Guía de instalación y configuración de Nessus...

Tenable Network Security, Inc. • 7063 Columbia Gateway Drive, Suite 100, Columbia, MD 21046, EE. UU. • 410.872.0555 • [email protected] • www.tenable.com

Copyright © 2002-2012 Tenable Network Security, Inc. Tenable Network Security, Nessus y ProfessionalFeed son marcas comerciales registradas de Tenable Network Security, Inc. Tenable, el logotipo de Tenable, el logotipo de Nessus y/o otros productos de Tenable a los que se haga referencia aquí son marcas comerciales de Tenable Network Security, Inc. y pueden estar registrados en determinadas jurisdicciones. Cualquier otro nombre de producto, nombre de compañía, marca, logotipo y símbolo puede ser marca comercial de su respectivo propietario.

Guía de instalación y configuración

de Nessus 5.0

Abril 4, 2012

(Revisión 7)

Copyright © 2002-2012 Tenable Network Security, Inc.

2

Índice

Introducción .............................................................................................................................. 4

Estándares y convenciones ....................................................................................................... 4 Organización .............................................................................................................................. 4 Nuevo en Nessus 5 .................................................................................................................... 5

Actualizaciones de funciones importantes ............................................................................. 5 Navegación ........................................................................................................................................ 5 Análisis ............................................................................................................................................... 5 Informes ............................................................................................................................................. 5 Nueva GUI de servidor ....................................................................................................................... 5

Compatibilidad del sistema operativo ......................................................................................... 5

Información general .................................................................................................................. 6

Requisitos previos .................................................................................................................... 8

Nessus Unix ............................................................................................................................... 8 Nessus Windows ....................................................................................................................... 8

Opciones de implementación ................................................................................................... 8

Firewalls basados en hosts ........................................................................................................ 9

Suscripciones de plugins de vulnerabilidades ....................................................................... 9

Tipos de suscripción .................................................................................................................10

Compatibilidad con IPv6 ..........................................................................................................10

Unix/Linux ................................................................................................................................ 11

Actualización .............................................................................................................................11 Instalación .................................................................................................................................15 Inicio del demonio de Nessus ...................................................................................................18 Detención del demonio de Nessus ............................................................................................19 Cómo quitar Nessus..................................................................................................................19

Windows ................................................................................................................................23

Actualización .............................................................................................................................23 Actualización desde Nessus 4.x ...........................................................................................23 Actualización desde Nessus 3.x ...........................................................................................23

Instalación .................................................................................................................................24 Descarga de Nessus ............................................................................................................24 Instalación ............................................................................................................................24 Preguntas sobre instalación ..................................................................................................25

Cómo quitar Nessus..................................................................................................................28

Mac OS X ................................................................................................................................29

Actualización .............................................................................................................................29 Instalación .................................................................................................................................29

Preguntas sobre instalación ..................................................................................................29


3

Inicio y detención del servicio Nessus .......................................................................................32 Cómo quitar Nessus..................................................................................................................33

Registro de fuentes y configuración de la GUI ......................................................................33

Configuración ............................................................................................................................40 Configuración del proxy web .....................................................................................................40 Opciones de configuración avanzada .......................................................................................41 Restablecimiento de códigos de activación y actualizaciones sin conexión ..............................42

Creación y administración de usuarios de Nessus ...............................................................43

Configuración del demonio de Nessus (usuarios avanzados)..............................................45

Opciones de configuración ........................................................................................................46

Configuración de Nessus con un certificado SSL personalizado.........................................50

Autenticación de Nessus con certificado SSL .......................................................................51

Autenticación del certificado SSL de cliente ..............................................................................51 Configuración de Nessus para certificados ...............................................................................51 Creación de certificados SSL de Nessus para inicio de sesión .................................................53 Habilitación de conexiones con tarjetas inteligentes o tarjetas CAC ..........................................54 Conexión con explorador habilitado para certificados o tarjetas ................................................56

Nessus sin acceso a Internet ..................................................................................................57

Generación de un Challenge Code ...........................................................................................57 Obtención e instalación de plugins actualizados .......................................................................58

Uso y administración de Nessus desde la línea de comandos .............................................61

Directorios principales de Nessus .............................................................................................61 Creación y administración de usuarios de Nessus con limitaciones de cuenta..........................62 Opciones de líneas de comandos de Nessusd .........................................................................63 Manipulación del servicio Nessus por medio de la interfaz de la línea de comandos (CLI)

de Windows ..........................................................................................................................64

Trabajo con SecurityCenter .....................................................................................................65

Descripción general de SecurityCenter .....................................................................................65 Configuración de SecurityCenter 4.0-4.2 para trabajar con Nessus ..........................................65 Configuración de SecurityCenter 4.4 para trabajar con Nessus ................................................66

Firewalls basados en hosts ...................................................................................................67

Solución de problemas de Nessus Windows .........................................................................68

Problemas de instalación/actualización .....................................................................................68 Problemas de Análisis ...............................................................................................................68

Para obtener más información ................................................................................................69

Declaraciones sobre licencias que no pertenecen a Tenable ...............................................71

Acerca de Tenable Network Security ......................................................................................75


4

INTRODUCCIÓN

Este documento describe la instalación y la configuración del analizador de vulnerabilidades

Nessus 5.0 de Tenable Network Security. Envíe sus comentarios o sugerencias por correo

electrónico a [email protected].

Tenable Network Security, Inc. es el autor y el administrador del analizador de

vulnerabilidades Nessus. Además de mejorar permanentemente el motor Nessus, Tenable

diseña la mayoría de los plugins disponibles para el analizador, así como también las

comprobaciones de compatibilidad y una amplia variedad de directivas de auditoría.

En este documento se abordarán los requisitos previos, las opciones de implementación y

las instrucciones paso a paso sobre la instalación. Se supone que se cuenta con un

conocimiento básico de Unix y de los análisis de vulnerabilidades.

ESTÁNDARES Y CONVENCIONES

Este documento es una traducción de la versión original escrita en inglés. Algunos

fragmentos permanecen en inglés con el fin de mostrar cómo aparecen realmente en el

producto.

En toda la documentación, los nombres de archivo, demonios y archivos ejecutables se indican con fuente courier negrita, por ejemplo, setup.exe.

Las opciones de líneas de comandos y las palabras clave también se indican con fuente

courier negrita. Los ejemplos de líneas de comandos pueden incluir o no el indicador de

la línea de comandos y el texto de salida de los resultados del comando. Los ejemplos de

líneas de comandos mostrarán el comando ejecutado en courier negrita para indicar lo

que el usuario escribió, mientras que el resultado de muestra generado por el sistema se indicará en courier (normal). Este es un ejemplo de ejecución del comando pwd de Unix:

# pwd

/opt/nessus/

#

Las consideraciones y notas importantes se resaltan con este símbolo y cuadros

de texto grises.

Las sugerencias, los ejemplos y las prácticas recomendadas se resaltan con este

símbolo y con letras blancas en cuadros de texto azules.

ORGANIZACIÓN

Ya que la GUI de Nessus es estándar independientemente del sistema operativo, este

documento se presenta con información específica del sistema operativo primero, y luego

con la funcionalidad común a todos los sistemas operativos.

mailto:[email protected]


5

NUEVO EN NESSUS 5

Con el lanzamiento de Nessus 5, la configuración del servidor (demonio) de

Nessus y la administración de usuarios se controla a través de la GUI de Nessus, no a través del NessusClient independiente ni del archivo nessusd.conf. La GUI

de Nessus es una interfaz web que controla configuración, creación de

directivas, análisis y todos los informes.

Actualizaciones de funciones importantes Estas son algunas de las nuevas funciones disponibles en Nessus 5. Para ver una lista

completa de los cambios, consulte las Notas de lanzamiento en el Discussions Forum.

Navegación

> Nuevo panel de resumen de hosts: los paneles de resumen de hosts y de

vulnerabilidades facilitan ver los niveles de riesgo sin ejecutar un informe.

> Las barras gráficas muestran instantáneamente los hosts más vulnerables.

Análisis

> Ahora, Nessus 5 tiene cinco niveles de gravedad: Informativo, Riesgo bajo, Riesgo

medio, Riesgo alto y Riesgo crítico.

> Los usuarios pueden seleccionar diversos criterios de filtro, como “Vulnerability

Publication Date”, “Vulnerability database ID” (por ejemplo, CVE, OSVDB, Bugtraq ID,

CERT, Secunia), “Plugin type (local or remote)”, “Information Assurance Vulnerability

Alert (IAVA)” y otros.

> La función “Audit trail” registra el motivo por el que una vulnerabilidad NO aparece en el

informe de un host en particular.

Informes

> Sistema de informes en capítulos, organizado entre vulnerabilidades y compatibilidad.

> Los informes se pueden generar en formatos nativos de Nessus, HTML y ahora en PDF

(debe tener instalado Oracle Java en el servidor de Nessus).

Nueva GUI de servidor

> Interfaz web que ahora controla la configuración y la administración de usuarios,

además de la creación de directivas, los análisis y todos los informes.

> Se pueden iniciar actualizaciones de plugins desde la interfaz web.

> El servidor web de Nessus es compatible con IPv6.

COMPATIBILIDAD DEL SISTEMA OPERATIVO

Nessus se encuentra disponible para una variedad de plataformas y sistemas operativos, y

es compatible con ellos:

> Debian 6 (i386 y x86-64)

> Fedora Core 16 (i386 y x86-64)

> FreeBSD 9 (i386 y x86-64)

> Mac OS X 10.6 y 10.7 (i386 y x86-64)

https://discussions.nessus.org/index.jspa


6

> Red Hat ES 4/CentOS 4 (i386)

> Red Hat ES 5/CentOS 5/Oracle Linux 5 (i386 y x86-64)

> Red Hat ES 6/CentOS 6 (i386 y x86-64) [servidor, equipo de escritorio, estación de

trabajo]

> SuSE 10 (x86-64), 11 (i386 y x86-64)

> Ubuntu 8.04, 9.10, 10.04, 10.10 y 11.10 (i386 y x86-64)

> Windows XP, Server 2003, Server 2008, Server 2008 R2 *, Vista y 7 (i386 y x86-64)

Tenga en cuenta que en el Windows Server 2008 R2, la versión integrada de

Microsoft IE no interactúa adecuadamente con una instalación Java. Esto hace

que Nessus no funcione de la manera esperada en algunas situaciones. Además,

la política de Microsoft recomienda no utilizar MSIE en sistemas operativos de

servidores. Tenable recomienda que el registro y la actividad de análisis se

realicen desde un sistema de escritorio.

INFORMACIÓN GENERAL

Nessus es un analizador de seguridad de redes potente y fácil de usar, con una amplia base

de datos de plugins que se actualiza a diario. Actualmente se encuentra entre los productos

más importantes de este tipo en todo el sector de la seguridad, y cuenta con el respaldo de

organizaciones profesionales de seguridad de la información, tales como SANS Institute.

Nessus le permite realizar auditorías de forma remota en una red en particular y determinar

si ha sido comprometida o usada de alguna forma inadecuada. Nessus también proporciona

la capacidad de auditar de forma local un equipo específico para analizar vulnerabilidades,

especificaciones de compatibilidad, violaciones de directivas de contenido y otros temas.

> Análisis inteligente: a diferencia de muchos otros analizadores de seguridad, Nessus

no da nada por sentado. Es decir, no supondrá que un servicio dado se ejecuta en un

puerto fijo. Esto significa que si usted ejecuta su servidor web en el puerto 1234, Nessus

lo detectará y probará su seguridad según corresponda. Cuando sea posible, intentará

validar una vulnerabilidad a través de su explotación. En los casos en que no sea

confiable o se pueda afectar de manera negativa el destino, Nessus puede basarse en un

banner del servidor para determinar la presencia de la vulnerabilidad. En tales casos,

quedará registrado en el informe resultante si se usó este método.

> Arquitectura modular: la arquitectura cliente/servidor proporciona la flexibilidad

necesaria para implementar el analizador (servidor) y conectarse con la GUI (cliente)

desde cualquier equipo mediante un explorador web, con lo cual se reducen los costos

de administración (varios clientes pueden acceder a un único servidor).

> Compatible con CVE: la mayoría de los plugins se enlazan con CVE, para que los

administradores obtengan más información sobre las vulnerabilidades publicadas.

También incluyen frecuentemente referencias a Bugtraq (BID), OSVDB y las alertas de

seguridad de proveedores.

> Arquitectura de plugins: cada prueba de seguridad está diseñada como plugin

externo, y se agrupa en una de 42 familias. De esta forma, usted puede añadir

fácilmente sus propias pruebas, seleccionar plugins específicos o elegir una familia

entera sin tener que leer el código del motor de servidores Nessus, nessusd. La lista


7

completa de los plugins de Nessus se encuentra disponible en

http://www.nessus.org/plugins/index.php?view=all.

> NASL: el analizador Nessus incluye NASL (Nessus Attack Scripting Language), un

lenguaje diseñado específicamente para crear pruebas de seguridad de manera rápida y

sencilla.

> Base de datos actualizada de vulnerabilidades de seguridad: Tenable se centra en

el desarrollo de comprobaciones de seguridad correspondientes a vulnerabilidades

recientemente divulgadas. Nuestra base de datos de comprobaciones de seguridad se

actualiza diariamente, y todas las comprobaciones de seguridad más recientes se

encuentran disponibles en http://www.nessus.org/scripts.php.

> Prueba varios hosts de forma simultánea: según la configuración del sistema del

analizador Nessus, usted puede probar una gran cantidad de hosts simultáneamente.

> Reconocimiento de servicios inteligente: Nessus no supone que los hosts de destino

respeten los números de puertos asignados por IANA. Esto significa que reconocerá un

servidor FTP que se ejecute en un puerto no estándar (por ejemplo, 31337) o un

servidor web que se ejecute en el puerto 8080 en lugar del 80.

> Varios servicios: si se emplean dos o más servidores web en un host (por ejemplo,

uno en el puerto 80 y el otro en el puerto 8080), Nessus los identificará y los probará

todos.

> Cooperación de plugins: las pruebas de seguridad realizadas por los plugins de

Nessus cooperan de manera tal que no se lleven a cabo comprobaciones innecesarias. Si

su servidor FTP no ofrece inicios de sesión anónimos, no se realizarán comprobaciones

de seguridad relacionadas con estos.

> Informes completos: Nessus no solo le informará qué vulnerabilidades de seguridad

existen en su red y el nivel de riesgo de cada una de ellas (informativo, bajo, medio,

alto y crítico), sino que también le notificará sobre cómo mitigarlas, ofreciendo

soluciones.

> Compatibilidad total con SSL: Nessus tiene la capacidad para probar los servicios

ofrecidos sobre SSL, tales como HTTPS, SMTPS, IMAPS y otros.

Plugins inteligentes (opcional): Nessus cuenta con una opción de “optimización” que

determinará qué plugins deben o no iniciarse en el host remoto. Por ejemplo, Nessus no

probará las vulnerabilidades de sendmail respecto de Postfix.

> Comprobaciones no destructivas (opcional): ciertas comprobaciones pueden ser

perjudiciales para servicios de red específicos. Si no desea arriesgarse a provocar un

error de servicio en la red, habilite la opción “safe checks” de Nessus, que hará que

Nessus se base en los banners en lugar de la explotación de errores reales para

determinar si hay alguna vulnerabilidad.

> Foro abierto: ¿encontró un error? ¿Tiene preguntas sobre Nessus? Inicie una discusión

en https://discussions.nessus.org/.

http://www.nessus.org/plugins/index.php?view=all

http://www.nessus.org/scripts.php

https://discussions.nessus.org/


8

REQUISITOS PREVIOS

Tenable recomienda una memoria de 2 GB como mínimo para operar Nessus. Para realizar

análisis más amplios de varias redes se recomienda al menos 3 GB de memoria, pero se

puede necesitar hasta 4 GB para un uso intensivo, como seguimientos de auditoría y

generación de informes en PDF.

Se recomienda un procesador Pentium 3 que funcione a 2 GHz o más. Cuando se use Mac

OS X, se recomienda un procesador Intel® de doble núcleo que funcione a 2 GHz o más. Se

recomienda implementar Nessus en sistemas de 64 bits. El sistema debe tener al menos 30

GB de espacio libre en el disco para Nessus y los datos de análisis posteriores.

Nessus se puede ejecutar en una instancia de VMware, pero si el equipo virtual emplea la

Traducción de direcciones de red (Network Address Translation, NAT) para conectarse con la

red, muchas de las comprobaciones de vulnerabilidades de Nessus, la enumeración de hosts

y la identificación de sistemas operativos se verán afectadas de manera negativa.

NESSUS UNIX

Antes de instalar Nessus en Unix/Linux, se requieren varias bibliotecas. Muchos sistemas

operativos las instalan de forma predeterminada y normalmente no requieren una

instalación independiente:

> zlib

> GNU C Library (es decir, libc)

> Oracle Java (solo para informes en PDF)

Java debe estar instalado en el host antes de instalar Nessus. Si instala Java

después, deberá reinstalar Nessus.

NESSUS WINDOWS

Microsoft ha incorporado cambios a Windows XP SP-2 y versiones más recientes que pueden

afectar el rendimiento de Nessus Windows. Para lograr un mayor rendimiento y confiabilidad

de análisis, se recomienda muy especialmente que Nessus Windows se instale en un

servidor que pertenezca a la familia de Microsoft Windows, como Windows Server 2003.

Para obtener más información sobre este tema, consulte la sección “Solución de problemas de

Nessus Windows”.

OPCIONES DE IMPLEMENTACIÓN

Al implementar Nessus, a menudo resulta útil tener conocimiento sobre directivas de

firewalls, enrutamiento y filtros. Se recomienda implementar Nessus de modo que tenga

una buena conectividad IP con las redes que analiza. No es deseable la implementación

detrás de un dispositivo NAT, a menos que analice la red interna. Toda vez que se realice un

análisis de vulnerabilidades mediante una NAT o un proxy de aplicación de algún tipo, la

comprobación se puede distorsionar y producir un falso positivo o negativo. Además, si el

sistema en el que se ejecuta Nessus posee firewalls personales o de escritorio, estas

herramientas pueden limitar considerablemente la eficacia de un análisis de vulnerabilidades

remoto.

http://www.zlib.net/

http://www.gnu.org/software/libc/

http://www.oracle.com/us/technologies/java/index.html


9

Los firewalls basados en hosts pueden interferir con el análisis de vulnerabilidades

de red. De acuerdo con la configuración del firewall, este puede evitar,

distorsionar u ocultar los sondeos del análisis de Nessus.

Algunos dispositivos de red que llevan a cabo una inspección con estado, tales

como firewalls, equilibradores de carga y sistemas de detección o prevención de

intrusos, pueden reaccionar de forma negativa cuando se lleva a cabo un análisis

a través de ellos. Nessus cuenta con una cantidad de opciones de ajuste preciso

que pueden ayudar a reducir el efecto de los análisis a través de tales

dispositivos, pero el método óptimo para evitar los problemas que son inherentes

al análisis a través de dichos dispositivos de red consiste en la realización de un

análisis con credenciales.

FIREWALLS BASADOS EN HOSTS

Si su servidor Nessus está configurado en un host con un firewall “personal” como Zone

Alarm, Sygate, el firewall de Windows o cualquier otro software de firewall, es necesario que

se habiliten las conexiones desde la dirección IP del cliente de Nessus.

De manera predeterminada, se utiliza el puerto 8834 para el servidor web de Nessus

(interfaz del usuario). En los sistemas Microsoft XP Service Pack 2 (SP2) y posteriores,

hacer clic en el icono “Security Center” (Centro de seguridad) que se encuentra en

“Control Panel” (Panel de control), le da al usuario la oportunidad de administrar la

configuración del “Windows Firewall” (Firewall de Windows). Para abrir el puerto 8834,

seleccione la ficha “Exceptions” (Excepciones) y luego añada el puerto “8834” a la lista.

En el caso de otro software de firewall personal, consulte la documentación del proveedor

para obtener las instrucciones de configuración.

SUSCRIPCIONES DE PLUGINS DE VULNERABILIDADES

Todos los días los proveedores, los investigadores y demás fuentes publican numerosas

vulnerabilidades nuevas. Tenable se esfuerza para que las comprobaciones de

vulnerabilidades recientemente publicadas se prueben y se pongan a disposición de los

usuarios a la mayor brevedad, normalmente dentro de las 24 horas de la divulgación. La

comprobación de una vulnerabilidad específica tiene en el analizador Nessus la

denominación “plugin”. Una lista completa de todos los plugins de Nessus se encuentra

disponible en http://www.nessus.org/plugins/index.php?view=all. Tenable distribuye los plugins

de vulnerabilidad más recientes en dos modos para Nessus: el ProfessionalFeed y el

HomeFeed.

Los plugins se descargan directamente desde Tenable a través de un proceso automatizado

de Nessus. Nessus verifica las firmas digitales de todas las descargas de plugins para

garantizar la integridad de los archivos. En el caso de las instalaciones de Nessus sin acceso

a Internet, existe un proceso de actualización sin conexión que se puede usar para garantizar

que el analizador permanezca actualizado.

http://www.nessus.org/plugins/index.php?view=all


10

Usted deberá registrarse para recibir una fuente de plugins y actualizarlos antes

de que se inicie Nessus y se ponga a disposición la interfaz de análisis de Nessus.

La actualización de plugins se realiza en segundo plano, después del registro

inicial del analizador, y puede llevar varios minutos.

TIPOS DE SUSCRIPCIÓN

Tenable proporciona asistencia comercial, mediante el Tenable Support Portal o por correo

electrónico, a los clientes de ProfessionalFeed que usan Nessus 5. ProfessionalFeed también

incluye un conjunto de comprobaciones de compatibilidad basadas en hosts para Unix y

Windows que son muy útiles para realizar auditorías de compatibilidad, tales como SOX,

FISMA o PCI DSS.

Puede adquirir una ProfessionalFeed a través de la Tienda en línea de Tenable en

https://store.tenable.com/ o por una orden de compra a través de Socios autorizados de

ProfessionalFeed. Posteriormente recibirá de Tenable un código de activación. Este código se

usará al configurar su copia de Nessus para recibir actualizaciones.

Si usa Nessus junto con SecurityCenter de Tenable, SecurityCenter tendrá acceso

a ProfessionalFeed y actualizará de manera automática sus analizadores de

Nessus.

Si representa a una organización benéfica 501(c)(3), quizá califique para recibir

ProfessionalFeed sin costo. Para obtener más información, visite la página web del Programa

de suscripción de organizaciones benéficas de Tenable.

Si usa Nessus de forma doméstica con fines no profesionales, puede suscribirse a

HomeFeed. El uso de HomeFeed es gratuito. Sin embargo, existe una licencia independiente

de HomeFeed cuyo cumplimiento debe aceptarse por parte de los usuarios.

COMPATIBILIDAD CON IPV6

Nessus admite análisis de recursos con IPv6. Muchos sistemas operativos y dispositivos se

distribuyen con la compatibilidad con IPv6 habilitada de manera predeterminada. Para

realizar análisis respecto de recursos IPv6 se debe configurar al menos una interfaz IPv6 en

el host en el que Nessus está instalado, y Nessus debe encontrarse en una red compatible

con IPv6 (Nessus no puede analizar recursos IPv6 sobre IPv4, pero puede enumerar las

interfaces IPv6 mediante análisis con credenciales sobre IPv4). Al iniciar los análisis, se

admite la notación IPv6 completa y la comprimida.

Microsoft Windows carece de algunas de las API clave que son necesarias para la

falsificación de paquetes IPv6 (por ejemplo, obtener la dirección MAC del

enrutador, tabla de enrutamiento, etc.). Esto a su vez impide que el analizador de

puertos funcione correctamente. Tenable está trabajando en el desarrollo de las

mejoras que sortearán eficazmente las restricciones de API en versiones futuras

de Nessus. Hasta ese entonces, la compatibilidad con IPv6 solo está disponible en

plataformas *nix.

https://support.tenable.com/support-center/

https://store.tenable.com/

http://www.tenable.com/partners/subscription-channel-partners

http://www.tenable.com/partners/subscription-channel-partners

http://www.tenable.com/about-tenable/tenable-in-the-community/tenable-charitable-organization-subscription-program

http://www.tenable.com/about-tenable/tenable-in-the-community/tenable-charitable-organization-subscription-program


11

UNIX/LINUX

ACTUALIZACIÓN

Esta sección explica cómo realizar una actualización de Nessus a partir de una instalación

anterior del software.

La siguiente tabla ofrece instrucciones de actualización para el servidor Nessus en todas las

plataformas admitidas anteriormente. Los parámetros de configuración y los usuarios que se

crearon previamente permanecerán intactos.

Asegúrese de que todo análisis en ejecución haya finalizado antes de detener nessusd.

Toda instrucción de actualización especial, si la hay, se proporciona en forma de nota

después del ejemplo.

Plataforma Instrucciones de actualización

Red Hat ES 4 (32 bits), ES 5 (32 y 64 bits), ES6 (32 y 64 bits)

Comandos de

actualización

# service nessusd stop

Use uno de los comandos apropiados que se indican a

continuación, que corresponda a la versión de Red Hat que está

ejecutando:

# rpm -Uvh Nessus-5.0.0-es4.i386.rpm


# rpm -Uvh Nessus-5.0.0-es5.x86_64.rpm


# rpm -Uvh Nessus-5.0.0-es6.x86_64.rpm

Una vez que la actualización haya finalizado, reinicie el servicio nessusd mediante el siguiente comando:

# service nessusd start

Resultados de

muestra


Shutting down Nessus services: [ OK ]


Preparing...

########################################### [100%]

Shutting down Nessus services: /etc/init.d/nessusd: …

1:Nessus

########################################### [100%]

Fetching the newest plugins from nessus.org...

Fetching the newest updates from nessus.org...

Done. The Nessus server will start processing these

plugins within a minute

nessusd (Nessus) 5.0.0 [build R23016] for Linux

(C) 1998 - 2012 Tenable Network Security, Inc.


12

Processing the Nessus plugins...

[##################################################]

All plugins loaded

- You can start nessusd by typing /sbin/service

nessusd start

- Then go to https://localhost:8834/ to configure your

scanner# service nessusd start

Starting Nessus services: [ OK ]

#

Fedora Core 16 (32 y 64 bits)

Comandos de

actualización



continuación, que corresponda a la versión de Fedora Core que

está ejecutando:

# rpm -Uvh Nessus-5.0.0-fc16.i686.rpm

# rpm -Uvh Nessus-5.0.0-fc16.x86_64.rpm

Una vez que la actualización haya finalizado, reinicie el servicio nessusd mediante el siguiente comando:


Resultados de

muestra



# rpm -Uvh Nessus-5.0.0-fc16.i386.rpm

[..]



#

SuSE 10 (64 bits), 11 (32 y 64 bits)

Comandos de

actualización



continuación, que corresponda a la versión de SuSE que está

ejecutando:

# rpm -Uvh Nessus-5.0.0-suse10.x86_64.rpm

# rpm -Uvh Nessus-5.0.0-suse11.i586.rpm

# rpm -Uvh Nessus-5.0.0-suse11.x86_64.rpm

Una vez que la actualización haya finalizado, reinicie el servicio

nessusd mediante el siguiente comando:



13

Resultados de

muestra



# rpm -Uvh Nessus-5.0.0-suse11.i586.rpm

Preparing...

[..]



#

Debian 6 (32 y 64 bits)

Comandos de

actualización

# /etc/init.d/nessusd stop


continuación, que corresponda a la versión de Debian que está

ejecutando:

# dpkg -i Nessus-5.0.0-debian6_i386.deb

# dpkg -i Nessus-5.0.0-debian6_amd64.deb

# /etc/init.d/nessusd start

Resultados de

muestra



(Reading database ... 19831 files and directories

currently installed.)

Preparing to replace nessus 4.4.0 (using Nessus-5.0.0-

debian6_i386.deb) ...

[..]


Starting Nessus : .

#

Ubuntu 8.04, 9.10, 10.04, 10.10 y 11.10 (32 y 64 bits)

Comandos de

actualización



continuación, que corresponda a la versión de Ubuntu que está

ejecutando:

# dpkg -i Nessus-5.0.0-ubuntu804_i386.deb

# dpkg -i Nessus-5.0.0-ubuntu804_amd64.deb








14


Resultados de

muestra





Preparing to replace nessus 4.4.0 (using Nessus-5.0.0-

ubuntu810_i386.deb) ...

[..]


Starting Nessus : .

#

FreeBSD 9 (32 y 64 bits)

Comandos de

actualización

# killall nessusd

# pkg_info

Este comando generará una lista de todos los paquetes

instalados y sus descripciones. A continuación se indica un

ejemplo de resultados que corresponde al comando anterior y

que muestra el paquete de Nessus:

Nessus-4.4.4 A powerful security scanner

Quite el paquete de Nessus mediante el siguiente comando:

# pkg_delete <package name>


continuación, que corresponda a la versión de FreeBSD que está

ejecutando:

# pkg_add Nessus-5.0.0-fbsd9.tbz

# pkg_add Nessus-5.0.0-fbsd9.amd64.tbz

# /usr/local/nessus/sbin/nessusd -D

Resultados de

muestra

# killall nessusd

# pkg_delete Nessus-4.4.4


nessusd (Nessus) 5.0.0. for FreeBSD

(C) 2011 Tenable Network Security, Inc.

[..]

# /usr/local/nessus/sbin/nessusd -D

nessusd (Nessus) 5.0.0. for FreeBSD


15

(C) 2011 Tenable Network Security, Inc.


[##################################################]

All plugins loaded

#

Notas Para actualizar Nessus en FreeBSD, primero debe desinstalar la

versión existente y luego instalar la versión más nueva. Este

proceso no quitará los archivos de configuración ni los archivos

que no formaban parte de la instalación original.

INSTALACIÓN

Descargue la versión más reciente de Nessus desde http://www.nessus.org/products/nessus/

nessus-download-agreement o a través del Tenable Support Portal. Confirme la integridad del

paquete de instalación comparando la suma de comprobación MD5 de la descarga con la que aparece en el archivo MD5.asc aquí.

A menos que se indique lo contrario, todos los comandos se deben ejecutar como

usuario raíz del sistema. Las cuentas de usuario normales no cuentan

habitualmente con los privilegios necesarios para instalar este software.

La siguiente tabla ofrece instrucciones de instalación para el servidor Nessus en todas las

plataformas admitidas. Toda instrucción de instalación especial, si la hay, se proporciona en

forma de nota después del ejemplo.

Plataforma Instrucciones de instalación


Comando de

instalación

Use uno de los comandos apropiados que se indican a continuación,

que corresponda a la versión de Red Hat que está ejecutando:

# rpm -ivh Nessus-5.0.0-es4.i386.rpm


# rpm -ivh Nessus-5.0.0-es5.x86_64.rpm


# rpm -ivh Nessus-5.0.0-es6.x86_64.rpm

Resultados de

muestra


Preparing...

########################################### [100%]

1:Nessus

########################################### [100%]

nessusd (Nessus) 5.0.0 [build R23011] for Linux

(C) 1998 - 2012 Tenable Network Security, Inc.


[##################################################]

http://www.nessus.org/products/nessus/nessus-download-agreement



http://www.nessus.org/sites/drupal.dmz.tenablesecurity.com/files/uploads/MD5.asc


16

All plugins loaded

- You can start nessusd by typing /sbin/service nessusd

start

- Then go to https://squirrel:8834/ to configure your

scanner

#


Comando de

instalación


que corresponda a la versión de Fedora Core que está ejecutando:

# rpm -ivh Nessus-5.0.0-fc16.i686.rpm

# rpm -ivh Nessus-5.0.0-fc16.x86_64.rpm

Resultados de

muestra

# rpm -ivh Nessus-5.0.0-fc16.i386.rpm

Preparing...

[..]

#

SuSE 10 (64 bits), 11 (32 y 64 bits)

Comando de

instalación


que corresponda a la versión de SuSE que está ejecutando:

# rpm –ivh Nessus-5.0.0-suse10.x86_64.rpm

# rpm -ivh Nessus-5.0.0-suse11.i586.rpm

# rpm –ivh Nessus-5.0.0-suse11.x86_64.rpm

Resultados de

muestra

# rpm -ivh Nessus-5.0.0-suse11.i586.rpm

Preparing...

##################################

[100%]

1:Nessus

##################################

[100%]

[..]

#


Comando de

instalación


que corresponda a la versión de Debian que está ejecutando:

# dpkg -i Nessus-5.0.0 –debian6_i386.deb

# dpkg -i Nessus-5.0.0 –debian6_amd64.deb

Resultados de

muestra


Selecting previously deselected package nessus.




17

Unpacking nessus (from Nessus-5.0.0-debian6_i386.deb) ...

Setting up nessus (5.0.0) ...

[..]

#

Ubuntu 8.04, 9.10, 10.04, 10.10 y 11.10 (32 y 64 bits)

Comando de

instalación


que corresponda a la versión de Ubuntu que está ejecutando:









Resultados de

muestra


Selecting previously deselected package nessus.



Unpacking nessus (from Nessus-5.0.0-ubuntu804_amd64.deb)

...

Setting up nessus (5.0.0) ...

[..]

#


Comando de

instalación


que corresponda a la versión de FreeBSD que está ejecutando:


# pkg_add Nessus-5.0.0-fbsd9.amd64.tbz

Resultados de

muestra


nessusd (Nessus) 5.0.0 for FreeBSD

(C) 1998 – 2012 Tenable Network Security, Inc.

[..]

#

Después de finalizar la instalación, inicie el demonio nessusd como se indica en la siguiente

sección, según la distribución. Una vez que Nessus esté instalado, debe visitar la URL del

analizador proporcionada para finalizar el proceso de registro.


18

Nota: Las instalaciones con Unix pueden proveer una URL con un nombre de host

relativo que no esté en DNS (por ejemplo, http://mybox:8834/). Si el nombre de

host no está en DNS, debe conectarse al servidor Nessus utilizando una dirección

IP o un nombre DNS válido.

Después de finalizar el proceso, se recomienda que autentique y personalice las opciones de

configuración para su entorno, según se describe en la sección “Registro de fuentes y

configuración de la GUI”.

Nessus debe instalarse en /opt/nessus. Sin embargo, se aceptará si

/opt/nessus es un enlace simbólico symlink que señala otro lugar.

INICIO DEL DEMONIO DE NESSUS

Inicie el servicio de Nessus como raíz mediante el siguiente comando:

Linux y Solaris:

# /opt/nessus/sbin/nessus-service -D

FreeBSD:

# /usr/local/nessus/sbin/nessus-service -D

A continuación se incluye un ejemplo de los resultados en pantalla al iniciar nessusd para

Red Hat:

[root@squirrel ~]# /sbin/service nessusd start


[root@squirrel ~]#

Si desea suprimir el resultado del comando, use la opción “-q” de la siguiente forma:

Linux y Solaris:

# /opt/nessus/sbin/nessus-service -q -D

FreeBSD:

# /usr/local/nessus/sbin/nessus-service -q -D

De forma alternativa, Nessus puede iniciarse mediante el siguiente comando de acuerdo con

la plataforma del sistema operativo:

Sistema operativo Comando para iniciar nessusd

Red Hat # /sbin/service nessusd start

http://mybox:8834/


19

Fedora Core # /sbin/service nessusd start

SuSE # /etc/rc.d/nessusd start

Debian # /etc/init.d/nessusd start

FreeBSD # /usr/local/etc/rc.d/nessusd.sh start

Solaris # /etc/init.d/nessusd start

Ubuntu # /etc/init.d/nessusd start

Continúe con la sección “Registro de fuentes y configuración de la GUI” para instalar el plugin

Activation Code.

DETENCIÓN DEL DEMONIO DE NESSUS

Si por cualquier motivo necesita detener el servicio nessusd, el siguiente comando

suspenderá Nessus y detendrá de manera inmediata cualquier análisis en curso:

# killall nessusd

En su lugar, se recomienda que use las secuencias de comando de apagado más ordenadas

proporcionadas por su sistema operativo:

Sistema operativo Comando para detener nessusd

Red Hat # /sbin/service nessusd stop

Fedora Core # /sbin/service nessusd stop

SuSE # /etc/rc.d/nessusd stop

Debian # /etc/init.d/nessusd stop

FreeBSD # /usr/local/etc/rc.d/nessusd.sh stop

Solaris # /etc/init.d/nessusd stop

Ubuntu # /etc/init.d/nessusd stop

CÓMO QUITAR NESSUS

La siguiente tabla ofrece instrucciones para eliminar el servidor Nessus en todas las

plataformas admitidas. Con excepción de las instrucciones para Mac OS X, las instrucciones


20

proporcionadas no quitarán los archivos de configuración ni los archivos que no formaban

parte de la instalación original. Los archivos que eran parte del paquete original pero

sufrieron modificaciones desde la instalación, tampoco serán quitados. Para quitar por

completo los archivos restantes, use el siguiente comando:

Linux y Solaris:

# rm -rf /opt/nessus

FreeBSD:

# rm -rf /usr/local/nessus/bin

Plataforma Instrucciones de eliminación


Comando Quitar Determine el nombre del paquete:

# rpm -qa | grep Nessus

Use los resultados del comando anterior para quitar el paquete:

# rpm -e <Package Name>

Resultados de

muestra

# rpm -qa | grep -i nessus

Nessus-5.0.0-es5

# rpm -e Nessus-5.0.0-es5

#






SuSE 10 (64 bits), 11 (32 y 64 bits)







21


# dpkg -l | grep -i nessus


# dpkg -r <package name>

Resultados de

muestra

# dpkg -l | grep nessus

ii nessus 5.0.0 Version 4 of the Nessus

Scanner

# dpkg -r nessus

#

Ubuntu 8.04, 9.10, 10.04, 10.10 y 11.10 (32 y 64 bits)




# dpkg -r <package name>

Resultados de

muestra


ii nessus 5.0.0 Version 4 of the Nessus Scanner #

Solaris 10 (sparc)

Comando Quitar Detenga el servicio nessusd:


Determine el nombre del paquete:

# pkginfo | grep –i nessus

Quite el paquete de Nessus:

# pkgrm <package name>

Resultados de

muestra

A continuación se indica un ejemplo de resultados que

corresponde al comando anterior y que muestra el paquete de

Nessus:

# pkginfo | grep –i nessus

application TNBLnessus The Nessus Network

Vulnerability Scanner

# pkgrm TNBLnessus

#


22


Comando Quitar Detenga Nessus:

# killall nessusd

Determine el nombre del paquete:

# pkg_info | grep -i nessus

Quite el paquete de Nessus:

# pkg_delete <package name>

Resultados de

muestra

# killall nessusd

# pkg_info | grep -i nessus

Nessus-5.0.0 A powerful security scanner

# pkg_delete Nessus-5.0.0 #

Mac OS X

Comando Quitar Abra una ventana de terminal: Desde “Applications”

(Aplicaciones), haga clic en “Utilities” (Utilidades) y luego, en

“Terminal” o “X11”. Desde el indicador de shell, use el comando

“sudo” para ejecutar un shell raíz y quitar los directorios de Nessus

de la siguiente forma:

$ sudo /bin/sh

Password :

# ls -ld /Library/Nessus

# rm -rf /Library/Nessus


# ls -ld /Applications/Nessus

# rm -rf /Applications/Nessus


# ls -ld /Library/Receipts/Nessus*

# rm -rf /Library/Receipts/Nessus*


# exit

Resultados de

muestra

$ sudo /bin/sh

Password :


drwxr-xr-x 6 root admin 204 Apr 6 15:12

/Library/Nessus

# rm -rf /Library/Nessus


ls: /Library/Nessus: No such file or directory


drwxr-xr-x 4 root admin 136 Apr 6 15:12

/Applications/Nessus

# rm -rf /Applications/Nessus


23



drwxrwxr-x 3 root admin 102 Apr 6 15:11

/Library/Receipts/Nessus Client.pkg

drwxrwxr-x 3 root admin 102 Apr 6 15:11

/Library/Receipts/Nessus Server.pkg

# rm -rf /Library/Receipts/Nessus*


ls: /Library/Receipts/Nessus*: No such file or directory

# exit

$

Notas No intente este proceso a menos que tenga conocimiento de los

comandos shell de Unix. Los comandos “ls” se incluyen para

verificar que el nombre de la ruta se haya escrito correctamente.

WINDOWS

ACTUALIZACIÓN

Actualización desde Nessus 4.x Al actualizar Nessus desde una versión 4.x a una distribución más reciente 5.x, el proceso

de actualización le preguntará al usuario si desea eliminar todo lo contenido en el directorio

de Nessus. Elegir esta opción (al seleccionar “Yes”) imitará un proceso de desinstalación. Si

elige esta opción, los usuarios creados anteriormente, las directivas de análisis existentes y

los resultados de los análisis se quitarán, y el analizador dejará de estar registrado.

Haga clic en “Yes” para permitir que Nessus intente eliminar toda la carpeta Nessus junto

con todo archivo agregado manualmente, o “No” para conservar la carpeta Nessus junto con

los análisis, informes, etc. existentes. Después de que se haya instalado la nueva versión de

Nessus, aún podrán verse y exportarse.

Actualización desde Nessus 3.x No se admite una actualización directa de Nessus 3.0.x a Nessus 5.x. Sin embargo, puede

utilizar una actualización a 4 como paso intermedio para garantizar que se preserven la

configuración y directivas de análisis fundamentales. Si no es necesario conservar la

configuración de análisis, desinstale primero Nessus 3.x y luego instale una copia nueva de

Nessus 5.


24

Si selecciona “Yes”, se eliminarán todos los archivos del directorio de Nessus,

incluidos los archivos de registro y los plugins personalizados añadidos de forma

manual, entre otros. Utilice esta opción con cuidado.

INSTALACIÓN

Descarga de Nessus La versión más reciente de Nessus está disponible en

http://www.nessus.org/products/nessus/nessus-download-agreement o a través del Tenable

Support Portal. Nessus 5 está disponible para Windows XP, Server 2003, Server 2008, Vista y

Windows 7. Confirme la integridad del paquete de instalación comparando la suma de

comprobación MD5 de la descarga con la que aparece en el archivo MD5.asc aquí.

Los nombres y los tamaños de los archivos de distribución de Nessus varían ligeramente de

una versión a otra, pero tienen un tamaño de aproximadamente 12 MB.

Instalación Nessus se distribuye como archivo de instalación ejecutable. Coloque el archivo en el

sistema en el que se está instalando o en una unidad compartida a la que tenga acceso el

sistema.

Debe instalar Nessus empleando una cuenta administrativa y no como usuario sin

privilegios. Si se producen errores relacionados con los permisos, “Access Denied” (Acceso

denegado) o errores que sugieren que una acción tuvo lugar debido a la falta de privilegios,

asegúrese de que esté usando una cuenta con privilegios administrativos. Si se producen estos errores al usar las utilidades de líneas de comandos, ejecute cmd.exe con los

privilegios “Run as…” (Ejecutar como) establecidos en “administrator” (administrador).

Algunos paquetes de software antivirus pueden incluir a Nessus en la categoría de

gusano o de alguna forma de software malintencionado. Lo anterior se debe a la

gran cantidad de conexiones TCP generadas durante un análisis. Si su software

antivirus produce una advertencia, haga clic en "allow" (permitir) para que

Nessus pueda seguir analizando. La mayoría de los paquetes de antivirus también le permiten añadir procesos a una lista de excepciones. Añada Nessus.exe y

Nessus-service.exe a esta lista para evitar tales advertencias.

Se recomienda que obtenga un código de activación de fuente de plugins antes de iniciar el

proceso de instalación, ya que esa información será necesaria para poder autenticar en la

interfaz GUI de Nessus. Para ver más información sobre cómo obtener un código de

activación, lea la sección Suscripciones de plugins de vulnerabilidades.






25

Preguntas sobre instalación

Durante el proceso de instalación, Nessus le solicitará al usuario que introduzca algunos

datos básicos. Antes de comenzar, debe leer y aceptar el contrato de licencia:

Luego de ello, puede configurar la ubicación en la que se instalará Nessus:


26

Cuando se le solicite que seleccione “Setup Type”, seleccione “Complete”.

Se le solicitará que confirme la instalación:


27

Después de finalizar la instalación inicial, Nessus comenzará la instalación de un controlador

independiente que se utiliza para permitir la comunicación Ethernet de Nessus:

Una vez que haya finalizado la instalación, haga clic en “Finish”.


28

En este momento, Nessus cargará en su explorador web predeterminado una página que

manejará la configuración inicial, tratada en la sección “Registro de fuentes y configuración de la

GUI”.

CÓMO QUITAR NESSUS

Para quitar Nessus, en Control Panel (Panel de control), abra “Add or Remove Programs”

(Agregar o quitar programas). Seleccione “Tenable Nessus”, y luego haga clic en el botón

“Change/Remove” (Cambiar o quitar). Esto abrirá el asistente InstallShield Wizard. Siga

las instrucciones de este asistente para quitar Nessus por completo. Se le preguntará si

desea quitar toda la carpeta Nessus. Responda “Yes” solo si no desea conservar ninguna

directiva ni resultado de análisis que pueda haber generado.

Al desinstalar Nessus, Windows le preguntará si desea continuar, pero mostrará lo que parece ser un archivo arbitrario .msi sin certificación. Por ejemplo:

C:\Windows\Installer\778608.msi

Autor: Desconocido

Esto se debe a que Windows conserva una copia interna del instalador de Nessus

y la utiliza para iniciar el proceso de desinstalación. Es seguro aprobar esta

solicitud.


29

MAC OS X

ACTUALIZACIÓN

Las actualizaciones a partir de una versión anterior de Nessus son similares a la realización de una instalación nueva. Descargue el archivo Nessus-5.x.x.dmg.gz, y luego haga doble

clic en él para descomprimirlo. Haga doble clic en el archivo Nessus-5.x.x.dmg, con lo que

se montará la imagen de disco y hará que aparezca en “Devices” (Dispositivos) en “Finder”

(Buscador). Cuando el volumen “Nessus 5” aparezca en el “Finder”, haga doble clic en el

archivo Nessus 5. Una vez que se haya finalizado la instalación, inicie sesión en Nessus a

través de su explorador, en https://localhost:8834.

INSTALACIÓN

La versión más reciente de Nessus está disponible en

http://www.nessus.org/products/nessus/nessus-download-agreement o a través del Tenable

Support Portal. Nessus está disponible para Mac OS X 10.6 y 10.7. Confirme la integridad del

paquete de instalación comparando la suma de comprobación MD5 de la descarga con la

que aparece en el archivo MD5.asc aquí.

El tamaño del archivo de distribución de Nessus para Mac OS X es ligeramente diferente

entre una y otra publicación, pero aproximadamente pesa 45 MB.

Para instalar Nessus en Mac OS X, debe descargar el archivo Nessus-5.x.x.dmg.gz y luego

hacer doble clic en él para descomprimirlo. Haga doble clic en el archivo Nessus-5.x.x.dmg,

con lo que se montará la imagen de disco y hará que aparezca en “Devices” (Dispositivos)

en “Finder” (Buscador). Cuando el volumen “Nessus 5” aparezca en “Finder” (Buscador), haga doble clic en el archivo Nessus 5 como se muestra a continuación:

Tenga en cuenta que se le solicitará un nombre de usuario y contraseña de

administrador en algún momento de la instalación.

Preguntas sobre instalación La instalación aparecerá en la pantalla de la siguiente forma:

https://localhost:8834/






30

Haga clic en “Continue” y se mostrará la licencia del software. Haga clic en “Continue”

nuevamente, y aparecerá un cuadro de diálogo que le pedirá que acepte las condiciones de

la licencia antes de continuar:


31

Después de aceptar la licencia, aparecerá otro cuadro de diálogo que le permitirá cambiar la

ubicación predeterminada de la instalación, como se muestra a continuación:

Haga clic en el botón “Install” para continuar la instalación. En este punto se le solicitará

que introduzca el nombre de usuario y contraseña de administrador:


32

La instalación ha finalizado correctamente cuando aparece la siguiente pantalla:

En este momento, Nessus cargará en su explorador web predeterminado una página que

manejará la configuración inicial, tratada en la sección “Registro de fuentes y configuración de la

GUI”.

INICIO Y DETENCIÓN DEL SERVICIO NESSUS

Después de la instalación, se iniciará el servicio nessusd. En cada reinicio, el servicio se

iniciará automáticamente. Si existe una razón para iniciar o detener el servicio, esto puede

realizarse a través de una ventana de terminal (línea de comandos). El comando debe ejecutarse como “root” o sudo:


33

Acción Comando para administrar nessusd

Inicio # launchctl load -w

/Library/LaunchDaemons/com.tenablesecurity.nessusd.plist

Detención # launchctl unload -w

/Library/LaunchDaemons/com.tenablesecurity.nessusd.plist

CÓMO QUITAR NESSUS

Para quitar Nessus, elimine los siguientes directorios:

/Library/Nessus

/Applications/Nessus

/Library/Receipts/Nessus*

Si no tiene conocimientos del uso de la línea de comandos de Unix en un sistema

Mac OS X, comuníquese con la Asistencia técnica de Tenable para obtener ayuda.

Existen herramientas de software gratuito, tales como “DesInstaller.app”

(http://www.macupdate.com/info.php/id/7511) y “CleanApp”

(http://www.macupdate.com/info.php/id/21453/cleanapp) que también se pueden usar para

quitar Nessus. Tenable no guarda ningún tipo de relación con estas herramientas, y no se

probaron específicamente para quitar Nessus.

REGISTRO DE FUENTES Y CONFIGURACIÓN DE LA GUI

En esta sección se describe cómo configurar el servidor Nessus 5 en todas las plataformas.

A partir de Nessus 5 las opciones de configuración inicial, como las opciones de proxy y el

suministro de un Código de activación, se realizan a través de un proceso web. Después de

la instalación de Nessus tiene seis horas para completar el proceso de registro, por razones de seguridad. Si no lo hace, debe reiniciar nessusd y el proceso de registro.

El Nessus Server Manager utilizado en Nessus 4 está en desuso.

Si la instalación del software no abre su explorador web con la página de configuración,

puede cargar un explorador e ir a http://[Nessus Server IP]:8834/WelcomeToNessus-

Install/welcome (o a la URL provista durante el proceso de instalación) para comenzar el

proceso. Nota: Las instalaciones con Unix pueden proveer una URL con un nombre de host

relativo que no esté en DNS (por ejemplo, http://mybox:8834/). Si el nombre de host no está

en DNS, debe conectarse al servidor Nessus utilizando una dirección IP o un nombre DNS

válido.

http://www.macupdate.com/info.php/id/7511

http://www.macupdate.com/info.php/id/21453/cleanapp

%20

%20

http://mybox:8834/


34

La pantalla inicial sirve como advertencia de que todo el tráfico hacia la GUI de Nessus se

realiza por SSL (HTTPS). La primera vez que se conecte al servidor web Nessus, su

explorador mostrará algún tipo de error que indica que la conexión no es confiable debido a

un certificado SSL autofirmado. En la primera conexión, acepte el certificado para continuar

la configuración. Las instrucciones para instalar un certificado personalizado se tratan más

adelante en este documento, en la sección “Configuración de Nessus con un certificado SSL

personalizado”.

Debido a la implementación técnica de los certificados SSL, no es posible enviar

un certificado con Nessus que sea confiable para los exploradores. Para evitar

esta advertencia, debe utilizar un certificado personalizado para su organización.


35

Según el explorador que utilice, puede haber un diálogo adicional que le permita aceptar el

certificado:

Una vez que lo aceptó, se le redirigirá a la pantalla inicial de registro que comienza las

instrucciones paso a paso:


36

El primer paso es crear una cuenta para el servidor Nessus. La cuenta inicial será de

administrador; esta cuenta tiene acceso a la ejecución de comandos en el sistema operativo

subyacente de la instalación de Nessus, por lo que se debe considerar de la misma manera

que cualquier otra cuenta de administrador:

La siguiente pantalla solicita un Código de activación de plugins y le permite configurar

parámetros de proxy opcionales.


37

Si usa el Tenable SecurityCenter, el código de activación y las actualizaciones de

los plugins se administran desde SecurityCenter. Para comunicarse con

SecurityCenter, Nessus necesita iniciarse, lo cual normalmente no se podrá lograr

sin un código de activación y plugins válidos. Para que Nessus ignore este

requisito y se inicie (y pueda así obtener la información de SecurityCenter),

escriba “SecurityCenter” (con mayúsculas y minúsculas) sin comillas en el cuadro

Activation Code. Después de iniciar Nessus, los usuarios de SecurityCenter habrán

completado la instalación y configuración iniciales del analizador Nessus y podrán

pasar a la sección “Trabajo con SecurityCenter”..

Si no registra su copia de Nessus, no recibirá ningún plugin nuevo y no podrá

iniciar el servidor Nessus. Nota: el código de activación no distingue mayúsculas

de minúsculas.

Si su servidor Nessus se encuentra en una red que utiliza un proxy para comunicarse con

Internet, haga clic en “Optional Proxy Settings” para escribir la información

correspondiente. Los parámetros de proxy pueden agregarse en cualquier momento

después de finalizar la instalación.


38

Una vez que se finalizó la configuración del Código de activación y los parámetros de proxy

opcionales, haga clic en “Next” para registrar su analizador:

Después del registro, Nessus debe descargar los plugins de Tenable. Este proceso puede

tomar varios minutos, ya que transfiere una gran cantidad de datos al equipo, verifica la

integridad de los archivos y los compila en una base de datos interna:


39

Después del registro inicial, Nessus descargará y compilará los plugins obtenidos

del puerto 443 de plugins.nessus.org, plugins-customers.nessus.org o plugins-

us.nessus.org en segundo plano.

Una vez que se hayan descargado y compilado los plugins, la GUI de Nessus se inicializará y

el servidor Nessus se iniciará:

Después de su inicialización, Nessus está listo para su uso.


40

Con las credenciales administrativas creadas durante la instalación, inicie sesión en la

interfaz de Nessus para verificar el acceso.

CONFIGURACIÓN

Con el lanzamiento de Nessus 5, toda la configuración del servidor de Nessus se controla a través de la GUI. El archivo nessusd.conf está en desuso. Además, los parámetros de

proxy, el registro de fuentes de suscripción y las actualizaciones sin conexión también se

administran a través de la GUI.

CONFIGURACIÓN DEL PROXY WEB

Bajo el encabezado “Configuration”, la ficha “Settings” le permite configurar un proxy

web para actualizaciones de plugins. Esto es necesario si su organización necesita que todo

el tráfico web sea dirigido a través de un proxy corporativo:


41

Existen seis campos que controlan la configuración del proxy, pero solo son necesarios el

host y el puerto. También puede suministrarse un nombre de usuario y una contraseña si es

necesario.

Opción Descripción

Host El host o IP del proxy (por ejemplo, proxy.example.com).

Port El puerto del proxy (por ejemplo, 8080).

Username Opcional: si se requiere un nombre de usuario para el uso del

proxy (por ejemplo, “jdoe”).

Password Opcional: si se requiere una contraseña para el uso del proxy

(por ejemplo, “guineapigs”).

User-Agent Opcional: si el proxy que utiliza filtra agentes de usuario HTTP

específicos, se puede suministrar una cadena agente-usuario

personalizada.

Custom Update Host Opcional: esto puede utilizarse para forzar a Nessus a

actualizar plugins desde un host específico. Por ejemplo, si los

plugins se deben actualizar desde un lugar en EE. UU., puede

especificar “plugins-us.nessus.org”.

A partir de Nessus 4.2, los analizadores de Microsoft Windows admiten la

autenticación de proxy, incluido NTLM.

OPCIONES DE CONFIGURACIÓN AVANZADA

Nessus utiliza una amplia variedad de opciones de configuración para ofrecer un control más

pormenorizado de cómo funciona el analizador. En la ficha “Advanced” de la opción

“Configuration”, un usuario administrador puede modificar estos parámetros.


42

ADVERTENCIA: Cualquier cambio en la configuración del analizador Nessus

afectará a TODOS los usuarios de Nessus. Modifique estas opciones con cuidado.

Puede configurar cada opción modificando el campo correspondiente y haciendo clic en el

botón “Save” que está en la base de la pantalla. Además, puede quitar por completo la

opción haciendo clic en el botón .

De manera predeterminada, la GUI de Nessus opera en el puerto 8834. Para cambiar este puerto, modifique xmlrpc_listen_port para escoger el puerto deseado. El servidor Nessus

procesará el cambio en unos minutos.

Si requiere preferencias adicionales, haga clic en el botón “Add Preference Item”, escriba

el nombre y el valor, y presione “Save”. Una vez que la preferencia se actualizó y se

guardó, Nessus procesará los cambios en unos minutos.

Para obtener más detalles acerca de cada opción de configuración, consulte la sección

“Configuración del demonio de Nessus (usuarios avanzados)” de este documento.

RESTABLECIMIENTO DE CÓDIGOS DE ACTIVACIÓN Y ACTUALIZACIONES SIN

CONEXIÓN

Después de introducir el Código de activación inicial durante el proceso de configuración, se

realizan cambios posteriores al Código de activación a través de la ficha “Feed”. Si escribe

un nuevo código en el campo “Activation Code” y hace clic en “Save”, se actualizará el

analizador Nessus con el nuevo código (por ejemplo, si pasa de HomeFeed a

ProfessionalFeed).


43

La sección “Online Update” muestra el número de identificación de fuente actual y le

permite forzar una actualización de plugin haciendo clic en “Update Plugins”. Si una

actualización de plugin falla por cualquier motivo (por ejemplo, una interrupción en la

conectividad a la red), Nessus volverá a intentarla 10 minutos más tarde.

La sección “Offline Update” le permite especificar un archivo de plugins para el

procesamiento. Para obtener más detalles acerca de la actualización sin conexión, consulte

la sección “Nessus sin acceso a Internet”, más adelante en este documento.

El uso del cliente heredado a través del protocolo NTP es admitido por Nessus 5,

pero solo está disponible para clientes de ProfessionalFeed.

CREACIÓN Y ADMINISTRACIÓN DE USUARIOS DE NESSUS

Durante la configuración inicial, se crea un usuario administrador. Utilizando las credenciales

especificadas durante la configuración, inicie sesión en la GUI de Nessus. Una vez obtenida

la autenticación, haga clic en el encabezado “Users” de la parte superior:

Para crear un nuevo usuario, haga clic en “Add”, en la esquina superior derecha. Esto abrirá

un diálogo que le pide que ingrese los siguientes detalles obligatorios:


44

Escriba el nombre de usuario y la contraseña, repita la contraseña y decida si el usuario

tendrá privilegios de administrador.

Si necesita modificar una cuenta de usuario, escoja la cuenta en la lista y haga clic en

“Edit”:

No puede cambiar el nombre de los usuarios. Si desea cambiar el nombre de un

usuario, debe eliminar al usuario y crear un nuevo usuario con el nombre de inicio

de sesión correspondiente.

Para quitar un usuario, escoja la cuenta en la lista y haga clic en “Delete”:


45

Un usuario que no sea administrador no puede subir plugins a Nessus, no puede

reiniciarlo remotamente (esto es necesario después de subir un plugin), ni puede anular el parámetro max_hosts/max_checks en la sección de configuración. Si el

usuario va a ser utilizado por SecurityCenter, debe ser un usuario

administrador. SecurityCenter mantiene su propia lista de usuarios y establece

los permisos para ellos.

Si necesita que una cuenta de usuario de Nessus tenga limitaciones, puede hacerlo

utilizando la interfaz de la línea de comandos (CLI); esto se trata más adelante en el

documento, en la sección “Uso y administración de Nessus desde la línea de comandos”.

CONFIGURACIÓN DEL DEMONIO DE NESSUS (USUARIOS

AVANZADOS)

El menú de configuración de la GUI de Nessus contiene varias opciones configurables. Por

ejemplo, es aquí donde se especifican la cantidad máxima de comprobaciones y de hosts

que se analizarán por vez, los recursos que desea que nessusd use y la velocidad a la que

se deben leer los datos, así como muchas otras opciones. Se recomienda revisar y modificar

estos parámetros según su entorno de análisis. Al final de esta sección se explica la lista

completa de opciones de configuración.

En particular, los valores max_hosts y max_checks pueden afectar en gran medida la

capacidad de su sistema de Nessus para realizar análisis, así como la de aquellos sistemas

que se analizan en busca de vulnerabilidades en su red. Preste especial atención a estos dos

parámetros de configuración.

Estos son los dos parámetros y sus valores predeterminados según se ven en el menú de

configuración:

Opción Valor

max_hosts 40

max_checks 5

Tenga en cuenta que esta configuración será reemplazada en cada análisis al usar

SecurityCenter de Tenable o en la directiva personalizada de la interfaz de usuario de

Nessus. Para ver o modificar estas opciones para una plantilla de análisis en SecurityCenter,

modifique “Scan Options” en Scan Template. En Nessus User Interface, modifique la

directiva de análisis, y luego haga clic en la ficha “Options”.

Tenga en cuenta que el parámetro max_checks posee un límite, codificado de

forma rígida, de 15. Cualquier valor mayor de 5 producirá normalmente efectos

adversos, ya que la mayoría de los servidores no pueden procesar tantas

solicitudes intrusivas al mismo tiempo.


46

Notas sobre max_hosts:

Como el nombre lo indica, representa la cantidad máxima de sistemas de destino que se

examinarán en un momento dado. Mientras mayor sea la cantidad de sistemas analizados

de forma simultánea por un analizador Nessus individual, mayor exigencia se aplicará a la

memoria RAM, el procesador y el ancho de banda de la red del sistema de ese analizador. Al

establecer el valor max_hosts, tenga en cuenta la configuración del hardware del sistema

del analizador y de otras aplicaciones que se ejecuten en este.

Dado que también afectará a los análisis de Nessus una cantidad de otros factores que son

exclusivos de su entorno de análisis (por ejemplo, la directiva de su organización respecto

de los análisis, otro tráfico presente en la red, el efecto que un tipo de análisis en particular

tenga en los hosts de destino de su análisis), la experimentación le proporcionará el valor óptimo para max_hosts.

Un punto de partida conservador para determinar el mejor valor de max_hosts en un

entorno empresarial sería establecerlo en “20” en sistemas Nessus basados en Unix, y en

“10” en analizadores Nessus para Windows.

Notas sobre max_checks:

Es la cantidad de comprobaciones o plugins que se ejecutarán de forma simultánea en un

único host de destino durante un análisis. Tenga en cuenta que establecer esta cantidad en

un valor demasiado elevado podría saturar los sistemas que está analizando, según qué

plugins use en el análisis.

Multiplique max_checks por max_hosts para encontrar la cantidad de comprobaciones

simultáneas que se podrían ejecutar en un momento dado durante un análisis. Debido a que max_checks y max_hosts se usan en conjunto, establecer max_checks en un valor

demasiado elevado también puede provocar restricciones de recursos en el sistema del analizador Nessus. Al igual que con max_hosts, la experimentación le proporcionará el valor

óptimo para max_checks, pero se recomienda que siempre esté establecido en un valor

relativamente bajo.

OPCIONES DE CONFIGURACIÓN

En la siguiente tabla se incluye una breve explicación de cada opción de configuración

disponible en el menú de configuración. Muchas de estas opciones son configurables a

través de la interfaz del usuario al crear una directiva de análisis.


auto_enable_

dependencies

Activa de manera automática los plugins de los que depende.

Si se encuentra deshabilitada, no todos los plugins se pueden

ejecutar, a pesar de haber sido seleccionados en una

directiva de análisis.

auto_update Actualizaciones automáticas de plugins. Si se encuentra

habilitada y Nessus está registrado, obtenga los plugins más

recientes de plugins.nessus.org automáticamente.

Deshabilite la opción si el analizador se encuentra en una red

aislada que no puede conectarse con Internet.


47

auto_update_delay Cantidad de horas que se deben esperar entre una

actualización y otra. El intervalo mínimo permitido es cuatro

(4) horas.

cgi_path Durante la prueba de los servidores web, use esta lista de

rutas de acceso CGI delimitada por dos puntos.

checks_read_timeout Lee el tiempo de espera para los sockets de las pruebas.

disable_ntp Deshabilita el protocolo heredado NTP anterior.

disable_xmlrpc Deshabilita la nueva interfaz de XMLRPC (servidor web).

dumpfile Ubicación de un archivo de descarga correspondiente a los

resultados de la depuración, en caso de que se genere.

enable_listen_ipv4 Indica a Nessus que escuche en IPv4.

enable_listen_ipv6 Indica a Nessus que escuche en IPv6, si el sistema admite las

direcciones IPv6.

global.max_scans Si está establecida en un número distinto de cero, define la

cantidad máxima de análisis que pueden producirse de forma

paralela.

Nota: si esta opción no se usa, no se aplicará ningún límite.

global.max_simult_tcp_

sessions

Cantidad máxima de sesiones TCP simultáneas entre todos

los análisis.


global.max_web_users Si está establecida en un número distinto de cero, define la

cantidad máxima de usuarios (web) que se pueden conectar

de forma paralela.


host.max_simult_tcp_

sessions

Cantidad máxima de sesiones TCP simultáneas por host

analizado.

listen_address La dirección IPv4 a la que escuchar para las conexiones

entrantes. Si está establecida en 127.0.0.1, se limitará el

acceso a conexiones locales únicamente.

listen_port Puerto que se escuchará (protocolo NTP anterior). Usado

para conexiones de NessusClient anteriores a 4.2.

log_whole_attack ¿Desea registrar todos los detalles del ataque? Resulta útil

para depurar problemas con el análisis, pero puede usar el

disco duro de forma intensiva.

logfile Lugar en el que se almacena el archivo de registro de

Nessus.

max_hosts Cantidad máxima de hosts comprobados al mismo tiempo

durante un análisis.


48

max_checks Cantidad máxima de comprobaciones simultáneas en cada

host probado.

max_simult_tcp_sessions Cantidad máxima de sesiones TCP simultáneas por análisis.

nasl_log_type Indica el tipo de resultados del motor NASL en nessusd.dump.

nasl_no_signature_check ¿Nessus debe considerar todas las secuencias de comandos

NASL como firmadas? Seleccionar “yes” es poco seguro y no

recomendado.

nessus_syn_scanner.

global_throughput.max

Establece la cantidad máxima de paquetes SYN que Nessus

enviará por segundo durante su análisis de puertos

(independientemente de la cantidad de hosts que se analicen

de forma paralela). Ajuste esta opción en función de la

sensibilidad del dispositivo remoto ante grandes cantidades

de paquetes SYN.

non_simult_ports Puertos en los cuales no se deben ejecutar dos plugins de

manera simultánea.

optimize_test Optimiza el procedimiento de prueba. Si cambia la opción a

“no”, hará que los análisis demoren más y normalmente

producirá más falsos positivos.

paused_scan_timeout Elimina un análisis pausado después de cierta cantidad de

minutos (0 indica que no haya tiempo de espera).

plugin_upload Indica si los usuarios administradores pueden cargar plugins.

plugin_upload_suffixes Sufijos de los plugins que puede cargar el usuario

administrador.

plugins_timeout Duración máxima de la actividad de un plugin (en segundos).

port_range Intervalo de los puertos que serán analizados por los

analizadores de puertos. Se pueden usar las palabras clave

“all” o “default”, así como también una lista de puertos o

intervalos de puertos delimitados por comas.

purge_plugin_db ¿Nessus debe purgar la base de datos de los plugins en cada

actualización? Esto indica a Nessus que quite, vuelva a

descargar y vuelva a compilar la base de datos de plugins

para cada actualización. Elegir “Yes” hará que cada

actualización sea considerablemente más lenta.

qdb_mem_usage Indica a Nessus que use más o menos memoria al estar

inactivo. Si Nessus se ejecuta en un servidor dedicado,

establecer esta opción en “high” usará más memoria para

aumentar el rendimiento. Si Nessus se ejecuta en un equipo

compartido, establecer esta opción en “low” usará

considerablemente menos memoria, pero a expensas de un

efecto moderado en el rendimiento.


49

reduce_connections_on_

congestion

Reduce la cantidad de sesiones TCP paralelas cuando la red

parece congestionada.

report_crashes ¿Desea crear informes anónimos sobre bloqueos para

Tenable?

rules Ubicación del archivo Nessus Rules.

safe_checks Las comprobaciones seguras se basan en la captación de

banners en lugar de pruebas activas en busca de

vulnerabilidades.

save_knowledge_base Guarda la base de conocimiento en el disco para usar

posteriormente.

silent_dependencies Si está habilitada la opción, la lista de dependencias de los

plugins y sus resultados no se incluyen en el informe. Se

puede escoger un plugin como parte de una directiva que

dependa de otros plugins para ejecutarse. De manera

predeterminada, Nessus ejecutará esas dependencias de

plugins, pero no incluirá su resultado en el informe. Si

configura esta opción en no hará que tanto el plugin

seleccionado como cualquier dependencia de plugin

aparezcan en el informe.

slice_network_addresses Si esta opción está establecida, Nessus no analizará una red

incrementalmente (10.0.0.1, luego 10.0.0.2, luego 10.0.0.3

y sucesivamente) sino que intentará dividir la carga de

trabajo por toda la red (por ejemplo, analizará 10.0.0.1,

luego 10.0.0.127, luego 10.0.0.2, luego 10.0.0.128 y

sucesivamente).

source_ip En el caso de un sistema con múltiples hosts y diferentes

direcciones IP en la misma subred, esta opción indica al

analizador Nessus qué NIC/IP usar para las pruebas. Si se

proporcionan varias IP, Nessus las recorrerá toda vez que

realice una conexión.

ssl_cipher_list Asegura que solo se empleen cifrados SSL “sólidos” al

conectarse con el puerto 1241. Admite la palabra clave

“strong” o las designaciones generales de OpenSSL, según se

enumeran en http://www.openssl.org/docs/apps/ciphers.html.

stop_scan_on_disconnect Detiene el análisis de un host que parece haberse

desconectado durante el análisis.

stop_scan_on_hang Detiene un análisis que parece estar suspendido.

throttle_scan Acelera el análisis cuando la CPU está sobrecargada.

use_kernel_congestion_

detection

Usa los mensajes de congestión TCP de Linux para reducir la

actividad de análisis según sea necesario.

http://www.openssl.org/docs/apps/ciphers.html


50

www_logfile Lugar en el que se almacena el registro de Nessus Web

Server (interfaz de usuario).

xmlrpc_idle_session_time

out

Tiempo de espera de sesión inactiva XMLRPC (en minutos).

xmlrpc_import_feed_

policies

Si esta opción está establecida en “no”, Nessus no incluirá

directivas de análisis predeterminadas proporcionadas por

Tenable.

xmlrpc_listen_port Puerto para que escuche Nessus Web Server (nuevo

protocolo XMLRPC).

xmlrpc_min_password_

len

Ordena a Nessus que aplique una directiva para la longitud

de una contraseña de los usuarios de un analizador.

De forma predeterminada, una suscripción HomeFeed establecerá report_crashes en

“yes”, y una suscripción ProfessionalFeed establecerá report_crashes en “no”. La

información relacionada con los bloqueos de Nessus se enviará a Tenable para ayudar a

depurar problemas y brindar un software de la mayor calidad posible. No se enviará ningún

tipo de información de identificación personal o del sistema.

CONFIGURACIÓN DE NESSUS CON UN CERTIFICADO SSL

PERSONALIZADO

La instalación predeterminada de Nessus usa un certificado SSL autofirmado. Al usar la

interfaz web por primera vez para obtener acceso al analizador Nessus, su explorador web

mostrará un error en el que se indica que el certificado no es confiable:

Para evitar advertencias por parte del explorador, se puede usar un certificado SSL

personalizado que sea específico para su organización. Durante la instalación, Nessus crea


51

dos archivos que conforman el certificado: servercert.pem y serverkey.pem. Estos

archivos deben ser reemplazados con archivos de certificado generados por su organización

o por una Entidad de certificación (CA) confiable.

Antes de reemplazar los archivos de certificado, detenga el servidor Nessus. Reemplace los

dos archivos y reinicie el servidor Nessus. Las conexiones al analizador posteriores no

deberían mostrar un error si el certificado fue generado por una CA de confianza.

La siguiente tabla enumera la ubicación de los archivos de certificado de acuerdo con el

sistema operativo:

Sistema operativo Ubicaciones de los archivos de certificado

Linux y Solaris /opt/nessus/com/nessus/CA/servercert.pem

/opt/nessus/var/nessus/CA/serverkey.pem

FreeBSD /usr/local/nessus/com/nessus/CA/servercert.pem

/usr/local/nessus/var/nessus/CA/serverkey.pem

Windows C:\Program Files\Tenable\Nessus\nessus\CA\

Mac OS X /Library/Nessus/run/com/nessus/CA/servercert.pem

/Library/Nessus/run/var/nessus/CA/serverkey.pem

Nessus 5 admite cadenas de certificados SSL.

También puede visitar https://[IP address]:8834/getcert para instalar la CA

raíz en su explorador, lo que quitará la advertencia.

Para implementar una cadena de certificados intermedia, se debe colocar un archivo

llamado serverchain.pem en el mismo directorio que el archivo servercert.pem. Debe

contener los certificados intermedios 1-n (certificados públicos concatenados) necesarios

para construir la cadena de certificados completa del servidor Nessus, para su certificado

raíz definitivo (que sea confiable para el explorador del usuario).

AUTENTICACIÓN DE NESSUS CON CERTIFICADO SSL

AUTENTICACIÓN DEL CERTIFICADO SSL DE CLIENTE

Nessus permite a los usuarios utilizar la autenticación de certificados SSL de cliente. Esto

permite el uso de certificados SSL de clientes, tarjetas inteligentes y autenticación CAC

cuando el explorador está configurado para este método.

Nessus permite métodos de autenticación con contraseña o certificado SSL para cuentas de

usuarios. Al crear un usuario para una autenticación con certificado SSL, la utilidad nessus-

mkcert-client se usa a través de la línea de comandos en el servidor Nessus.

CONFIGURACIÓN DE NESSUS PARA CERTIFICADOS

El primer paso para permitir la autenticación de certificados SSL es configurar el servidor

web de Nessus con un certificado de servidor y un CA. Este proceso permite que el servidor


52

web confíe en certificados creados por la Entidad de certificados (CA) con fines de

autenticación. Los archivos generados relacionados con los certificados deben ser propiedad

de root:root y los permisos predeterminados son buenos.

1. (Opcional) Cree un nuevo CA personalizado y un certificado de servidor para el servidor Nessus utilizando el comando nessus-mkcert en la línea de comandos. Esto

colocará los certificados en sus directorios correctos.

Cuando se le pida el nombre de host, escriba el nombre de DNS o la dirección IP

del servidor en el explorador, como https://hostname:8834/ o

https://ipaddress:8834/. El certificado predeterminado utiliza el nombre de host.

2. Si se utilizará un certificado CA en lugar del certificado generado por Nessus, haga

una copia del certificado CA autofirmado con el comando correspondiente de su

sistema operativo:

Linux/Unix: # cp /opt/nessus/com/nessus/CA/cacert.pem

/opt/nessus/com/nessus/CA/ORIGcacert.pem

Windows: C:\> copy \Program Files\Tenable\Nessus\Nessus\CA\cacert.pem C:\Program

Files\Tenable\Nessus\nessus\CA\ORIGcacert.pem

3. Si los certificados que se utilizarán para autenticación son creados por una CA que no

sea el servidor Nessus, el certificado CA debe instalarse en el servidor Nessus:

Linux/Unix:

Copie el certificado CA de la organización en /opt/nessus/com/nessus/CA/cacert.pem

Windows: Copie el certificado CA de la organización en C:\Program Files\Tenable\Nessus\Nessus\CA\cacert.pem

4. Configure el servidor Nessus para la autenticación de certificados. Cuando la

autenticación de certificados está habilitada, el inicio de sesión con nombre de

usuario y contraseña está deshabilitado.

Linux/Unix: # /opt/nessus/sbin/nessus-fix –-set force_pubkey_auth=yes

Windows: C:\> \program files\Tenable\Nessus\nessus-fix –-set

force_pubkey_auth=yes

5. Una vez que el CA está instalado y el parámetro force_pubkey_auth está habilitado,

reinicie los servicios de Nessus con el comando service nessusd restart.

Después de configurar Nessus con el/los certificado/s CA adecuado/s, los usuarios pueden

iniciar sesión en Nessus con certificados SSL de cliente, tarjetas inteligentes y CAC.


53

CREACIÓN DE CERTIFICADOS SSL DE NESSUS PARA INICIO DE SESIÓN

Para iniciar sesión en un servidor Nessus con certificados SSL, los certificados deben crearse

con el programa adecuado. Para este proceso se usa la utilidad de línea de comandos

nessus-mkcert-client en el sistema. Las seis preguntas que se hacen deben establecer

valores predeterminados para la creación de usuarios durante la sesión actual. Estas son:

lifetime, country, state, location, organization y organizational unit. Los valores

predeterminados para estas opciones pueden cambiarse durante la creación de usuarios real

si así lo desea. El/Los usuario/s se creará/n uno por vez según lo indicado. Al finalizar el

proceso, los certificados se copian adecuadamente y se utilizan para iniciar sesión en el

servidor Nessus.

1. En el servidor Nessus, ejecute el comando nessus-mkcert-client.

Linux/Unix: # /opt/nessus/sbin/nessus-mkcert-client

Windows (ejecutar como usuario administrador local): C:\> \Program Files\Tenable\Nessus\nessus-mkcert-client

2. Complete los campos como se indica. El proceso, en un servidor de Linux/Unix o

Windows, es idéntico.

Do you want to register the users in the Nessus server as soon as you

create their certificates ? [n]: y

---------------------------------------------------------------------------

----

Creation Nessus SSL client Certificate

---------------------------------------------------------------------------

----

This script will now ask you the relevant information to create the SSL

client certificates for Nessus.

Client certificate life time in days [365]:

Your country (two letter code) [US]:

Your state or province name [NY]: MD

Your location (e.g. town) [New York]: Columbia

Your organization []: Content

Your organizational unit []: Tenable

**********

We are going to ask you some question for each client certificate

If some question have a default answer, you can force an empty answer by

entering a single dot '.'

*********

User #1 name (e.g. Nessus username) []: squirrel

Should this user be administrator? [n]: y

Country (two letter code) [US]:

State or province name [MD]:

Location (e.g. town) [Columbia]:

Organization [Content]:

Organizational unit [Tenable]:

e-mail []:


54

User rules

----------

nessusd has a rules system which allows you to restrict the hosts that

firstuser has the right to test. For instance, you may want him to

be able to scan his own host only.

Please see the nessus-adduser(8) man page for the rules syntax

Enter the rules for this user, and enter a BLANK LINE once you are done:

(the user can have an empty rules set)

User added to Nessus.

Another client certificate? [n]:

Your client certificates are in C:\Users\admin\AppData\Local\Temp\nessus-

0000040e

You will have to copy them by hand

Los certificados de cliente se crearán en un directorio temporal aleatorio

adecuado según el sistema. El directorio temporal se identificará en la línea que

comience con “Your client certificates are in”.

3. Habrá dos archivos creados en el directorio temporal, cert_squirrel.pem y

key_squirrel.pem. Estos archivos deben combinarse y exportarse en un formato

que pueda importarse al explorador web, como .pfx. Esto se puede realizar con el

programa openssl y el siguiente comando:

# openssl pkcs12 –export –out combined_squirrel.pfx –inkey

key_squirrel.pem –in cert_squirrel.pem –Cafile

/opt/nessus/com/nessus/CA/cacert.pem –passout pass:’SecretWord’

El archivo de resultado combined_squirrel.pfx se creará en el directorio desde el

cual se lanzó el comando. Luego, este archivo debe importarse al almacenamiento de

certificados personales del explorador web.

HABILITACIÓN DE CONEXIONES CON TARJETAS INTELIGENTES O TARJETAS

CAC

Una vez que se implementó la certificación CA para tarjetas inteligentes, CAC o de

dispositivos similares, deben crearse los usuarios que correspondan para coincidir en

Nessus. En este proceso, los usuarios creados deben coincidir con los CN utilizados en la

tarjeta con la que cada usuario se conectará.

1. En el servidor Nessus, ejecute el comando nessus-mkcert-client.

Linux/Unix: # /opt/nessus/sbin/nessus-mkcert-client

Windows (ejecutar como usuario administrador local): C:\> \Program Files\Tenable\Nessus\nessus-mkcert-client.exe


55

2. Complete los campos como se indica. El proceso, en un servidor de Linux/Unix o

Windows, es idéntico. El nombre de usuario debe coincidir con el CN suministrado

por el certificado en la tarjeta.

Do you want to register the users in the Nessus server as soon as you

create their certificates ? [n]: y

---------------------------------------------------------------------------

----

Creation Nessus SSL client Certificate

---------------------------------------------------------------------------

----

This script will now ask you the relevant information to create the SSL

client certificates for Nessus.

Client certificate life time in days [365]:

Your country (two letter code) [US]:

Your state or province name [NY]: MD

Your location (e.g. town) [New York]: Columbia

Your organization []: Content

Your organizational unit []: Tenable

**********

We are going to ask you some question for each client certificate

If some question have a default answer, you can force an empty answer by

entering a single dot '.'

*********

User #1 name (e.g. Nessus username) []: squirrel

Should this user be administrator? [n]: y

Country (two letter code) [US]:

State or province name [MD]:

Location (e.g. town) [Columbia]:

Organization [Content]:

Organizational unit [Tenable]:

e-mail []:

User rules

----------

nessusd has a rules system which allows you to restrict the hosts that

firstuser has the right to test. For instance, you may want him to

be able to scan his own host only.

Please see the nessus-adduser(8) man page for the rules syntax

Enter the rules for this user, and enter a BLANK LINE once you are done:


User added to Nessus.

Another client certificate? [n]:

Your client certificates are in C:\Users\admin\AppData\Local\Temp\nessus-

0000040e

You will have to copy them by hand


56

Los certificados de cliente se crearán en un directorio temporal aleatorio

adecuado según el sistema. El directorio temporal se identificará en la línea que

comience con “Your client certificates are in”. Para el uso de la autenticación con

tarjeta, no necesita estos certificados y puede eliminarlos.

3. Una vez creado, un usuario con la tarjeta adecuada puede acceder al servidor Nessus

y autenticarse automáticamente ingresando su PIN o una contraseña similar.

CONEXIÓN CON EXPLORADOR HABILITADO PARA CERTIFICADOS O TARJETAS

Esta información se suministra suponiendo que su explorador está configurado

para la autenticación con certificados SSL. Esto implica que el explorador web

confía adecuadamente en la CA. Consulte los archivos de ayuda u otra

documentación de su explorador para configurar esta función.

El proceso de inicio de sesión de certificado comienza cuando un usuario se conecta a

Nessus.

1. Inicie un explorador y diríjase al servidor Nessus.

2. El explorador presentará una lista de las identidades de certificados disponibles entre

las que puede escoger:

3. Una vez que haya seleccionado un certificado, se le solicitará que ingrese el PIN o

contraseña del certificado (si corresponde) para acceder a su certificado. Una vez

que ingrese el PIN o la contraseña correctamente, el certificado estará disponible

para la sesión actual con Nessus.


57

4. Al navegar la interfaz web de Nessus, el usuario puede ver brevemente la pantalla de

nombre de usuario y contraseña seguida de un inicio de sesión automático como el

usuario designado. La interfaz de usuario de Nessus puede usarse normalmente.

Si cierra sesión, verá la pantalla de inicio de sesión estándar de Nessus. Si desea

volver a iniciar sesión con el mismo certificado, actualice su explorador. Si

necesita utilizar otro certificado, debe reiniciar la sesión de su explorador.

NESSUS SIN ACCESO A INTERNET

Esta sección describe los pasos necesarios para registrar el analizador Nessus, instalar el

código de activación y recibir los plugins más recientes cuando su sistema Nessus no cuenta

con acceso directo a Internet.

Los códigos de activación obtenidos durante el proceso sin conexión descrito a

continuación están vinculados con el analizador Nessus usado durante el proceso

inicial. Usted no podrá usar el paquete descargado de plugins con otro analizador

Nessus.

GENERACIÓN DE UN CHALLENGE CODE

Usted debe obtener el código de activación para la Suscripción de Nessus desde su cuenta

de Tenable Support Portal -en el caso de ProfessionalFeed- o en el mensaje de correo

electrónico de registro a HomeFeed.

Tenga en cuenta que solo podrá usar un único código de activación por analizador, a menos

que los analizadores sean administrados por SecurityCenter.

Una vez que posea el código de activación, ejecute el siguiente comando en el sistema en el

que se ejecute Nessus:

Windows:

C:\Program Files\Tenable\Nessus>nessus-fetch.exe --challenge

Linux y Solaris:

# /opt/nessus/bin/nessus-fetch --challenge

FreeBSD:



58

# /usr/local/nessus/bin/nessus-fetch --challenge

Mac OS X:

# /Library/Nessus/run/bin/nessus-fetch --challenge

De esta forma se producirá una cadena denominada “challenge code” que tiene el siguiente

aspecto:

569ccd9ac72ab3a62a3115a945ef8e710c0d73b8

OBTENCIÓN E INSTALACIÓN DE PLUGINS ACTUALIZADOS

Luego visite https://plugins.nessus.org/offline.php y copie y pegue la cadena “challenge”, así

como el código de activación que recibió anteriormente, en los cuadros de texto

correspondientes:

Esta acción mostrará una dirección URL que será similar a la captura de pantalla que se

muestra a continuación:

https://plugins.nessus.org/offline.php


59

Esta pantalla le brinda acceso para descargar las fuentes de plugins de Nessus más recientes (all-2.0.tar.gz), junto con un enlace al archivo nessus-fetch.rc que está en

la parte inferior de la pantalla.

Guarde esta dirección URL, ya que la usará cada vez que actualice sus plugins,

como se describe a continuación.

No se puede emplear un código de registro usado para actualizaciones sin

conexión en el mismo servidor del analizador Nessus a través de Nessus Server

Manager.

Si, en cualquier momento, necesita verificar el código de registro para un analizador específico, puede usar la opción --code-in-use del programa nessus-fetch.

Copie el archivo nessus-fetch.rc en el host en que se ejecuta Nessus, en el siguiente

directorio:

Windows:

C:\Program Files\Tenable\Nessus\conf

Linux y Solaris:

/opt/nessus/etc/nessus/

FreeBSD:

/usr/local/nessus/etc/nessus/


60

Mac OS X:

/Library/Nessus/run/etc/nessus/

El archivo nessus-fetch-rc solo debe copiarse una vez. Las descargas

posteriores de los plugins de Nessus deberán copiarse en el directorio

correspondiente en cada ocasión, como se describe a continuación.

Tenga en cuenta que, de forma predeterminada, Nessus intentará actualizar sus plugins

cada 24 horas después de que usted lo haya registrado. Si no quiere intentar esta actualización en línea, cambie el parámetro “auto_update” a “no” en el menú

“Configuration” -> “Advanced”.

Efectúe este paso cada vez que realice una actualización sin conexión de sus

plugins.

Una vez que lo descargó, el archivo all-2.0.tar.gz se puede almacenar en cualquier parte

del sistema de archivos. Utilizando la GUI de Nessus, diríjase a la ficha “Feed” en el menú

“Configuration”. La función “Plugin Archive” le permite navegar por el sistema de

archivos, especificar el archivo de plugins descargados y hacer clic en “Offline Update”

para procesar los plugins.

Una vez instalados los plugins, no es necesario que conserve el archivo all-2.0.tar.gz.

Sin embargo, Tenable recomienda que conserve la versión más reciente del archivo de

plugins descargado, en caso de que lo necesite nuevamente.

Usted contará ahora con los plugins más recientes que estén disponibles. Cada vez que

desee actualizar sus plugins debe visitar la dirección URL proporcionada, obtener el archivo

tar/gz, copiarlo en el sistema en el que se ejecute Nessus y repetir el proceso anterior.


61

USO Y ADMINISTRACIÓN DE NESSUS DESDE LA LÍNEA DE

COMANDOS

DIRECTORIOS PRINCIPALES DE NESSUS

La siguiente tabla enumera la ubicación de la instalación y los directorios principales usados

por Nessus en *nix/Linux:

Directorio principal

de Nessus Subdirectorios de Nessus Objetivo

Distribuciones de Unix

Red Hat, SuSE,

Debian, Ubuntu,

Solaris: /opt/nessus

./etc/nessus/ Archivos de

configuración

./var/nessus/users/<username>/kbs/ Base de conocimiento

del usuario guardada

en el disco

FreeBSD: /usr/local/nessus

./lib/nessus/plugins/ Plugins de Nessus

Mac OS X: /Library/Nessus/run

./var/nessus/logs/ Archivos de registro

de Nessus

La siguiente tabla enumera la ubicación de la instalación y los directorios principales usados

por Nessus en Windows:

Directorio principal de

Nessus Subdirectorios de Nessus Objetivo

Windows

\Program

Files\Tenable\Nessus \conf Archivos de

configuración

\data Plantillas de hojas de

estilo

\nessus\plugins Plugins de Nessus

\nessus\users\<username>\kbs Base de conocimiento

del usuario guardada

en el disco

\nessus\logs Archivos de registro de

Nessus


62

CREACIÓN Y ADMINISTRACIÓN DE USUARIOS DE NESSUS CON LIMITACIONES

DE CUENTA

Un único analizador Nessus puede admitir una organización compleja de varios usuarios. Por

ejemplo, es posible que una organización necesite que varios miembros del personal tengan

acceso al mismo analizador Nessus pero tengan la capacidad de analizar diferentes

intervalos IP, y permitir que solo algunos miembros del personal tengan acceso a intervalos

IP restringidos.

El siguiente ejemplo destaca la creación de un segundo usuario de Nessus mediante reglas

de usuario y autenticación de contraseña que lo restringen a analizar una subred clase B,

172.20.0.0/16. Para obtener más ejemplos y la sintaxis de las reglas de usuario, consulte las man pages (páginas de manual) correspondientes a nessus-adduser.

# /opt/nessus/sbin/nessus-adduser

Login : tater-nessus

Login password :

Login password (again) :

Do you want this user to be a Nessus 'admin' user ? (can upload plugins,

etc...) (y/n) [n]: y

User rules

----------

nessusd has a rules system which allows you to restrict the hosts

that tater-nessus has the right to test. For instance, you may want

him to be able to scan his own host only.

Please see the nessus-adduser manual for the rules syntax

Enter the rules for this user, and enter a BLANK LINE once you are done :


accept 172.20.0.0/16

deny 0.0.0.0/0

Login : tater-nessus

Password : ***********

This user will have 'admin' privileges within the Nessus server

Rules :

accept 172.20.0.0/16

deny 0.0.0.0/0

Is that ok ? (y/n) [y] y

User added

Para ver la man page (página de manual) de nessus-adduser(8), en algunos

sistemas operativos es posible que deba ejecutar los siguientes comandos:

# export MANPATH=/opt/nessus/man

# man nessus-adduser


63

OPCIONES DE LÍNEAS DE COMANDOS DE NESSUSD

Además de ejecutar el servidor nessusd, existen varias opciones de líneas de comandos que

se pueden usar según resulte necesario. La siguiente tabla contiene información sobre los

distintos comandos opcionales.


-c <config-file> Al iniciar el servidor nessusd, esta opción se emplea para

especificar el archivo de configuración nessusd del servidor que

se usará. Posibilita el uso de un archivo de configuración alternativo en lugar del /opt/nessus/etc/nessus/nessusd.db

estándar (o /usr/local/nessus/etc/nessus/nessusd.db para

FreeBSD).

-a <address> Al iniciar el servidor nessusd, esta opción se emplea para

indicar al servidor que solo escuche las conexiones en la dirección <address> que sea una IP, no un nombre de equipo.

Esta opción resulta útil si usted ejecuta nessusd en una puerta

de enlace, y si no desea que personas ajenas se conecten con su nessusd.

-S <ip[,ip2,...]> Al iniciar el servidor nessusd, fuerza la IP de origen de las

conexiones establecidas por Nessus durante el análisis a <ip>.

Esta opción solo es de utilidad si usted tiene un equipo de

múltiples hosts con varias direcciones IP públicas que desea

usar en lugar de la dirección predeterminada. Para que funcione esta configuración, el host en el que se ejecute nessusd debe

contar con varias NIC en las que estén establecidas estas

direcciones IP.

-p <port-number> Al iniciar el servidor nessusd, esta opción le indicará al servidor

que escuche las conexiones con el cliente en el puerto <port-

number> en lugar de escucharlas en el puerto 1241, que es el

predeterminado.

-D Al iniciar el servidor nessusd, esta opción hará que el servidor

se ejecute en segundo plano (modo demonio).

-v Muestra el número de la versión y cierra.

-l Muestra la información de licencia de la fuente de los plugins y

cierra.

-h Muestra un resumen de los comandos y cierra.

--ipv4-only Solo escucha en el socket IPv4.

--ipv6-only Solo escucha en el socket IPv6.

-q Funciona en modo “silencioso”, con lo cual se suprimen todos


64

los mensajes a stdout.

-R Fuerza el reprocesamiento de los plugins.

-t Comprueba la marca de tiempo de cada plugin al iniciarse para

solo compilar los plugins recientemente actualizados.

-K Establece la contraseña maestra para el analizador.

Si se establece una contraseña maestra, Nessus cifrará todas las directivas y toda

credencial contenida en ellas con la clave suministrada por el usuario (considerablemente

más segura que la clave predeterminada). Si se establece una contraseña, la interfaz web

se la solicitará durante el inicio.

ADVERTENCIA: si se estableció la contraseña maestra y se extravió, ni su

administrador ni la Asistencia técnica de Tenable podrán recuperarla.

A continuación se indica un ejemplo de uso:

Linux:

# /opt/nessus/sbin/nessus-service [-vhD] [-c <config-file>] [-p <port-

number>] [-a <address>] [-S <ip[,ip,...]>]

FreeBSD:

# /usr/local/nessus/sbin/nessus-service [-vhD] [-c <config-file>] [-p <port-

number>] [-a <address>] [-S <ip[,ip,...]>]

MANIPULACIÓN DEL SERVICIO NESSUS POR MEDIO DE LA INTERFAZ DE LA

LÍNEA DE COMANDOS (CLI) DE WINDOWS

Nessus también puede iniciarse o detenerse desde la línea de comandos. Tenga en cuenta

que la ventana de comandos debe abrirse con privilegios de administrador:

C:\Windows\system32>net stop "Tenable Nessus"

The Tenable Nessus service is stopping.

The Tenable Nessus service was stopped successfully.

C:\Windows\system32>net start "Tenable Nessus"

The Tenable Nessus service is starting.

The Tenable Nessus service was started successfully.

C:\Windows\system32>


65

TRABAJO CON SECURITYCENTER

DESCRIPCIÓN GENERAL DE SECURITYCENTER

Tenable SecurityCenter es una consola de administración web que unifica el proceso de

detección y administración de vulnerabilidades, la administración de eventos y registros, la

supervisión de compatibilidades y la generación de informes sobre todo lo anterior.

SecurityCenter permite la comunicación eficaz de eventos de seguridad a los equipos de TI,

administración y auditoría.

SecurityCenter admite el uso de varios analizadores Nessus en conjunto para analizar redes

de prácticamente cualquier tamaño, en forma periódica. Mediante Nessus API (una

implementación personalizada del protocolo XML-RPC), SecurityCenter se comunica con los

analizadores Nessus relacionados para enviar instrucciones de análisis y recibir resultados.

SecurityCenter habilita a varios usuarios y administradores, con distintos niveles de

seguridad, a compartir información sobre vulnerabilidades, establecer prioridades entre

ellas, mostrar qué recursos de red sufren problemas de seguridad críticos, ofrecer

recomendaciones a los administradores del sistema para resolver estos problemas de

seguridad, y observar cuándo se mitigan las vulnerabilidades. SecurityCenter también

recibe datos provenientes de muchos sistemas líderes para la detección de intrusos, tales

como Snort e ISS, a través de Log Correlation Engine.

SecurityCenter también puede recibir información pasiva sobre vulnerabilidades desde

Passive Vulnerability Scanner de Tenable, de modo que los usuarios finales puedan

descubrir nuevos hosts, aplicaciones, vulnerabilidades e intrusos sin la necesidad de realizar

análisis activos mediante Nessus.

CONFIGURACIÓN DE SECURITYCENTER 4.0-4.2 PARA TRABAJAR CON

NESSUS

Se puede añadir un servidor “Nessus Server” mediante la interfaz de administración de

SecurityCenter. Con ella, SecurityCenter se puede configurar para obtener acceso y

controlar prácticamente cualquier analizador Nessus. Haga clic en la ficha “Resources”, y

luego en “Nessus Scanners”. Haga clic en “Add” para abrir el cuadro de diálogo “Add

Scanner”. Se requiere la dirección IP del analizador Nessus, el puerto de Nessus

(predeterminado: 1241), la identificación de inicio de sesión administrativo, el tipo de

autenticación y la contraseña (creada mientras configuraba Nessus). Los campos de

contraseña no se encuentran disponibles si se seleccionó la autenticación “SSL Certificate”.

Además, se pueden seleccionar las Zonas a las que se asignará el analizador Nessus.

A continuación se muestra una captura de pantalla de un ejemplo de la página “Add

Scanner” de SecurityCenter:


66

Después de añadir correctamente el analizador, aparecerá la siguiente página tras la

selección del analizador:

Para obtener más información, consulte la “Guía de administración de SecurityCenter”.

CONFIGURACIÓN DE SECURITYCENTER 4.4 PARA TRABAJAR CON NESSUS

La interfaz de administración SecurityCenter se utiliza para configurar el acceso y el control

de cualquier analizador Nessus de versiones 4.2.x o superiores. Haga clic en la ficha

“Resources”, y luego en “Nessus Scanners”. Haga clic en “Add” para abrir el cuadro de

diálogo “Add Scanner”. Se requiere la dirección IP del analizador Nessus o nombre de

host, el puerto de Nessus (predeterminado: 8834), el tipo de autenticación (creada

mientras configuraba Nessus), la identificación de inicio de sesión administrativo y la

contraseña o información de certificados. Los campos de contraseña no se encuentran

disponibles si se seleccionó la autenticación “SSL Certificate”. La capacidad de verificar el

nombre de host se incluye para comprobar el CommonName (CN) del certificado SSL

presentado por el servidor Nessus. El estado del analizador Nessus puede configurarse como

Enabled o Disabled según sea necesario, pero el predeterminado es Enabled. Se pueden

seleccionar Zonas a las que puede asignarse el analizador Nessus.

A continuación se muestra una captura de pantalla de un ejemplo de la página “Add

Scanner” de SecurityCenter 4.4:


67

Después de agregar correctamente el analizador, se mostrará el siguiente banner:

Para obtener más información acerca de cómo integrar Nessus y SecurityCenter, consulte la

“Guía de administración de SecurityCenter”.

Firewalls basados en hosts Si su servidor Nessus está configurado con un firewall local como ZoneAlarm, Sygate,

BlackICE, el firewall de Windows XP o cualquier otro software de firewall, es necesario que

se abran las conexiones desde la dirección IP del SecurityCenter.

De manera predeterminada se utiliza el puerto 8834. En los sistemas Microsoft XP Service

Pack 2 (SP2) y posteriores, hacer clic en el icono “Security Center” que se encuentra en

“Control Panel”, le da al usuario la oportunidad de administrar la configuración del

“Windows Firewall”. Para abrir el puerto 8834, seleccione la ficha “Exceptions”

(Excepciones) y luego añada el puerto “8834” a la lista.

Si SecurityCenter está utilizando el protocolo NTP desactualizado en lugar del

puerto 1241, los comandos anteriores utilizarán 1241 en lugar de 8834.


68

SOLUCIÓN DE PROBLEMAS DE NESSUS WINDOWS

PROBLEMAS DE INSTALACIÓN/ACTUALIZACIÓN

Problema: el registro nessusd.messages indica que se inició nessusd, pero no es

así.

Solución: el mensaje “nessusd <version> started” solo indica que se ejecutó el programa

nessusd. El mensaje “nessusd is ready” indica que el servidor Nessus se encuentra en

ejecución y listo para aceptar conexiones.

Problema: recibo el siguiente error al intentar instalar Nessus Windows:

“1607: Unable to install InstallShield Scripting Runtime”

Solución: este código de error se puede producir si el servicio Instrumental de

administración de Windows (WMI) fue deshabilitado por algún motivo. Verifique que el

servicio se encuentre en ejecución.

Si el servicio WMI está ejecutándose, puede tratarse de un problema entre la configuración

del sistema operativo Microsoft Windows y el producto InstallShield que se usa para instalar

y quitar Nessus Windows. Existen artículos de la base de conocimiento, tanto de Microsoft

como de InstallShield, que describen en detalle las posibles causas y soluciones del

problema.

> Artículo de la base de conocimiento de Microsoft, identificación 910816:

http://support.microsoft.com/?scid=kb;en-us;910816

> Artículo de la base de conocimiento de InstallShield, identificación Q108340: http://consumer.installshield.com/kb.asp?id=Q108340

PROBLEMAS DE ANÁLISIS

Problema: no puedo analizar a través de mi conexión PPP o PPTP.

Solución: actualmente no se admite esta opción. En futuras versiones de Nessus Windows

se incluirá esta funcionalidad.

Problema: un análisis de virus de mi sistema informa una gran cantidad de virus

en Nessus Windows.

Solución: algunas aplicaciones antivirus pueden indicar que algunos de los plugins de

Nessus son virus. Excluya el directorio de plugins de los análisis de virus, ya que en este

directorio no hay programas ejecutables.

Problema: cuando analizo un dispositivo inusual, como una controladora RAID, el

análisis se anula porque Nessus la detecta como impresora.

Solución: deshabilite la opción “Safe Checks” en la directiva de análisis antes de analizar el

dispositivo. El análisis de una impresora normalmente requerirá que esta se reinicie; por lo

tanto, cuando está establecida la opción “Safe Checks”, los dispositivos que se identifiquen

como impresoras no se analizarán.

http://support.microsoft.com/?scid=kb;en-us;910816

http://consumer.installshield.com/kb.asp?id=Q108340


69

Problema: aparentemente, los análisis SYN no esperan a que se establezca la

conexión con los puertos en Nessus Windows.

Solución: esto es correcto en lo que respecta al hecho de que el análisis SYN no establece

una conexión TCP total. Sin embargo, no cambia los resultados del análisis.

Problema: al realizar un análisis ¿qué factores afectan el rendimiento al ejecutar

Nessus Windows en un sistema Windows XP?

Solución: Microsoft ha incorporado cambios a Windows XP Service Pack 2 y 3 (Home y Pro)

que pueden afectar el rendimiento de Nessus Windows y producir falsos negativos. La pila

de TCP/IP ahora limita la cantidad de intentos incompletos simultáneos de conexión TCP

saliente. Una vez alcanzado el límite, los intentos de conexión subsiguientes se colocan en

una cola y se resuelven a una velocidad fija (10 por segundo). Si ingresan demasiados en la

cola, es posible que se eliminen. Para obtener más información, consulte la siguiente página

de Microsoft TechNet:

http://technet.microsoft.com/en-us/library/bb457156.aspx

El efecto que produce en los análisis de Nessus en Windows XP son los posibles falsos

negativos, ya que XP solo permite 10 conexiones nuevas incompletas por segundo (en un

estado SYN). Para lograr mayor precisión se recomienda que, en un sistema Windows XP, la

opción de aceleración de análisis de puertos de Nessus esté establecida en los siguientes

valores, los cuales se encuentran en la configuración de análisis individual para cada

directiva de análisis:

Max number of hosts: 10

Max number of security checks: 4

Para lograr un mayor rendimiento y confiabilidad de análisis, se recomienda muy

especialmente que Nessus Windows se instale en un servidor que pertenezca a la familia de

Microsoft Windows, como Windows Server 2003 o Windows Server 2008.

PARA OBTENER MÁS INFORMACIÓN

Tenable ha confeccionado una variedad de otros documentos que detallan la

implementación, configuración, operación del usuario y pruebas generales de Nessus. Estos

se incluyen aquí:

> Nessus User Guide: instrucciones sobre cómo configurar y operar la interfaz de

usuario de Nessus.

> Nessus Credential Checks for Unix and Windows: información sobre cómo llevar a

cabo análisis de red autenticados mediante el analizador de vulnerabilidades Nessus.

> Nessus Compliance Checks: guía de alto nivel para comprender y ejecutar las

comprobaciones de compatibilidad con Nessus y SecurityCenter.

> Nessus Compliance Checks Reference: guía completa de la sintaxis de las

comprobaciones de compatibilidad con Nessus.

> Nessus v2 File Format: describe la estructura del formato de archivo .nessus, que se

presentó con Nessus 3.2 y NessusClient 3.2.

> Nessus XML-RPC Protocol Specification: describe la interfaz y el protocolo XML-RPC

en Nessus.

http://technet.microsoft.com/en-us/library/bb457156.aspx


70

> Real-Time Compliance Monitoring: describe el modo en que pueden usarse las

soluciones de Tenable para colaborar con el cumplimiento de distintos tipos de normas

gubernamentales y financieras.

> Guía de administración de SecurityCenter

Estos son otros recursos en línea:

> Foro de debate de Nessus: https://discussions.nessus.org/

> Blog de Tenable: http://blog.tenable.com/

> Podcast de Tenable: http://blog.tenablesecurity.com/podcast/

> Videos de ejemplos de uso: http://www.youtube.com/user/tenablesecurity

> Canal de Twitter de Tenable: http://twitter.com/tenablesecurity

No dude en comunicarse con Tenable a través de [email protected] o [email protected], o

bien visite nuestro sitio web http://www.tenable.com/.

https://discussions.nessus.org/

http://blog.tenable.com/

http://blog.tenablesecurity.com/podcast/

http://www.youtube.com/user/tenablesecurity

http://twitter.com/tenablesecurity



http://www.tenable.com/


71

DECLARACIONES SOBRE LICENCIAS QUE NO PERTENECEN

A TENABLE

A continuación encontrará paquetes de software de terceros que Tenable proporciona para

que sean usados con Nessus. Todo componente de terceros que no posea la marca de

derechos de autor de Tenable se encuentra sujeto a otras condiciones de licencia que se

especifican en la documentación.

Los complementos de terceros se consideran “Complementos de detección de

vulnerabilidades” y se abordan de la siguiente forma:

La Sección 1 (a) del Acuerdo de licencia de Nessus indica:

Todos aquellos complementos o componentes que no posean la marca de derechos de autor

de Tenable no se considerarán Complementos según lo definido en el presente Acuerdo de

suscripción, y se encuentran sujetos a otras condiciones de licencia.

La Sección 1 (b) (i) del Acuerdo de licencia de Nessus indica:

La Suscripción incluye programas de detección de vulnerabilidades no desarrollados por

Tenable ni sus licenciantes, a cuya licencia usted tendrá acceso en virtud de acuerdos

independientes. Los términos y condiciones del presente Acuerdo de suscripción no rigen los

mencionados programas de detección de vulnerabilidades.

Existen porciones de este software de seguridad de redes de Tenable que pueden emplear

el siguiente material protegido por derechos de autor, el uso del cual se reconoce mediante

el presente:

Partes - Copyright (c) 1997-2008 University of Cambridge (libpcre)

La redistribución y el uso en formas binarias o de códigos fuente, con o sin modificaciones,

se encuentran permitidas siempre que se satisfagan las siguientes condiciones:

Las redistribuciones del código fuente deben conservar el aviso de derechos de autor

indicado, esta lista de condiciones, y la siguiente exención de responsabilidad.

Las redistribuciones en forma binaria deben reproducir el aviso de derechos de autor

indicado, esta lista de condiciones y la siguiente exención de responsabilidad en la

documentación o demás materiales que se brinden con la distribución.

No podrán usarse el nombre de la Universidad de Cambridge (University of

Cambridge) ni el nombre de Google Inc., y tampoco los nombres de sus

colaboradores, para respaldar o promover productos derivados del presente software

sin que medie previamente un permiso específico por escrito.

LOS TITULARES DE LOS DERECHOS DE AUTOR Y SUS COLABORADORES PROPORCIONAN

EL PRESENTE SOFTWARE “EN SU ESTADO ACTUAL” Y NO SE OFRECE NINGÚN TIPO DE

GARANTÍAS, NI EXPLÍCITAS NI IMPLÍCITAS, ENTRE LAS QUE SE INCLUYEN, SIN

LIMITACIÓN, LAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD Y APTITUD PARA UN FIN

DETERMINADO. EN NINGUNA CIRCUNSTANCIA, NI EL PROPIETARIO DE LOS DERECHOS DE

AUTOR NI SUS COLABORADORES SERÁN RESPONSABLES EN CASO DE DAÑOS DIRECTOS,

INDIRECTOS, INCIDENTALES, ESPECIALES, PUNITIVOS O EMERGENTES (ENTRE LOS QUE


72

SE INCLUYEN, SIN LIMITACIÓN, LA ADQUISICIÓN DE BIENES O SERVICIOS SUBSTITUTOS,

LA PÉRDIDA DE LA CAPACIDAD DE USO, DATOS O GANANCIAS, O LA INTERRUPCIÓN DE

LAS ACTIVIDADES COMERCIALES) INDEPENDIENTEMENTE DE SUS CAUSAS Y EN FUNCIÓN

DE CUALQUIER TEORÍA DE RESPONSABILIDAD, YA SEA POR CONTRATO,

RESPONSABILIDAD OBJETIVA O PERJUICIO (ENTRE LOS QUE SE INCLUYE LA NEGLIGENCIA

U OTROS) QUE SURJAN POR CUALQUIER MOTIVO DEL USO DEL PRESENTE SOFTWARE,

AUN SI SE INFORMASE DE LA POSIBILIDAD DE DICHOS DAÑOS.

Partes - Copyright (c) 2000 The NetBSD Foundation, Inc. Todos los derechos reservados.

NETBSD FOUNDATION, INC. Y SUS COLABORADORES PROPORCIONAN EL PRESENTE

SOFTWARE “EN SU ESTADO ACTUAL” Y NO SE OFRECE NINGÚN TIPO DE GARANTÍAS, NI

EXPLÍCITAS NI IMPLÍCITAS, ENTRE LAS QUE SE INCLUYEN, SIN LIMITACIÓN, LAS

GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD Y APTITUD PARA UN FIN DETERMINADO.

EN NINGUNA CIRCUNSTANCIA, NI LA FUNDACIÓN NI SUS COLABORADORES SERÁN

RESPONSABLES EN CASO DE DAÑOS DIRECTOS, INDIRECTOS, INCIDENTALES,

ESPECIALES, PUNITIVOS O EMERGENTES (ENTRE LOS QUE SE INCLUYEN, SIN LIMITACIÓN,

LA ADQUISICIÓN DE BIENES O SERVICIOS SUBSTITUTOS, LA PÉRDIDA DE LA CAPACIDAD

DE USO, DATOS O GANANCIAS, O LA INTERRUPCIÓN DE LAS ACTIVIDADES COMERCIALES)

INDEPENDIENTEMENTE DE SUS CAUSAS Y EN FUNCIÓN DE CUALQUIER TEORÍA DE

RESPONSABILIDAD, YA SEA POR CONTRATO, RESPONSABILIDAD OBJETIVA O PERJUICIO

(ENTRE LOS QUE SE INCLUYE LA NEGLIGENCIA U OTROS) QUE SURJAN POR CUALQUIER

MOTIVO DEL USO DEL PRESENTE SOFTWARE, AUN SI SE INFORMASE DE LA POSIBILIDAD

DE DICHOS DAÑOS.

Partes - Copyright (c) 1995-1999 Kungliga Tekniska Hogskolan (Instituto Real de

Tecnología, Estocolmo, Suecia). Todos los derechos reservados.

EL INSTITUTO Y SUS COLABORADORES PROPORCIONAN EL PRESENTE SOFTWARE “EN SU

ESTADO ACTUAL” Y NO SE OFRECE NINGÚN TIPO DE GARANTÍAS, NI EXPLÍCITAS NI

IMPLÍCITAS, ENTRE LAS QUE SE INCLUYEN, SIN LIMITACIÓN, LAS GARANTÍAS IMPLÍCITAS

DE COMERCIABILIDAD Y APTITUD PARA UN FIN DETERMINADO. EN NINGUNA

CIRCUNSTANCIA, NI EL INSTITUTO NI SUS COLABORADORES SERÁN RESPONSABLES EN

CASO DE DAÑOS DIRECTOS, INDIRECTOS, INCIDENTALES, ESPECIALES, PUNITIVOS O

EMERGENTES (ENTRE LOS QUE SE INCLUYEN, SIN LIMITACIÓN, LA ADQUISICIÓN DE

BIENES O SERVICIOS SUBSTITUTOS, LA PÉRDIDA DE LA CAPACIDAD DE USO, DATOS O

GANANCIAS O LA INTERRUPCIÓN DE LAS ACTIVIDADES COMERCIALES),

INDEPENDIENTEMENTE DE SUS CAUSAS Y EN FUNCIÓN DE CUALQUIER TEORÍA DE

RESPONSABILIDAD, YA SEA POR CONTRATO, RESPONSABILIDAD OBJETIVA O PERJUICIO

(ENTRE LOS QUE SE INCLUYE LA NEGLIGENCIA U OTROS) QUE SURJAN POR CUALQUIER

MOTIVO DEL USO DEL PRESENTE SOFTWARE, AUN SI SE INFORMASE DE LA POSIBILIDAD

DE DICHOS DAÑOS.

Partes - Copyright (c) 1998, 1999, 2000 Thai Open Source Software Center Ltd and Clark

Cooper

Partes - Copyright (c) 2001, 2002, 2003, 2004, 2005, 2006 Expat maintainers.

EL PRESENTE SOFTWARE SE PROPORCIONA “EN SU ESTADO ACTUAL” Y NO SE OFRECE

NINGÚN TIPO DE GARANTÍAS, NI EXPLÍCITAS NI IMPLÍCITAS, ENTRE LAS QUE SE

INCLUYEN, SIN LIMITACIÓN, LAS GARANTÍAS DE COMERCIABILIDAD, APTITUD PARA UN

FIN DETERMINADO Y NO INFRACCIÓN. EN NINGUNA CIRCUNSTANCIA, NI LOS AUTORES NI


73

LOS TITULARES DE LOS DERECHOS DE AUTOR SE CONSIDERARÁN RESPONSABLES EN

CASO DE RECLAMOS, DAÑOS U OTRO TIPO DE RESPONSABILIDAD, POR UNA ACCIÓN

CONTRACTUAL, UN PERJUICIO O ALGÚN OTRO MOTIVO, YA SEA QUE SURJAN DEL

SOFTWARE O DEL USO DE ESTE U OTRAS ACTIVIDADES REALIZADAS CON ESTE, O BIEN

SE ENCUENTREN RELACIONADOS CON ESTE.

Este producto incluye software desarrollado por el OpenSSL Project para que se use en el

Kit de herramientas OpenSSL. (http://www.openssl.org/) Copyright (c) 1998-2007 The

OpenSSL Project. Todos los derechos reservados.

THE OpenSSL PROJECT PROPORCIONA EL PRESENTE SOFTWARE “EN SU ESTADO ACTUAL”

Y NO SE OFRECE NINGÚN TIPO DE GARANTÍAS, NI EXPLÍCITAS NI IMPLÍCITAS, ENTRE LAS

QUE SE INCLUYEN, SIN LIMITACIÓN, LAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD Y

APTITUD PARA UN FIN DETERMINADO. EN NINGUNA CIRCUNSTANCIA, NI THE OpenSSL

PROJECT NI SUS COLABORADORES SERÁN RESPONSABLES EN CASO DE DAÑOS

DIRECTOS, INDIRECTOS, INCIDENTALES, ESPECIALES, PUNITIVOS O EMERGENTES (ENTRE

LOS QUE SE INCLUYEN, SIN LIMITACIÓN, LA ADQUISICIÓN DE BIENES O SERVICIOS

SUBSTITUTOS, LA PÉRDIDA DE LA CAPACIDAD DE USO, DATOS O GANANCIAS, O LA

INTERRUPCIÓN DE LAS ACTIVIDADES COMERCIALES), INDEPENDIENTEMENTE DE SUS

CAUSAS Y EN FUNCIÓN DE CUALQUIER TEORÍA DE RESPONSABILIDAD, YA SEA POR

CONTRATO, RESPONSABILIDAD OBJETIVA O PERJUICIO (ENTRE LOS QUE SE INCLUYE LA

NEGLIGENCIA U OTROS) QUE SURJAN POR CUALQUIER MOTIVO DEL USO DEL PRESENTE

SOFTWARE, AUN SI SE INFORMASE DE LA POSIBILIDAD DE DICHOS DAÑOS.

Partes - Copyright (C) 1998-2003 Daniel Veillard. Todos los derechos reservados.

Por el presente se concede autorización, de forma gratuita, a cualquier persona que obtenga

una copia de este software y archivos de documentación relacionados (el "Software") a

realizar actividades con el Software sin restricción alguna, lo cual incluye, sin limitación, los

derechos de usar, copiar, modificar, fusionar, publicar, distribuir, sublicenciar o vender

copias del Software, y a permitir a las personas a las que se les proporcione el software

realizar dichas acciones, con las siguientes condiciones:

El aviso de derechos de autor indicado y el presente aviso de autorización se incluirán en

todas las copias o partes considerables del Software.




FIN DETERMINADO Y NO INFRACCIÓN. EN NINGUNA CIRCUNSTANCIA DANIEL VEILLARD

SE CONSIDERARÁ RESPONSABLE EN CASO DE RECLAMOS, DAÑOS U OTRO TIPO DE

RESPONSABILIDAD, POR UNA ACCIÓN CONTRACTUAL, UN PERJUICIO O ALGÚN OTRO

MOTIVO, YA SEA QUE SURJAN DEL SOFTWARE O DEL USO DE ESTE U OTRAS ACTIVIDADES

REALIZADAS CON ÉL, O BIEN SE ENCUENTREN RELACIONADOS CON ESTE.

Partes - Copyright (C) 2001-2002 Thomas Broyer, Charlie Bozeman y Daniel Veillard.

Todos los derechos reservados.

Por el presente se concede autorización, de forma gratuita, a cualquier persona que obtenga

una copia de este software y archivos de documentación relacionados (el "Software") a

http://www.openssl.org/


74

realizar actividades con el Software sin restricción alguna, lo cual incluye, sin limitación, los

derechos de usar, copiar, modificar, fusionar, publicar, distribuir, sublicenciar o vender

copias del Software, y a permitir a las personas a las que se les proporcione el software

realizar dichas acciones, con las siguientes condiciones:

El aviso de derechos de autor indicado y el presente aviso de autorización se incluirán en

todas las copias o partes considerables del Software.




FIN DETERMINADO Y NO INFRACCIÓN. EN NINGUNA CIRCUNSTANCIA LOS AUTORES SE

CONSIDERARÁN RESPONSABLES EN CASO DE RECLAMOS, DAÑOS U OTRO TIPO DE

RESPONSABILIDAD, POR UNA ACCIÓN CONTRACTUAL, UN PERJUICIO O ALGÚN OTRO

MOTIVO, YA SEA QUE SURJAN DEL SOFTWARE O DEL USO DE ESTE U OTRAS ACTIVIDADES

REALIZADAS CON ÉL, O BIEN SE ENCUENTREN RELACIONADOS CON ESTE.


75

ACERCA DE TENABLE NETWORK SECURITY

Tenable Network Security, líder en Supervisión de seguridad unificada, es el proveedor del

analizador de vulnerabilidades Nessus, y ha creado soluciones de clase empresarial sin

agente para la supervisión continua de vulnerabilidades, puntos débiles de configuración,

filtración de datos, administración de registros y detección de compromisos para ayudar a

garantizar la seguridad de redes y la compatibilidad con FDCC, FISMA, SANS CAG y PCI. Los

galardonados productos de Tenable son utilizados por muchas organizaciones de la lista

Forbes Global 2000 y organismos gubernamentales con el fin de minimizar de forma

proactiva el riesgo de las redes. Para obtener más información, visite

http://www.tenable.com/.

Tenable Network Security, Inc.

7063 Columbia Gateway Drive

Suite 100

Columbia, MD 21046, EE. UU.

410.872.0555 www.tenable.com



Guía de instalación y configuración de Nessus...

Documents

Transcript of Guía de instalación y configuración de Nessus...