Documente Academic
Documente Profesional
Documente Cultură
0
Guide d'installation et de
configuration
30 novembre 2012
(Rvision 16)
Copyright 2002-2012 Tenable Network Security, Inc. Tenable Network Security, Nessus et ProfessionalFeed sont des marques dposes de Tenable
Network Security, Inc. Tenable, le logo Tenable, le logo Nessus et/ou les autres produits Tenable mentionns dans ce document sont des marques de Tenable
Network Security, Inc. et peuvent tre dposes dans certaines juridictions. Tous les autres noms de produits, noms de socits, marques, logos et symboles
peuvent tre les marques de leur propritaire respectif.
Tenable Network Security, Inc. 7063 Columbia Gateway Drive, Suite 100, Columbia, MD 21046 410.872.0555 sales@tenable.com www.tenable.com
INTRODUCTION
Ce document dcrit l'installation et la configuration du scanner de vulnrabilit Nessus 5.0
de Tenable Network Security. Veuillez envoyer vos commentaires et suggestions
support@tenable.com.
Tenable Network Security, Inc. est le crateur et le gestionnaire du scanner de vulnrabilit
Nessus. En plus d'amliorer constamment le moteur Nessus, Tenable crit la plupart des
plugins disponibles pour le scanner, ainsi que les contrles de conformit et de nombreuses
stratgies de vrification.
La configuration requise, les options de dploiement et l'installation pas pas sont abords
dans ce document. Ce document est rdig en partant du principe que l'utilisateur dispose
d'une comprhension de base d'Unix et du scan des vulnrabilits.
NORMES ET CONVENTIONS
Ce document a t traduit partir d'un texte crit en anglais l'origine. Certaines
expressions sont restes en anglais afin de montrer comment elles apparaissent dans le
produit.
Dans l'ensemble de la documentation, les noms de fichiers, les dmons (daemons) et les
excutables sont indiqus avec une police courier bold telle que setup.exe.
Les options de ligne de commande et les mots cls sont aussi indiqus par la police courier
bold. Les exemples de ligne de commande peuvent inclure ou non l'invite de ligne de
commande et le texte provenant des rsultats de la commande. Les exemples de ligne de
commande sont affichs en courier bold dans la commande en cours d'excution afin de
montrer la saisie de l'utilisateur, tandis que l'exemple de sortie gnr par le systme
utilisera la police courier (mais pas en gras). Voici ci-dessous un exemple d'excution de la
commande Unix pwd :
# pwd
/opt/nessus/
#
Les remarques et considrations importantes sont mises en vidence avec ce
symbole et des zones de texte en gris.
ORGANISATION
Puisque l'interface graphique Nessus GUI est une interface standard quel que soit le
systme d'exploitation, ce document prsente d'abord des informations spcifiques au
systme d'exploitation, puis les fonctionnalits communes tous les systmes d'exploitation.
Navigation
> Nouveau tableau de bord de rsum des htes : Les tableaux de bord de rsum des
htes et des vulnrabilits permettent de voir le niveau de risque sans excuter de
rapport.
> Les barres graphiques affichent instantanment les htes les plus vulnrables.
Analyse
> Nessus 5 propose dsormais cinq niveaux de gravit : Informatif, Risque faible, Risque
moyen, Risque lev et Risque critique.
> Les utilisateurs peuvent slectionner plusieurs critres de filtre, comme la date de
> La fonction Audit trail (Piste d'audit) consigne la raison pour laquelle une
vulnrabilit NE s'affiche PAS dans le rapport pour un hte spcifique.
Rapports
> Interface Web qui gre dsormais la configuration et la gestion des utilisateurs, en plus
de la cration de stratgies, des scans et de l'ensemble des fonctions de rapport.
> Les mises jour des plugins sont accessibles partir de l'interface Web.
> Nessus Web Server est compatible IPv6.
SYSTEME D'EXPLOITATION
Nessus est disponible et fonctionne sur de nombreux systmes d'exploitation et
plateformes :
>
>
>
>
>
INFORMATIONS DE BASE
Nessus est un scanner de scurit de rseau performant et facile utiliser, dot d'une vaste
base de donnes de plugins mise jour de faon quotidienne. Il est actuellement class
parmi les meilleurs produits de ce type dans l'ensemble du secteur de la scurit et est
approuv par des professionnels de la scurit de l'information tels que l'Institut SANS.
Nessus permet de vrifier distance un rseau donn et de dterminer s'il a t compromis
ou a fait l'objet d'une utilisation malveillante. Nessus fournit aussi la possibilit de vrifier
localement une machine spcifique pour dterminer, entre autres, les vulnrabilits, les
caractristiques de conformit et les violations de stratgie de contenu.
> Scan intelligent la diffrence de bien d'autres scanners de scurit, Nessus ne fait
aucune supposition. Autrement dit, il ne suppose pas qu'un service donn est excut
sur un port fixe. Cela signifie que si un serveur Web est connect au port 1234, Nessus
le dtecte et teste correctement sa scurit. Il tente, dans la mesure du possible, de
valider une vulnrabilit en l'exploitant. Dans le cas o le test n'est pas fiable ou peut
avoir un impact ngatif sur la cible, Nessus peut se fier une bannire de serveur pour
dterminer la prsence de la vulnrabilit. Dans de tels cas, le compte-rendu des
rsultats indiquera clairement si cette mthode a t utilise.
> Compatibilit CVE La plupart des plugins ont des liens au CVE pour que les
> Architecture de plugin Chaque test de scurit est crit en tant que plugin externe
et regroup dans l'une des 42 familles. Vous pouvez ainsi ajouter facilement des tests
personnels, slectionner des plugins spcifiques ou choisir une famille complte sans
avoir lire le code du moteur du serveur Nessus, nessusd. La liste complte des plugins
Nessus est disponible sur http://www.nessus.org/plugins/index.php?view=all.
> NASL Le scanner Nessus inclut NASL (Nessus Attack Scripting Language, langage de
scripts d'attaque Nessus), conu spcialement pour l'criture facile et rapide de tests de
scurit.
> Tests simultans de plusieurs htes Selon la configuration du systme qui hberge
le scanner Nessus, vous pouvez tester un grand nombre d'htes en mme temps.
> Reconnaissance intelligente de service Nessus ne suppose pas que les htes
cibles respecteront les numros de port affects par IANA. Par consquent, il reconnat
un serveur FTP fonctionnant sur un port non standard (par exemple 31337) ou un
serveur Web fonctionnant sur le port 8080 au lieu du port 80.
> Services multiples Si deux serveurs Web ou plus sont excuts sur un hte (par
exemple l'un sur le port 80 et un autre sur le port 8080), Nessus identifie et teste
l'ensemble de ces serveurs.
> Coopration des plugins Les tests de scurit effectus par les plugins Nessus
cooprent afin que des contrles inutiles ne soient pas effectus. Si le serveur FTP ne
propose pas de connexion anonyme, les contrles de scurit associs aux connexions
anonymes ne sont pas effectus.
> Rapports complets Nessus prcise non seulement les vulnrabilits prsentes sur le
rseau et le niveau de risque pour chacune d'entre elles (Info, Faible, Moyen, lev et
Critique), mais il indique galement comment les limiter en proposant des solutions.
> Support SSL complet Nessus peut tester les services offerts sur SSL, notamment
HTTPS, SMTPS et IMAPS.
> Non destructif (facultatif) Certains contrles peuvent nuire des services rseau
particuliers. Si vous ne voulez pas prendre le risque de causer une panne de service sur
le rseau, activez l'option safe checks (contrles sans danger) de Nessus qui
permettra Nessus de se fier aux bannires au lieu d'exploiter les dfauts rels pour
dterminer si une vulnrabilit est prsente.
> Forum ouvert Vous avez trouv un bogue ? Des questions concernant Nessus ?
Commencez une discussion sur https://discussions.nessus.org/.
CONFIGURATION REQUISE
Tenable recommande au minimum une mmoire de 2 Go pour utiliser Nessus. Pour
effectuer des scans plus importants de plusieurs rseaux, une mmoire d'au moins 3 Go est
recommande, mais jusqu' 4 Go peuvent tre ncessaires pour des tches plus intenses
comme les pistes d'audit ou la cration de rapports PDF.
Un processeur Pentium 3 fonctionnant 2 GHz ou plus est recommand. Sur Mac OS X, un
processeur Intel double cur fonctionnant 2 GHz ou plus est recommand. Il est
prfrable de dployer Nessus sur les systmes 64 bits. Le systme doit possder au moins
30 Go d'espace libre sur le disque dur pour Nessus et les donnes de scan gnres.
Nessus peut tre excut sous une instance de VMware, mais si la machine virtuelle utilise
le NAT (Network Address Translation, traduction d'adresses de rseau) pour accder au
rseau, un grand nombre de contrles des vulnrabilits Nessus, l'numration d'hte et
l'identification du systme d'exploitation seront perturbs.
NESSUS UNIX
Avant d'installer Nessus sur Unix/Linux, plusieurs bibliothques sont requises. De nombreux
systmes d'exploitation les installent par dfaut et, en gnral, elles ne ncessitent pas
d'installation spare :
>
>
>
zlib
GNU C Library (c'est--dire libc)
Oracle Java (rapports PDF uniquement)
Java doit tre install sur l'hte avant Nessus. Si Java est install aprs, il faudra
rinstaller Nessus.
NESSUS WINDOWS
Microsoft a apport Windows XP SP2 et aux versions plus rcentes des changements qui
peuvent affecter la performance de Nessus Windows. Pour une meilleure performance et
fiabilit du scan, il est fortement recommand que Nessus Windows soit install sur un
systme serveur de la gamme Microsoft Windows tel que le Windows Server 2003. Pour plus
d'informations sur le sujet, voir la section Dpannage de Nessus sous Windows .
OPTIONS DE DEPLOIEMENT
Lors du dploiement de Nessus, il est souvent utile de connatre le routage, les filtres et les
rgles de pare-feu. Il est recommand de dployer Nessus de faon avoir une bonne
connectivit IP avec les rseaux qu'il scanne. Le dploiement derrire un dispositif NAT n'est
pas souhaitable, sauf s'il scanne le rseau interne. Chaque fois qu'un scan des vulnrabilits
traverse un NAT ou un proxy applicatif, le contrle peut tre perturb et un faux positif ou
ngatif peut en rsulter. En outre, un pare-feu ( personnel ou non) actif sur le systme
excutant Nessus peut considrablement limiter l'efficacit d'un scan des vulnrabilits
distance.
Les pare-feu sur hte peuvent gner le scan des vulnrabilits du rseau. Selon la
configuration du pare-feu, il peut empcher, perturber ou cacher les sondes d'un
scan Nessus.
PARE-FEU DE L'HOTE
Si le serveur Nessus est configur sur un hte comprenant un pare-feu personnel tel
que ZoneAlarm, Sygate, le pare-feu Windows ou tout autre logiciel pare-feu, les connexions
doivent tre autorises partir de l'adresse IP du client Nessus.
Par dfaut, le port 8834 est utilis pour Nessus Web Server (interface utilisateur). Sur les
systmes Microsoft XP Service Pack 2 (SP2) et ultrieurs, l'utilisateur peut cliquer sur l'icne
Security Center (Centre de scurit) du Control Panel (Panneau de configuration)
pour pouvoir grer les rglages du pare-feu Windows. Pour ouvrir le port 8834, choisissez
l'onglet Exceptions puis ajoutez le port 8834 la liste.
Pour les autres logiciels pare-feu personnels, consultez la documentation du vendeur sur les
instructions de configuration.
Les plugins sont tlchargs directement depuis Tenable par un processus automatis dans
Nessus. Nessus vrifie les signatures numriques de tous les tlchargements de plugin
pour valider l'intgrit des fichiers. Pour les installations Nessus sans accs Internet, il
existe un processus de mise jour hors ligne qui peut tre utilis pour s'assurer que le
scanner reste actualis.
Vous devez souscrire des feeds de plugin et mettre jour les plugins avant de
pouvoir dmarrer Nessus et accder l'interface de scan Nessus. La mise jour
des plugins se produit en arrire-plan aprs l'enregistrement initial du scanner et
peut prendre plusieurs minutes.
TYPES D'ABONNEMENT
Tenable propose une assistance commerciale, depuis le Tenable Support Portal ou par email,
pour les clients du ProfessionalFeed qui utilisent Nessus 5. Le ProfessionalFeed comprend
galement un ensemble de contrles de conformit de l'hte pour Unix et Windows qui sont
trs utiles lors d'audits de conformit, comme SOX, FISMA ou PCI DSS.
Vous pouvez acheter le ProfessionalFeed sur la boutique en ligne de Tenable, sur
https://store.tenable.com/, ou par commande auprs des partenaires ProfessionalFeed
(Authorized ProfessionalFeed Partners) autoriss. Vous recevrez alors un code d'activation de
Tenable. Ce code devra tre utilis lors de la configuration de la copie de Nessus pour les
mises jour.
Si vous utilisez Nessus avec SecurityCenter de Tenable, SecurityCenter a accs au
ProfessionalFeed et met jour automatiquement les scanners Nessus.
Si vous tes une organisation caritative de type 501(c)(3), vous pouvez recevoir un
ProfessionalFeed gratuitement. Pour plus d'informations, veuillez consulter la page Web
Tenable Charitable Organization Subscription Program.
Si vous utilisez Nessus la maison des fins non professionnelles, vous pouvez souscrire au
HomeFeed. L'utilisation du HomeFeed est gratuite mais il existe une licence spare pour le
HomeFeed que les utilisateurs doivent accepter.
SUPPORT IPV6
Nessus prend en charge le scan sur IPv6. De nombreux systmes d'exploitation et
priphriques sont livrs avec le support IPv6 activ par dfaut. Pour effectuer des scans
des ressources IPv6, au moins une interface IPv6 doit tre configure sur l'hte o Nessus
est install et Nessus doit tre sur un rseau prenant en charge IPv6 (Nessus ne peut pas
scanner des ressources IPv6 sur IPv4 mais il peut numrer les interfaces IPv6 par des
scans authentifis sur IPv4). Les notations IPv6 compltes et compresses sont prises en
charge lors du dmarrage des scans.
10
Microsoft Windows est dpourvu de certaines API cls ncessaires pour forger des
paquets IPv6 (par exemple, obtention de l'adresse MAC du routeur, table de
routage, etc.). Ceci empche le scanner des ports de fonctionner correctement.
Tenable dveloppe actuellement des amliorations qui contourneront efficacement
les restrictions de ces API dans des versions futures de Nessus. En attendant, la
prise en charge IPv6 est uniquement disponible sur les plateformes *nix.
UNIX/LINUX
MISE A NIVEAU
Cette section explique comment mettre niveau Nessus partir d'une installation Nessus
prcdente.
Le tableau suivant fournit des instructions de mise niveau pour le serveur Nessus sur
toutes les plates-formes prcdemment acceptes. Les paramtres de configuration et les
utilisateurs qui ont t crs prcdemment sont conservs.
Vrifiez que tout scan en cours d'excution est termin avant d'arrter nessusd.
Toutes les instructions spciales de mise niveau sont fournies sous forme de remarque
aprs l'exemple.
Plateforme
Red Hat ES 4 et CentOS 4 (32 bits) ; Red Hat ES 5, CentOS 5 et Oracle Linux 5
(32 et 64 bit ) ; Red Hat ES 6, CentOS 6 et Oracle Linux 6 (32 et 64 bits)
Commandes de
mise niveau
rpm
rpm
rpm
rpm
rpm
-Uvh
-Uvh
-Uvh
-Uvh
-Uvh
Nessus-5.0.1-es4.i386.rpm
Nessus-5.0.1-es5.i386.rpm
Nessus-5.0.1-es5.x86_64.rpm
Nessus-5.0.1-es6.i686.rpm
Nessus-5.0.1-es6.x86_64.rpm
11
Exemple de sortie
Exemple de sortie
OK
OK
[..]
# service nessusd start
Starting Nessus services:
#
12
Exemple de sortie
OK
OK
[..]
# service nessusd start
Starting Nessus services:
#
Debian 6 (32 et 64 bits)
Commandes de
mise niveau
# /etc/init.d/nessusd stop
Utilisez l'une des commandes appropries ci-dessous qui
correspond la version de Debian excute :
# dpkg -i Nessus-5.0.1-debian6_i386.deb
# dpkg -i Nessus-5.0.1-debian6_amd64.deb
# /etc/init.d/nessusd start
Exemple de sortie
# /etc/init.d/nessusd stop
# dpkg -i Nessus-5.0.1-debian6_i386.deb
(Reading database ... 19831 files and directories
currently installed.)
Preparing to replace nessus 4.4.0 (using Nessus-5.0.1debian6_i386.deb) ...
[..]
# /etc/init.d/nessusd start
Starting Nessus : .
#
13
# /etc/init.d/nessusd stop
Utilisez l'une des commandes appropries ci-dessous qui
correspond la version d'Ubuntu excute :
#
#
#
#
#
#
#
#
dpkg
dpkg
dpkg
dpkg
dpkg
dpkg
dpkg
dpkg
-i
-i
-i
-i
-i
-i
-i
-i
Nessus-5.0.1-ubuntu804_i386.deb
Nessus-5.0.1-ubuntu804_amd64.deb
Nessus-5.0.1-ubuntu910_i386.deb
Nessus-5.0.1-ubuntu910_amd64.deb
Nessus-5.0.1-ubuntu1010_i386.deb
Nessus-5.0.1-ubuntu1010_amd64.deb
Nessus-5.0.1-ubuntu1110_i386.deb
Nessus-5.0.1-ubuntu1110_amd64.deb
# /etc/init.d/nessusd start
Exemple de sortie
# /etc/init.d/nessusd stop
# dpkg -i Nessus-5.0.1-ubuntu804_i386.deb
(Reading database ... 19831 files and directories
currently installed.)
Preparing to replace nessus 4.4.0 (using Nessus-5.0.0ubuntu810_i386.deb) ...
[..]
# /etc/init.d/nessusd start
Starting Nessus : .
#
14
# killall nessusd
# pkg_info
Cette commande affiche une liste de tous les progiciels installs
avec leur description. Voici un exemple de sortie pour la
commande prcdente montrant le progiciel Nessus :
Nessus-4.4.4
# killall nessusd
# pkg_delete Nessus-4.4.4
# pkg_add Nessus-5.0.1-fbsd9.tbz
nessusd (Nessus) 5.0.1. for FreeBSD
(C) 2011 Tenable Network Security, Inc.
[..]
# /usr/local/nessus/sbin/nessusd -D
nessusd (Nessus) 5.0.1. for FreeBSD
(C) 2011 Tenable Network Security, Inc.
Processing the Nessus plugins...
[##################################################]
All plugins loaded
#
Remarques
15
INSTALLATION
Tlchargez la dernire version de Nessus depuis
http://www.nessus.org/products/nessus/nessus-download-agreement ou par l'intermdiaire du
Tenable Support Portal. Confirmez l'intgrit du progiciel d'installation en comparant la somme
de contrle du tlchargement MD5 celle indique dans le fichier MD5.asc ici.
Sauf indication contraire, toutes les commandes doivent tre excutes par
l'utilisateur root du systme. Les comptes d'utilisateur ordinaires n'ont
gnralement pas les privilges requis pour installer ce logiciel.
Le tableau suivant fournit des instructions d'installation pour le serveur Nessus sur toutes
les plateformes prise en charge. Toutes les instructions particulires d'installation sont
indiques sous forme de remarque aprs l'exemple.
Plateforme
Instructions d'installation
Red Hat ES 4 et CentOS 4 (32 bits) ; Red Hat ES 5, CentOS 5 et Oracle Linux 5
(32 et 64 bit) ; Red Hat ES 6, CentOS 6 et Oracle Linux 6 (32 et 64 bits)
Commande
d'installation
Exemple de
sortie
rpm
rpm
rpm
rpm
rpm
-ivh
-ivh
-ivh
-ivh
-ivh
Nessus-5.0.1-es4.i386.rpm
Nessus-5.0.1-es5.i386.rpm
Nessus-5.0.1-es5.x86_64.rpm
Nessus-5.0.1-es6.i686.rpm
Nessus-5.0.1-es6.x86_64.rpm
16
Exemple de
sortie
Exemple de
sortie
Exemple de
sortie
# dpkg -i Nessus-5.0.1-debian6_i386.deb
Selecting previously deselected package nessus.
(Reading database ... 36954 files and directories
currently installed.)
Unpacking nessus (from Nessus-5.0.1-debian6_i386.deb) ...
Setting up nessus (5.0.1) ...
[..]
#
17
Exemple de
sortie
dpkg
dpkg
dpkg
dpkg
dpkg
dpkg
dpkg
dpkg
-i
-i
-i
-i
-i
-i
-i
-i
Nessus-5.0.1-ubuntu804_i386.deb
Nessus-5.0.1-ubuntu804_amd64.deb
Nessus-5.0.1-ubuntu910_i386.deb
Nessus-5.0.1-ubuntu910_amd64.deb
Nessus-5.0.1-ubuntu1010_i386.deb
Nessus-5.0.1-ubuntu1010_amd64.deb
Nessus-5.0.1-ubuntu1110_i386.deb
Nessus-5.0.1-ubuntu1110_amd64.deb
# dpkg -i Nessus-5.0.1-ubuntu804_amd64.deb
Selecting previously deselected package nessus.
(Reading database ... 32444 files and directories
currently installed.)
Unpacking nessus (from Nessus-5.0.1ubuntu804_amd64.deb) ...
Setting up nessus (5.0.1) ...
[..]
#
Exemple de
sortie
# pkg_add Nessus-5.0.1-fbsd9.tbz
nessusd (Nessus) 5.0.1 for FreeBSD
(C) 1998 2012 Tenable Network Security, Inc.
[..]
#
18
OK
Fedora Core
SuSE
# /etc/rc.d/nessusd start
Debian
# /etc/init.d/nessusd start
19
FreeBSD
# /usr/local/etc/rc.d/nessusd.sh start
Solaris
# /etc/init.d/nessusd start
Ubuntu
# /etc/init.d/nessusd start
Fedora Core
SuSE
# /etc/rc.d/nessusd stop
Debian
# /etc/init.d/nessusd stop
FreeBSD
# /usr/local/etc/rc.d/nessusd.sh stop
Solaris
# /etc/init.d/nessusd stop
Ubuntu
# /etc/init.d/nessusd stop
SUPPRESSION DE NESSUS
Le tableau suivant fournit des instructions pour supprimer le serveur Nessus sur toutes les
plates-formes prises en charge. Sauf pour les instructions relatives Mac OS X, les
instructions fournies ne supprimeront pas les fichiers de configuration ou les fichiers qui ne
faisaient pas partie de l'installation initiale. Les fichiers qui faisaient partie du progiciel initial
mais qui ont chang depuis leur installation ne seront pas non plus supprims. Pour
supprimer compltement les fichiers restants, utilisez la commande suivante :
20
Linux et Solaris :
# rm -rf /opt/nessus
FreeBSD :
# rm -rf /usr/local/nessus/bin
Plateforme
Red Hat ES 4 et CentOS 4 (32 bits) ; Red Hat ES 5, CentOS 5 et Oracle Linux 5
(32 et 64 bit) ; Red Hat ES 6, CentOS 6 et Oracle Linux 6 (32 et 64 bits)
Commande de
suppression
Exemple de sortie
21
Exemple de sortie
# dpkg -r nessus
#
Ubuntu 8.04, 9.10, 10.04, 10.10 et 11.10 (32 et 64 bits)
Commande de
suppression
Exemple de sortie
Solaris 10 (sparc)
Commande de
suppression
22
Exemple de sortie
Arrtez Nessus :
# killall nessusd
Dterminez le nom du progiciel :
# pkg_info | grep -i nessus
Retirez le progiciel Nessus :
# pkg_delete <package name>
Exemple de sortie
# killall nessusd
# pkg_info | grep -i nessus
Nessus-5.0.1
A powerful security scanner
# pkg_delete Nessus-5.0.1
#
Mac OS X
Commande de
suppression
23
Exemple de sortie
$ sudo /bin/sh
Password
:
# ls -ld /Library/Nessus
drwxr-xr-x 6 root admin 204 Apr 6 15:12
/Library/Nessus
# rm -rf /Library/Nessus
# ls -ld /Library/Nessus
ls: /Library/Nessus: No such file or directory
# ls -ld /Applications/Nessus
drwxr-xr-x 4 root admin 136 Apr 6 15:12
/Applications/Nessus
# rm -rf /Applications/Nessus
# ls -ld /Applications/Nessus
# ls -ld /Library/Receipts/Nessus*
drwxrwxr-x 3 root admin 102 Apr 6 15:11
/Library/Receipts/Nessus Client.pkg
drwxrwxr-x 3 root admin 102 Apr 6 15:11
/Library/Receipts/Nessus Server.pkg
# rm -rf /Library/Receipts/Nessus*
# ls -ld /Library/Receipts/Nessus*
ls: /Library/Receipts/Nessus*: No such file or directory
# exit
$
Remarques
WINDOWS
MISE A NIVEAU
Mise niveau partir de Nessus 4.x
Pour mettre niveau Nessus d'une version 4.x une version 5.x plus rcente, le processus
de mise niveau demande si l'utilisateur souhaite supprimer tout le contenu du rpertoire
Nessus. Si cette option est choisie (en slectionnant Yes (oui)), un processus de
dsinstallation est mul. Si cette option est choisie, les utilisateurs prcdemment crs,
les stratgies de scan existantes et les rsultats de scan seront supprims et le scanner
perdra son enregistrement.
24
Cliquez sur Yes (oui) pour autoriser Nessus tenter de supprimer l'ensemble du dossier
Nessus ainsi que tout fichier ajout manuellement, ou sur No (non) pour conserver le
dossier Nessus ainsi que les scans, rapports, etc., existants. Une fois la nouvelle version de
Nessus installe, ceux-ci pourront toujours tre affichs et exports.
INSTALLATION
Tlchargement de Nessus
La dernire version de Nessus est disponible l'adresse
http://www.nessus.org/products/nessus/nessus-download-agreement ou par l'intermdiaire du
Tenable Support Portal. Nessus 5 est disponible sur Windows XP, Server 2003, Server 2008,
Installation
Nessus est distribu sous forme de fichier d'installation excutable. Placez le fichier sur le
systme sur lequel il sera install ou sur un lecteur commun accessible par le systme.
Vous devez installer Nessus en utilisant un compte administrateur, et non pas un compte
d'utilisateur sans privilges. Si vous recevez une erreur associe des permissions, le
message Access Denied (Accs refus) ou des erreurs suggrant qu'une action s'est
produite cause de privilges insuffisants, assurez-vous que vous utilisez un compte avec
des privilges administratifs. Si ces erreurs apparaissent lors de l'utilisation des utilitaires de
ligne de commande, excutez cmd.exe avec les privilges Run as (Excuter en tant
que) dfinis avec la valeur administrator (administrateur).
Certains progiciels antivirus peuvent considrer Nessus comme un ver
informatique ou un programme malveillant. Ceci est d au grand nombre de
connexions TCP cres pendant un scan. Si l'antivirus met un avertissement,
cliquez sur allow (autoriser) pour autoriser Nessus poursuivre le scan. La
plupart des progiciels antivirus permettent galement d'ajouter des programmes
une liste d'exceptions. Ajoutez Nessus.exe et Nessus-service.exe cette liste
pour viter ce type d'avertissement.
25
26
Aprs l'avoir accept, vous pouvez configurer l'emplacement auquel Nessus sera install :
27
Une fois l'installation initiale termine, Nessus dmarre l'installation d'un pilote tiers servant
prendre en charge la communication Ethernet pour Nessus :
28
Nessus poursuit alors l'opration en chargeant une page dans votre navigateur Web par
dfaut qui traitera la configuration initiale. Pour plus d'informations, reportez-vous la
section Enregistrement des feeds et configuration de l'interface graphique .
Cliquez avec le bouton droit de la souris sur le service Tenable Nessus pour ouvrir une
bote de dialogue qui permet de dmarrer, d'arrter, de mettre en pause, de reprendre ou
de redmarrer le service en fonction de son tat actuel.
29
Vous pouvez galement manipuler le service Nessus partir de la ligne de commande. Pour
de plus amples informations, consultez la section Manipulation de Nessus Service via Windows
CLI
SUPPRESSION DE NESSUS
Pour supprimer Nessus, dans le Control Panel (Panneau de configuration), ouvrez Add or
Remove Programs (Ajouter ou supprimer des programmes). Slectionnez Tenable
Nessus , puis cliquez sur le bouton Change/Remove (Modifier/Supprimer). Vous
obtenez l'InstallShield Wizard. Suivez les consignes de cet assistant pour supprimer
compltement Nessus. Vous tes alors invit dcider si vous souhaitez supprimer
l'ensemble du dossier Nessus. Rpondez Yes (Oui) uniquement si vous ne souhaitez pas
conserver les rsultats de scan ou les stratgies que vous pouvez avoir cres.
Lorsque vous dsinstallez Nessus, Windows vous demande si vous voulez
continuer, mais affiche ce qui semble tre un fichier .msi arbitraire non sign. Par
exemple :
C:\Windows\Installer\778608.msi
Publisher: Unknown
Cela est d au fait que Windows conserve une copie interne du programme
d'installation Nessus et l'utilise pour dmarrer le processus de dsinstallation.
Vous pouvez approuver cette demande en toute scurit.
30
MAC OS X
MISE A NIVEAU
La mise niveau partir d'une version de Nessus plus ancienne est similaire l'excution
d'une nouvelle installation. Tlchargez le fichier Nessus-5.x.x.dmg.gz, puis double-cliquez
sur ce dernier pour le dcompresser. Double-cliquez sur le fichier Nessus-5.x.x.dmg, pour
monter l'image du disque et l'afficher sous Devices (Priphriques) dans le Finder .
Une fois que le volume Nessus 5 apparat dans le Finder , double-cliquez sur le
fichier Nessus 5. Lorsque l'installation est termine, connectez-vous Nessus au moyen du
navigateur en accdant https://localhost:8834.
INSTALLATION
La dernire version de Nessus est disponible l'adresse
http://www.nessus.org/products/nessus/nessus-download-agreement ou par l'intermdiaire du
Tenable Support Portal. Nessus est disponible pour Mac OS X 10.6 et 10.7. Confirmez
31
Cliquez sur Continue (Continuer) ; la licence du logiciel s'affiche. Cliquez nouveau sur
Continue (Continuer). Une bote de dialogue s'affiche alors et vous demande d'accepter
les conditions de la licence avant de continuer :
32
Aprs avoir accept la licence, une autre bote de dialogue s'affiche pour vous permettre de
modifier l'emplacement d'installation par dfaut, comme illustr ci-dessous :
33
Cliquez sur le bouton Install (Installer) pour continuer l'installation. Vous devrez saisir le
nom de l'utilisateur administrateur et le mot de passe :
Nessus poursuit alors l'opration en chargeant une page dans votre navigateur Web par
dfaut qui traitera la configuration initiale. Pour plus d'informations, reportez-vous la
section Enregistrement des feeds et configuration de l'interface graphique .
34
Dmarrer
# launchctl load -w
/Library/LaunchDaemons/com.tenablesecurity.nessusd.plist
Arrt
# launchctl unload -w
/Library/LaunchDaemons/com.tenablesecurity.nessusd.plist
SUPPRESSION DE NESSUS
Pour supprimer Nessus, supprimez les rpertoires suivants :
/Library/Nessus
/Applications/Nessus
/Library/Receipts/Nessus*
Si vous n'tes pas familiaris avec l'utilisation des lignes de commande Unix sur
un systme Mac OS X, contactez le service d'assistance de Tenable.
Il existe des outils gratuits tels que DesInstaller.app
(http://www.macupdate.com/info.php/id/7511) et CleanApp
(http://www.macupdate.com/info.php/id/21453/cleanapp) qui peuvent aussi tre utiliss pour
supprimer Nessus. Tenable n'est pas associe ces outils et ils n'ont pas t tests
spcifiquement pour supprimer Nessus.
35
Si l'installation du logiciel n'ouvre pas votre navigateur Web la page de configuration, vous
pouvez charger un navigateur et aller http://[Nessus Server IP]:8834/WelcomeToNessusInstall/welcome. (ou l'URL fournie au cours du processus d'installation) pour dmarrer le
processus. Remarque : Les installations Unix peuvent fournir une URL contenant un nom
d'hte relatif qui ne figure pas dans le DNS (par exemple, http://mybox:8834/). Si le nom
d'hte ne figure pas dans le DNS, vous devez vous connecter au serveur Nessus l'aide
d'une adresse IP ou d'un nom DNS valide.
L'cran initial sert avertir que tout le trafic destination de l'interface graphique Nessus
transite par SSL (HTTPS). Lorsque vous vous connectez pour la premire fois au serveur
Web Nessus, votre navigateur affiche un type d'erreur donn qui indique que la connexion
n'est pas une connexion de confiance en raison d'un certificat SSL auto-sign. Pour la
premire connexion, acceptez le certificat pour poursuivre la configuration. Les instructions
suivre pour installer un certificat personnalis sont traites dans la suite de ce document,
la section Configuration de Nessus avec un certificat SSL personnalis .
En raison de l'implmentation technique des certificats SSL, il n'est pas possible
de livrer avec Nessus un certificat de confiance pour les navigateurs. Pour viter
cet avertissement, vous devez utiliser un certificat personnalis propre votre
organisation.
36
Suivant le navigateur utilis, une bote de dialogue supplmentaire peut s'afficher pour vous
permettre d'accepter le certificat :
37
Une fois le certificat accept, vous serez redirig vers l'cran d'enregistrement initial qui
dmarre les tapes dtailles :
La premire tape consiste crer un compte pour le serveur Nessus. Le compte initial sera
un administrateur. Ce compte peut accder aux commandes d'excution sur le systme
d'exploitation sous-jacent de l'installation Nessus ; il doit donc tre considr de la mme
faon que tout autre compte d'administrateur :
38
L'cran suivant demande un code d'activation des plugins et vous permet de configurer des
paramtres de proxy en option.
Si vous utilisez Tenable SecurityCenter, le code d'activation et les mises jour de
plugins sont grs partir de SecurityCenter. Nessus doit dmarrer afin de
pouvoir communiquer avec SecurityCenter, ce qu'il ne fait normalement pas sans
un code d'activation valide et des plugins. Pour que Nessus ignore cette exigence
et dmarre (de faon obtenir les informations du SecurityCenter), tapez
SecurityCenter (en respectant la casse) sans guillemets dans la case
Activation Code (Code d'activation). Le redmarrage du service nessusd marque
la conclusion de l'installation et de la configuration initiales du scanner Nessus
pour les utilisateurs de SecurityCenter qui peuvent passer la section Travailler
avec SecurityCenter .
Si vous n'enregistrez pas votre copie de Nessus, vous ne recevrez pas les
nouveaux plugins et vous ne pourrez pas dmarrer le serveur Nessus.
Remarque : Le code d'activation n'est pas sensible la casse.
Si votre serveur Nessus se trouve sur un rseau qui utilise un proxy pour communiquer
avec Internet, cliquez sur Optional Proxy Settings (Paramtres de proxy facultatifs)
pour entrer les informations pertinentes. Les paramtres de proxy peuvent tre ajouts
tout moment l'issue de l'installation.
39
Une fois que la configuration du code d'activation et des paramtres de proxy facultatifs
est termine, cliquez sur Next (Suivant) pour enregistrer votre scanner :
40
41
Utilisez les identifiants administratifs crs au cours de l'installation pour vous connecter
l'interface Nessus et vrifier l'accs.
CONFIGURATION
Avec la version Nessus 5, la configuration du serveur Nessus est intgralement gre via
l'interface graphique. Le fichier nessusd.conf est dprci. De plus, les paramtres de
proxy, l'enregistrement des feeds d'abonnement et les mises jour hors ligne sont grs
via l'interface graphique.
42
Six champs contrlent les paramtres de proxy, mais seuls l'hte et le port sont requis. Un
nom d'utilisateur et un mot de passe facultatifs peuvent tre fournis, si ncessaire.
Option
Description
Host (Hte)
Port
Username (Nom
d'utilisateur)
Password (Mot de
passe)
User-Agent (Agent
d'utilisateur)
43
Vous pouvez forcer tout moment une mise jour de plugin en cliquant sur Update
Plugins (Mettre jour les plugins). Si la mise jour des plugins choue pour une raison
ou une autre (par exemple, interruption de la connectivit rseau), Nessus fait une nouvelle
tentative 10 minutes plus tard.
La section Offline Update (Mise jour hors ligne) permet de spcifier une archive de
plugin pour traitement. Pour plus d'informations sur la mise jour hors ligne, consultez la
section Nessus sans accs Internet dans la suite de ce document.
L'utilisation du client hrit l'aide du protocole NTP est prise en charge par
Nessus 5, mais elle est uniquement accessible pour les clients du
ProfessionalFeed.
44
Vous pouvez configurer chaque option en modifiant le champ correspondant puis en cliquant
sur le bouton Save (Enregistrer) au bas de l'cran. De plus, vous pouvez supprimer
totalement l'option en cliquant sur le bouton .
Par dfaut, l'interface graphique Nessus fonctionne sur le port 8834. Pour changer ce port,
modifiez xmlrpc_listen_port en fonction du port voulu. Le serveur Nessus traitera le
changement en quelques minutes.
Si des prfrences supplmentaires sont requises, cliquez sur le bouton Add Preference
Item (Ajouter un lment de prfrence), entrez le nom et la valeur et appuyez sur
Save (Enregistrer). Une fois qu'une prfrence a t mise jour et enregistre, Nessus
traite les changements en quelques minutes.
Pour plus de dtails sur les options de configuration, consultez la section Configuration du
dmon Nessus (utilisateurs avancs) de ce document.
45
Pour crer un nouvel utilisateur, cliquez sur New User (Ajouter) en haut droite. Cette
opration ouvre une bote de dialogue qui demande les informations requises :
46
Un utilisateur qui n'est pas administrateur ne peut pas tlcharger des plugins
vers Nessus, ne peut pas le redmarrer distance (ce qui est ncessaire aprs un
tlchargement de plugins) et ne peut pas annuler le rglage
max_hosts/max_checks dans la section configuration. S'il est prvu que
l'utilisateur soit utilis par SecurityCenter, il doit tre un utilisateur
administrateur. SecurityCenter assure la maintenance de sa liste d'utilisateurs
et dfinit les permissions pour ceux-ci.
Si vous voulez imposer des restrictions un compte d'utilisateur Nessus, vous pouvez
utiliser l'interface de ligne de commande (CLI) ; vous trouverez plus de dtails ce sujet
dans la suite de ce document la section Utilisation et gestion de Nessus partir de la ligne de
commande .
47
Valeur
max_hosts
40
max_checks
Ces paramtres seront remplacs pour chaque scan lorsque vous utilisez SecurityCenter de
Tenable ou une stratgie personnalise de l'interface utilisateur Nessus. Pour afficher ou
modifier ces options pour un modle de scan dans SecurityCenter, modifiez les Scan
Options (options de scan) d'un Scan Template (modle de scan). Dans Nessus User
Interface, modifiez la stratgie de scan, puis cliquez sur l'onglet Options .
Le paramtre max_checks prsente une limite code en dur de 15. Toute valeur
suprieure 5 produira souvent des effets nfastes car les serveurs ne peuvent
normalement pas prendre en charge autant de demandes intrusives en mme
temps.
Remarques concernant max_hosts :
Comme son nom l'indique, il s'agit du nombre maximum de systmes cibles qui seront
scanns en mme temps. Plus le nombre de systmes scanns simultanment par un
scanner Nessus individuel est lev, plus la mmoire vive, le processeur et la bande
passante rseau du systme de scanner sont sollicits. Il faut prendre en compte la
configuration matrielle du systme de scanner et les autres applications qu'il excute pour
configurer la valeur max_hosts.
48
Puisque d'autres facteurs propres l'environnement de scan affecteront aussi les scans de
Nessus (par exemple la stratgie de scan de l'organisation, tout autre trafic rseau, l'effet
d'un type particulier de scan sur les htes cibles de scan), une exprimentation permettra
de trouver la configuration optimale pour max_hosts.
Un point de dpart prudent pour dterminer la meilleure configuration de max_hosts dans
un environnement d'entreprise est d'utiliser la valeur 20 sur un systme Nessus bas
sur Unix et 10 sur un scanner Nessus bas sur Windows.
Remarques concernant max_checks :
Il s'agit du nombre de contrles ou de plugins qui seront excuts simultanment sur un
mme hte cible pendant un scan. Si ce nombre est trop lev, les systmes scanns
pourraient tre inonds, suivant les plugins utiliss pour le scan.
Multipliez max_checks par max_hosts pour obtenir le nombre de contrles simultans qui
peuvent potentiellement tre excuts un moment donn lors d'un scan. Puisque
max_checks et max_hosts sont utiliss ensemble, une valeur trop leve de max_checks
peut galement causer des contraintes de ressources sur un systme de scanner Nessus.
Comme pour max_hosts, l'exprimentation permet de parvenir la configuration optimale
pour max_checks, mais il est recommand de toujours choisir un paramtre bas.
OPTIONS DE CONFIGURATION
Le tableau suivant fournit une brve explication de toutes les options de configuration
disponibles dans le menu de configuration. Vous pouvez configurer la plupart de ces options
au moyen de l'interface utilisateur lorsque vous crez une stratgie de scan.
Option
Description
auto_enable_
dependencies
auto_update
auto_update_delay
cgi_path
checks_read_timeout
disable_ntp
49
disable_xmlrpc
dumpfile
enable_listen_ipv4
enable_listen_ipv6
global.max_scans
global.max_simult_tcp_
sessions
global.max_web_users
host.max_simult_tcp_
sessions
listen_address
listen_port
log_whole_attack
logfile
max_hosts
max_checks
max_simult_tcp_sessions
nasl_log_type
50
nasl_no_signature_check
nessus_syn_scanner.
global_throughput.max
non_simult_ports
optimize_test
paused_scan_timeout
plugin_upload
plugin_upload_suffixes
plugins_timeout
port_range
purge_plugin_db
qdb_mem_usage
reduce_connections_on_
congestion
report_crashes
rules
51
safe_checks
save_knowledge_base
silent_dependencies
slice_network_addresses
source_ip
ssl_cipher_list
stop_scan_on_disconnect
stop_scan_on_hang
throttle_scan
use_kernel_congestion_
detection
www_logfile
xmlrpc_idle_session_
timeout
xmlrpc_import_feed_
policies
52
xmlrpc_listen_port
xmlrpc_min_password_
len
Par dfaut, report_crashes est configur sur yes (oui). Les informations associes
une panne dans Nessus sont envoyes Tenable pour faciliter le dbogage des problmes
et fournir un logiciel de la meilleure qualit possible. Aucune information personnelle ou
d'identification du systme n'est envoye. Ce paramtre peut tre configur sur no (non)
par un administrateur Nessus.
53
Linux et Solaris
/opt/nessus/com/nessus/CA/servercert.pem
/opt/nessus/var/nessus/CA/serverkey.pem
FreeBSD
/usr/local/nessus/com/nessus/CA/servercert.pem
/usr/local/nessus/var/nessus/CA/serverkey.pem
Windows
C:\Program Files\Tenable\Nessus\nessus\CA\
Mac OS X
/Library/Nessus/run/com/nessus/CA/servercert.pem
/Library/Nessus/run/var/nessus/CA/serverkey.pem
54
55
56
User rules
---------nessusd has a rules system which allows you to restrict the hosts that
firstuser has the right to test. For instance, you may want him to
be able to scan his own host only.
Please see the nessus-adduser(8) man page for the rules syntax
Enter the rules for this user, and enter a BLANK LINE once you are done :
(the user can have an empty rules set)
User added to Nessus.
Another client certificate? [n]:
Your client certificates are in C:\Users\admin\AppData\Local\Temp\nessus0000040e
You will have to copy them by hand
57
2. Remplissez les champs conformment aux invites. Le processus est identique sur un
serveur Linux/Unix ou Windows. Le nom d'utilisateur doit correspondre au CN fourni
par le certificat sur la carte.
Do you want to register the users in the Nessus server as soon as you
create their certificates ? [n]: y
-----------------------------------------------------------------------------Creation Nessus SSL client Certificate
-----------------------------------------------------------------------------This script will now ask you the relevant information to create the SSL
client certificates for Nessus.
Client certificate life time in days [365]:
Your country (two letter code) [US]:
Your state or province name [NY]: MD
Your location (e.g. town) [New York]: Columbia
Your organization []: Content
Your organizational unit []: Tenable
**********
We are going to ask you some question for each client certificate
If some question have a default answer, you can force an empty answer by
entering a single dot '.'
*********
User #1 name (e.g. Nessus username) []: squirrel
Should this user be administrator? [n]: y
Country (two letter code) [US]:
State or province name [MD]:
Location (e.g. town) [Columbia]:
Organization [Content]:
Organizational unit [Tenable]:
e-mail []:
User rules
---------nessusd has a rules system which allows you to restrict the hosts that
firstuser has the right to test. For instance, you may want him to
be able to scan his own host only.
Please see the nessus-adduser(8) man page for the rules syntax
Enter the rules for this user, and enter a BLANK LINE once you are done :
(the user can have an empty rules set)
User added to Nessus.
Another client certificate? [n]:
Your client certificates are in C:\Users\admin\AppData\Local\Temp\nessus0000040e
You will have to copy them by hand
58
Les certificats client sont crs dans un rpertoire temporaire alatoire appropri
au systme. Le rpertoire temporaire sera identifi sur la ligne commenant par
Your client certificates are in . Si vous utilisez l'authentification de carte, ces
certificats sont inutiles et peuvent tre supprims.
3. Une fois cr, un utilisateur dot de la carte approprie peut accder au serveur
Nessus et s'authentifier automatiquement une fois que son PIN ou un code secret
similaire est fourni.
59
3. Une fois un certificat slectionn, une invite vous demande d'indiquer le PIN ou le
mot de passe du certificat (le cas chant) afin d'y accder. Si vous saisissez le PIN
ou le mot de passe appropri, le certificat est disponible pour la session actuelle avec
Nessus.
4. Lorsqu'il navigue dans l'interface Web de Nessus, l'utilisateur peut brivement voir
l'cran du nom d'utilisateur et du mot de passe, suivi d'une connexion automatique
en tant qu'utilisateur dsign. L'interface utilisateur Nessus peut tre utilise
normalement.
Si vous mettez fin la session, l'cran de connexion Nessus standard s'affiche
votre attention. Si vous voulez vous connecter une nouvelle fois en utilisant le
mme certificat, actualisez votre navigateur. Si vous devez utiliser un certificat
diffrent, vous devez redmarrer votre session de navigateur.
60
Une fois que vous disposez du code d'activation, excutez la commande suivante sur le
systme qui excute Nessus :
Windows :
C:\Program Files\Tenable\Nessus>nessus-fetch.exe --challenge
Linux et Solaris :
# /opt/nessus/bin/nessus-fetch --challenge
FreeBSD :
# /usr/local/nessus/bin/nessus-fetch --challenge
Mac OS X :
# /Library/Nessus/run/bin/nessus-fetch --challenge
Ceci produit une chane appele challenge code (code de dfi) qui ressemble ce qui
suit :
569ccd9ac72ab3a62a3115a945ef8e710c0d73b8
61
Cet cran donne accs au tlchargement des derniers feeds de plugins Nessus (all2.0.tar.gz) ainsi qu'au fichier nessus-fetch.rc en bas de l'cran.
Enregistrez cette URL car elle servira lors de chaque mise jour des plugins,
comme dcrit ci-dessous.
Un code d'enregistrement utilis pour les mises jour hors ligne ne peut pas tre
utilis sur le mme serveur de scanner Nessus par l'intermdiaire de Nessus
Server Manager.
Si vous devez un moment ou un autre vrifier le code d'enregistrement pour un scanner
donn, utilisez l'option --code-in-use du programme nessus-fetch.
Copiez le fichier nessus-fetch.rc sur l'hte excutant Nessus dans le rpertoire suivant :
Windows :
C:\Program Files\Tenable\Nessus\conf
Linux et Solaris :
/opt/nessus/etc/nessus/
FreeBSD :
/usr/local/nessus/etc/nessus/
62
Mac OS X :
/Library/Nessus/run/etc/nessus/
Le fichier nessus-fetch.rc ne doit tre copi qu'une seule fois. Les
tlchargements ultrieurs de plugins Nessus devront tre copis dans le
rpertoire appropri chaque fois, comme dcrit ci-dessous.
Par dfaut, Nessus tente de mettre jour ses plugins toutes les 24 heures une fois que vous
l'avez enregistr. Si vous ne voulez pas que cette mise jour en ligne soit effectue,
configurez le paramtre auto_update sur no dans le menu Configuration ->
Advanced (Avanc).
Effectuez cette tape chaque fois que vous effectuez une mise jour hors ligne
des plugins.
l'issue du tlchargement, dplacez le fichier all-2.0.tar.gz dans le rpertoire Nessus.
Indiquez ensuite Nessus de traiter l'archive de plugin :
Windows:
C:\Program Files\Tenable\Nessus>nessus-update-plugins.exe all-2.0.tar.gz
Unix (modifiez le chemin en fonction de votre installation) :
# /opt/nessus/sbin/nessus-update-plugins all-2.0.tar.gz
Aprs le traitement, vous devez redmarrer Nessus pour que les modifications soient prises
en compte. Consultez les sections Manipulation de Nessus Service via Windows CLI ou
Dmarrage et arrt du dmon Nessus
Une fois les plugins installs, vous n'tes plus tenu de conserver le fichier all-2.0.tar.gz.
Cependant, Tenable recommande de conserver la dernire version du fichier de plugin
tlcharg au cas o vous en auriez encore besoin.
Vous disposez prsent des plugins les plus rcents. Chaque fois que vous souhaitez mettre
jour les plugins alors que vous ne disposez pas d'un accs Internet, vous devez aller
l'URL fournie, accder au fichier tar/gz, le copier sur le systme excutant Nessus et
rpter le processus ci-dessus.
63
Sous-rpertoires Nessus
Objet
./etc/nessus/
Fichiers de
configuration
./var/nessus/users/<username>/kbs/
Base de connaissance
de l'utilisateur
sauvegarde sur
disque
FreeBSD :
/usr/local/nessus
./lib/nessus/plugins/
Plugins Nessus
Mac OS X :
/Library/Nessus/run
./var/nessus/logs/
Fichiers journaux
Nessus
Distributions Unix
Sous-rpertoires Nessus
Objet
\conf
Fichiers de
configuration
\data
Modles de feuille de
style
\nessus\plugins
Plugins Nessus
\nessus\users\<username>\kbs
Base de connaissance
de l'utilisateur
sauvegarde sur
disque
\nessus\logs
Fichiers journaux
Nessus
Windows
\Program
Files\Tenable\Nessus
64
Login
: tater-nessus
Password
: ***********
This user will have 'admin' privileges within the Nessus server
Rules
:
accept 172.20.0.0/16
deny 0.0.0.0/0
Is that ok ? (y/n) [y] y
User added
65
Description
-c <config-file>
-a <address>
-S <ip[,ip2,...]>
-p <port-number>
-D
-v
-l
-h
--ipv4-only
--ipv6-only
-q
66
-R
-t
-K
Si un mot de passe gnral est dfini, Nessus chiffre toutes les stratgies et tous les
identifiants contenus dans celles-ci avec la cl fournie par l'utilisateur (qui est beaucoup plus
scurise que la cl par dfaut). Si un mot de passe est dfini, l'interface Web invite saisir
le mot de passe lors du dmarrage.
AVERTISSEMENT : Si le mot de passe gnral est dfini mais perdu, il ne peut
pas tre rcupr par l'administrateur ou le service d'assistance de Tenable.
Voici ci-dessous un exemple d'utilisation :
Linux :
# /opt/nessus/sbin/nessus-service [-vhD] [-c <config-file>] [-p <port-number>]
[-a <address>] [-S <ip[,ip,...]>]
FreeBSD :
# /usr/local/nessus/sbin/nessus-service [-vhD] [-c <config-file>] [-p <portnumber>] [-a <address>] [-S <ip[,ip,...]>]
67
UTILISATION DE SECURITYCENTER
VUE D'ENSEMBLE DE SECURITYCENTER
Tenable SecurityCenter est une console de gestion Web qui unifie le processus de dtection
et de gestion des vulnrabilits, la gestion des vnements et des journaux, la surveillance
de la conformit et les rapports relatifs toutes ces activits. SecurityCenter permet une
communication efficace des vnements de scurit aux quipes informatiques, de gestion
et d'audit.
SecurityCenter prend en charge l'utilisation simultane de plusieurs scanners Nessus pour le
scan rgulier d'un rseau de toute taille. SecurityCenter utilise l'API Nessus (application
personnalise du protocole XML-RPC) pour communiquer avec les scanners Nessus associs
afin d'envoyer les instructions de scan et de recevoir les rsultats.
SecurityCenter autorise plusieurs utilisateurs et administrateurs possdant des niveaux de
scurit diffrents partager les informations sur les vulnrabilits, dfinir la priorit des
vulnrabilits, indiquer les actifs rseau qui prsentent des problmes de scurit critiques,
fournir des recommandations aux administrateurs systme pour rsoudre ces problmes de
scurit et effectuer le suivi de l'attnuation des vulnrabilits. SecurityCenter reoit
galement des donnes de nombreux IDS de pointe, comme Snort et ISS par l'intermdiaire
du Log Correlation Engine.
SecurityCenter peut aussi recevoir des informations passives de vulnrabilit provenant de
Tenable Passive Vulnerability Scanner de sorte que les utilisateurs finaux puissent dtecter
les nouveaux htes, applications, vulnrabilits et intrusions sans avoir besoin du scan actif
avec Nessus.
68
Une fois le scanner ajout, la page suivante s'affiche lorsque le scanner est slectionn :
69
Pare-feu de l'hte
Si le serveur Nessus est configur avec un pare-feu local tel que ZoneAlarm, Sygate,
BlackICE, le pare-feu Windows XP ou tout autre logiciel pare-feu, les connexions doivent
tre ouvertes partir de l'adresse IP de SecurityCenter.
Par dfaut, le port 8834 est utilis. Sur les systmes Microsoft XP Service Pack 2 et les
versions ultrieures, l'utilisateur peut cliquer sur l'icne Security Center (Centre de
scurit) du Control Panel (Panneau de configuration) pour pouvoir grer les
paramtres du pare-feu Windows. Pour ouvrir le port 8834, choisissez l'onglet
Exceptions puis ajoutez le port 8834 la liste.
Si SecurityCenter utilise le protocole NT dprci sur le port 1241, les
commandes ci-dessus utilisent 1241 la place de 8834.
70
PROBLEMES DE SCAN
Problme : je ne peux pas scanner sur ma connexion PPP ou PPTP.
Solution : cette fonction n'est pas prise en charge actuellement. Les prochaines rvisions
de Nessus Windows incluront cette fonctionnalit.
Problme : un scan de virus sur mon systme signale un grand nombre de virus
dans Nessus Windows.
Solution : certaines applications antivirus peuvent signaler certains plugins de Nessus
comme des virus. Excluez le rpertoire des plugins du scan des virus car il n'existe pas de
programmes excutables dans ce rpertoire.
71
72
> Contrles d'identifiants Nessus pour Unix et Windows informations sur la faon
d'effectuer des scans de rseau authentifis avec le scanner de vulnrabilit Nessus
> Contrles de conformit Nessus guide de haut niveau pour comprendre et excuter
les contrles de conformit au moyen de Nessus et de SecurityCenter
> Rfrence pour les contrles de conformit Nessus guide complet sur la syntaxe
des contrles de conformit Nessus
> Format de fichier Nessus v2 dcrit la structure du format de fichier .nessus, qui a
t introduit avec Nessus 3.2 et NessusClient 3.2
> Surveillance de conformit en temps rel dcrit comment les solutions de Tenable
peuvent tre utilises pour faciliter le respect d'un grand nombre de types de rglements
gouvernementaux et financiers.
>
>
>
>
>
73
Les redistributions sous forme binaire doivent reproduire l'avis de copyright ci-dessus,
cette liste de conditions et la clause de non-responsabilit suivante dans la
documentation et/ou les autres documents fournis avec la distribution.
74
75
CE LOGICIEL EST FOURNI TEL QUEL , SANS AUCUNE GARANTIE, QUEL QU'EN SOIT LE
TYPE, EXPLICITE OU IMPLICITE, Y COMPRIS, SANS LIMITATION, LES GARANTIES DE
VALEUR MARCHANDE ET D'APTITUDE UN BUT PARTICULIER ET DE NON-CONTREFAON.
LES AUTEURS OU LES DTENTEURS DE COPYRIGHT NE SERONT EN AUCUN CAS
RESPONSABLES DE TOUTE RCLAMATION, DOMMAGE OU AUTRE RESPONSABILIT, QUE CE
SOIT DANS UNE PROCDURE BASE SUR LES CONTRATS, LES ACTIONS FAUTIVES OU
AUTRE, PROVENANT D'UNE MANIRE QUELLE QU'ELLE SOIT DU LOGICIEL OU DE
L'UTILISATION OU AUTRES TRAITEMENTS DU CELUI-CI, EN RSULTANT OU EN RAPPORT
AVEC CEUX-CI.
Ce produit contient un logiciel dvelopp par le projet OpenSSL pour tre utilis dans le kit
d'outils OpenSSL. (http://www.openssl.org/) Copyright (c) 1998-2007 The OpenSSL Project.
Tous droits rservs.
CE LOGICIEL EST FOURNI TEL QUEL PAR LE PROJET OpenSSL ET TOUTES LES
GARANTIES EXPLICITES OU IMPLICITES, Y COMPRIS, SANS LIMITATION, LES GARANTIES
IMPLICITES DE VALEUR MARCHANDE ET D'APTITUDE UN BUT PARTICULIER SONT
DMENTIES. LE PROJET OpenSSL OU SES CONTRIBUTEURS NE SERONT EN AUCUN CAS
RESPONSABLES DE TOUT DOMMAGE DIRECT, INDIRECT, ACCESSOIRE, SPCIAL,
EXEMPLAIRE OU IMMATRIEL (Y COMPRIS, MAIS SANS LIMITATION, L'ACHAT D'ARTICLES
OU DE SERVICES DE SUBSTITUTION ; LA PERTE D'UTILISATION, DE DONNES OU DE
BNFICES ; OU L'INTERRUPTION COMMERCIALE), QUELLE QU'EN SOIT LA CAUSE, ET
SELON TOUTE THORIE DE RESPONSABILIT, QUE CE SOIT LES CONTRATS, LA
RESPONSABILIT STRICTE OU LES ACTIONS FAUTIVES (Y COMPRIS LA NGLIGENCE OU
AUTRE) PROVENANT D'UNE MANIRE QUELLE QU'ELLE SOIT DE L'UTILISATION DE CE
LOGICIEL, MME EN CAS DE NOTIFICATION DE LA POSSIBILIT D'UN TEL DOMMAGE.
Copyright partiel (C) 1998-2003 Daniel Veillard. Tous droits rservs.
L'autorisation est accorde gratuitement, par la prsente, toute personne ayant obtenu
une copie de ce logiciel et des fichiers de documentation associs (le Logiciel ) d'utiliser
le Logiciel sans restriction, y compris, sans limitation, les droits d'utiliser, de copier, de
modifier, de fusionner, de publier, de distribuer, de sous-licencier et/ou de vendre des
copies du Logiciel, et de permettre aux personnes auxquelles le Logiciel est fourni d'agir de
la sorte, sous rserve des conditions suivantes :
L'avis de copyright ci-dessus et cet avis d'autorisation seront inclus dans toutes les copies
ou parties importantes du Logiciel.
CE LOGICIEL EST FOURNI TEL QUEL , SANS AUCUNE GARANTIE, QUEL QU'EN SOIT LE
TYPE, EXPLICITE OU IMPLICITE, Y COMPRIS, SANS LIMITATION, LES GARANTIES DE
VALEUR MARCHANDE ET D'APTITUDE UN BUT PARTICULIER ET DE NON-CONTREFAON.
DANIEL VEILLARD NE SERA EN AUCUN CAS RESPONSABLE DE TOUTE RCLAMATION,
DOMMAGE OU AUTRE RESPONSABILIT, QUE CE SOIT DANS UNE PROCDURE BASE SUR
LES CONTRATS, LES ACTIONS FAUTIVES OU AUTRE, PROVENANT D'UNE MANIRE
QUELCONQUE DU LOGICIEL OU DE L'UTILISATION OU AUTRES TRAITEMENTS DU LOGICIEL,
EN RSULTANT OU EN RAPPORT AVEC CEUX-CI.
76
Copyright partiel (C) 2001-2002 Thomas Broyer, Charlie Bozeman et Daniel Veillard.
Tous droits rservs.
L'autorisation est accorde gratuitement, par la prsente, toute personne ayant obtenu
une copie de ce logiciel et des fichiers de documentation associs (le Logiciel ) d'utiliser
le Logiciel sans restriction, y compris, sans limitation, les droits d'utiliser, de copier, de
modifier, de fusionner, de publier, de distribuer, de sous-licencier et/ou de vendre des
copies du Logiciel, et de permettre aux personnes auxquelles le Logiciel est fourni d'agir de
la sorte, sous rserve des conditions suivantes :
L'avis de copyright ci-dessus et cet avis d'autorisation seront inclus dans toutes les copies
ou parties importantes du Logiciel.
CE LOGICIEL EST FOURNI TEL QUEL , SANS AUCUNE GARANTIE, QUEL QU'EN SOIT LE
TYPE, EXPLICITE OU IMPLICITE, Y COMPRIS, SANS LIMITATION, LES GARANTIES DE
VALEUR MARCHANDE ET D'APTITUDE UN BUT PARTICULIER ET DE NON-CONTREFAON.
LES AUTEURS NE SERONT EN AUCUN CAS RESPONSABLES DE TOUTE RCLAMATION,
DOMMAGE OU AUTRE RESPONSABILIT, QUE CE SOIT DANS UNE PROCDURE BASE SUR
LES CONTRATS, LES ACTIONS FAUTIVES OU AUTRE, PROVENANT D'UNE MANIRE
QUELCONQUE DU LOGICIEL OU DE L'UTILISATION OU AUTRES TRAITEMENTS DU LOGICIEL,
EN RSULTANT OU EN RAPPORT AVEC CEUX-CI.
77
78