulte o Guia do Usurio do Nessus.

ATUALIZAO DOS PLUGINSO Nessus possui centenas de plugins (ou scripts) que verificam vulnerabilidades da rede e do host. Novas vulnerabilidades so descobertas regularmente e novos plugins so desenvolvidos para detectar essas vulnerabilidades. Para manter o scanner Nessus atualizado com os ltimos plugins e tornar as varreduras mais precisas, preciso atualizar os plugins diariamente. A opo Perform a daily plugin update (Executar uma atualizao diria do plugin) configura o servidor Nessus para atualizar automaticamente os plugins da Tenable a cada 24 horas. A atualizao ocorre aproximadamente na hora do dia em que o Nessus foi iniciado.

possvel forar a atualizao dos plugins ao clicar no boto Update Plugins (Atualizar plugins) indicado abaixo:


49

Com que frequncia devo atualizar os plugins?Em geral, atualizar os plugins do Nessus uma vez ao dia suficiente para a maioria das organizaes. Caso seja necessrio obter plugins recm-atualizados e realizar atualizaes contnuas ao longo do dia, basta atualizar uma vez a cada quatro horas, pois praticamente no h nenhum benefcio em atualizar com mais frequncia.

Atualizao de plugins por meio de proxies da WebO Nessus no Windows permite o registro do produto e atualizaes de plugins por meio de proxies da Web que requerem autenticao bsica. As configuraes de proxy podem ser encontradas no arquivo C:\Program Files\Tenable\Nessus\conf\nessus-fetch.rc. Quatro linhas relevantes controlam a conectividade por proxy. Veja a seguir as linhas com exemplos de sintaxe: proxy=myproxy.example.com proxy_port=8080 proxy_username=juser proxy_password=guineapig Para a diretiva proxy, pode-se usar um nome de host DNS ou um endereo IP. Apenas um proxy pode ser especificado no arquivo nessus-fetch.rc. Alm disso, uma diretiva user_agent pode ser especificada, se necessrio, que instrui o Nessus a usar um user agent HTTP personalizado. A partir do Nessus 4.2, os scanners do Microsoft Windows permitem a autenticao por proxy, inclusive NTLM.

REMOO DO NESSUSPara remover o Nessus, abra o Painel de Controle e selecione Adicionar ou remover programas. Selecione Tenable Nessus e clique em Alterar/Remover Isto abrir o Assistente do InstallShield. Siga as instrues do assistente para excluir completamente o Nessus. O usurio poder optar por remover inteiramente a pasta do Nessus. Responda Yes somente se no desejar manter nenhum resultado de varreduras ou polticas gerado.

MAX OS XATUALIZAESA atualizao de uma verso antiga do Nessus semelhante a uma nova instalao. No entanto, preciso parar e reiniciar o servidor Nessus no final da instalao. Baixe o arquivo Nessus-4.x.x.dmg.gz e, em seguida, clique duas vezes sobre ele para descompact-lo. Clique duas vezes no arquivo Nessus-4.x.x.dmg para montar a imagem de disco e fazer com que aparea em Devices (Dispositivos) no Finder (Localizador). Quando o volume Nessus 4 aparecer no Finder, clique duas vezes no arquivo Nessus 4. Quando a instalao for concluda, navegue at /Applications/Nessus/ e execute o Nessus Server Manager. Para concluir a atualizao, clique no boto Update Plugins (Atualizar plugins):


50

INSTALAOA verso mais recentes Nessus est disponvel em http://www.nessus.org/download/. O Nessus est disponvel para o Mac OS X 10.4 e 10.5. Verifique a integridade do pacote de instalao ao comparar o checksum MD5 do download com o checksum MD5 listado no arquivo MD5.asc aqui. Para instalar o Nessus no Mac OS X, baixe o arquivo Nessus-4.x.x.dmg.gz e clique duas vezes nele para descompact-lo. Clique duas vezes no arquivo Nessus-4.x.x.dmg para montar a imagem de disco e fazer com que aparea em Devices (Dispositivos) no Finder (Localizador). Quando o volume Nessus 4 aparecer no Finder, clique duas vezes no arquivo Nessus 4 conforme exemplo a seguir:


51

Observe que ser preciso digitar o nome de usurio e a senha de administrador em vrios pontos durante a instalao. A instalao ser exibida da seguinte maneira:

Clique em Continue (Continuar). Uma caixa de dilogo ser exibida solicitando que voc aceite os termos da licena antes de continuar:


52

Depois de aceitar a licena, outra caixa de dilogo ser exibida, que permite alterar o local de instalao padro, conforme indicado a seguir:

Clique no boto Install (Instalar) para continuar a instalao. Neste momento, o usurio dever digitar o nome de usurio e a senha de administrador. Quando a seguinte tela for exibida a instalao ter sido concluda com xito:


53

CONFIGURAOEsta seo descreve como configurar o servidor Nessus 4 em um sistema Mac OS X.

Nessus Server ManagerPara iniciar, parar e configurar o servidor Nessus, use o programa Nessus Server Manager localizado em /Applications/Nessus/:

Observe que o Nessus Client mostrado na pasta Nessus, mesmo se o Nessus for atualizado. No mais necessrio usar o Nessus Client para gerenciar as varreduras do Nessus e pode ser excludo, a critrio do usurio. Nessus Client.url um link para gerenciar o Nessus atravs do navegador. As novas instalaes no incluem o Nessus Client. A interface do Nessus Server Manager permite:

> > > > >

Registrar o servidor Nessus em nessus.org para receber plugins atualizados Executar uma atualizao de plugins Configu

Nessus 4.4 Installation Guide PTB

Documents

Transcript of Nessus 4.4 Installation Guide PTB