Siguiendo con los temas de seguridad (Ver post de Nmap), esta vez voy a explicar un poco que es Nessus, como instalarlo y como funciona.

Nessus es un scaner de redes, que al generar el informe del scaneo, a diferencia de Nmap, nos informa las vulnerabilidaes encontradas (ese es su fin, encontrar vulnerabilidades) y como explotarlas. A su vez, puede hacer uso de una larga lista de plugins para efectuar distintas pruebas de vulnerabilidades en el sistema scaneado. Estos plugins estan escritos en el lenguaje NASL (Nessus Attack Scripting Language, un lenguaje de scripting interpretado por nessusd) y son interpretados por el demonio nessusd.

A partir de la version 3.0 (en la cual se introduce NASL3 engine, el cual es rescrito totalmente y segun sus desarrolladores se diferencia con respecto a la performance de forma muy marcada) Nessus abandona la licencia GNU/GPL por ende, ya no es calificado como software libre. Igualmente, la version 2.* de Nessus sigue siendo desarrollada por la empresa, pero sin introducir las mejoras sustanciales del nuevo motor.
De esta introduccion se desprende que este scanner consta de dor partes:

• nessusd; el daemon de nessus (En linux los demonios representan a los servicios por explicarlo de manera sencilla. No interactuan directamente con el usuario). Es quien realiza el scanneo.
• nessus, el cliente (que interactua con el daemon). Le da la orden a nessusd de iniciar los scanneos, los parametros a usar en estos y le presenta el informe al usuario.

Por ende, para instalarlo en un sistema basado en Debian tendriamos que escribir el siguiente comando:

• sudo apt-get install nessus nessusd

Una vez instalado el programa (cliente y servidor) necesitamos un Usuario para conectarnos y realizar las auditorias:

• nessus-adduser

Como funciona

Nessus comienza realizando un scanneo de puertos (mediante su propio scanner o haciendo uso de Nmap) para determinar que puertas se encuentran abiertos en el sistema al que se le realiza la auditoria y a su vez obtener los servicios que en estos estuvieran corriendo. Una vez recolectados estos datos, se aplican una serie de exploits para determinar si el servicio corriendo tiene alguna vulnerabilidad (descubierta je). Estos exploits son los plugins mensionados mas arriba.

Ahora es cuando se divide la cuestion. La empresa que distribuye Nessus, Tenable Network Security, produce nuevos plugins a medida que se van detectando nuevas vulnerabilidades. Estos nuevos plugins se distribuyen de 2 formas:

1. Disponibles en el dia de su lanzamiento para aquellos suscriptos a Tenable (lo que significa pagar a la empresa $$), la cual brinda soporte para el programa ademas.
2. De forma gratuita 7 dias despues de su lanzamiento para todos los usuarios.

Ahora, para un usuario normal, la segunda forma es mas que util (ya que no pagan y, generalmente, son menos propensos a recibir ataques que una compañia). En cualquiera de los dos casos, para actualizar nuestra base de datos de plugins no tenemos mas que (una vez registrados, paso sencillo y gratuitoje) escribir el siguiente comando:

• benji@MiCaja:~$ nessus-update-plugins -v

Una vez actualizados los plugins, no tenemos mas que arrancar el daemon (como root):

• sudo nessusd start

Lo que nos habilita para conectarnos con el cliente al servidor nessus desde nuestra maquina o cualquiera si es que permitimos la entrada atraves del firewall (si es que tenemos uno).

Por ultimo solo nos resta abrir el cliente y conectarnos con el usuario que hayamos creado. Una vez conectados, elegimos el host que vamos a escanear (la maquina destino, 192.169.0.1 o www.pagina.com.ar por ej.) o el rango de direcciones IP (una red, 192.168.0.1/25 ) y los parametros del scaneo (los plugin, motor de scane, que puede ser Nmap o mismo Nessus)

Por ejemplo, podemos hacer un scaneo que no afecte la maquina si elegimos la opcion Enable all but dangerous plugins (lo cual no arriesga la estabilidad del sistema scaneado). Esta opcion tambien nos da la pauta de que ciertos plugins pueden perjudicar el sistema e incluso de forma muy importante.

Por ultimo, cabe aclarar que Nessus nos permite mantener una “base de datos” de los hosts scaneados para saber su evolucion. Esto es util ya que, una vez finalizado el scaneo nos es posible parchear las fallas que encontremos y conocer la evolucion del problema. Esta opcion es conocida como Knowledge Base y se accede a ella mediante el boton KB (en la version 2.2.9).