Nessus 4.4 Guide d'installation

Transcription

1 Nessus 4.4 Guide d'installation 14 juin 2011 (Révision 9) Copyright Tenable Network Security, Inc. Tous droits réservés. Tenable Network Security et Nessus sont des marques déposées de Tenable Network Security, Inc. The ProfessionalFeed est une marque de Tenable Network Security, Inc. Tous les autres produits ou services sont des marques de leur propriétaire respectif. Tenable Network Security, Inc Columbia Gateway Drive, Suite 100, Columbia, MD

2 Table des matières Introduction... 5 Système d'exploitation... 5 Normes et conventions... 5 Informations de base... 6 Conditions préalables... 7 Nessus Unix... 8 Nessus Windows... 8 Options de déploiement... 8 Souscription aux plugins de vulnérabilité... 8 Quelles ressources vous conviennent?... 9 HomeFeed... 9 ProfessionalFeed... 9 IPv6 accepté...10 Unix/Linux Mise à niveau...10 Installation...17 Configuration...22 Répertoires principaux de Nessus...22 Créer un utilisateur Nessus...23 Installation du code d'activation des plugins...25 Démarrer le Démon Nessus...26 Arrêter le Démon Nessus...28 Options de ligne de commande Nessusd...28 Connexion à un client...30 Mise à jour des plugins...30 Quelle doit être la fréquence de mise à jour des plugins?...30 Mise à jour automatique des plugins...31 Programmation des mises à jour des plugins avec Cron...31 Mise à jour des plugins par l'intermédiaire de proxys Web...32 Suppression de Nessus...32 Windows...36 Mise à niveau...36 Mise à niveau à partir de Nessus x...36 Mise à niveau à partir de Nessus x...36 Mise à niveau à partir de Nessus 3.2 et versions ultérieures...36 Installation...37 Téléchargement de Nessus...37 Installation...37 Questions concernant l'installation...37 Répertoires principaux de Nessus...40 Copyright Tenable Network Security, Inc. 2

3 Configuration...40 Nessus Server Manager (gestionnaire de serveur Nessus)...40 Changement du port Nessus par défaut...41 Enregistrement de l'installation Nessus...42 Réinitialisation des codes d'activation Créer et gérer les utilisateurs Nessus...44 Permettre les connexions à distance Ajout de comptes d'utilisateur Pare-feu basés sur hôte Lancement du démon Nessus...47 Mise à jour des plugins...48 Quelle doit être la fréquence de mise à jour des plugins?...49 Mise à jour des plugins par l'intermédiaire de proxys Web...49 Suppression de Nessus...49 Mac OS X...50 Mise à niveau...50 Installation...50 Configuration...53 Nessus Server Manager (gestionnaire de serveur Nessus)...53 Enregistrement de l'installation Nessus...55 Réinitialisation des codes d'activation Création et gestion d utilisateurs Nessus...56 Permettre les connexions à distance Ajout de comptes d'utilisateur Lancement du démon Nessus...58 Mise à jour des plugins...58 Quelle doit être la fréquence de mise à jour des plugins?...59 Suppression de Nessus...59 Configuration du démon Nessus (utilisateurs expérimentés)...59 Configuration de Nessus avec un certificat SSL personnalisé...65 Nessus sans accès Internet...66 Enregistrer le scanner Nessus...66 Obtention et installation de plugins à jour...69 Windows...69 Linux, Solaris et FreeBSD...69 Mac OS X...70 Travailler avec SecurityCenter...70 Vue d'ensemble de SecurityCenter...70 Configuration de Nessus pour travailler avec SecurityCenter...71 Unix/Mac OS X...71 Windows...71 Configuration de Nessus pour l'écoute comme démon de réseau Ajout de comptes d'utilisateur sur Windows Activation du service Nessus dans Windows Pare-feu basés sur hôte Configuration de SecurityCenter pour travailler avec Nessus...73 Copyright Tenable Network Security, Inc. 3

4 Dépannage de Nessus sous Windows...74 Problèmes d'installation / de mise à niveau...74 Problèmes de scan...74 Pour plus d informations...75 Déclarations de licence autres que celles de Tenable...77 Au sujet de Tenable Network Security...80 Copyright Tenable Network Security, Inc. 4

5 INTRODUCTION Ce document décrit l'installation et la configuration du scanner de vulnérabilité Nessus 4.4 de Tenable Network Security. Veuillez nous informer de tout commentaire ou suggestion en nous les envoyant par à Tenable Network Security, Inc. est le créateur et l'éditeur du scanner de vulnérabilité Nessus. En plus d'améliorer constamment le moteur Nessus, Tenable écrit la plupart des plugins disponibles pour le scanner, ainsi que des contrôles de conformité et de nombreuses stratégies de vérification. Les prérequis, les options de déploiement et l installation pas à pas sont abordés dans ce document. Une compréhension de base d'unix et du scan des vulnérabilités est supposée. À partir de Nessus 4.4, la gestion d'utilisateur du serveur Nessus est assurée par une interface sur le Web et il n'est plus nécessaire d'utiliser un client Nessus autonome. Le client Nessus autonome pourra toujours se connecter et gérer le scanner, mais il ne sera pas mis à jour. SYSTEME D'EXPLOITATION Nessus est disponible et fonctionne sur de nombreux systèmes d'exploitation et plateformes : > Debian 5 (i386 et x86-64) > Fedora Core 12, 13 et 14 (i386 et x86-64) > FreeBSD 8 (i386 et x86-64) > Mac OS X 10,4, 10,5 et 10,6 (i386, x86-64, ppc) > Red Hat ES 4 / CentOS 4 (i386) > Red Hat ES 5 / CentOS 5 / Oracle Linux 5 (i386 et x86-64) > Red Hat ES 6 / CentOS 6 (i386 et x86-64) [serveur, bureau, poste de travail] > Solaris 10 (sparc) > SuSE 9,3 (i386) > SuSE 10,0 et 11 (i386 et x86-64) > Ubuntu 8.04, 9.10, et (i386 et x86-64) > Windows XP, serveur 2003, serveur 2008, serveur 2008 R2, Vista et 7 (i386 et x86-64) NORMES ET CONVENTIONS Ce document a été traduit à partir d'un texte écrit en anglais à l origine. Certaines expressions sont restées en anglais afin de montrer la façon dont elles apparaissent dans le produit. Dans l'ensemble de la documentation, les noms de fichiers, les démons (daemons) et les exécutables sont indiqués par une police courier bold comme pour setup.exe. Les options de ligne de commande et les mots clés sont aussi indiqués avec la police courier bold. Les options de ligne de commande peuvent inclure ou non l'invite de ligne de commande et le texte provenant des résultats de la commande. Souvent, la commande en cours d'exécution sera en caractères gras pour indiquer ce que l'utilisateur a saisi. Voici un exemple d'exécution de la commande Unix pwd : # pwd /opt/nessus/ # Copyright Tenable Network Security, Inc. 5

6 Les remarques et considérations importantes sont mises en évidence grâce à ce symbole et des zones de texte grises. Les conseils, exemples et meilleures pratiques sont mis en évidence grâce à ce symbole et un texte blanc sur fond bleu. INFORMATIONS DE BASE Nessus est un scanner de sécurité de réseau performant, à jour et facile à utiliser. Il est actuellement classé parmi les meilleurs produits de ce type dans l'ensemble du secteur de la sécurité et est soutenu par des professionnels de la sécurité de l'information tels que l'institut SANS. Nessus permet de vérifier à distance un réseau donné et de déterminer s'il a été sujet à une intrusion ou a fait l objet d une utilisation malveillante. Nessus fournit aussi la possibilité de vérifier localement une machine spécifique pour déterminer les vulnérabilités, les caractéristiques de conformité, les violations de politique de contenu et plus encore. > Scan intelligent : à la différence de bien d'autres scanners de sécurité, Nessus ne fait aucune supposition. Autrement dit, il ne suppose pas qu'un service donné est exécuté sur un port fixe. Cela signifie que si un serveur Web est connecté au port 1234, Nessus le détecte et teste correctement sa sécurité. Il essaie de valider une vulnérabilité en l'exploitant si possible. Dans le cas où cela n'est pas fiable ou cela peut avoir un impact négatif sur la cible, Nessus peut se fier à une bannière de serveur pour déterminer la présence de la vulnérabilité. Dans de tels cas, le compte-rendu des résultats indiquera clairement si cette méthode a été utilisée. > Architecture modulaire : L'architecture client/serveur fournit la polyvalence nécessaire pour déployer le scanner (serveur) et le connecter à l interface graphique (client) à partir de tout ordinateur équipé d un navigateur Web, ce qui réduit les coûts de gestion (un serveur peut être accédé par plusieurs clients). > Compatibilité CVE : La plupart des plugins ont des liens au CVE pour que les administrateurs obtiennent davantage de renseignements sur les vulnérabilités publiées. Ils incluent aussi fréquemment des références à Bugtraq (BID), OSVDB et aux alertes de sécurité des vendeurs. > Architecture de plugin : Chaque test de sécurité est écrit comme plugin extérieur et regroupé dans l'une des 42 familles. Vous pouvez ainsi ajouter facilement des tests personnels, sélectionner des plugins spécifiques ou choisir une famille complète sans avoir à lire le code du moteur du serveur Nessus, nessusd. La liste complète des plugins Nessus est disponible sur > NASL : Le scanner Nessus inclut NASL (Nessus Attack Scripting Language, langage de scripts d'attaque Nessus), conçu spécialement pour écrire facilement et rapidement les tests de sécurité. > Base de données des vulnérabilités de sécurité actualisée : Tenable se concentre sur le développement des contrôles de sécurité pour les vulnérabilités récemment Copyright Tenable Network Security, Inc. 6

7 divulguées. Notre base de données de contrôle de sécurité est mise à jour quotidiennement et tous les contrôles de sécurité récents sont disponibles à > Tests simultanés de plusieurs hôtes : Selon la configuration du système qui héberge le scanner Nessus, vous pouvez tester un grand nombre d'hôtes en même temps. > Reconnaissance intelligente de service : Nessus ne suppose pas que les hôtes cibles respecteront les numéros de port affectés par IANA. Cela signifie qu'il reconnaîtra un serveur FTP fonctionnant sur un port non standard (par exemple 31337) ou un serveur Web fonctionnant sur le port 8080 au lieu du port 80. > Services multiples : Si deux serveurs Web ou plus fonctionnent sur un hôte (par exemple l'un sur le port 80 et un autre sur le port 8080), Nessus les identifiera et les testera tous. > Coopération des plugins : Les tests de sécurité effectués par les plugins Nessus coopèrent de sorte que les contrôles inutiles ne soient pas effectués. Si le serveur FTP ne propose pas de connexion anonyme, les contrôles de sécurité associés aux connexions anonymes ne seront pas effectués. > Rapports complets : Nessus précisera non seulement les vulnérabilités présentes sur le réseau et le niveau de risque pour chacune d entre elles (Bas, Moyen, Haut et Critique), mais il signalera aussi comment les limiter en proposant des solutions. > Support SSL complet : Nessus peut tester les services offerts sur SSL tels que HTTPS, SMTPS, IMAPS et autres. > Plugins intelligents (en option) : Nessus déterminera les plugins qui doivent ou qui ne doivent pas être lancés contre l'hôte distant. Par exemple, Nessus ne testera pas les vulnérabilités sendmail pour Postfix. Cette option s'appelle «optimisation». > Non-destructif (en option) : Certains contrôles peuvent nuire à des services réseau particuliers. Si vous ne voulez pas prendre le risque de causer une panne de service sur le réseau, activez l'option «safe checks» (contrôles sans danger) de Nessus qui permettra à Nessus de se fier aux bannières au lieu d'exploiter les défauts réels pour déterminer si une vulnérabilité est présente. > Forum ouvert : Un bug trouvé? Des questions concernant Nessus? Commencez une discussion sur PREREQUIS Tenable recommande une mémoire minimale de 2 Go pour utiliser Nessus. Pour effectuer des scans plus importants de plusieurs réseaux, une mémoire d'au moins 3 Go est recommandée, mais jusqu'à 4 Go peuvent être nécessaires. Un processeur Pentium 3 fonctionnant à 2 GHz ou plus est recommandé. Sur Mac OS X, un processeur Intel dual core fonctionnant à 2 Go ou plus est recommandé. Nessus peut être exécuté sous une instance de VMware, mais si la machine virtuelle utilise Copyright Tenable Network Security, Inc. 7

8 le NAT (Network Address Translation, traduction d'adresses de réseau) pour accéder au réseau, un grand nombre de contrôles des vulnérabilités Nessus,l'énumération d'hôte et l'identification du système d'exploitation seront perturbés. NESSUS UNIX Avant d'installer Nessus sur Unix/Linux, plusieurs bibliothèques sont requises. Beaucoup de systèmes d'exploitation les installent par défaut et, en général, elles ne nécessitent pas d'installation séparée : > OpenSSL (par exemple openssl, libssl, libcrypto) > zlib > GNU C Library (c'est-à-dire libc) NESSUS WINDOWS Microsoft a apporté des changements à Windows XP SP-2 et aux versions plus récentes (Home et Pro) qui peuvent affecter la performance de Nessus Windows. Pour une meilleure performance et fiabilité du scan, il est fortement recommandé que Nessus Windows soit installé sur un système serveur de la gamme Microsoft Windows tel que le Windows Server Pour plus d informations sur le sujet, voir la section «Dépannage de Nessus sous Windows». OPTIONS DE DEPLOIEMENT Lors du déploiement de Nessus, il est souvent utile de connaître le routage, les filtres et les règles du firewall. Il est recommandé que Nessus soit déployé de façon à avoir une bonne connectivité IP avec les réseaux qu'il scanne. Le déploiement derrière un dispositif NAT n'est pas souhaitable, sauf s'il scanne le réseau interne. Chaque fois qu'un scan des vulnérabilités traverse un NAT ou un proxy applicatif quelconque, le contrôle peut être perturbé et un faux positif ou un faux négatif peut en résulter. En outre, un firewall («personnel» ou non) actif sur le système exécutant Nessus peut considérablement limiter l'efficacité d'un scan des vulnérabilités à distance. Les firewalls sur hôte peuvent gêner le scan des vulnérabilités du réseau. Selon la configuration du firewall, il peut empêcher, perturber ou cacher les sondes d'un scan Nessus. SOUSCRIPTION AUX PLUGINS DE VULNERABILITE De nombreuses vulnérabilités nouvelles sont publiées quotidiennement par les vendeurs, les chercheurs et autres sources. Tenable s'efforce de tester et de mettre à disposition dès que possible des contrôles pour les vulnérabilités récemment publiées, en général dans un délai de 24 heures après divulgation. Le contrôle pour une vulnérabilité spécifique s'appelle un «plugin» dans le scanner Nessus. La liste complète de tous les plugins Nessus est disponible sur Tenable distribue les plugins de vulnérabilité les plus récents selon deux modes pour Nessus : ProfessionalFeed (feeds professionnels) et HomeFeed (feeds généraux). Les plugins sont téléchargés directement depuis Tenable par un processus automatisé dans Nessus. Nessus vérifie les signatures numériques de tous les téléchargements de plugin pour valider l'intégrité des fichiers. Pour les installations Nessus sans accès à Internet, il existe un processus de mise à jour hors ligne qui peut être utilisé pour s'assurer que le scanner reste actualisé. Copyright Tenable Network Security, Inc. 8

9 Avec Nessus 4, il est nécessaire de souscrire à des feeds de plugin et de mettre à jour les plugins avant que Nessus démarre et que l'interface de scan Nessus soit disponible. La mise à jour des plugins se produit en arrière-plan après l'enregistrement initial du scanner et peut prendre plusieurs minutes. QUELS FEEDS VOUS CONVIENNENT? Des instructions spécifiques pour configurer Nessus afin de recevoir le HomeFeed ou le ProfessionalFeed sont fournies ci-après dans ce document. Pour déterminer les feeds de Nessus qui conviennent à un environnement donné, il faut prendre en compte les points suivants : HomeFeed Si vous utilisez Nessus chez soi à des fins non professionnelles, vous pouvez souscrire le HomeFeed. Les nouveaux plugins pour les vulnérabilités de sécurité les plus récentes sont immédiatement fournis aux utilisateurs du HomeFeed. L'utilisation du HomeFeed est gratuite mais il existe une licence séparée pour le HomeFeed que les utilisateurs doivent accepter. Pour vous inscrire au HomeFeed, allez sur et enregistrez la copie de Nessus pour utiliser le HomeFeed. Utilisez le code d'activation reçu pendant le processus d'enregistrement lors de la configuration de Nessus pour obtenir les mises à jour. Les utilisateurs du HomeFeed ne reçoivent pas d'accès au portail d'assistance de Tenable, aux contrôles de conformité ou aux stratégies de vérification de contenu. ProfessionalFeed Si vous utilisez Nessus à des fins commerciales (par exemple en cabinet de conseil), dans un environnement d'affaires gouvernemental, vous devez acheter le ProfessionalFeed. Les nouveaux plugins pour les vulnérabilités de sécurité plus récentes sont immédiatement fournis aux utilisateurs du ProfessionalFeed. Les clients de SecurityCenter sont enregistrés automatiquement pour souscrire au ProfessionalFeed et n'ont pas besoin d'acheter des feeds additionnels, sauf s'ils ont un scanner Nessus qui n'est pas géré par SecurityCenter. Tenable propose une assistance commerciale, depuis le Portail d assistance de Tenable ou par , pour les clients du ProfessionalFeed qui utilisent Nessus 4. Le ProfessionalFeed comprend également des contrôles de conformité de l'hôte pour Unix et Windows qui sont très utiles lors d'audits de conformité, comme SOX, FISMA ou FDCC. Vous pouvez acheter le ProfessionalFeed sur la boutique en ligne de Tenable, sur ou par commande auprès des partenaires ProfessionalFeed autorisés. Vous recevrez alors un code d'activation de Tenable. Ce code devra être utilisé lors de la configuration de la copie de Nessus pour les mises à jour. Si vous utilisez Nessus avec SecurityCenter de Tenable, SecurityCenter a accès au ProfessionalFeed et met à jour automatiquement les scanners Nessus. Certains périphériques réseau qui effectuent une inspection dynamique des paquets, comme les firewalls, équilibreurs de charge et IDS/IPS, peuvent mal réagir si un scan est exécuté à travers. Nessus comporte un certain nombre d'options qui peuvent aider à réduire l'impact du scan à travers de tels dispositifs, mais la meilleure méthode pour éviter les problèmes propres au scan à travers ces périphériques réseau consiste à effectuer un scan authentifié. Copyright Tenable Network Security, Inc. 9

10 SUPPORT IPV6 Depuis la version 3.2 BETA, Nessus prend en charge le scan sur IPv6. Beaucoup de systèmes d'exploitation et de périphériques sont livrés avec le support IPv6 activé par défaut. Pour effectuer des scans des ressources IPv6, au moins une interface IPv6 doit être configurée sur l'hôte où Nessus est installé et Nessus doit être sur un réseau supportant IPv6 (Nessus ne peut pas scanner des ressources IPv6 sur IPv4 mais il peut énumérer les interfaces IPv6 par des scans authentifiés sur IPv4). Les notations IPv6 complètes et compressées sont prises en charge lors du lancement des scans. Microsoft Windows est dépourvu de certaines API clés nécessaires pour forger des paquets IPv6 (par exemple, obtention de l'adresse MAC du routeur, table de routage, etc.). Ceci empêche à son tour le scanner des ports de fonctionner correctement. Tenable travaille sur des améliorations qui contourneront effectivement les restrictions de ces API dans des versions futures de Nessus. UNIX/LINUX MISE A NIVEAU Cette section explique comment mettre à niveau Nessus à partir d'une installation Nessus précédente. Le tableau suivant fournit des instructions de mise à niveau pour le serveur Nessus sur toutes les plates-formes précédemment acceptées. Les paramètres de configuration et les utilisateurs qui ont été créés précédemment resteront intacts. Il faut s'assurer que tout scan en cours d'exécution est terminé avant d'arrêter nessusd. Toutes les instructions spéciales de mise à niveau sont fournies dans une remarque après l'exemple. Plate-forme Instructions de mise à niveau Red Hat ES 4 (32 bits), ES 5 (32 et 64 bits) Mise à niveau des commandes # service nessusd stop Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de Red Hat exécutée : # rpm -Uvh Nessus es4.i386.rpm # rpm -Uvh Nessus es5.i386.rpm # rpm -Uvh Nessus es5.x86_64.rpm Une fois la mise à niveau terminée, redémarrez le service nessusd avec la commande suivante : # service nessusd start Copyright Tenable Network Security, Inc. 10

11 Exemple de message # service nessusd stop Shutting down Nessus services: [ OK ] # rpm -Uvh Nessus es4.i386.rpm Preparing... ########################################### [100%] Shutting down Nessus services: 1:Nessus ########################################### [100%] nessusd (Nessus) for Linux (C) Tenable Network Security, Inc. Fedora Core 12, 13 et 14 (32 et 64 bits) Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /sbin/service nessusd start # service nessusd start Starting Nessus services: [ OK ] # Mise à niveau des commandes # service nessusd stop Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de Fedora Core exécutée : # rpm -Uvh Nessus fc12.i386.rpm # rpm -Uvh Nessus fc12.x86_64.rpm # rpm -Uvh Nessus fc14.i386.rpm # rpm -Uvh Nessus fc14.x86_64.rpm Une fois que la mise à niveau est terminée, redémarrez le service nessusd avec la commande suivante : # service nessusd start Exemple de message # service nessusd stop Shutting down Nessus services: [ OK ] # rpm -Uvh Nessus fc12.i386.rpm Preparing... ########################################### [100%] Shutting down Nessus services: 1:Nessus ########################################### [100%] nessusd (Nessus) for Linux (C) Tenable Network Security, Inc. Copyright Tenable Network Security, Inc. 11

12 SuSE 9,3 (32 bits), 10 (32 et 64 bits) Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /sbin/service nessusd start # service nessusd start Starting Nessus services: [ OK ] # Mise à niveau des commandes # service nessusd stop Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de SuSE exécutée : # rpm -Uvh Nessus suse9.3.i586.rpm # rpm -Uvh Nessus suse10.0.i586.rpm # rpm -Uvh Nessus suse10.x86_64.rpm Une fois que la mise à niveau est terminée, redémarrez le nessusd avec la commande suivante : # service nessusd start Exemple de message # service nessusd stop Shutting down Nessus services: [ OK ] # rpm -Uvh Nessus suse10.0.i586.rpm Preparing... ########################################### [100%] Shutting down Nessus services: 1:Nessus ########################################### [100%] nessusd (Nessus) for Linux (C) Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /sbin/service nessusd start Copyright Tenable Network Security, Inc. 12

13 # service nessusd start Starting Nessus services: [ OK ] # Debian 5 (32 et 64 bits) Mise à niveau des commandes # /etc/init.d/nessusd stop Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de Debian exécutée : # dpkg -i Nessus debian5_i386.deb # dpkg -i Nessus debian5_amd64.deb # /etc/init.d/nessusd start Exemple de message # /etc/init.d/nessusd stop # dpkg -i Nessus debian5_i386.deb (Reading database files and directories currently installed.) Preparing to replace nessus (using Nessus debian5_i386.deb)... Shutting down Nessus :. Unpacking replacement nessus... Setting up nessus (4.4.0)... nessusd (Nessus) for Linux (C) 2009 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /etc/init.d/nessusd start # /etc/init.d/nessusd start Starting Nessus :. # Ubuntu 8.04, 9.10, et (32 et 64 bits) Mise à niveau des commandes # /etc/init.d/nessusd stop Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version d'ubuntu exécutée : Copyright Tenable Network Security, Inc. 13

14 # dpkg -i Nessus ubuntu804_i386.deb # dpkg -i Nessus ubuntu804_amd64.deb # dpkg -i Nessus ubuntu910_i386.deb # dpkg -i Nessus ubuntu910_amd64.deb # dpkg -i Nessus ubuntu1010_amd64.deb # dpkg -i Nessus ubuntu1010_i386.deb # /etc/init.d/nessusd start Exemple de message # /etc/init.d/nessusd stop # dpkg -i Nessus ubuntu804_i386.deb (Reading database files and directories currently installed.) Preparing to replace nessus (using Nessus ubuntu810_i386.deb)... Shutting down Nessus :. Unpacking replacement nessus... Setting up nessus (4.4.0)... nessusd (Nessus) for Linux (C) 2011 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /opt/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /etc/init.d/nessusd start # /etc/init.d/nessusd start Starting Nessus :. # Solaris 10 (sparc) Mise à niveau des commandes # /etc/init.d/nessusd stop # pkginfo grep nessus Voici un exemple de sortie pour la commande précédente montrant le progiciel Nessus : application TNBLnessus Vulnerability Scanner The Nessus Network Pour retirer le progiciel Nessus sur un système Solaris, exécutez Copyright Tenable Network Security, Inc. 14

15 la commande suivante : # pkgrm <package name> # gunzip Nessus-4.x.x-solaris-sparc.pkg.gz # pkgadd -d./nessus solaris-sparc.pkg The following packages are available: 1 TNBLnessus TNBLnessus (sparc) Select package(s) you wish to process (or 'all' to process all packages). (default: all) [?,??,q]: 1 # /etc/init.d/nessusd start Exemple de message # /etc/init.d/nessusd stop # pkginfo grep nessus application TNBLnessus Vulnerability Scanner The Nessus Network # pkgrm TNBLnessus (output redacted) ## Updating system information. Removal of <TNBLnessus> was successful. # gunzip Nessus solaris-sparc.pkg.gz # pkgadd -d./nessus solaris-sparc.pkg The following packages are available: 1 TNBLnessus The Nessus Network Vulnerability Scanner (sparc) Select package(s) you wish to process (or 'all' to process all packages). (default: all) [?,??,q]: 1 Processing package instance <TNBLnessus> from </export/home/cbf/tenable/nessus solarissparc.pkg> The Nessus Network Vulnerability Scanner (sparc) ## Processing package information. ## Processing system information. 13 package pathnames are already properly installed. ## Verifying disk space requirements. ## Checking for conflicts with packages already installed. ## Checking for setuid/setgid programs. This package contains scripts which will be executed with super-user Copyright Tenable Network Security, Inc. 15

16 permission during the process of installing this package. Do you want to continue with the installation of <TNBLnessus> [y,n,?]y Installing The Nessus Network Vulnerability Scanner as <TNBLnessus> ## Installing part 1 of 1. (output redacted) ## Executing postinstall script. - Please run /opt/nessus/sbin/nessus-adduser to add a user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /etc/init.d/nessusd start Installation of <TNBLnessus> was successful. # /etc/init.d/nessusd start # Remarques Pour mettre à niveau Nessus sur Solaris, il faut d'abord désinstaller la version existante, puis installer la dernière version. Ce processus ne supprime pas les fichiers de configuration ou les fichiers qui ne faisaient pas partie de l'installation initiale. FreeBSD 8 (32 et 64 bits) Si vous rencontrez des erreurs de compatibilité de bibliothèque, assurez-vous d'avoir appliqué le dernier systèmes de fichiers correctifs pour Solaris recommandé par Sun. Mise à niveau des commandes # killall nessusd # pkg_info Cette commande affiche une liste de tous les progiciels installés avec leur description. Voici un exemple de sortie pour la commande précédente montrant le progiciel Nessus : Nessus A powerful security scanner Retirez le progiciel Nessus en utilisant la commande suivante : # pkg_delete <package name> Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de FreeBSD exécutée : Copyright Tenable Network Security, Inc. 16

17 # pkg_add Nessus fbsd8.tbz # pkg_add Nessus fbsd8.amd64.tbz # /usr/local/nessus/sbin/nessusd -D Exemple de message # killall nessusd # pkg_delete Nessus # pkg_add Nessus fbsd8.tbz nessusd (Nessus) for FreeBSD (C) 2011 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /usr/local/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /usr/local/etc/rc.d/nessusd.sh start # /usr/local/nessus/sbin/nessusd -D nessusd (Nessus) for FreeBSD (C) 2011 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded # Remarques Pour mettre à niveau Nessus sur FreeBSD, il faut d'abord désinstaller la version existante, puis installer la dernière version. Ce processus ne supprimera pas les fichiers de configuration ou les fichiers qui ne faisaient pas partie de l'installation initiale. INSTALLATION La première opération de mise à jour et de traitement des plugins par Nessus peut prendre plusieurs minutes. Le serveur Web affiche le message «Nessus is initializing..» (Nessus s'initialise ) et se recharge lorsqu'il est prêt. Téléchargez la dernière version de Nessus depuis par l'intermédiaire du portail d assistance de Tenable. Confirmez l'intégrité du progiciel d'installation en comparant la somme de contrôle du téléchargement MD5 avec celle indiquée dans le fichier MD5.asc ici. Copyright Tenable Network Security, Inc. 17

18 Sauf indication contraire, toutes les commandes doivent être exécutées par l'utilisateur root du système. Les comptes d'utilisateur ordinaires n'ont généralement pas les privilèges requis pour installer ce logiciel. Le tableau suivant fournit des instructions d'installation pour le serveur Nessus sur toutes les plateformes prise en charge. Toutes les instructions spéciales d'installation sont indiquées dans une remarque après l'exemple. Plateforme Instructions d'installation Red Hat ES 4 (32 bits), ES 5 (32 et 64 bits) Commande d'installation Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de Red Hat exécutée : # rpm -ivh Nessus es4.i386.rpm # rpm -ivh Nessus es5.i386.rpm # rpm -ivh Nessus es5.x86_64.rpm Exemple de message # rpm -ivh Nessus es4.i386.rpm Preparing... ########################################### [100%] 1:Nessus ########################################### [100%] nessusd (Nessus) for Linux (C) Tenable Network Security, Inc. Fedora Core 12, 13 et 14 (32 et 64 bits) - Please run /opt/nessus//sbin/nessus-adduser to add a user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /sbin/service nessusd start # Commande d'installation Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de Fedora Core exécutée : # rpm -ivh Nessus fc12.i386.rpm # rpm -ivh Nessus fc12.x86_64.rpm # rpm -ivh Nessus fc14.i386.rpm # rpm -ivh Nessus fc14.x86_64.rpm Exemple de message # rpm -ivh Nessus fc12.i386.rpm Preparing... ########################################### [100%] 1:Nessus ########################################### [100%] Copyright Tenable Network Security, Inc. 18

19 SuSE 9,3 (32 bits), 10 (32 et 64 bits) nessusd (Nessus) for Linux (C) Tenable Network Security, Inc. - Please run /opt/nessus//sbin/nessus-adduser to add a user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /sbin/service nessusd start # Commande d'installation Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de SuSE exécutée : # rpm -ivh Nessus suse9.3.i586.rpm # rpm -ivh Nessus suse10.0.i586.rpm # rpm ivh Nessus suse10.x86_64.rpm Exemple de message # rpm -ivh Nessus suse10.0.i586.rpm Preparing... ################################## [100%] 1:Nessus ################################## [100%] Nessusd {Nessus} for Linux (C) Tenable Network Security, Inc. Debian 5 (32 et 64 bits) - Please run /opt/nessus//sbin/nessus-adduser to add a user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /etc/rc.d/nessusd start # Commande d'installation Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de Debian exécutée : # dpkg -i Nessus debian5_i386.deb # dpkg -i Nessus debian5_amd64.deb Exemple de message # dpkg -i Nessus debian5_i386.deb Selecting previously deselected package nessus. (Reading database files and directories currently installed.) Unpacking nessus (from Nessus debian5_i386.deb)... Setting up nessus (4.4.0)... nessusd (Nessus) for Linux (C) Tenable Network Security, Inc. Copyright Tenable Network Security, Inc. 19

20 - Please run /opt/nessus/sbin/nessus-adduser to add a user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /etc/init.d/nessusd start # Remarques Le démon Nessus ne peut pas redémarrer tant que Nessus n'a pas été enregistré et qu un téléchargement de plugin n'a pas été effectué. Par défaut, Nessus est fourni avec un ensemble de plugins vide. Si vous essayez de démarrer Nessus sans plugin, la sortie suivante est retournée : # /etc/init.d/nessusd start Starting Nessus :. # Missing plugins. Attempting a plugin update... Your installation is missing plugins. Please register and try again. To register, please visit Ubuntu 8.04, 9.10, et (32 et 64 bits) Commande d'installation Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version d'ubuntu exécutée : # dpkg -i Nessus ubuntu804_i386.deb # dpkg -i Nessus ubuntu804_amd64.deb # dpkg -i Nessus ubuntu910_i386.deb # dpkg -i Nessus ubuntu910_amd64.deb # dpkg -i Nessus ubuntu1010_amd64.deb # dpkg -i Nessus ubuntu1010_i386.deb Exemple de message # dpkg -i Nessus ubuntu804_amd64.deb Selecting previously deselected package nessus. (Reading database files and directories currently installed.) Unpacking nessus (from Nessus ubuntu804_amd64.deb)... Setting up nessus (4.4.0)... - Please run /opt/nessus/sbin/nessus-adduser to add a user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /etc/init.d/nessusd start # Copyright Tenable Network Security, Inc. 20

21 Solaris 10 (sparc) Commande d'installation Exemple de message # gunzip Nessus solaris-sparc.pkg.gz # pkgadd -d./nessus solaris-sparc.pkg The following packages are available: 1 TNBLnessus The Nessus Network Vulnerability Scanner (sparc) Select package(s) you wish to process (or 'all' to process all packages). (default: all) [?,??,q]:1 # gunzip Nessus solaris-sparc.pkg.gz # pkgadd -d./nessus solaris-sparc.pkg The following packages are available: 1 TNBLnessus The Nessus Network Vulnerability Scanner (sparc) Select package(s) you wish to process (or 'all' to process all packages). (default: all) [?,??,q]:1 Processing package instance <TNBLnessus> from </tmp/nessus solaris-sparc.pkg> The Nessus Network Vulnerability Scanner(sparc) ## Processing package information. ## Processing system information. ## Verifying disk space requirements. ## Checking for conflicts with packages already installed. ## Checking for setuid/setgid programs. This package contains scripts which will be executed with super-user permission during the process of installing this package. Do you want to continue with the installation of <TNBLnessus> [y,n,?]y Installing The Nessus Network Vulnerability Scanner as <TNBLnessus> ## Installing part 1 of 1. (output redacted) ## Executing postinstall script. - Please run /opt/nessus/sbin/nessus-adduser to add a user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /etc/init.d/nessusd start Installation of <TNBLnessus> was successful. # /etc/init.d/nessusd start # Copyright Tenable Network Security, Inc. 21

22 Remarques Si vous rencontrez des erreurs de compatibilité de bibliothèque, assurez-vous d'avoir appliqué le dernier système de fichiers correctifs pour Sun recommandé par Sun. FreeBSD 8 (32 et 64 bits) Commande d'installation Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de FreeBSD exécutée : # pkg_add Nessus fbsd8.tbz # pkg_add Nessus fbsd8.amd64.tbz Exemple de message # pkg_add Nessus fbsd8.tbz nessusd (Nessus) for FreeBSD (C) Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /usr/local/nessus/sbin/nessus-adduser to add an admin user - Register your Nessus scanner at to obtain all the newest plugins - You can start nessusd by typing /usr/local/etc/rc.d/nessusd.sh start # Une fois que Nessus est installé, il est recommandé de personnaliser le fichier de configuration fourni pour l'environnement correspondant, selon la description dans la section «Configuration». Nessus doit être installé dans /opt/nessus. Toutefois, si /opt/nessus est un lien symbolique symlink vers un autre emplacement, cela est acceptable. CONFIGURATION Répertoires principaux de Nessus Le tableau ci-dessous répertorie les emplacements d'installation et les répertoires principaux utilisés par Nessus : Répertoire d'accueil Nessus Distributions Unix Red Hat, SuSE, Debian, Ubuntu, Sous-répertoires Nessus./etc/nessus/ Objet Fichiers de configuration Copyright Tenable Network Security, Inc. 22

23 Solaris : /opt/nessus FreeBSD : /usr/local/nessus./var/nessus/users/<username>/kbs/ Base de connaissance de l'utilisateur sauvegardée sur disque./lib/nessus/plugins/ Plugins Nessus Mac OS X /Library/Nessus/run./var/nessus/logs/ Fichiers journaux Nessus Créer un utilisateur Nessus Créez au moins un utilisateur Nessus de sorte que les utilitaires clients puissent se connecter à Nessus pour lancer les scans et extraire les résultats. Sauf indication contraire, exécutez toutes les commandes en tant qu'utilisateur root du système. Pour l'authentification par mot de passe, utilisez la commande nessus-adduser pour ajouter des utilisateurs. Pour le premier utilisateur créé, il est recommandé qu'il soit l'utilisateur administrateur. Chaque utilisateur Nessus a un ensemble de règles appelées «règles d'utilisateur» qui contrôlent ce qu'il peut et ne peut pas scanner. Par défaut, si les règles d'utilisateur ne sont pas enregistrées pendant la création d'un nouvel utilisateur Nessus, l'utilisateur peut scanner toute plage d'ip. Nessus prend en charge un ensemble global de règles conservé dans le fichier «nessusd.rules». Ces règles ont priorité sur toute règle d'utilisateur spécifique. Lors de la création de règles d'utilisateur spécifiques, celles-ci doivent affiner davantage les règles globales existantes. # /opt/nessus/sbin/nessus-adduser Login : sumi_nessus Login password : Login password (again) : Do you want this user to be a Nessus 'admin' user? (can upload plugins, etc...) (y/n) [n]: y User rules nessusd has a rules system which allows you to restrict the hosts that sumi_nessus has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser manual for the rules syntax Enter the rules for this user, and enter a BLANK LINE once you are done : (the user can have an empty rules set) Login : sumi_nessus Password : *********** This user will have 'admin' privileges within the Nessus server Rules : Copyright Tenable Network Security, Inc. 23

24 Is that ok? (y/n) [y] y User added # Un utilisateur qui n est pas administrateur ne peut pas télécharger des plugins vers Nessus, ne peut pas le redémarrer à distance (ce qui est nécessaire après un téléchargement de plugins) et ne peut pas annuler le réglage max_hosts/max_checks dans nessusd.conf. S'il est prévu que l'utilisateur soit utilisé par SecurityCenter, il doit être un utilisateur administrateur. SecurityCenter conserve sa propre liste d'utilisateurs et définit les permissions pour ceux-ci. Un seul scanner Nessus peut prendre en charge un arrangement complexe d'utilisateurs multiples. Par exemple, une organisation peut nécessiter que plusieurs employés aient accès au même scanner Nessus mais puissent aussi scanner des plages d'ip différentes, autorisant ainsi à certains employés d'accéder des plages d'ip limitées. L'exemple suivant illustre la création d'un deuxième utilisateur Nessus avec authentification par mot de passe et des règles d'utilisateur qui limitent l'utilisateur au scan d'un sousréseau de catégorie B, /16. Pour d autres exemples et la syntaxe des règles d utilisateur, voir la page man concernant nessus-adduser. # /opt/nessus/sbin/nessus-adduser Login : tater_nessus Login password : Login password (again) : Do you want this user to be a Nessus 'admin' user? (can upload plugins, etc...) (y/n) [n]: n User rules nessusd has a rules system which allows you to restrict the hosts that tater_nessus has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser manual for the rules syntax Enter the rules for this user, and enter a BLANK LINE once you are done : (the user can have an empty rules set) accept /16 deny /0 Login : tater_nessus Password : *********** Rules : accept /16 deny /0 Is that ok? (y/n) [y] y User added # Copyright Tenable Network Security, Inc. 24

25 Pour visualiser la page man de nessus-adduser(8), il peut être nécessaire d'exécuter les commandes suivantes sur certains systèmes d'exploitation : # export MANPATH=/opt/nessus/man # man nessus-adduser Dans Nessus 4.0.x et versions précédentes, l'authentification entre le client Nessus et le serveur Nessus était configurable en utilisant les certificats SSL. Ceci n'est plus nécessaire car l'accès au serveur Nessus se fait par authentification SSL Web, pas par un client Nessus séparé. La seule exception est l'authentification entre SecurityCenter et le serveur Nessus puisque SecurityCenter fonctionne comme un client Nessus. Des renseignements sur l'authentification du certificat SSL pour cette configuration sont disponibles dans la documentation SecurityCenter. Installation du code d'activation des plugins Si vous utilisez le SecurityCenter de Tenable, le code d'activation et les mises à jour de plugin sont gérés à partir du SecurityCenter. Afin de communiquer avec le SecurityCenter, Nessus doit démarrer, ce qu'il ne fait normalement pas sans un code d'activation valide et des plugins. Pour que Nessus ignore cette exigence et démarre (de façon à obtenir les mises à jour de plugin du SecurityCenter), exécutez la commande suivante : # nessus-fetch --security-center Immédiatement après avoir exécuté la commande «nessus-fetch» ci-dessus, utilisez la commande appropriée pour démarrer le serveur Nessus. Le serveur Nessus peut maintenant être ajouté au SecurityCenter par l'intermédiaire de l'interface Web du SecurityCenter. Voir la documentation du SecurityCenter pour la configuration des feeds de plugins centralisés pour plusieurs scanners Nessus. Avant que Nessus démarre pour la première fois, il faut fournir un code d'activation pour télécharger les plugins actuels. L'opération initiale de téléchargement et de traitement des plugins nécessitera un délai supplémentaire avant que le serveur Nessus ne soit prêt. Selon le service de souscription, vous recevez un code d'activation qui donne droit à recevoir les plugins du ProfessionalFeed ou du HomeFeed. Ceci synchronise le scanner Nessus avec tous les plugins disponibles. Les codes d'activation peuvent être des chaînes de 16 ou 20 caractères alphanumériques avec des tirets. Pour installer le code d'activation, tapez la commande suivante sur le système exécutant Nessus, en remplaçant <Activation code> par le code d'enregistrement reçu : Linux et Solaris : # /opt/nessus/bin/nessus-fetch --register <Activation Code> FreeBSD : # /usr/local/nessus/bin/nessus-fetch --register <Activation Code> Copyright Tenable Network Security, Inc. 25

26 Après l'enregistrement initial, Nessus télécharge et compile en arrière-plan les plugins obtenus sur plugins.nessus.org, plugins-customers.nessus.org ou pluginsus.nessus.org. La première fois, il faut compter jusqu'à 10 minutes pour que le serveur Nessus soit prêt. Lorsque le message «nessusd is ready» (nessusd est prêt) apparaît dans le journal nessusd.messages, le serveur Nessus accepte les connexions des clients et l'interface de scan est disponible. Le code d'activation n est pas sensible à la casse. Une connexion Internet est requise pour cette étape. Si vous exécutez Nessus sur un système qui n'est pas connecté à Internet, suivez les étapes de la section «Nessus sans accès Internet» pour installer le code d'activation. L'exemple ci-dessous indique les étapes à suivre pour enregistrer le code d'activation des plugins, récupérer les plugins les plus récents du site Web de Nessus et vérifier que le téléchargement a réussi. # /opt/nessus/bin/nessus-fetch --register XXXX-XXXX-XXXX-XXXX-XXXX Your activation code has been registered properly thank you. Now fetching the newest plugin set from plugins.nessus.org... Your Nessus installation is now up-to-date. If auto_update is set to 'yes' in nessusd.conf, Nessus will update the plugins by itself. # cat /opt/nessus/lib/nessus/plugins/plugin_feed_info.inc PLUGIN_SET = " "; PLUGIN_FEED = "ProfessionalFeed (Direct)"; Le fichier plugin_feed_info.inc, situé dans le répertoire /opt/nessus/lib/nessus/plugins/, vérifie le groupe et le type de feed de plugin qui sont disponibles. L'examen de ce fichier aide à vérifier que vous disposez des derniers plugins. DEMARRER LE DEMON NESSUS Nessus ne démarre pas tant que le scanner n'est pas enregistré et que les plugins n'ont pas été téléchargés. Les utilisateurs du SecurityCenter qui ont saisi la commande suivante n'ont pas besoin de fournir un code d'enregistrement ou de télécharger les plugins : # nessus-fetch --security-center Démarrez le service Nessus en tant qu'utilisateur root avec la commande suivante : Linux et Solaris : # /opt/nessus/sbin/nessus-service -D Copyright Tenable Network Security, Inc. 26

27 FreeBSD : # /usr/local/nessus/sbin/nessus-service -D Cet exemple illustre les messages qui s affichent au démarrage de nessusd pour Red Hat : # /opt/nessus/sbin/nessus-service -D nessusd (Nessus) for Linux (C) Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded # Si vous souhaitez supprimer le message de la commande, utilisez l'option «-q» comme suit : Linux et Solaris : # /opt/nessus/sbin/nessus-service -q -D FreeBSD : # /usr/local/nessus/sbin/nessus-service -q -D Vous pouvez aussi démarrer Nessus en utilisant la commande suivante, selon la plateforme du système d'exploitation : Système d'exploitation Red Hat Fedora Core SuSE Debian FreeBSD Solaris Ubuntu Commande de démarrage nessusd # /sbin/service nessusd start # /sbin/service nessusd start # /etc/rc.d/nessusd start # /etc/init.d/nessusd start # /usr/local/etc/rc.d/nessusd.sh start # /etc/init.d/nessusd start # /etc/init.d/nessusd start Après le démarrage du service nessusd, les utilisateurs de SecurityCenter ont terminé l'installation et la configuration initiales de leur scanner Nessus 4. Si SecurityCenter n'est Copyright Tenable Network Security, Inc. 27

28 pas utilisé pour se connecter à nessusd, continuez en suivant les instructions ci-dessous pour installer le code d'activation des plugins. ARRETER LE DEMON NESSUS S'il faut arrêter le service nessusd pour une raison quelconque, la commande suivante arrête Nessus et arrête aussi brusquement tout scan en cours : # killall nessusd Il est recommandé d'utiliser plutôt les scripts de mise à l'arrêt, plus graduels : Système d'exploitation Red Hat Fedora Core SuSE Debian FreeBSD Solaris Ubuntu Commande d'arrêt nessusd # /sbin/service nessusd stop # /sbin/service nessusd stop # /etc/rc.d/nessusd stop # /etc/init.d/nessusd stop # /usr/local/etc/rc.d/nessusd.sh stop # /etc/init.d/nessusd stop # /etc/init.d/nessusd stop OPTIONS DE LIGNE DE COMMANDE NESSUSD En plus de gérer le serveur nessusd, il existe plusieurs options de ligne de commande qui peuvent être utilisées selon les besoins. Le tableau ci-dessous contient des informations sur ces diverses options de commande. Option Description -c <config-file> Lors du démarrage du serveur nessusd, cette option est utilisée pour spécifier le fichier de configuration côté serveur nessusd à utiliser. Elle permet d'utiliser un autre fichier de configuration à la place du fichier standard /opt/nessus/etc/nessus/nessusd.conf (ou /usr/local/nessus/etc/nessus/nessusd.conf pour FreeBSD). -a <address> Lors du démarrage du serveur nessusd, cette option est utilisée pour indiquer au serveur d'écouter seulement les connexions à l'adresse <address> qui est une adresse IP, et non pas un nom d'appareil. Cette option est utile si nessusd est exécuté sur une Copyright Tenable Network Security, Inc. 28

29 passerelle et si vous ne souhaitez pas que des personnes extérieures se connectent à nessusd. -S <ip[,ip2,...]> Lors du démarrage du serveur nessusd, force l'ip source des connexions établies par Nessus pendant le scan dans <ip>. Cette option est utile seulement si vous disposez d'un périphérique multiconnecté avec plusieurs adresses IP publiques que voussouhaitez utiliser à la place de celle par défaut. Pour que cette configuration fonctionne, l'hôte exécutant nessusd doit avoir plusieurs cartes réseau avec ces adresses IP définies. -p <port-number> Lors du démarrage du serveur nessusd, cette option indique au serveur d'écouter les connexions de client sur le port <portnumber> plutôt que celles sur le port 1241, qui est le port par défaut. -D Lors du démarrage du serveur nessusd, cette option fait fonctionner le serveur en arrière-plan (mode démon). -v Affichage du numéro de la version et sortie. -l Affichage des renseignements de licence de feed de plugin et sortie. -h Affichage d'un résumé des commandes et sortie. --ipv4-only --ipv6-only Prend en compte le socket IPv4 seulement. Prend en compte le socket IPv6 seulement. -q Fonctionnement en mode «silencieux», suppression de tous les messages à stdout. -R Force un nouveau traitement des plugins. -t Vérification de l'horodatage de chaque plugin lors du démarrage. -K Définition d'un mot de passe général pour le scanner. Si un mot de passe général est défini, Nessus chiffre toutes les stratégies et tous les identifiants contenus dans celles-ci avec la clé fournie par l'utilisateur (qui est beaucoup plus sécurisée que la clé par défaut). Si un mot de passe est défini, l'interface Web invite à saisir le mot de passe lors du démarrage. AVERTISSEMENT : Si le mot de passe général est défini mais perdu, il ne peut pas être récupéré par l'administrateur ou le service d'assistance de Tenable. Copyright Tenable Network Security, Inc. 29

30 Voici ci-dessous un exemple d'utilisation : Linux : # /opt/nessus/sbin/nessus-service [-vhd] [-c <config-file>] [-p <portnumber>] [-a <address>] [-S <ip[,ip,...]>] FreeBSD : # /usr/local/nessus/sbin/nessus-service [-vhd] [-c <config-file>] [-p <portnumber>] [-a <address>] [-S <ip[,ip,...]>] CONNEXION A UN CLIENT Une fois que l'installation est terminée et que les plugins ont été mis à jour et traités, le serveur Nessus est prêt à être connecté à un client. Tenable prend en charge l'accès au serveur Nessus par l'intermédiaire d'un serveur Web natif (port 8834 par défaut), de la ligne de commande ou de l'interface du SecurityCenter (qui est traitée dans la section intitulée «Travailler avec SecurityCenter»). Vous trouverez plus d informations sur l'accès au serveur Web/à l'interface utilisateur et sur le fonctionnement de la ligne de commande dans le «Guide de l'utilisateur Nessus» situé à La première opération de mise à jour et de traitement des plugins par Nessus peut prendre plusieurs minutes. Le serveur Web sera disponible mais il n'autorisera pas de connexions tant que le traitement des plugins n'a pas été effectué. MISE A JOUR DES PLUGINS La commande suivante est utilisée pour mettre à jour le scanner Nessus avec les plugins les plus récents : Linux et Solaris : # /opt/nessus/sbin/nessus-update-plugins FreeBSD : # /usr/local/nessus/sbin/nessus-update-plugins Comme de nouvelles erreurs sont découvertes et publiées chaque jour, de nouveaux plugins Nessus sont écrits quotidiennement. Pour conserver la mise à jour du scanner Nessus avec les derniers plugins, ce qui assure que les scans sont aussi précis que possible, il faut mettre à jour les plugins fréquemment. Quelle doit être la fréquence de mise à jour des plugins? En général, une mise à jour quotidienne des plugins Nessus est suffisante pour la plupart des entreprises. Si vous avez absolument besoin des plugins les plus récents et si vous avez l'intention faire des mises à jour continues tout au long de la journée, une mise à jour toutes les quatre heures est suffisante car des mises à jour plus fréquentes n'offrent pratiquement pas d'avantages. Copyright Tenable Network Security, Inc. 30

31 Mise à jour automatique des plugins Depuis la version 3.0, Nessus obtient les derniers plugins de façon régulière et automatique. Ceci est fait grâce à l'option auto_update située dans le fichier nessusd.conf. La valeur par défaut de cette option est paramétrée sur «yes» (oui). L'option auto_update_delay détermine la fréquence de mise à jour des plugins par Nessus, en heures, avec une valeur par défaut de 24. Une valeur minimum de 4 heures peut aussi être sélectionnée. La mise à jour des plugins intervient au nombre déterminé d'heures après le démarrage de nessusd et continuera par la suite à chaque multiple de ce nombre d'heures. Pour que cette option fonctionne correctement, il faut vérifier que le scanner possède un code d'activation de feed de plugin enregistré correctement. Utilisez la commande suivante pour effectuer cette vérification : Linux et Solaris : # /opt/nessus/bin/nessus-fetch --check FreeBSD : # /usr/local/nessus/bin/nessus-fetch --check Les mises à jour automatiques des plugins sont tentées uniquement si : > L'option auto_update est paramétrée sur yes dans le fichier nessusd.conf ; > Le code d'activation de feed de plugin a été enregistré par nessus-fetch à partir de ce scanner alors qu'il était directement connecté à Internet ; et > Le scanner n'est pas géré à distance par SecurityCenter de Tenable. Un enregistrement des feed de plugin hors ligne ne permettra pas à Nessus d'obtenir automatiquement les derniers plugins. Programmation des mises à jour des plugins avec Cron Si une entreprise a des raisons techniques ou logistiques pour ne pas permettre à Nessus de mettre à jour automatiquement ses plugins, il est aussi possible de configurer un programme cron pour le faire. Pour configurer un système afin d'effectuer chaque nuit la mise à jour des plugins à l'aide de cron, effectuez les étapes suivantes : > Passez en mode root (racine) en saisissant su root (ou sudo bash si vous possédez des privilèges sudo). > En tant que root, saisissez crontab -e pour éditer le crontab (fichier de configuration) de l'utilisateur racine. > Ajoutez la ligne suivante dans le crontab : 28 3 * * * /opt/nessus/sbin/nessus-update-plugins La configuration ci-dessus invoquera la commande nessus-update-plugins toutes les nuits à 3h28. Puisque nessus-update-plugins redémarre nessusd automatiquement sans interrompre les scans en cours, il n'est pas nécessaire de faire quoi que ce soit d'autre. Copyright Tenable Network Security, Inc. 31

32 Lors de la configuration de cron pour les mises à jour des plugins, veillez à ne pas commencer la mise à jour en début d'heure. Pour configurer un programme, choisissez des minutes au hasard après le début de l'heure, entre xh05 et xh55, et démarrez le téléchargement à ce moment. À partir de 4.4, Nessus peut mettre à jour les plugins alors que des scans sont en cours. Lorsque la mise à jour est terminée, tout scan ultérieur commencera à utiliser l'ensemble de plugins mis à jour. Il n'est pas nécessaire que l utilisateur se déconnecte de l'interface Web pendant le processus. Mise à jour des plugins par l'intermédiaire de proxys Web Sur les systèmes d'exploitation Unix,Nessus prend en charge l'enregistrement des produits et les mises à jour des plugins par l'intermédiaire de proxys Web qui exigent une authentification de base. Les paramètres du proxy se trouvent dans le fichier /opt/nessus/etc/nessus/nessusfetch.rc. Quatre lignes correspondantes contrôlent la connectivité basée sur proxy. Ces lignes sont indiquées ci-dessous avec un exemple de syntaxe : proxy=myproxy.example.com proxy_port=8080 proxy_username=juser proxy_password=squirrel Pour la directive «proxy», un nom d'hôte DNS ou une adresse IP peut être utilisée. Un seul proxy peut être spécifié dans le fichier nessus-fetch.rc. En outre, une directive user_agent peut être spécifiée, si nécessaire, pour indiquer à Nessus d'utiliser un agent d'utilisateur HTTP personnalisé. SUPPRESSION DE NESSUS Le tableau suivant fournit des instructions pour supprimer le serveur Nessus sur toutes les plates-formes prises en charge. Sauf pour les instructions relatives à Mac OS X, les instructions fournies ne supprimeront pas les fichiers de configuration ou les fichiers qui ne faisaient pas partie de l'installation initiale. Les fichiers qui faisaient partie du progiciel initial mais qui ont changé depuis leur installation ne seront pas non plus supprimés. Pour supprimer complètement les fichiers restants, utilisez la commande suivante : Linux et Solaris : # rm -rf /opt/nessus FreeBSD : # rm -rf /usr/local/nessus/bin Plate-forme Instructions pour la suppression Red Hat ES 4 (32 bits), ES 5 (32 et 64 bits) Commande de suppression Déterminez le nom du progiciel : # rpm -qa grep Nessus Copyright Tenable Network Security, Inc. 32

33 Utilisez la sortie de la commande ci-dessus pour retirer le progiciel : # rpm -e <Package Name> Exemple de message # rpm -qa grep -i nessus Nessus es5 # rpm -e Nessus es5 # Fedora Core 12, 13 et 14 (32 et 64 bits) Commande de suppression Déterminez le nom du progiciel : # rpm -qa grep Nessus Utilisez la sortie de la commande ci-dessus pour retirer le progiciel : # rpm -e <Package Name> SuSE 9,3 (32 bits), 10 (32 et 64 bits) Commande de suppression Déterminez le nom du progiciel : # rpm -qa grep Nessus Debian 5 (32 et 64 bits) Utilisez la sortie de la commande ci-dessus pour retirer le progiciel : # rpm -e <Package Name> Commande de suppression Déterminez le nom du progiciel : # dpkg -l grep -i nessus Utilisez la sortie de la commande ci-dessus pour retirer le progiciel : # dpkg -r <package name> Exemple de message # dpkg -l grep nessus ii nessus Version 4 of the Nessus Scanner # dpkg -r nessus # Copyright Tenable Network Security, Inc. 33

34 Ubuntu 8.04, 9.10, et (32 et 64 bits) Commande de suppression Déterminez le nom du progiciel : # dpkg -l grep -i nessus Utilisez la sortie de la commande ci-dessus pour retirer le progiciel : # dpkg -r <package name> Exemple de message # dpkg -l grep -i nessus ii nessus Version 4 of the Nessus Scanner # Solaris 10 (sparc) Commande de suppression Arrêtez le service nessusd : # /etc/init.d/nessusd stop Déterminez le nom du progiciel : # pkginfo grep i nessus Supprimez le progiciel Nessus : # pkgrm <package name> Exemple de message Voici un exemple de sortie pour la commande précédente montrant le progiciel Nessus : # pkginfo grep i nessus application TNBLnessus Vulnerability Scanner # pkgrm TNBLnessus # The Nessus Network FreeBSD 8 (32 et 64 bits) Commande de suppression Arrêtez Nessus : # killall nessusd Déterminez le nom du progiciel : # pkg_info grep -i nessus Retirez le progiciel Nessus : # pkg_delete <package name> Copyright Tenable Network Security, Inc. 34

35 Exemple de message # killall nessusd # pkg_info grep -i nessus Nessus A powerful security scanner # pkg_delete Nessus # Mac OS X Commande de suppression Lancez une fenêtre de terminal : depuis «Applications», cliquez sur «Utilities» (utilitaires), puis cliquez sur «Terminal» ou «X11». À partir de l'invite de shell, utilisez la commande «sudo» pour exécuter un shell racine et supprimez les répertoires Nessus comme suit : $ sudo /bin/sh Password: # ls -ld /Library/Nessus # rm -rf /Library/Nessus # ls -ld /Library/Nessus # ls -ld /Applications/Nessus # rm -rf /Applications/Nessus # ls -ld /Applications/Nessus # ls -ld /Library/Receipts/Nessus* # rm -rf /Library/Receipts/Nessus* # ls -ld /Library/Receipts/Nessus* # exit Exemple de message Remarques $ sudo /bin/sh Password: # ls -ld /Library/Nessus drwxr-xr-x 6 root admin 204 Apr 6 15:12 /Library/Nessus # rm -rf /Library/Nessus # ls -ld /Library/Nessus ls: /Library/Nessus: No such file or directory # ls -ld /Applications/Nessus drwxr-xr-x 4 root admin 136 Apr 6 15:12 /Applications/Nessus # rm -rf /Applications/Nessus # ls -ld /Applications/Nessus # ls -ld /Library/Receipts/Nessus* drwxrwxr-x 3 root admin 102 Apr 6 15:11 /Library/Receipts/Nessus Client.pkg drwxrwxr-x 3 root admin 102 Apr 6 15:11 /Library/Receipts/Nessus Server.pkg # rm -rf /Library/Receipts/Nessus* # ls -ld /Library/Receipts/Nessus* ls: /Library/Receipts/Nessus*: No such file or directory # exit $ N'entreprenez pas ce processus si vous n'êtes pas familiarisé avec les commandes shell d'unix. Les commandes «ls» sont incluses pour vérifier que le nom du chemin d'accès est saisi correctement. Copyright Tenable Network Security, Inc. 35

36 WINDOWS MISE A NIVEAU Mise à niveau à partir de Nessus x Pour mettre à niveau Nessus d'une version 4.x vers une version 4.x plus récente, le processus de mise à niveau demande si l'utilisateur souhaite supprimer tout le contenu du répertoire Nessus. Si cette option est choisie (en sélectionnant «Yes»(oui)), un processus de désinstallation est émulé. Si cette option est choisie, les utilisateurs précédemment créés, les stratégies de scan existantes et les résultats de scan seront supprimés et le scanner perdra son enregistrement. Mise à niveau à partir de Nessus x Une mise à niveau directement de Nessus 3.0.x vers Nessus 4.x n'est pas prise en charge ; toutefois, une mise à niveau vers la version 3.2 peut être utilisée comme étape intermédiaire pour vérifier que les paramètres et les stratégies de scan importants sont conservés. S'il n'est pas nécessaire de conserver les paramètres de scan, désinstallez d'abord Nessus 3.x, puis installez une nouvelle version de Nessus 4. Pour mettre à niveau vers 3.2 en tant qu'étape intermédiaire, consultez le Guide d installation de Nessus 3.2 pour plus d informations. Mise à niveau à partir de Nessus 3.2 et versions ultérieures Si vous utilisez Nessus 3.2 ou version ultérieure, vous pouvez télécharger le progiciel Nessus 4 et l'installer sans désinstaller la version existante. Tous les rapports de scan des vulnérabilités précédents et toutes les politiques précédentes seront sauvegardés et ils ne seront pas supprimés, le cas échéant. L'invite ci-dessous apparaît pendant la mise à niveau pour donner à l'utilisateur la possibilité de sauvegarder ou de supprimer l'installation précédente : Cliquez sur «Yes» (oui) pour autoriser Nessus à tenter de supprimer l'ensemble du dossier Nessus ainsi que tout fichier ajouté manuellement, ou sur «No» (non) pour conserver le dossier Nessus ainsi que les scans, rapports, etc., existants. Une fois la nouvelle version de Nessus installée, ceux-ci pourront toujours être affichés et exportés. Avertissement! Si «Yes» est sélectionné, tous les fichiers du répertoire Nessus seront supprimés, y compris les fichiers journaux, les plugins personnalisés ajoutés manuellement et autres. Il faut choisir cette option avec précaution! Copyright Tenable Network Security, Inc. 36

37 INSTALLATION Téléchargement de Nessus La dernière version de Nessus est disponible à Nessus 4.4 est disponible sur Windows XP, Server 2003, Server 2008, Vista et Windows 7. Confirmez l'intégrité du progiciel d'installation en comparant la somme de contrôle du téléchargement MD5 avec celle indiquée dans le fichier MD5.asc ici. Les tailles et les noms des fichiers de distribution de Nessus varient légèrement d'une version à l'autre mais les tailles sont d environ 12 Mo. Installation Nessus est distribué sous forme de fichier d'installation exécutable. Placez le fichier sur le système sur lequel il sera installé ou sur un lecteur commun accessible par le système. Vous devez installer Nessus en utilisant un compte administrateur, et non un compte d'utilisateur sans privilèges. Si vous recevez une erreur associée à des permissions, le message «Access Denied» (accès refusé) ou des erreurs suggérant qu'une action s'est produite à cause de privilèges insuffisants, assurez-vous que l'vous utilisez un compte avec des privilèges administratifs. Si ces erreurs apparaissent pendant l utilisation des utilitaires de ligne de commande, exécutez cmd.exe avec les privilèges «Run as» (exécuter en tant que ) paramétrés sur «administrator» (administrateur). Certains progiciels antivirus peuvent considérer Nessus comme un ver informatique ou un programme malveillant. Ceci est dû au grand nombre de connexions TCP créées pendant un scan. Si l antivirus émet un avertissement, cliquez sur «allow» (autoriser) pour autoriser Nessus à poursuivre le scan. La plupart des progiciels antivirus permettent également d'ajouter des programmes à une liste d'exceptions. Ajoutez Nessus.exe et Nessus-service.exe à cette liste pour éviter ce genre d avertissement. Questions concernant l'installation Copyright Tenable Network Security, Inc. 37

38 Au cours de l'installation, Nessus invite l'utilisateur à fournir certaines informations de base. Avant de commencer, vous devez accepter l'accord de licence : Après l'avoir accepté, vous pouvez configurer l'emplacement où Nessus sera installé : Lorsque vous êtes invité à sélectionner le «Setup Type» (Type de configuration), sélectionnez «Complete» (complet). Copyright Tenable Network Security, Inc. 38

39 Vous êtes alors invité à confirmer l'installation : Une fois l'installation terminée, cliquez sur «Finish» (Terminer). Copyright Tenable Network Security, Inc. 39

40 Répertoires principaux de Nessus Répertoire d'accueil Nessus Sous-répertoires Nessus Objet Windows \Program Files\Tenable\Nessus \conf \data \nessus\plugins \nessus\users\<username>\kbs \nessus\logs Fichiers de configuration Modèles de feuille de style Plugins Nessus Base de connaissance de l utilisateur sauvegardée sur disque Fichiers journaux Nessus Si l'espace disque requis pour conserver les journaux se trouve en dehors du système de fichiers /opt, montez le répertoire cible souhaité en utilisant «mount -- bind <olddir> <newdir>» ou la syntaxe correspondant à la distribution spécifique. Les liens symboliques ne peuvent pas être utilisés pour cette opération. CONFIGURATION Cette section décrit comment configurer le serveur Nessus 4 sur un système Windows. Nessus Server Manager Pour démarrer, arrêter et configurer le serveur Nessus, utilisez Nessus Server Manager. Cette interface permet de : > Enregistrer le serveur Nessus sur nessus.org afin de recevoir les plugins mis à jour > Effectuer une mise à jour des plugins > Déterminer si le serveur Nessus doit se lancer à chaque démarrage de Windows > Gérer les utilisateurs de Nessus > Démarrer ou arrêter le serveur Nessus Ouvrez le gestionnaire de serveur Nessus à partir du menu Démarrer comme suit : Démarrer -> Programmes -> Tenable Network Security -> Nessus -> Nessus Server Manager. Cette action permet de lancer Nessus Server Manager(nessussvrmanager.exe) comme montré ci-dessous : Copyright Tenable Network Security, Inc. 40

41 Le bouton «Start Nessus Server» (Démarrer le serveur Nessus) n est pas disponible tant que le serveur Nessus n a pas été enregistré. Changement du port Nessus par défaut Pour charger le port sur lequel le serveur Nessus écoute, éditez le fichier nessusd.conf situé dans C:\Program Files\Tenable\Nessus\conf\. Les directives de configuration cidessous peuvent être modifiées pour changer les préférences d'écoute du service Nessus et celles du serveur Web : # Port to listen to (old NTP protocol). Used for pre 4.2 NessusClient # connections : listen_port = 1241 # Port for the Nessus Web Server to listen to (new XMLRPC protocol) : xmlrpc_listen_port = 8834 Après avoir modifié ces valeurs, arrêtez le service Nessus à l'aide de Nessus Server Manager et redémarrez-le. L'utilisation du client hérité à l'aide du protocole NTP est mise à la disposition des clients du ProfessionalFeed uniquement. Copyright Tenable Network Security, Inc. 41

42 Enregistrement de l'installation Nessus Si vous utilisez le SecurityCenter de Tenable, le code d'activation et les mises à jour des plugins sont gérés à partir de SecurityCenter. Afin de communiquer avec SecurityCenter, Nessus doit démarrer, ce qu'il ne fait normalement pas sans un code d'activation valide et des plugins. Pour que Nessus ignore cette exigence et démarre (de sorte qu'il puisse obtenir l'information auprès de SecurityCenter), exécutez la commande suivante à partir de l'invite MS-DOS : C:\Program Files\Tenable\Nessus>nessus-fetch --security-center Juste après avoir exécuté la commande «nessus-fetch» ci-dessus, utilisez le gestionnaire de services Windows pour démarrer le serveur Nessus. Le serveur Nessus peut maintenant être ajouté à SecurityCenter par l'intermédiaire de l'interface Web de SecurityCenter. Voir la documentation de SecurityCenter concernant la configuration des feeds de plugins centralisés pour plusieurs scanners Nessus. Après l'installation, la première chose à faire est d'enregistrer le serveur Nessus. L'enregistrement du serveur donne accès aux derniers plugins de nessus.org et permet de garantir que les audits sont à jour. Après l'enregistrement initial, Nessus télécharge et compile en arrière-plan les plugins obtenus auprès de plugins.nessus.org. La première fois, il faut compter jusqu'à 10 minutes pour que le serveur Nessus soit prêt. Tant que les plugins n'ont pas été téléchargés et compilés, l'interface du serveur Web n'est pas disponible. Le code d'activation n est pas sensible à la casse. Pour enregistrer Nessus, cliquez sur «Obtain an activation code» (Obtenir un code d'activation), ce qui vous redirige vers Vous pouvez ici obtenir la version ProfessionalFeed ou HomeFeed. Le ProfessionalFeed est requis pour l'utilisation commerciale et propose des mises à jour des plugins, une assistance à la clientèle, des audits de configuration, un environnement virtuel et plus encore. Le HomeFeed est requis pour les utilisateurs privés ; la licence ne donne pas droit à une utilisation professionnelle ou commerciale. Une fois les informations nécessaires fournies et traitées, vous recevez un contenant un code d'activation qui donne droit aux feeds ProfessionalFeed ou HomeFeed des plugins. Saisissez ce code dans le champ correspondant et cliquez sur le bouton «Register» (Enregistrer). ULe programme vous invite à saisir le nom d'utilisateur et le mot de passe de l'administrateur. Une fois que Nessus Server Manager autorise le code d'activation des feeds, la mise à jour des plugins Nessus commence. Ce processus peut prendre plusieurs minutes car le fichier initial des plugins à télécharger est très volumineux. Si vous n'enregistrez pas la copie de Nessus, vous ne pourrez pas recevoir les nouveaux plugins ni démarrer le serveur Nessus. Copyright Tenable Network Security, Inc. 42

43 Après l'enregistrement, l'interface de Nessus Server Manager affiche la fenêtre suivante : Remarque : Vous pouvez aussi démarrer Nessus à partir de la ligne de commande : C:\Windows\system32>net stop "Tenable Nessus" The Tenable Nessus service is stopping. The Tenable Nessus service was stopped successfully. C:\Windows\system32>net start "Tenable Nessus" The Tenable Nessus service is starting. The Tenable Nessus service was started successfully. C:\Windows\system32> Réinitialisation des codes d'activation À un certain moment, il peut être nécessaire de changer les codes d'activation (par exemple, lors de la mise à niveau du HomeFeed au ProfessionalFeed). Ceci peut se faire en utilisant le bouton «Clear registration file» (Effacer le fichier d'enregistrement) sur l'interface Nessus Server Manager. Après confirmation, l'enregistrement de la copie de Copyright Tenable Network Security, Inc. 43

44 Nessus est annulé jusqu'à ce qu'un code d'activation soit obtenu et le produit est à nouveau enregistré. Créer et gérer les utilisateurs Nessus Permettre les connexions à distance S'il est prévu que le scanner Nessus soit utilisé à distance (par exemple avec SecurityCenter), il faut sélectionner «Allow remote users to connect to this server» (Autoriser les utilisateurs distants à se connecter à ce serveur). Si cette case est décochée, le serveur Nessus est disponible uniquement pour les clients locaux. Si cette case est cochée, le serveur Nessus est accessible en utilisant les clients installés sur l'hôte local, les clients installés sur un hôte à distance ou l'interface SecurityCenter (qui sera abordée dans la suite de ce document, sous la section «. Des informations sur les clients Nessus sont disponibles dans le «Guide de l'utilisateur Nessus 4.4». Ajout de comptes d'utilisateur Cliquez sur «Manage Users» (Gérer les utilisateurs) pour créer et gérer les comptes pour le serveur Nessus : Copyright Tenable Network Security, Inc. 44

45 Pour créer un utilisateur, cliquez sur le bouton «+» et saisissez les nouveaux nom d'utilisateur et mot de passe. Cochez la case «Administrator» (Administrateur) si l'utilisateur sera un administrateur : Sélectionnez un nom dans la liste et cliquez sur le bouton «Edit» (Éditer) pour pouvoir changer le mot de passe de l'utilisateur (voir la capture d'écran ci-dessous). Si vous cliquez sur le bouton «-» après avoir sélectionné un utilisateur, celui-ci sera supprimé après confirmation. Copyright Tenable Network Security, Inc. 45

46 Il n'est pas possible de renommer un utilisateur. Pour changer le nom d'un utilisateur, supprimez l'utilisateur et créez un nouvel utilisateur avec le nom de connexion approprié. Nessus utilise un compte d administrateur interne pour les communications locales entre l interface graphique Nessus et le Tenable Nessus Service. Ce compte ne peut pas être utilisé pour une connexion distante à partir d'un client Nessus. Firewalls de l'hôte Si le serveur Nessus est configuré sur un hôte avec un firewall «personnel» tel que Zone Alarm, Sygate, le firewall Windows XP ou tout autre logiciel de firewall, les connexions doivent être autorisées à partir de l'adresse IP du client Nessus. Par défaut, le port 8834 est utilisé pour Nessus Web Server (interface utilisateur). Sur les systèmes Microsoft XP service pack 2 (SP2) et plus récents, l'utilisateur peut cliquer sur l'icône «Centre de sécurité» dans le «Panneau de configuration» pour avoir la Copyright Tenable Network Security, Inc. 46

47 possibilité de gérer les réglages du firewall Windows. Pour ouvrir le port 8834, choisissez l'onglet «Exceptions» puis ajoutez le port «8834» à la liste. Pour les autres logiciels de firewalls personnels, consultez la documentation sur les instructions de configuration. Lancement du démon Nessus Pour démarrer le démon Nessus, cliquez sur le bouton «Start Nessus Server» (Démarrer le serveur Nessus) dans Nessus Server Manager. Pour que Nessus démarre automatiquement, cochez la case «Start the Nessus Server when Windows boots» (Lancer le serveur Nessus au démarrage de Windows). Nessus est installé en tant que service «Tenable Nessus» sous Windows et configuré pour démarrer automatiquement si le système redémarre. Cette configuration s effectue en cochant la case «Start the Nessus Server when Windows boots». Le redémarrage du service nessusd marque la conclusion de l'installation et de la configuration initiales du scanner Nessus 4 pour les utilisateurs de SecurityCenter qui peuvent passer à la section «Travailler avec SecurityCenter». Si le démon Nessus n'est pas lancé ou si l'interface utilisateur n'est pas disponible, le navigateur Internet affichera un message d'erreur indiquant qu'il n'a pas pu se connecter : Par défaut, le serveur Nessus est exécuté sur un hôte local ( ) et il écoute sur le port 1241 pour les clients hérités. Pour vérifier que Nessus écoute sur le port 1241, entrez la commande «netstat -an findstr 1241» à partir de la ligne de commande Windows comme montré ci-dessous : Copyright Tenable Network Security, Inc. 47

48 C:\Documents and Settings\admin>netstat -an findstr 1241 TCP : :0 LISTENING La sortie « :1241», ce qui signifie qu'un serveur écoute sur ce port. Ceci peut être utilisé pour vérifier que le serveur Web (interface utilisateur) est disponible en saisissant «8834» au lieu de «1241» dans la commande ci-dessus. Nessus Service ne démarre qu'après l'installation et la mise à jour des plugins. La première opération de mise à jour et de traitement des plugins par Nessus peut prendre plusieurs minutes. Le serveur Web affichera le message «Nessus is initializing.» (Nessus s'initialise) et se rechargera lorsqu'il sera prêt : Lors de la première connexion à l'interface Web, le navigateur peut afficher un avertissement au sujet d'une connexion non sécurisée. Ceci est dû au fait que Nessus est livré avec un certificat SSL par défaut. Vous trouverez plus d informations sur ce sujet dans le guide de l'utilisateur Nessus. MISE A JOUR DES PLUGINS Nessus possède des dizaines de milliers de plugins (ou scripts) qui recherchent les vulnérabilités des réseaux et des hôtes. De nouvelles vulnérabilités sont fréquemment découvertes et de nouveaux plugins sont développés pour détecter ces vulnérabilités. Pour que le scanner Nessus soit toujours à jour avec les derniers plugins, afin de garantir des scans aussi précis que possible, vous devez mettre à jour les plugins sur une base quotidienne. L'option «Perform a daily plugin update» (Effectuer une mise à jour quotidienne des plugins) configure le serveur Nessus pour qu'il mette automatiquement à jour les plugins à partir de Tenable toutes les 24 heures. Ceci se produit approximativement à l'heure de la journée à laquelle vou savez démarré Nessus. Copyright Tenable Network Security, Inc. 48

49 Vous pouvez forcer une mise à jour des plugins en cliquant sur le bouton «Update Plugins» (Mettre à jour les plugins) comme indiqué ci-dessous : Quelle doit être la fréquence de mise à jour des plugins? En général, une mise à jour quotidienne des plugins Nessus est suffisante pour la plupart des entreprises. Si vous avez absolument besoin des plugins les plus récents et si vous avez l'intention de faire des mises à jour continues tout au long de la journée, une mise à jour toutes les quatre heures est suffisante car des mises à jour plus fréquentes n'offrent pratiquement pas d'avantages. Mise à jour des plugins par l'intermédiaire de proxys Web Nessus sur Windows prend en charge l'enregistrement du produit et les mises à jour des plugins grâce à des proxys Web qui exigent une authentification de base. Les réglages de proxy se trouvent dans le fichier C:\Program Files\Tenable\Nessus\conf\nessusfetch.rc. Quatre lignes correspondantes contrôlent la connectivité basée sur proxy. Ces lignes sont indiquées ci-dessous avec un exemple de syntaxe : proxy=myproxy.example.com proxy_port=8080 proxy_username=juser proxy_password=guineapig Pour la directive «proxy», un nom d'hôte DNS ou une adresse IP peut être utilisé. Un proxy seulement peut être spécifié dans le fichier nessus-fetch.rc. En outre, une directive user_agent peut être spécifiée, si nécessaire, pour indiquer à Nessus d'utiliser un agent d'utilisateur HTTP personnalisé. Comme pour Nessus 4.2, les scanners Microsoft Windows acceptent l'authentification par proxy, y compris NTLM. SUPPRESSION DE NESSUS Pour supprimer Nessus, dans le Panneau de configuration ouvrez «Ajouter ou supprimer des programmes». Sélectionnez «Tenable Nessus», puis cliquez sur le bouton «Modifier/Supprimer». Ceci ouvre InstallShield Wizard. Suivez les consignes de cet assistant pour supprimer complètement Nessus. Vous êtes alors invité à décider si vous souhaitez supprimer l'ensemble du dossier Nessus. Répondez «Oui» uniquement si vous ne souhaitez pas conserver les résultats de scan ou les stratégies que vous pouvez avoir créées. Copyright Tenable Network Security, Inc. 49

50 MAC OS X MISE A NIVEAU La mise à niveau à partir d'une version de Nessus plus ancienne est similaire à une nouvelle installation. Toutefois, vous devrez arrêter et redémarrer le serveur Nessus à la fin de l'installation. Téléchargez le fichier Nessus-4.x.x.dmg.gz, puis double-cliquez sur ce dernier pour le décompresser. Double-cliquez sur le fichier Nessus-4.x.x.dmg, pour monter l'image du disque et l'afficher sous «Périphériques» dans le «Finder». Une fois que le volume «Nessus 4» apparaît dans le «Finder», double-cliquez sur le fichier Nessus 4. Lorsque l'installation est terminée, allez à /Applications/Nessus/ et lancez Nessus Server Manager. Pour terminer la mise à niveau, cliquez sur le bouton «Update Plugins» (Mettre à jour les plugins) : INSTALLATION La dernière version de Nessus est disponible à Nessus est disponible pour Mac OS X 10.4 et Confirmez l'intégrité du progiciel d'installation en comparant la somme de contrôle du téléchargement MD5 à celle indiquée dans le fichier MD5.asc ici. Copyright Tenable Network Security, Inc. 50

51 Pour installer Nessus sur Mac OS X, téléchargez le fichier Nessus-4.x.x.dmg.gz, puis double-cliquez sur ce dernier pour le décompresser. Double-cliquez sur le fichier Nessus- 4.x.x.dmg, pour monter l'image du disque et l'afficher sous «Périphériques» dans le «Finder». Une fois que le volume «Nessus 4» apparaît dans le «Finder», double-cliquez sur le fichier Nessus 4 comme montré ci-dessous : Le programme d'installation vous demandera plusieurs fois d'indiquer un nom d'utilisateur administrateur et un mode de passe. L'installation s affiche comme suit : Copyright Tenable Network Security, Inc. 51

52 Cliquez sur «Continue» (Continuer) ; une boîte de dialogue s'affichera, vous demandant d'accepter les conditions de la licence avant de continuer : Après avoir accepté la licence, une autre boîte de dialogue s'affiche, pour vous permettre de changer l'emplacement d'installation par défaut comme montré ci-dessous : Copyright Tenable Network Security, Inc. 52

53 Cliquez sur le bouton «Install» pour continuer l'installation. Vous devrez saisir le nom de l'utilisateur administrateur et le mot de passe. L'installation est réussie lorsque l'écran suivant s'affiche : CONFIGURATION Cette section explique comment configurer le serveur Nessus 4 sur un système Max OS X. Nessus Server Manager Pour démarrer, arrêter et configurer le serveur Nessus, utilisez le programme Nessus Server Manager situé dans /Applications/Nessus/ : Si Nessus a été mis à niveau, Nessus Client est toujours répertorié dans le dossier Nessus. Il n'est plus nécessaire d'utiliser Nessus Client pour gérer les scans Nessus et vous pouvez le retirer si nécessaire. «Nessus Client.url» est un lien qui permet de gérer Nessus avec le navigateur Web. Les nouvelles installations n'incluent pas Nessus Client. Copyright Tenable Network Security, Inc. 53

54 L'interface de Nessus Server Manager permet de : > Enregistrer le serveur Nessus sur nessus.org afin de recevoir les plugins mis à jour > Effectuer une mise à jour des plugins > Déterminer si le serveur Nessus doit ou non se lancer à chaque démarrage de Mac OS X > Gérer les utilisateurs Nessus > Démarrer ou arrêter le serveur Nessus À chaque fois que vous démarrez «Nessus Server Manager», le programme vous invite à indiquer un nom d'utilisateur administrateur et un mot de passe puisque l'interaction avec le serveur Nessus exige des privilèges root. Pour démarrer Nessus Server Manager, double-cliquez sur l'icône ; un écran initial s'affiche comme suit : Le bouton «Start Nessus Server» (Démarrer le serveur Nessus) n est pas disponible tant que le serveur Nessus n a pas été enregistré. Copyright Tenable Network Security, Inc. 54

55 Enregistrement de l'installation Nessus Si vous utilisez Tenable SecurityCenter, le code d'activation et les mises à jour de plugins sont gérés à partir de SecurityCenter. Afin de communiquer avec SecurityCenter, Nessus doit démarrer, ce qu'il ne fait normalement pas sans un code d'activation valide et des plugins. Pour que Nessus ignore cette exigence et démarre (de sorte qu'il puisse obtenir les informations à partir de SecurityCenter), exécutez la commande suivante à partir d'une invite de shell root : # /Library/Nessus/run/bin/nessus-fetch --security-center Juste après avoir exécuté la commande «nessus-fetch» ci-dessus, utilisez la commande appropriée pour démarrer le serveur Nessus. Le serveur Nessus peut maintenant être ajouté à SecurityCenter par l'intermédiaire de l'interface Web SecurityCenter. Voir la documentation SecurityCenter pour la configuration des feeds de plugins centralisés pour plusieurs scanners Nessus. Après l'installation, la première chose à faire est d'enregistrer le serveur Nessus. L'enregistrement du serveur permet d'accéder aux derniers plugins depuis nessus.org et il garantit que les audits sont à jour. Pour enregistrer Nessus, cliquez sur «Obtain an activation code» (Obtenir un code d'activation), pour être redirigé sur Vous pouvez y obtenir une version ProfessionalFeed ou HomeFeed. ProfessionalFeed est requis pour l'utilisation commerciale et propose des mises à jour des plugins, une assistance à la clientèle, des audits de configuration, un environnement virtuel et plus encore. HomeFeed est requis pour les utilisateurs privés ; la licence n'autorise pas une utilisation professionnelle ou commerciale. Une fois que les informations nécessaires sont fournies et traitées, vous recevez un qui contient un code d'activation donnant droit aux feeds ProfessionalFeed ou HomeFeed des plugins. Saisissez ce code dans le champ approprié et cliquez sur le bouton «Register» (Enregistrer). Le programme vous invite à saisir le nom d'utilisateur administrateur et le mot de passe. Une fois que Nessus Server Manager autorise le code d'activation des feeds, la mise à jour des plugins Nessus commence. Ce processus peut prendre plusieurs minutes car le fichier initial des plugins à télécharger est très volumineux. Si vous n'enregistrez pas la copie de Nessus n'est pas enregistrée, vous ne pourrez pas de recevoir les nouveaux plugins ni démarrer le serveur Nessus. Copyright Tenable Network Security, Inc. 55

56 Après l'enregistrement, l'interface Nessus Server Manager affiche ce qui suit : Réinitialisation des codes d'activation À un certain moment, il peut être nécessaire de changer les codes d'activation (par exemple, lors de la mise à niveau du HomeFeed au ProfessionalFeed). Ceci peut se faire en utilisant le bouton «Clear registration file» (Effacer le fichier d'enregistrement) sur l'interface Nessus Server Manager. Après confirmation, l'enregistrement de la copie de Nessus est annulé jusqu'à ce qu'un code d'activation soit obtenu et le produit est à nouveau enregistré. Création et gestion d utilisateurs Nessus Permettre les connexions à distance S'il est prévu que le scanner Nessus soit utilisé à distance (par exemple avec SecurityCenter), sélectionnez «Allow remote users to connect to this server» (Autoriser les utilisateurs distants à se connecter à ce serveur). Si cette case est décochée, le serveur Nessus est disponible pour le client Nessus local seulement. Copyright Tenable Network Security, Inc. 56

57 Si cette case est cochée, le serveur Nessus est accessible en utilisant les clients installés sur l'hôte local, les clients installés sur un hôte à distance ou l'interface SecurityCenter (qui sera abordée dans la suite de ce document, sous la section «Travailler avec SecurityCenter»). Des informations sur les clients Nessus sont disponibles dans le «Guide de l'utilisateur Nessus 4.4». Ajout de comptes d'utilisateur Cliquez sur «Manage Users» (Gérer les utilisateurs) pour créer et gérer les comptes pour le serveur Nessus : Sauf si vous êtes expérimenté, vous ne devez pas modifier ou supprimer l'utilisateur local «localuser», car cela interromprait le serveur Local Connection pour Nessus. Pour créer un utilisateur, cliquez sur le bouton «+» et saisissez les nouveaux nom d'utilisateur et mot de passe. Cochez la case «Administrator» si l'utilisateur sera un administrateur. Sélectionnez un nom dans la liste et cliquez sur le bouton «Edit» pour pouvoir changer le mot de passe de l'utilisateur (voir la capture d'écran ci-dessous). Si vous Copyright Tenable Network Security, Inc. 57

58 cliquez sur le bouton «-» après avoir sélectionné un utilisateur, celui-ci sera supprimé après confirmation. Il n'est pas possible de renommer un utilisateur. Pour changer le nom d'un utilisateur, supprimez l'utilisateur et créez-en un nouveau avec le nom de connexion approprié. Lancement du démon Nessus Pour démarrer le démon Nessus, cliquez sur le bouton «Start Nessus Server» (Démarrer le serveur Nessus) dans Nessus Server Manager. Pour que Nessus démarre automatiquement, cochez la case «Start the Nessus Server when Windows boots» (Démarrer le serveur Nessus au démarrage de Windows). Lorsque le service nessusd démarre, le traitement des plugins prend plusieurs minutes, comme montré ci-dessous : Le redémarrage du service nessusd marque la conclusion de l'installation et de la configuration initiales du scanner Nessus 4 pour les utilisateurs de SecurityCenter qui peuvent passer à la section «Travailler avec SecurityCenter». MISE A JOUR DES PLUGINS Nessus possède des dizaines de milliers de plugins (ou scripts) qui recherchent les vulnérabilités des réseaux et des hôtes. De nouvelles vulnérabilités sont fréquemment découvertes et de nouveaux plugins sont développés pour détecter ces vulnérabilités. Pour que le scanner Nessus soit toujours à jour avec les derniers plugins, afin de garantir des scans aussi précis que possible, vous devez mettre à jour les plugins sur une base quotidienne. L'option «Perform a daily plugin update» (Effectuer une mise à jour quotidienne des plugins) configure le serveur Nessus pour qu'il mette automatiquement à jour les plugins à partir de Tenable toutes les 24 heures. Ceci se produit approximativement à l'heure de la journée à laquelle vou savez démarré Nessus. Vous pouvez forcer une mise à jour des plugins en cliquant sur le bouton «Update Plugins» (Mettre à jour les plugins) comme illustré ci-dessous : Copyright Tenable Network Security, Inc. 58

59 Quelle doit être la fréquence de mise à jour des plugins? En général, une mise à jour quotidienne des plugins Nessus est suffisante pour la plupart des entreprises. Si vous avez absolument besoin des plugins les plus récents et si vous avez l'intention faire des mises à jour continues tout au long de la journée, une mise à jour toutes les quatre heures est suffisante car des mises à jour plus fréquentes n'offrent pratiquement pas d'avantages. Cochez la case «Start the Nessus server when booting» (Démarrer le serveur Nessus lors d du démarrage) pour autoriser l'accès aux utilisateurs distants et mettre à jour les plugins sur une base quotidienne. SUPPRESSION DE NESSUS Pour supprimer Nessus, arrêtez le service Nessus et supprimez les répertoires ci-dessous : /Library/Nessus /Applications/Nessus /Library/Receipts/Nessus* Si vous n'êtes pas familiarisé avec l utilisation des lignes de commande Unix sur un système Mac OS X, contactez le service d'assistance de Tenable. Il existe des outils gratuits tels que «DesInstaller.app» ( et «CleanApp» ( qui peuvent aussi être utilisés pour supprimer Nessus. Tenable n'est pas associée à ces outils et ils n'ont pas été testés spécifiquement pour supprimer Nessus. CONFIGURATION DU DEMON NESSUS (UTILISATEURS AVANCES) Le fichier /opt/nessus/etc/nessus/nessusd.conf contient plusieurs options configurables. Par exemple, c'est ici que sont spécifiés le nombre maximum de contrôles et d'hôtes à scanner en même temps, les feeds que nessusd doit utiliser et la vitesse à laquelle les données doivent être lues, ainsi que beaucoup d'autres options. Ce fichier est créé automatiquement avec des paramètres par défaut mais il est recommandé d'examiner et de modifier ces paramètres selon les besoins de l'environnement de scan. Toutes les options de configuration sont expliquées à la fin de cette section. En particulier, les valeurs max_hosts et max_checks peuvent avoir des conséquences non négligeables sur la capacité du système Nessus à effectuer des scans et à scanner ces systèmes pour rechercher les vulnérabilités du réseau. Il faut faire particulièrement attention aux deux paramètres ci-dessous. Copyright Tenable Network Security, Inc. 59

60 Voici les deux paramètres et leur valeur par défaut comme indiqué dans le fichier nessusd.conf : # Maximum number of simultaneous hosts tested: max_hosts = 40 # Maximum number of simultaneous checks against each host tested: max_checks = 5 Ces paramètres seront remplacés pour chaque scan lorsque vous utilisez SecurityCenter de Tenable ou de l'interface utilisateur Nessus. Pour afficher ou modifier ces options pour un modèle de scan dans SecurityCenter, modifiez les «Scan Options» (options de scan) d'un Scan Template (modèle de scan). Dans Nessus User Interface, modifiez la stratégie de scan, puis cliquez sur l'onglet «Options». Il faut garder à l'esprit que les paramètres dans nessusd.conf seront toujours remplacés par les valeurs définies dans les options de stratégies de client Web SecurityCenter Scan Template ou Nessus lorsque le scan est effectué à l'aide de ces outils. Le paramètre max_checks présente une limite codée en dur de 15. Toute valeur supérieure à 5 produira souvent des effets nuisibles car les serveurs ne peuvent normalement pas prendre en charge autant de demandes intrusives en même temps. Remarques concernant max_hosts : Comme son nom l'indique, c'est le nombre maximum de systèmes cibles qui seront scannés en même temps. Plus le nombre de systèmes scannés simultanément par un scanner Nessus individuel est élevé, plus la mémoire vive, le processeur et la bande passante du système de scanner sont sollicités. Il faut prendre en compte la configuration matérielle du système de scanner et les autres applications qu'il exécute pour configurer la valeur max_hosts. Puisque d'autres facteurs propres à l'environnement de scan affecteront aussi les scans de Nessus (par exemple la stratégie de scan de l'organisation, tout autre trafic réseau, l'effet d'un type particulier de scan sur les hôtes cibles de scan), une expérimentation permettra de trouver la configuration optimalw pour max_hosts. Un point de départ prudent pour déterminer la meilleure configuration de max_hosts dans un environnement d'entreprise serait de le paramétrer sur «20» sur un système Nessus basé sur Unix et sur «10» sur un scanner Nessus basé sur Windows. Remarques concernant max_checks : Il s'agit du nombre de contrôles ou de plugins qui seront exécutés simultanément sur un même hôte cible pendant un scan. Si ce nombre est trop élevé, les systèmes scannés pourraient être inondés, suivant les plugins utilisés pour le scan. Multipliez max_checks par max_hosts pour obtenir le nombre de contrôles simultanés qui peuvent potentiellement être exécutés à un moment donné lors d'un scan. Puisque max_checks et max_hosts sont utilisés ensemble, un paramétrage trop élevé de Copyright Tenable Network Security, Inc. 60

61 max_checks peut aussi causer des contraintes de ressources sur un système de scanner Nessus. Comme pour max_hosts, l'expérimentation permet de parvenir à la configuration optimale pour max_checks, mais il est recommandé de toujours choisir un paramètre bas. Si le fichier nessusd.conf est édité, il faut redémarrer Nessus pour que les modifications soient prises en compte. Durant le processus de mise à niveau vers la version 4.4, Nessus n'écrase pas le fichier nessusd.conf en cours. De ce fait, plusieurs options ne seront pas incluses dans le fichier de configuration. Pour ces options exclues, Nessus utilise les paramètres par défaut tels qu'ils seraient inclus pour une nouvelle installation de la version 4.4. Le tableau ci-dessous propose une brève explication de chaque option de configuration disponible dans le fichier nessusd.conf. Un grand nombre de ces options sont configurables à partir de l'interface utilisateur lors de la création d'une stratégie de scan. Les options pour la version sont mises en gras. Option auto_update auto_update_delay purge_plugin_db throttle_scan Description Mises à jour automatiques des plugins. Si elle est activée et si Nessus est enregistré, les derniers plugins sont obtenus automatiquement depuis plugins.nessus.org. Désactivez si le scanner est sur un réseau isolé qui ne peut pas être connecté à Internet. Nombre d'heures d'attente entre deux mises à jour. Quatre (4) heures est l'intervalle minimum admissible. Détermine si Nessus doit purger la base de données des plugins lors de chaque mise à jour. Si «yes» (oui) est choisi, la mise à jour sera nettement plus lente. Ralentit le scan lorsque l'uc est surchargée. logfile Emplacement où le fichier journal de Nessus est enregistré. www_logfile log_whole_attack dumpfile rules Emplacement où le journal Nessus Web Server(interface utilisateur) est enregistré. Consigner tous les détails de l'attaque? Utile pour le debugging des problèmes de scan, mais pourrait surcharger le disque. Emplacement d'un fichier de vidage pour la sortie d'un debugging éventuel. Emplacement du fichier Nessus Rules. cgi_path Lors des tests des serveurs Web, utilisez cette liste de chemin d'accès CGI délimitée par deux points. Copyright Tenable Network Security, Inc. 61

62 port_range optimize_test checks_read_timeout Plage de ports que les scanners de port vont scanner. Peut utiliser les mots clés «default» (défaut) ou «all» (tous) ainsi qu'une liste de ports ou des plages de ports délimitée par des virgules. Optimise la procédure de test. Si cvous passez ce paramètre sur «no», les scans prendront plus longtemps et produiront généralement davantage de faux positifs. Temporisation de lecture pour les sockets des tests. non_simult_ports plugins_timeout safe_checks auto_enable_dependencies silent_dependencies use_mac_addr save_knowledge_base plugin_upload plugin_upload_suffixes Ports sur lesquels deux plugins ne doivent pas être exécutés simultanément. Durée de vie maximale d'une activité de plugin (en secondes). Safe checks se base sur la capture des bannières au lieu des tests actifs pour une vulnérabilité. Active automatiquement les plugins de dépendance. Si elle est désactivée, les plugins pourraient ne pas tous être exécutés, même s'ils sont sélectionnés dans une stratégie de scan. Si elle est activée, la liste des dépendances de plugin et leur sortie ne sont pas incluses dans le rapport. Désigne les hôtes par leur adresse MAC, au lieu de l'adresse IP (utile pour les réseaux DHCP). Sauvegarde la base de connaissances sur le disque pour utilisation ultérieure. Indique si les utilisateurs admin peuvent télécharger les plugins. Suffixes des plugins que l administrateur peut télécharger. slice_network_addresses listen_address Si cette option est définie, Nessus ne scanne pas un réseau de façon incrémentielle ( , puis , puis et ainsi de suite ) mais essaie de fractionner le travail sur l'ensemble du réseau (par exemple il scanne , puis , puis , puis , et ainsi de suite ). Adresses IPv4 pour écouter les connexions entrantes. listen_port xmlrpc_listen_port Port sur lequel écouter (ancien protocole NTP). Utilisé pour les connexions antérieures à NessusClient 4.2. Port pour Nessus Web Server sur lequel écouter (nouveau protocole XMLRPC). Copyright Tenable Network Security, Inc. 62

63 xmlrpc_idle_session_ timeout xmlrpc_min_password_len enable_listen_ipv4 Temporisation de session inactive XMLRPC (en minutes) Indique à Nessus d appliquer une stratégie pour la longueur du mot de passe pour les utilisateurs du scanner. Indique à Nessus d'écouter sur IPv4. enable_listen_ipv6 source_ip ssl_cipher_list disable_ntp Indique à Nessus d'écouter sur IPv6 si le système prend en charge l'adressage IPv6. Dans le cas d'un système multiconnecté avec des IP différentes sur le même sous-réseau, cette option indique au scanner Nessus le NIC/IP à utiliser pour les tests. Si plusieurs IP sont fournies, Nessus les parcourt en cycle l'un après l'autre chaque fois qu'il effectue une connexion. Accepte uniquement les cryptage SSL «forts» pour une connexion au port Prend en charge le mot clé «fort» ou les désignations OpenSSL génériques telles que répertoriées sur Désactive l'ancien protocole hérité NTP. disable_xmlrpc Désactive la nouvelle interface XMLRPC (Web Server). nasl_no_signature_check nasl_log_type use_kernel_congestion_ detection global.max_scans global.max_web_users global.max_simult_tcp_ sessions Nessus doit-il considérer tous les scripts NASL comme signés? La sélection de «yes» (oui) est dangereuse et n'est pas recommandée. Spécifie le type de sortie de moteur NASL dans nessusd.dump. Utilise les messages de congestion TCP de Linux pour réduire l'activité de scan selon les besoins. Si elle n'est pas paramétrée sur zéro, elle définit le nombre maximum de scans qui peuvent être exécutés en parallèle. Remarque : Si cette option n'est pas utilisée, aucune limite n'est respectée. Si elle n'est pas paramétrée sur zéro, elle définit le nombre maximum d'utilisateurs (Web) qui sont connectés en parallèle. Remarque : Si cette option n'est pas utilisée, aucune limite n'est respectée. Nombre maximum de sessions TCP simultanées entre tous les scans. Remarque : Si cette option n'est pas utilisée, aucune limite n'est respectée. Copyright Tenable Network Security, Inc. 63

64 max_simult_tcp_sessions Nombre maximum de sessions TCP simultanées par scan. host.max_simult_tcp_ sessions reduce_connections_on_ congestion stop_scan_on_disconnect stop_scan_on_hang Nombre maximum de sessions TCP simultanées par hôte scanné. Réduit le nombre de sessions TCP en parallèle lorsque le réseau semble être congestionné. Arrête de scanner un hôte qui semble avoir été déconnecté pendant le scan. Arrête un scan qui semble être figé. paused_scan_timeout Arrête un scan en pause après un nombre de minutes spécifié (0 pour aucune temporisation) report_crashes Signaler anonymement les pannes à Tenable? nessus_syn_scanner. global_throughput.max qdb_mem_usage xmlrpc_import_feed_ policies Définit le nombre maximum de paquets syn que Nessus envoie par seconde pendant son scan de port (quel que soit le nombre d'hôtes scannés en parallèle). Ajustez ce réglage en fonction de la sensibilité du périphérique distant aux grands nombres de paquets syn. Indique à Nessus d'utiliser plus ou moins de mémoire lorsqu'il est inactif. Si Nessus est exécuté sur un serveur dédié, le réglage de ce paramètre sur «high» (haut) utilisera plus de mémoire pour augmenter la performance. Si Nessus est exécuté sur un appareil partagé, le réglage de ce paramètre sur «low» (bas) utilisera beaucoup moins de mémoire, mais avec un impact modéré sur la performance. Si ce paramètre est réglé sur «no» (non), Nessus n'inclura pas les stratégies de scan par défaut fournies par Tenable. Les paramètres dans nessusd.conf peuvent être annulés par les paramètres utilisateur dans un fichier.nessusrc. Par défaut, un abonnement au HomeFeed configurera report_crashes sur «yes» et un abonnement au ProfessionalFeed configurera report_crashes sur «no». Les informations associées à une panne dans Nessus seront envoyées à Tenable pour faciliter le debugging des problèmes et fournir un logiciel de la meilleure qualité possible. Aucune information personnelle ou d identification du système n'est envoyée. Copyright Tenable Network Security, Inc. 64

65 CONFIGURATION DE NESSUS AVEC UN CERTIFICAT SSL PERSONNALISE L'installation par défaut de Nessus utilise un certificat SSL auto-signé. Lorsque l'interface Web est utilisée pour la première fois pour accéder au scanner Nessus, le navigateur Web affiche une erreur indiquant que le certificat n'est pas sécurisé : Pour éviter les avertissements du navigateur, un certificat SSL personnalisé correspondant à l'organisation peut être utilisé. Pendant l'installation, Nessus crée deux fichiers qui constituent le certificat : servercert.pem et serverkey.pem. Ces fichiers doivent être remplacés par des fichiers de certificat créés par l entreprise ou par une autorité de certification (CA - Certificate Authority) de confiance. Avant de remplacer les fichiers de certificat, arrêtez le serveur Nessus. Remplacez les deux fichiers et redémarrez le serveur Nessus. Les connexions ultérieures au scanner ne devraient pas afficher d erreur si le certificat a été créé par une CA de confiance. Le tableau ci-dessous répertorie les emplacements des fichiers de certificats en fonction du système d'exploitation : Système d'exploitation Linux et Solaris FreeBSD Windows Mac OS X Emplacements des fichiers de certificat /opt/nessus/com/nessus/ca/servercert.pem /opt/nessus/var/nessus/ca/serverkey.pem /usr/local/nessus/com/nessus/ca/servercert.pem /usr/local/nessus/var/nessus/ca/serverkey.pem C:\Program Files\Tenable\Nessus\nessus\CA\ /Library/Nessus/run/com/nessus/CA/servercert.pem /Library/Nessus/run/var/nessus/CA/serverkey.pem Copyright Tenable Network Security, Inc. 65

66 À partir de la version 4.4, Nessus prend en charge les chaînes de certificat SSL. Vous pouvez aussi consulter address]:8834/getcert pour installer la CA root dans le navigateur, ce qui éliminera l'avertissement. NESSUS SANS ACCES INTERNET Cette section décrit les étapes nécessaires pour enregistrer le scanner Nessus, installer le code d'activation et recevoir les derniers plugins lorsque le système Nessus n'a pas d'accès direct à Internet. Les codes d'activation récupérés à l'aide du processus hors ligne décrit ci-dessous sont associés au scanner Nessus utilisé pendant le processus initial. Il n'est pas possible d'utiliser le groupe de plugins téléchargé avec un autre scanner Nessus. ENREGISTRER LE SCANNER NESSUS Vous devez récupérer le code d'activation pour l'abonnement Nessus à partir du compte du portail d assistance Tenable pour le ProfessionalFeed ou à partir de l' d'enregistrement au HomeFeed. Vous devez vous abonner au ProfessionalFeed pour pouvoir utiliser Nessus dans un environnement professionnel, même si cela ne concerne pas directement des fins commerciales. Ceci inclut le scan de votre ordinateur de bureau au travail ou d'un ordinateur familial utilisé à des fins commerciales. Veuillez lire le Contrat d abonnement pour d informations sur le type d'abonnement qui vous correspond. Les utilisateurs qualifiés pour un abonnement au HomeFeed peuvent s enregistrer en allant sur en saisissant l'adresse électronique de l'utilisateur enregistré. Pour acheter le ProfessionalFeed, contactez Tenable à l adresse sales@tenable.comou visitez la boutique en ligne sur Tenable vous enverra alors un code d'activation pour ProfessionalFeed. Vous ne pouvez utiliser qu'un seul code d'activation par scanner, sauf si les scanners sont gérés par SecurityCenter. Une fois que vous disposez du code d'activation, lancez la commande suivante sur le système qui exécute Nessus : Windows : C:\Program Files\Tenable\Nessus>nessus-fetch.exe --challenge Linux et Solaris : # /opt/nessus/bin/nessus-fetch --challenge FreeBSD : # /usr/local/nessus/bin/nessus-fetch --challenge Mac OS X # /Library/Nessus/run/bin/nessus-fetch --challenge Copyright Tenable Network Security, Inc. 66

67 Ceci produit une chaîne appelée «challenge» qui ressemble à ce qui suit : 569ccd9ac72ab3a62a3115a945ef8e710c0d73b8 Ensuite, allez sur et copiez-collez dans les cases de texte correspondantes la chaîne «challenge» ainsi que le code d'activation reçu précédemment : Copyright Tenable Network Security, Inc. 67

68 Ceci produit un URL similaire à la capture d'écran si-dessous : Cet écran donne accès au téléchargement des derniers feeds de plugins Nessus (all- 2.0.tar.gz) ainsi qu'au fichier nessus-fetch.rc en bas de l'écran. Enregistrez cette URL car elle servira lors de chaque mise à jour des plugins, comme décrit dans la section suivante. Un code d'enregistrement utilisé pour les mises à jour hors ligne ne peut pas être utilisé sur le même serveur de scanner Nessus par l'intermédiaire de Nessus Server Manager. Si vous devez à un moment ou à un autre vérifier le code d'enregistrement pour un scanner donné, utilisez l'option --code-in-use du programme nessus-fetch. Copiez le fichier nessus-fetch.rc sur l'hôte exécutant Nessus dans le répertoire suivant : Windows : C:\Program Files\Tenable\Nessus\conf Linux et Solaris : /opt/nessus/etc/nessus/ FreeBSD : Copyright Tenable Network Security, Inc. 68

69 /usr/local/nessus/etc/nessus/ Mac OS X : /Library/Nessus/run/etc/nessus/ Le fichier nessus-fetch.rc ne doit être copié qu une seule fois. Il faudra copier les téléchargement ultérieurs de plugins Nessus dans le répertoire approprié à chaque fois, comme décrit dans la section suivante. Par défaut, Nessus tente de mettre à jour ses plugins toutes les 24 heures une vois que vous l'avez enregistré. Si vous ne voulez pas que cette mise à jour en ligne soit effectuée, éditez simplement nessusd.conf et configurez «auto_update» sur «no». OBTENTION ET INSTALLATION DE PLUGINS A JOUR Effectuez cette étape à chaque fois qu'une mise à jour des plugins est effectuée hors ligne. Windows Pour obtenir les derniers plugins, allez à l'url fournie à l'étape précédente, téléchargez le fichier nommé «all-2.0.tar.gz» et sauvegardez-le dans le répertoire C:\Program Files\Tenable\Nessus\. Pour installer les plugins, exécutez la commande suivante : C:\Program Files\Tenable\Nessus>nessus-update-plugins.exe all-2.0.tar.gz Expanding all-2.0.tar.gz Done. You need to restart the Nessus server for the changes to take effect C:\Program Files\Tenable\Nessus> Puis, à partir de Nessus Server Manager, arrêtez et redémarrez le serveur Nessus. Une fois les plugins installés, il n'est pas nécessaire de conserver le fichier all-2.0.tar.gz. Toutefois, Tenable recommande de conserver la dernière version du fichier de plugins téléchargé en cas de besoin. Les derniers plugins disponibles ont maintenait été récupérés. Chaque fois que vous souhaitez mettre à jour les plugins, vous devez aller à l'url fournie, récupérer le fichier tarball, le copier sur le système exécutant Nessus et exécuter la commande ci-dessus. Linux, Solaris et FreeBSD Pour obtenir les derniers plugins, allez à l'url fournie à l'étape précédente, téléchargez le fichier nommé «all-2.0.tar.gz» et enregistrez-le dans le répertoire /opt/nessus/sbin/ (ou /usr/local/nessus/sbin/ pour FreeBSD). Pour installer les plugins, exécutez la commande suivante : Linux et Solaris : # /opt/nessus/sbin/nessus-update-plugins all-2.0.tar.gz Copyright Tenable Network Security, Inc. 69

70 FreeBSD : # /usr/local/nessus/sbin/nessus-update-plugins all-2.0.tar.gz Ensuite, redémarrez le processus Nessus à partir de la ligne de commande de sorte que Nessus utilise les nouveaux plugins. Pour plus d instructions sur le redémarrage du démon Nessus, voir les sections suivantes : «Arrêter le démon Nessus» et «Démarrer le démon Nessus». Une fois les plugins installés, il n'est pas nécessaire de conserver le fichier all-2.0.tar.gz. Toutefois, Tenable recommande de conserver la dernière version du fichier de plugins téléchargé en cas de besoin. Les derniers plugins disponibles ont maintenant été récupérés. Chaque fois que vous souhaitez mettre à jour les plugins, vous devez aller à l'url fournie, récupérer le fichier tarball, le copier sur le système exécutant Nessus et exécuter la commande ci-dessus. Mac OS X Pour obtenir les derniers plugins, allez à l'url fournie à l'étape précédente, téléchargez le fichier nommé «all-2.0.tar.gz» et enregistrez-le dans le répertoire /Library/Nessus/run/sbin/. Pour installer les plugins, exécutez la commande suivante : # /Library/Nessus/run/sbin/nessus-update-plugins all-2.0.tar.gz Puis, à partir du gestionnaire de serveur Nessus, arrêtez et redémarrez le serveur Nessus. Une fois les plugins installés, il n'est pas nécessaire de conserver le fichier all-2.0.tar.gz. Toutefois, Tenable recommande de conserver la dernière version du fichier de plugins téléchargé en cas de besoin. Les derniers plugins disponibles ont maintenant été récupérés. Chaque fois que vous souhaitez mettre à jour les plugins, vous devez aller à l'url fournie, récupérer le fichier tarball, le copier sur le système exécutant Nessus et exécuter la commande ci-dessus. TRAVAILLER AVEC SECURITYCENTER VUE D'ENSEMBLE DE SECURITYCENTER Tenable SecurityCenter est une console de gestion bweb qui unifie le processus de détection et de gestion des vulnérabilités, la gestion des événements et des journaux, la surveillance de la conformité et les rapports relatifs à toutes ces activités. SecurityCenter permet une communication efficace des événements de sécurité aux équipes informatique, de gestion et d'audit. SecurityCenter prend en charge l'utilisation simultanée de plusieurs scanners Nessus pour le scan régulier d'un réseau de toute taille. SecurityCenter utilise l'api Nessus (application personnalisée du protocole XML-RPC) pour communiquer avec les scanners Nessus associés afin d'envoyer les instructions de scan et de recevoir les résultats. SecurityCenter autorise plusieurs utilisateurs et administrateurs possédant des niveaux de sécurité différents à partager les informations sur les vulnérabilités, définir la priorité des Copyright Tenable Network Security, Inc. 70

71 vulnérabilités, indiquer les actifs réseau qui présentent des problèmes de sécurité cruciaux, fournir des recommandations aux administrateurs système pour résoudre ces problèmes de sécurité et faire le suivi de l'atténuation des vulnérabilités. SecurityCenter reçoit aussi des données de nombreux IDS de pointe, comme Snort et ISS par l'intermédiaire du Log Correlation Engine. SecurityCenter peut aussi recevoir des informations passives de vulnérabilité provenant de Tenable Passive Vulnerability Scanner de sorte que les utilisateurs finaux peuvent découvrir les nouveaux hôtes, applications, vulnérabilités et intrusions sans avoir besoin du scan actif avec Nessus. CONFIGURATION DE NESSUS POUR TRAVAILLER AVEC SECURITYCENTER Pour permettre à tout scanner Nessus d'être contrôlé par SecurityCenter, un nom d'utilisateur et un mot de passe spécifiques doivent être disponibles pour télécharger les plugins et effectuer un scan. Cet utilisateur doit être un «utilisateur administrateur» tel que configuré pendant le processus «nessus-adduser» afin qu il ait les privilèges requis pour télécharger les plugins et pour les autres fonctions administratives. Si un scanner Nessus est configuré pour scanner seulement certaines plages IP, il peut toujours être utilisé par SecurityCenter. Toutefois, si SecurityCenter essaie de scanner hors de ces plages, aucune donnée de vulnérabilité ne sera signalée. Unix/Mac OS X Pour les systèmes à ligne de commande Unix, suivez les instructions de la section «Créer un utilisateur Nessus» afin d'ajouter des utilisateurs. Assurez-vous que l'utilisateur créé est un utilisateur «admin». Pour les systèmes Mac OS X, suivez les instructions de la section «Création et gestion des utilisateurs de Nessus» afin de créer un utilisateur. Par défaut, les utilisateurs Nessus sur Mac sont créés avec des privilèges administratifs. Windows Configuration de Nessus pour l'écoute comme démon de réseau Nessus peut être configuré pour communiquer avec SecurityCenter. Pour ce faire, il faut effectuer deux tâches. Il faut ajouter un compte pour que SecurityCenter se connecte à Nessus, puis il faut permettre au service Nessus d'écouter les connexions réseau entrantes provenant de SecurityCenter. Ajout de comptes d'utilisateur sur Windows Si vous utilisez Nessus pour Windows et SecurityCenter, vous devez créer un utilisateur par l'intermédiaire de la ligne de commande et l'enregistrer. Ceci permettra à l'administrateur de démarrer le service nessusd et à SecurityCenter de télécharger les plugins. Pour ce faire, ouvrez un shell de commande DOS (Démarrer -> Exécuter -> cmd) et allez à C:\Program Files\Tenable\Nessus. Saisissez les commandes suivantes pour ajouter un utilisateur et indiquer à Nessus de recevoir les plugins depuis SecurityCenter : C:\Program Files\Tenable\Nessus>nessus-adduser.exe Login : admin Authentication (pass/cert) : [pass] Copyright Tenable Network Security, Inc. 71

72 Login password : Login password (again) : Do you want this user to be a Nessus 'admin' user? (can upload plugins, etc...) (y/n) [n]: y User rules nessusd has a rules system which allows you to restrict the hosts that admin has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser manual for the rules syntax Enter the rules for this user, and enter a BLANK LINE once you are done : (the user can have an empty rules set) Login : admin Password : *********** This user will have 'admin' privileges within the Nessus server Rules : Is that ok? (y/n) [y] y User added # Les utilisateurs de SecurityCenter doivent toujours être des utilisateurs admin. Activation du service Nessus dans Windows Après avoir ajouté l'utilisateur Nessus, le serveur Nessus doit être configuré pour activer le service Nessus. Ceci permet à SecurityCenter d'ajouter le serveur Nessus. Utilisez la commande suivante : C:\Program Files\Tenable\Nessus>nessus-fetch.exe --security-center nessusd can now be started, SecurityCenter will upload the plugins C:\Program Files\Tenable\Nessus> Utilisez le Gestionnaire de services Windows pour démarrer le service «Tenable Nessus». Pour vérifier que Nessus écoute bien sur le port 1241, utilisez la commande «netstat -an findstr 1241» à partir de la ligne de commande Windows, comme montré ci-dessous : C:\Documents and Settings\admin>netstat -an findstr 1241 TCP : :0 LISTENING La sortie contient « :1241», ce qui signifie qu'un serveur écoute sur ce port. Le serveur Nessus peut maintenant être ajouté à SecurityCenter par l'intermédiaire de l'interface Web SecurityCenter. Copyright Tenable Network Security, Inc. 72

73 Firewalls de l'hôte Si le serveur Nessus est configuré avec unfirewall local tel que Zone Alarm, Sygate, BlackICE, le firewall Windows XP ou tout autre logiciel de firewall, il est nécessaire que les connexions soient ouvertes à partir de l'adresse IP de SecurityCenter. Par défaut, le port 1241 est utilisé. Sur les systèmes Microsoft XP service pack 2 et plus récents, l'utilisateur peut cliquer sur l'icône «Centre de sécurité» disponible dans le «Panneau de configuration» pour pouvoir gérer les paramètres du firewall Windows. Pour ouvrir le port 1241, choisissez l'onglet «Exceptions» puis ajoutez le port «1241» à la liste. CONFIGURATION DE SECURITYCENTER POUR TRAVAILLER AVEC NESSUS Un «Nessus Server» peut être ajouté par l'interface d'administration SecurityCenter. En utilisant cette interface, SecurityCenter peut être configuré pour accéder à pratiquement tous les scanners Nessus et les contrôler. Cliquez sur l'onglet «Resources» (Ressources), puis cliquez sur «Nessus Scanners» (Scanners Nessus). Cliquez sur «Add» (Ajouter) pour ouvrir le dialogue «Add Scanner» (Ajouter un scanner). L'adresse IP du scanner Nessus, le port Nessus (1241 par défaut), l'id de connexion administrative, le type d'authentification et le mot de passe (créé lors de la configuration de Nessus) sont requis. Les champs de mot de passe ne sont pas disponibles si l'authentification «SSL Certificate» (Certificat SSL) est sélectionnée. En outre, les zones auxquelles le scanner Nessus sera affecté peuvent être sélectionnées. Voici un exemple de capture d'écran de la page d'ajout de scanner de SecurityCenter : Une fois le scanner ajouté avec succès, la page suivante s'affiche une fois que le scanner est sélectionné : Copyright Tenable Network Security, Inc. 73

74 Pour plus d informations, voir le «Guide d'administration SecurityCenter». DEPANNAGE DE NESSUS SOUS WINDOWS PROBLÈMES D'INSTALLATION / DE MISE À NIVEAU Problème : le journal nessusd.messages indique que nessusd a démarré, mais ce n'est pas le cas. Solution : le message «nesssud <version> started» (Nessus <version> démarré) indique seulement que le programme nessusd a été exécuté. Le message «nessusd is ready» (nessusd est prêt) indique que le serveur Nessus est en marche et prêt à accepter des connexions. Problème : Je reçois l'erreur suivante lorsque j'essaie d'installer Nessus Windows : «1607: Unable to install InstallShield Scripting Runtime» (1607 : Impossible d'installer le runtime de script InstallShield) Solution : ce code d'erreur peut être généré si le service WMI (Windows Management Instrumentation, Infrastructure de gestion Windows) a été désactivé pour une raison quelconque Veuillez vérifier que le service est en cours d exécution. Si le service WMI fonctionne, il peut y avoir un problème entre le système d'exploitation Microsoft Windows et le produit InstallShield qui est utilisé pour installer et supprimer Nessus Windows. Il existe des articles dans les bases de connaissances Microsoft et InstallShield qui expliquent en détail les causes potentielles et la résolution du problème. > Base de connaissances Microsoft, ID d'article : > Base de connaissances InstallShield, ID d'article Q : PROBLEMES DE SCAN Problème : je ne peux pas scanner sur ma connexion PPP ou PPTP. Solution : cette fonction n'est pas prise en charge pour le moment. Les prochaines révisions de Nessus Windows incluront cette fonctionnalité. Problème : un scan de virus sur mon système signale un grand nombre de virus dans Nessus Windows. Solution : certaines applications antivirus peuvent signaler certains plugins de Nessus comme des virus. Excluez le répertoire des plugins du scan des virus car il n'existe pas de programmes exécutables dans ce répertoire. Copyright Tenable Network Security, Inc. 74