Nessus 5.0 Guide d'installation et de configuration. 30 novembre 2012 (Révision 16)

Transcription

1 Nessus 5.0 Guide d'installation et de configuration 30 novembre 2012 (Révision 16)

2 Table des matières Introduction... 4 Normes et conventions... 4 Organisation... 4 Nouveautés dans Nessus Mises à jour des fonctions clé... 4 Navigation... 5 Analyse... 5 Rapports... 5 Nouvelle interface graphique de serveur... 5 Système d'exploitation... 5 Informations de base... 6 Configuration requise... 7 Nessus Unix... 7 Nessus Windows... 7 Options de déploiement... 7 Pare-feu de l'hôte... 8 Souscriptions aux plugins de vulnérabilité... 8 Types d'abonnement... 8 Support IPv Unix/Linux... 9 Mise à niveau... 9 Installation Démarrer le démon Nessus Arrêter le démon Nessus Suppression de Nessus Windows Mise à niveau Mise à niveau à partir de Nessus 4.x Mise à niveau à partir de Nessus 3.x Installation Téléchargement de Nessus Installation Questions concernant l'installation Démarrage et arrêt du démon Nessus Suppression de Nessus Mac OS X Mise à niveau Installation Questions concernant l'installation Démarrage et arrêt du service Nessus Suppression de Nessus Enregistrement des feeds et configuration de l'interface graphique

3 Configuration Paramètres de proxy Web Réinitialisation des codes d'activation et des mises à jour hors ligne Options de configuration avancée Création et gestion d'utilisateurs Nessus Configuration du démon Nessus (utilisateurs avancés) Options de configuration Configuration de Nessus avec un certificat SSL personnalisé Authentification sur Nessus avec un Certificat SSL Authentification du certificat client SSL Configurer Nessus pour les certificats Créer les certificats SSL Nessus pour la connexion Activer les connexions avec la carte à puce ou la carte CAC Connexion avec un navigateur activé par certificat ou par carte Nessus sans accès Internet Générer un code de défi Obtention et installation de plugins à jour Utilisation et gestion de Nessus à partir de la ligne de commande Répertoires principaux de Nessus Création et gestion des utilisateurs Nessus avec des limitations de compte Options de ligne de commande Nessusd Manipulation de Nessus Service via Windows CLI Utilisation de SecurityCenter Vue d'ensemble de SecurityCenter Configuration de SecurityCenter pour l'utilisation avec Nessus Configuration de SecurityCenter 4.4 pour l'utilisation avec Nessus Pare-feu de l'hôte Dépannage de Nessus sous Windows Problèmes d'installation / de mise à niveau Problèmes de scan Pour plus d'informations Déclarations de licence autres que celles de Tenable À propos de Tenable Network Security

4 Introduction Ce document décrit l'installation et la configuration du scanner de vulnérabilité Nessus 5.0 de Tenable Network Security. Veuillez envoyer vos commentaires et suggestions à Tenable Network Security, Inc. est le créateur et le gestionnaire du scanner de vulnérabilité Nessus. En plus d'améliorer constamment le moteur Nessus, Tenable écrit la plupart des plugins disponibles pour le scanner, ainsi que les contrôles de conformité et de nombreuses stratégies de vérification. La configuration requise, les options de déploiement et l'installation pas à pas sont abordés dans ce document. Ce document est rédigé en partant du principe que l'utilisateur dispose d'une compréhension de base d'unix et du scan des vulnérabilités. Normes et conventions Ce document a été traduit à partir d'un texte écrit en anglais à l'origine. Certaines expressions sont restées en anglais afin de montrer comment elles apparaissent dans le produit. Dans l'ensemble de la documentation, les noms de fichiers, les démons (daemons) et les exécutables sont indiqués avec une police courier bold telle que setup.exe. Les options de ligne de commande et les mots clés sont aussi indiqués par la police courier bold. Les exemples de ligne de commande peuvent inclure ou non l'invite de ligne de commande et le texte provenant des résultats de la commande. Les exemples de ligne de commande sont affichés en courier bold dans la commande en cours d'exécution afin de montrer la saisie de l'utilisateur, tandis que l'exemple de sortie généré par le système utilisera la police courier (mais pas en gras). Voici ci-dessous un exemple d'exécution de la commande Unix pwd : # pwd /opt/nessus/ # Les remarques et considérations importantes sont mises en évidence avec ce symbole et des zones de texte en gris. Les conseils, exemples et meilleures pratiques sont mis en évidence avec ce symbole et un texte blanc sur fond bleu. Organisation Puisque l'interface graphique Nessus GUI est une interface standard quel que soit le système d'exploitation, ce document présente d'abord des informations spécifiques au système d'exploitation, puis les fonctionnalités communes à tous les systèmes d'exploitation. Nouveautés dans Nessus 5 Avec la version Nessus 5, la gestion des utilisateurs et la configuration du serveur (démon) Nessus sont exécutées au moyen de l'interface graphique Nessus, et non pas par l'intermédiaire d'un système NessusClient autonome ou du fichier nessusd.conf. L'interface graphique Nessus est une interface Web qui gère la configuration, la création de stratégies, les scans et les fonctions de rapport. Mises à jour des fonctions clé Les fonctions qui suivent comptent parmi les nouvelles fonctions disponibles dans Nessus 5. Pour une liste complète des modifications, reportez-vous aux notes de publication sur le Forum de discussion (Discussion Forum - en anglais). 4

5 Navigation Nouveau tableau de bord de résumé des hôtes : Les tableaux de bord de résumé des hôtes et des vulnérabilités permettent de voir le niveau de risque sans exécuter de rapport. Les barres graphiques affichent instantanément les hôtes les plus vulnérables. Analyse Nessus 5 propose désormais cinq niveaux de gravité : Informatif, Risque faible, Risque moyen, Risque élevé et Risque critique. Les utilisateurs peuvent sélectionner plusieurs critères de filtre, comme la date de publication de la vulnérabilité, l'id de base de données des vulnérabilités (par exemple, CVE, OSVDB, ID Bugtraq, CERT, Secunia), le type de plugin (local ou distant) ou l'alerte de vulnérabilité de l'assurance information (IAVA). La fonction «Audit trail» (Piste d'audit) consigne la raison pour laquelle une vulnérabilité NE s'affiche PAS dans le rapport pour un hôte spécifique. Rapports Systèmes de rapports par chapitre, classé par vulnérabilités et conformité. Les rapports peuvent être générés aux formats natifs Nessus, HTML et maintenant PDF (Oracle Java doit être installé sur le serveur Nessus). Nouvelle interface graphique de serveur Interface Web qui gère désormais la configuration et la gestion des utilisateurs, en plus de la création de stratégies, des scans et de l'ensemble des fonctions de rapport. Les mises à jour des plugins sont accessibles à partir de l'interface Web. Nessus Web Server est compatible IPv6. Système d'exploitation Nessus est disponible et fonctionne sur de nombreux systèmes d'exploitation et plateformes : Debian 6 (i386 et x86-64) Fedora Core 16 (i386 et x86-64) FreeBSD 9 (i386 et x86-64) Mac OS X 10.6 et 10.7 (i386 et x86-64) Red Hat ES 4 / CentOS 4 (i386) Red Hat ES 5 / CentOS 5 / Oracle Linux 5 (i386 et x86-64) Red Hat ES 6 / CentOS 6 / Oracle Linux 6 (i386 et x86-64) [Server, Desktop, Workstation] SuSE 10 (x86-64), 11 (i386 and x86-64) Ubuntu 8.04, 9.10, 10.04, 10.10, et (i386 et x86-64) Windows XP, Server 2003, Server 2008, Server 2008 R2 *, Vista et 7 (i386 et x86-64) Veuillez noter que, sur Windows Server 2008 R2, la version groupée de Microsoft IE ne s'interface pas correctement avec une installation Java. Cela peut perturber le bon fonctionnement de Nessus dans certaines situations. De plus, la stratégie de Microsoft recommande de ne pas utiliser MSIE sur les systèmes 5

6 d'exploitation serveur. Tenable recommande d'effectuer les opérations d'enregistrement et de scan à partir d'un système de bureau. Informations de base Nessus est un scanner de sécurité de réseau performant et facile à utiliser, doté d'une vaste base de données de plugins mise à jour de façon quotidienne. Il est actuellement classé parmi les meilleurs produits de ce type dans l'ensemble du secteur de la sécurité et est approuvé par des professionnels de la sécurité de l'information tels que l'institut SANS. Nessus permet de vérifier à distance un réseau donné et de déterminer s'il a été compromis ou a fait l'objet d'une utilisation malveillante. Nessus fournit aussi la possibilité de vérifier localement une machine spécifique pour déterminer, entre autres, les vulnérabilités, les caractéristiques de conformité et les violations de stratégie de contenu. Scan intelligent à la différence de bien d'autres scanners de sécurité, Nessus ne fait aucune supposition. Autrement dit, il ne suppose pas qu'un service donné est exécuté sur un port fixe. Cela signifie que si un serveur Web est connecté au port 1234, Nessus le détecte et teste correctement sa sécurité. Il tente, dans la mesure du possible, de valider une vulnérabilité en l'exploitant. Dans le cas où le test n'est pas fiable ou peut avoir un impact négatif sur la cible, Nessus peut se fier à une bannière de serveur pour déterminer la présence de la vulnérabilité. Dans de tels cas, le compte-rendu des résultats indiquera clairement si cette méthode a été utilisée. Architecture modulaire L'architecture client/serveur fournit la souplesse nécessaire pour déployer le scanner (serveur) et le connecter à l'interface graphique (client) à partir de tout ordinateur équipé d'un navigateur Web, ce qui réduit les coûts de gestion (plusieurs clients peuvent accéder à un même serveur). Compatibilité CVE La plupart des plugins ont des liens au CVE pour que les administrateurs obtiennent davantage d'informations sur les vulnérabilités publiées. En général, ils comprennent aussi des références à Bugtraq (BID), OSVDB et aux alertes de sécurité des vendeurs. Architecture de plugin Chaque test de sécurité est écrit en tant que plugin externe et regroupé dans l'une des 42 familles. Vous pouvez ainsi ajouter facilement des tests personnels, sélectionner des plugins spécifiques ou choisir une famille complète sans avoir à lire le code du moteur du serveur Nessus, nessusd. La liste complète des plugins Nessus est disponible sur NASL Le scanner Nessus inclut NASL (Nessus Attack Scripting Language, langage de scripts d'attaque Nessus), conçu spécialement pour l'écriture facile et rapide de tests de sécurité. Base de données des vulnérabilités de sécurité actualisée Tenable se concentre sur le développement des contrôles de sécurité pour les vulnérabilités récemment divulguées. Notre base de données de contrôle de sécurité est mise à jour quotidiennement et tous les contrôles de sécurité récents sont disponibles à Tests simultanés de plusieurs hôtes Selon la configuration du système qui héberge le scanner Nessus, vous pouvez tester un grand nombre d'hôtes en même temps. Reconnaissance intelligente de service Nessus ne suppose pas que les hôtes cibles respecteront les numéros de port affectés par IANA. Par conséquent, il reconnaît un serveur FTP fonctionnant sur un port non standard (par exemple 31337) ou un serveur Web fonctionnant sur le port 8080 au lieu du port 80. Services multiples Si deux serveurs Web ou plus sont exécutés sur un hôte (par exemple l'un sur le port 80 et un autre sur le port 8080), Nessus identifie et teste l'ensemble de ces serveurs. Coopération des plugins Les tests de sécurité effectués par les plugins Nessus coopèrent afin que des contrôles inutiles ne soient pas effectués. Si le serveur FTP ne propose pas de connexion anonyme, les contrôles de sécurité associés aux connexions anonymes ne sont pas effectués. 6

7 Rapports complets Nessus précise non seulement les vulnérabilités présentes sur le réseau et le niveau de risque pour chacune d'entre elles (Info, Faible, Moyen, Élevé et Critique), mais il indique également comment les limiter en proposant des solutions. Support SSL complet Nessus peut tester les services offerts sur SSL, notamment HTTPS, SMTPS et IMAPS. Plugins intelligents (facultatif) Nessus propose une option «optimization» (optimisation), qui détermine les plugins qui doivent ou qui ne doivent pas être démarrés sur l'hôte distant. Par exemple, Nessus ne testera pas les vulnérabilités sendmail pour Postfix. Non destructif (facultatif) Certains contrôles peuvent nuire à des services réseau particuliers. Si vous ne voulez pas prendre le risque de causer une panne de service sur le réseau, activez l'option «safe checks» (contrôles sans danger) de Nessus qui permettra à Nessus de se fier aux bannières au lieu d'exploiter les défauts réels pour déterminer si une vulnérabilité est présente. Forum ouvert Vous avez trouvé un bogue? Des questions concernant Nessus? Commencez une discussion sur Configuration requise Tenable recommande au minimum une mémoire de 2 Go pour utiliser Nessus. Pour effectuer des scans plus importants de plusieurs réseaux, une mémoire d'au moins 3 Go est recommandée, mais jusqu'à 4 Go peuvent être nécessaires pour des tâches plus intenses comme les pistes d'audit ou la création de rapports PDF. Un processeur Pentium 3 fonctionnant à 2 GHz ou plus est recommandé. Sur Mac OS X, un processeur Intel double cœur fonctionnant à 2 GHz ou plus est recommandé. Il est préférable de déployer Nessus sur les systèmes 64 bits. Le système doit posséder au moins 30 Go d'espace libre sur le disque dur pour Nessus et les données de scan générées. Nessus peut être exécuté sous une instance de VMware, mais si la machine virtuelle utilise le NAT (Network Address Translation, traduction d'adresses de réseau) pour accéder au réseau, un grand nombre de contrôles des vulnérabilités Nessus, l'énumération d'hôte et l'identification du système d'exploitation seront perturbés. Nessus Unix Avant d'installer Nessus sur Unix/Linux, plusieurs bibliothèques sont requises. De nombreux systèmes d'exploitation les installent par défaut et, en général, elles ne nécessitent pas d'installation séparée : zlib GNU C Library (c'est-à-dire libc) Oracle Java (rapports PDF uniquement) Java doit être installé sur l'hôte avant Nessus. Si Java est installé après, il faudra réinstaller Nessus. Nessus Windows Microsoft a apporté à Windows XP SP2 et aux versions plus récentes des changements qui peuvent affecter la performance de Nessus Windows. Pour une meilleure performance et fiabilité du scan, il est fortement recommandé que Nessus Windows soit installé sur un système serveur de la gamme Microsoft Windows tel que le Windows Server Pour plus d'informations sur le sujet, voir la section «Dépannage de Nessus sous Windows». Options de déploiement Lors du déploiement de Nessus, il est souvent utile de connaître le routage, les filtres et les règles de pare-feu. Il est recommandé de déployer Nessus de façon à avoir une bonne connectivité IP avec les réseaux qu'il scanne. Le déploiement derrière un dispositif NAT n'est pas souhaitable, sauf s'il scanne le réseau interne. Chaque fois qu'un scan 7

8 des vulnérabilités traverse un NAT ou un proxy applicatif, le contrôle peut être perturbé et un faux positif ou négatif peut en résulter. En outre, un pare-feu («personnel» ou non) actif sur le système exécutant Nessus peut considérablement limiter l'efficacité d'un scan des vulnérabilités à distance. Les pare-feu sur hôte peuvent gêner le scan des vulnérabilités du réseau. Selon la configuration du pare-feu, il peut empêcher, perturber ou cacher les sondes d'un scan Nessus. Certains périphériques réseau qui effectuent une inspection dynamique des paquets, comme les pare-feu, équilibreurs de charge et IDS/IPS, peuvent mal réagir si un scan est exécuté par leur intermédiaire. Nessus comporte un certain nombre d'options qui peuvent aider à réduire l'impact du scan à travers de tels dispositifs, mais la meilleure méthode pour éviter les problèmes propres au scan à travers ces périphériques réseau consiste à effectuer un scan authentifié. Pare-feu de l'hôte Si le serveur Nessus est configuré sur un hôte comprenant un pare-feu «personnel» tel que ZoneAlarm, Sygate, le pare-feu Windows ou tout autre logiciel pare-feu, les connexions doivent être autorisées à partir de l'adresse IP du client Nessus. Par défaut, le port 8834 est utilisé pour Nessus Web Server (interface utilisateur). Sur les systèmes Microsoft XP Service Pack 2 (SP2) et ultérieurs, l'utilisateur peut cliquer sur l'icône «Security Center» (Centre de sécurité) du «Control Panel» (Panneau de configuration) pour pouvoir gérer les réglages du pare-feu Windows. Pour ouvrir le port 8834, choisissez l'onglet «Exceptions» puis ajoutez le port «8834» à la liste. Pour les autres logiciels pare-feu personnels, consultez la documentation du vendeur sur les instructions de configuration. Souscriptions aux plugins de vulnérabilité De nombreuses vulnérabilités nouvelles sont publiées quotidiennement par les vendeurs, les chercheurs et d'autres sources. Tenable s'efforce de tester et de mettre à disposition dès que possible des contrôles pour les vulnérabilités récemment publiées, en général dans un délai de 24 heures après leur apparition. Le contrôle d'une vulnérabilité spécifique s'appelle un «plugin» dans le scanner Nessus. La liste complète de tous les plugins Nessus est disponible sur Tenable distribue les plugins de vulnérabilité les plus récents selon deux modes pour Nessus : ProfessionalFeed (feeds professionnels) et HomeFeed (feeds généraux). Les plugins sont téléchargés directement depuis Tenable par un processus automatisé dans Nessus. Nessus vérifie les signatures numériques de tous les téléchargements de plugin pour valider l'intégrité des fichiers. Pour les installations Nessus sans accès à Internet, il existe un processus de mise à jour hors ligne qui peut être utilisé pour s'assurer que le scanner reste actualisé. Vous devez souscrire à des feeds de plugin et mettre à jour les plugins avant de pouvoir démarrer Nessus et accéder à l'interface de scan Nessus. La mise à jour des plugins se produit en arrière-plan après l'enregistrement initial du scanner et peut prendre plusieurs minutes. Types d'abonnement Tenable propose une assistance commerciale, depuis le Tenable Support Portal ou par , pour les clients du ProfessionalFeed qui utilisent Nessus 5. Le ProfessionalFeed comprend également un ensemble de contrôles de conformité de l'hôte pour Unix et Windows qui sont très utiles lors d'audits de conformité, comme SOX, FISMA ou PCI DSS. Vous pouvez acheter le ProfessionalFeed sur la boutique en ligne de Tenable, sur ou par commande auprès des partenaires ProfessionalFeed (Authorized ProfessionalFeed Partners) autorisés. Vous recevrez alors un code d'activation de Tenable. Ce code devra être utilisé lors de la configuration de la copie de Nessus pour les mises à jour. 8

9 Si vous utilisez Nessus avec SecurityCenter de Tenable, SecurityCenter a accès au ProfessionalFeed et met à jour automatiquement les scanners Nessus. Si vous êtes une organisation caritative de type 501(c)(3), vous pouvez recevoir un ProfessionalFeed gratuitement. Pour plus d'informations, veuillez consulter la page Web Tenable Charitable Organization Subscription Program. Si vous utilisez Nessus à la maison à des fins non professionnelles, vous pouvez souscrire au HomeFeed. L'utilisation du HomeFeed est gratuite mais il existe une licence séparée pour le HomeFeed que les utilisateurs doivent accepter. Support IPv6 Nessus prend en charge le scan sur IPv6. De nombreux systèmes d'exploitation et périphériques sont livrés avec le support IPv6 activé par défaut. Pour effectuer des scans des ressources IPv6, au moins une interface IPv6 doit être configurée sur l'hôte où Nessus est installé et Nessus doit être sur un réseau prenant en charge IPv6 (Nessus ne peut pas scanner des ressources IPv6 sur IPv4 mais il peut énumérer les interfaces IPv6 par des scans authentifiés sur IPv4). Les notations IPv6 complètes et compressées sont prises en charge lors du démarrage des scans. Microsoft Windows est dépourvu de certaines API clés nécessaires pour forger des paquets IPv6 (par exemple, obtention de l'adresse MAC du routeur, table de routage, etc.). Ceci empêche le scanner des ports de fonctionner correctement. Tenable développe actuellement des améliorations qui contourneront efficacement les restrictions de ces API dans des versions futures de Nessus. En attendant, la prise en charge IPv6 est uniquement disponible sur les plateformes *nix. Unix/Linux Mise à niveau Cette section explique comment mettre à niveau Nessus à partir d'une installation Nessus précédente. Le tableau suivant fournit des instructions de mise à niveau pour le serveur Nessus sur toutes les plates-formes précédemment acceptées. Les paramètres de configuration et les utilisateurs qui ont été créés précédemment sont conservés. Vérifiez que tout scan en cours d'exécution est terminé avant d'arrêter nessusd. Toutes les instructions spéciales de mise à niveau sont fournies sous forme de remarque après l'exemple. Plateforme Instructions de mise à niveau Red Hat ES 4 et CentOS 4 (32 bits) ; Red Hat ES 5, CentOS 5 et Oracle Linux 5 (32 et 64 bit ) ; Red Hat ES 6, CentOS 6 et Oracle Linux 6 (32 et 64 bits) Commandes de mise à niveau # service nessusd stop Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de Red Hat exécutée : # rpm -Uvh Nessus es4.i386.rpm # rpm -Uvh Nessus es5.i386.rpm # rpm -Uvh Nessus es5.x86_64.rpm # rpm -Uvh Nessus es6.i686.rpm # rpm -Uvh Nessus es6.x86_64.rpm 9

10 Une fois la mise à niveau terminée, redémarrez le service nessusd avec la commande suivante : # service nessusd start Exemple de sortie # service nessusd stop Shutting down Nessus services: [ OK ] # rpm -Uvh Nessus es5.i386.rpm Preparing... ########################################### [100%] Shutting down Nessus services: /etc/init.d/nessusd: 1:Nessus ########################################### [100%] Fetching the newest plugins from nessus.org... Fetching the newest updates from nessus.org... Done. The Nessus server will start processing these plugins within a minute nessusd (Nessus) [build R23016] for Linux (C) Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - You can start nessusd by typing /sbin/service nessusd start - Then go to to configure your scanner# service nessusd start Starting Nessus services: [ OK ] # Fedora Core 16 (32 et 64 bits) Commandes de mise à niveau # service nessusd stop Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de Fedora Core exécutée : # rpm -Uvh Nessus fc16.i686.rpm # rpm -Uvh Nessus fc16.x86_64.rpm Une fois la mise à niveau terminée, redémarrez le service nessusd avec la commande suivante : # service nessusd start Exemple de sortie # service nessusd stop Shutting down Nessus services: [ OK ] # rpm -Uvh Nessus fc16.i386.rpm [..] # service nessusd start Starting Nessus services: [ OK ] # 10

11 SuSE 10 (64 bits), 11 (32 et 64 bits) Commandes de mise à niveau # service nessusd stop Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de SuSE exécutée : # rpm -Uvh Nessus suse10.x86_64.rpm # rpm -Uvh Nessus suse11.i586.rpm # rpm -Uvh Nessus suse11.x86_64.rpm Une fois la mise à niveau terminée, redémarrez le service nessusd avec la commande suivante : # service nessusd start Exemple de sortie # service nessusd stop Shutting down Nessus services: [ OK ] # rpm -Uvh Nessus suse11.i586.rpm Preparing... [..] # service nessusd start Starting Nessus services: [ OK ] # Debian 6 (32 et 64 bits) Commandes de mise à niveau # /etc/init.d/nessusd stop Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de Debian exécutée : # dpkg -i Nessus debian6_i386.deb # dpkg -i Nessus debian6_amd64.deb # /etc/init.d/nessusd start Exemple de sortie # /etc/init.d/nessusd stop # dpkg -i Nessus debian6_i386.deb (Reading database files and directories currently installed.) Preparing to replace nessus (using Nessus debian6_i386.deb)... [..] # /etc/init.d/nessusd start Starting Nessus :. # 11

12 Ubuntu 8.04, 9.10, 10.04, et (32 et 64 bits) Commandes de mise à niveau # /etc/init.d/nessusd stop Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version d'ubuntu exécutée : # dpkg -i Nessus ubuntu804_i386.deb # dpkg -i Nessus ubuntu804_amd64.deb # dpkg -i Nessus ubuntu910_i386.deb # dpkg -i Nessus ubuntu910_amd64.deb # dpkg -i Nessus ubuntu1010_i386.deb # dpkg -i Nessus ubuntu1010_amd64.deb # dpkg -i Nessus ubuntu1110_i386.deb # dpkg -i Nessus ubuntu1110_amd64.deb # /etc/init.d/nessusd start Exemple de sortie # /etc/init.d/nessusd stop # dpkg -i Nessus ubuntu804_i386.deb (Reading database files and directories currently installed.) Preparing to replace nessus (using Nessus ubuntu810_i386.deb)... [..] # /etc/init.d/nessusd start Starting Nessus :. # FreeBSD 9 (32 et 64 bits) Commandes de mise à niveau # killall nessusd # pkg_info Cette commande affiche une liste de tous les progiciels installés avec leur description. Voici un exemple de sortie pour la commande précédente montrant le progiciel Nessus : Nessus A powerful security scanner Retirez le progiciel Nessus en utilisant la commande suivante : # pkg_delete <package name> Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de FreeBSD exécutée : # pkg_add Nessus fbsd9.tbz # pkg_add Nessus fbsd9.amd64.tbz # /usr/local/nessus/sbin/nessusd -D 12

13 Exemple de sortie # killall nessusd # pkg_delete Nessus # pkg_add Nessus fbsd9.tbz nessusd (Nessus) for FreeBSD (C) 2011 Tenable Network Security, Inc. [..] # /usr/local/nessus/sbin/nessusd -D nessusd (Nessus) for FreeBSD (C) 2011 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded # Remarques Pour effectuer la mise à niveau de Nessus sur FreeBSD, il faut d'abord désinstaller la version existante, puis installer la dernière version. Ce processus ne supprimera pas les fichiers de configuration ou les fichiers qui ne faisaient pas partie de l'installation initiale. Installation Téléchargez la dernière version de Nessus depuis ou par l'intermédiaire du Tenable Support Portal. Confirmez l'intégrité du progiciel d'installation en comparant la somme de contrôle du téléchargement MD5 à celle indiquée dans le fichier MD5.asc ici. Sauf indication contraire, toutes les commandes doivent être exécutées par l'utilisateur root du système. Les comptes d'utilisateur ordinaires n'ont généralement pas les privilèges requis pour installer ce logiciel. Le tableau suivant fournit des instructions d'installation pour le serveur Nessus sur toutes les plateformes prise en charge. Toutes les instructions particulières d'installation sont indiquées sous forme de remarque après l'exemple. Plateforme Instructions d'installation Red Hat ES 4 et CentOS 4 (32 bits) ; Red Hat ES 5, CentOS 5 et Oracle Linux 5 (32 et 64 bit) ; Red Hat ES 6, CentOS 6 et Oracle Linux 6 (32 et 64 bits) Commande d'installation Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de Red Hat exécutée : # rpm -ivh Nessus es4.i386.rpm # rpm -ivh Nessus es5.i386.rpm # rpm -ivh Nessus es5.x86_64.rpm # rpm -ivh Nessus es6.i686.rpm # rpm -ivh Nessus es6.x86_64.rpm Exemple de sortie # rpm -ivh Nessus es4.i386.rpm Preparing... ########################################### [100%] 1:Nessus 13

14 ########################################### [100%] nessusd (Nessus) [build R23011] for Linux (C) Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - You can start nessusd by typing /sbin/service nessusd start - Then go to to configure your scanner # Fedora Core 16 (32 et 64 bits) Commande d'installation Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de Fedora Core exécutée : # rpm -ivh Nessus fc16.i686.rpm # rpm -ivh Nessus fc16.x86_64.rpm Exemple de sortie # rpm -ivh Nessus fc16.i386.rpm Preparing... [..] SuSE 10 (64 bits), 11 (32 et 64 bits) # Commande d'installation Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de SuSE exécutée : # rpm ivh Nessus suse10.x86_64.rpm # rpm -ivh Nessus suse11.i586.rpm # rpm ivh Nessus suse11.x86_64.rpm Exemple de sortie # rpm -ivh Nessus suse11.i586.rpm Preparing... ################################## [100%] 1:Nessus ################################## [100%] [..] # Debian 6 (32 et 64 bits) Commande d'installation Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de Debian exécutée : # dpkg -i Nessus debian6_i386.deb # dpkg -i Nessus debian6_amd64.deb Exemple de sortie # dpkg -i Nessus debian6_i386.deb Selecting previously deselected package nessus. (Reading database files and directories currently installed.) Unpacking nessus (from Nessus debian6_i386.deb)... 14

15 Setting up nessus (5.0.1)... [..] # Ubuntu 8.04, 9.10, 10.04, et (32 et 64 bits) Commande d'installation Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version d'ubuntu exécutée : # dpkg -i Nessus ubuntu804_i386.deb # dpkg -i Nessus ubuntu804_amd64.deb # dpkg -i Nessus ubuntu910_i386.deb # dpkg -i Nessus ubuntu910_amd64.deb # dpkg -i Nessus ubuntu1010_i386.deb # dpkg -i Nessus ubuntu1010_amd64.deb # dpkg -i Nessus ubuntu1110_i386.deb # dpkg -i Nessus ubuntu1110_amd64.deb Exemple de sortie # dpkg -i Nessus ubuntu804_amd64.deb Selecting previously deselected package nessus. (Reading database files and directories currently installed.) Unpacking nessus (from Nessus ubuntu804_amd64.deb)... Setting up nessus (5.0.1)... [..] # FreeBSD 9 (32 et 64 bits) Commande d'installation Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de FreeBSD exécutée : # pkg_add Nessus fbsd9.tbz # pkg_add Nessus fbsd9.amd64.tbz Exemple de sortie # pkg_add Nessus fbsd9.tbz nessusd (Nessus) for FreeBSD (C) Tenable Network Security, Inc. [..] # À l'issue de l'installation, démarrez le démon nessusd en suivant les instructions de la section suivante, en fonction de la distribution. Une fois Nessus installé, vous devez visiter l'url de scanner fournie pour terminer le processus d'enregistrement. Remarque : Les installations Unix peuvent fournir une URL contenant un nom d'hôte relatif qui ne figure pas dans le DNS (par exemple, Si le nom d'hôte ne figure pas dans le DNS, vous devez vous connecter au serveur Nessus à l'aide d'une adresse IP ou d'un nom DNS valide. À l'issue de ce processus, il est recommandé d'authentifier et de personnaliser les options de configuration pour votre environnement, en suivant les instructions de la section «Enregistrement des feeds et configuration de l'interface graphique». 15

16 Nessus doit être installé dans /opt/nessus. Toutefois, si /opt/nessus est un lien symbolique symlink vers un autre emplacement, il est acceptable. Démarrer le démon Nessus Démarrez le service Nessus en tant qu'utilisateur root avec la commande suivante : Linux et Solaris : # /opt/nessus/sbin/nessus-service -D FreeBSD : # /usr/local/nessus/sbin/nessus-service -D Cet exemple illustre les messages qui s'affichent au démarrage de nessusd pour Red Hat : [root@squirrel ~]# /sbin/service nessusd start Starting Nessus services: [ OK ] [root@squirrel ~]# Si vous souhaitez supprimer le message de la commande, utilisez l'option «-q» comme suit : Linux et Solaris : # /opt/nessus/sbin/nessus-service -q -D FreeBSD : # /usr/local/nessus/sbin/nessus-service -q -D Vous pouvez aussi démarrer Nessus en utilisant la commande suivante, selon la plateforme du système d'exploitation : Système d'exploitation Red Hat, CentOS et Oracle Linux Fedora Core Commande de démarrage nessusd # /sbin/service nessusd start # /sbin/service nessusd start SuSE # /etc/rc.d/nessusd start Debian # /etc/init.d/nessusd start FreeBSD # /usr/local/etc/rc.d/nessusd.sh start Solaris # /etc/init.d/nessusd start Ubuntu # /etc/init.d/nessusd start Passez à la section «Enregistrement des feeds et configuration de l'interface graphique» pour installer le code d'activation des plugins. 16

17 Arrêter le démon Nessus Si vous devez arrêter le service nessusd pour une raison quelconque, la commande suivante arrête Nessus et arrête brusquement tout scan en cours : # killall nessusd Il est recommandé d'utiliser plutôt le script d'arrêt, plus graduel, fourni pas votre système d'exploitation : Système d'exploitation Red Hat, CentOS et Oracle Linux Fedora Core Commande d'arrêt nessusd # /sbin/service nessusd stop # /sbin/service nessusd stop SuSE # /etc/rc.d/nessusd stop Debian # /etc/init.d/nessusd stop FreeBSD # /usr/local/etc/rc.d/nessusd.sh stop Solaris # /etc/init.d/nessusd stop Ubuntu # /etc/init.d/nessusd stop Suppression de Nessus Le tableau suivant fournit des instructions pour supprimer le serveur Nessus sur toutes les plates-formes prises en charge. Sauf pour les instructions relatives à Mac OS X, les instructions fournies ne supprimeront pas les fichiers de configuration ou les fichiers qui ne faisaient pas partie de l'installation initiale. Les fichiers qui faisaient partie du progiciel initial mais qui ont changé depuis leur installation ne seront pas non plus supprimés. Pour supprimer complètement les fichiers restants, utilisez la commande suivante : Linux et Solaris : # rm -rf /opt/nessus FreeBSD : # rm -rf /usr/local/nessus/bin Plateforme Instructions pour la suppression Red Hat ES 4 et CentOS 4 (32 bits) ; Red Hat ES 5, CentOS 5 et Oracle Linux 5 (32 et 64 bit) ; Red Hat ES 6, CentOS 6 et Oracle Linux 6 (32 et 64 bits) Commande de suppression Déterminez le nom du progiciel : # rpm -qa grep Nessus Utilisez la sortie de la commande ci-dessus pour retirer le progiciel : # rpm -e <Package Name> 17

18 Exemple de sortie # rpm -qa grep -i nessus Nessus es5 # rpm -e Nessus es5 # Fedora Core 16 (32 et 64 bits) Commande de suppression Déterminez le nom du progiciel : # rpm -qa grep Nessus Utilisez la sortie de la commande ci-dessus pour retirer le progiciel : # rpm -e <Package Name> SuSE 10 (64 bits), 11 (32 et 64 bits) Commande de suppression Déterminez le nom du progiciel : # rpm -qa grep Nessus Utilisez la sortie de la commande ci-dessus pour retirer le progiciel : # rpm -e <Package Name> Debian 6 (32 et 64 bits) Commande de suppression Déterminez le nom du progiciel : # dpkg -l grep -i nessus Utilisez la sortie de la commande ci-dessus pour retirer le progiciel : # dpkg -r <package name> Exemple de sortie # dpkg -l grep nessus ii nessus Version 4 of the Nessus Scanner # dpkg -r nessus # Ubuntu 8.04, 9.10, 10.04, et (32 et 64 bits) Commande de suppression Déterminez le nom du progiciel : # dpkg -l grep -i nessus Utilisez la sortie de la commande ci-dessus pour retirer le progiciel : # dpkg -r <package name> Exemple de sortie # dpkg -l grep -i nessus ii nessus Version 4 of the Nessus Scanner # 18

19 Solaris 10 (sparc) Commande de suppression Arrêtez le service nessusd : # /etc/init.d/nessusd stop Déterminez le nom du progiciel : # pkginfo grep i nessus Retirez le progiciel Nessus : # pkgrm <package name> Exemple de sortie Voici un exemple de sortie pour la commande précédente montrant le progiciel Nessus : # pkginfo grep i nessus application TNBLnessus Vulnerability Scanner # pkgrm TNBLnessus # The Nessus Network FreeBSD 9 (32 et 64 bits) Commande de suppression Arrêtez Nessus : # killall nessusd Déterminez le nom du progiciel : # pkg_info grep -i nessus Retirez le progiciel Nessus : # pkg_delete <package name> Exemple de sortie # killall nessusd # pkg_info grep -i nessus Nessus A powerful security scanner # pkg_delete Nessus # Mac OS X Commande de suppression Lancez une fenêtre de terminal : depuis «Applications», cliquez sur «Utilities» (utilitaires), puis cliquez sur «Terminal» ou «X11». À partir de l'invite de shell, utilisez la commande «sudo» pour exécuter un shell racine et supprimez les répertoires Nessus de la façon suivante : $ sudo /bin/sh Password: # ls -ld /Library/Nessus 19

20 # rm -rf /Library/Nessus # ls -ld /Library/Nessus # ls -ld /Applications/Nessus # rm -rf /Applications/Nessus # ls -ld /Applications/Nessus # ls -ld /Library/Receipts/Nessus* # rm -rf /Library/Receipts/Nessus* # ls -ld /Library/Receipts/Nessus* # exit Exemple de sortie Remarques $ sudo /bin/sh Password : # ls -ld /Library/Nessus drwxr-xr-x 6 root admin 204 Apr 6 15:12 /Library/Nessus # rm -rf /Library/Nessus # ls -ld /Library/Nessus ls: /Library/Nessus: No such file or directory # ls -ld /Applications/Nessus drwxr-xr-x 4 root admin 136 Apr 6 15:12 /Applications/Nessus # rm -rf /Applications/Nessus # ls -ld /Applications/Nessus # ls -ld /Library/Receipts/Nessus* drwxrwxr-x 3 root admin 102 Apr 6 15:11 /Library/Receipts/Nessus Client.pkg drwxrwxr-x 3 root admin 102 Apr 6 15:11 /Library/Receipts/Nessus Server.pkg # rm -rf /Library/Receipts/Nessus* # ls -ld /Library/Receipts/Nessus* ls: /Library/Receipts/Nessus*: No such file or directory # exit $ N'entreprenez pas ce processus si vous n'êtes pas familiarisé avec les commandes shell d'unix. Les commandes «ls» sont incluses pour vérifier que le nom du chemin d'accès est saisi correctement. Windows Mise à niveau Mise à niveau à partir de Nessus 4.x Pour mettre à niveau Nessus d'une version 4.x à une version 5.x plus récente, le processus de mise à niveau demande si l'utilisateur souhaite supprimer tout le contenu du répertoire Nessus. Si cette option est choisie (en sélectionnant «Yes» (oui)), un processus de désinstallation est émulé. Si cette option est choisie, les utilisateurs précédemment créés, les stratégies de scan existantes et les résultats de scan seront supprimés et le scanner perdra son enregistrement. 20

21 Cliquez sur «Yes» (oui) pour autoriser Nessus à tenter de supprimer l'ensemble du dossier Nessus ainsi que tout fichier ajouté manuellement, ou sur «No» (non) pour conserver le dossier Nessus ainsi que les scans, rapports, etc., existants. Une fois la nouvelle version de Nessus installée, ceux-ci pourront toujours être affichés et exportés. Mise à niveau à partir de Nessus 3.x Une mise à niveau directement de Nessus 3.0.x vers Nessus 5.x n'est pas prise en charge. Toutefois, une mise à niveau vers la version 4 peut être utilisée comme étape intermédiaire pour vérifier que les paramètres et les stratégies de scan importants sont conservés. S'il n'est pas nécessaire de conserver les paramètres de scan, désinstallez d'abord Nessus 3.x, puis installez une nouvelle version de Nessus 5. Si vous sélectionnez «Yes» (Oui), tous les fichiers du répertoire Nessus seront supprimés, y compris les fichiers journaux, les plugins personnalisés ajoutés manuellement et autres. Cette option doit être utilisée avec précaution! Installation Téléchargement de Nessus La dernière version de Nessus est disponible à l'adresse ou par l'intermédiaire du Tenable Support Portal. Nessus 5 est disponible sur Windows XP, Server 2003, Server 2008, Vista et Windows 7. Confirmez l'intégrité du progiciel d'installation en comparant la somme de contrôle du téléchargement MD5 avec celle indiquée dans le fichier MD5.asc ici. Les tailles et les noms des fichiers de distribution de Nessus varient légèrement d'une version à l'autre mais les tailles sont d'environ 12 Mo. Installation Nessus est distribué sous forme de fichier d'installation exécutable. Placez le fichier sur le système sur lequel il sera installé ou sur un lecteur commun accessible par le système. Vous devez installer Nessus en utilisant un compte administrateur, et non pas un compte d'utilisateur sans privilèges. Si vous recevez une erreur associée à des permissions, le message «Access Denied» (Accès refusé) ou des erreurs suggérant qu'une action s'est produite à cause de privilèges insuffisants, assurez-vous que vous utilisez un compte avec des privilèges administratifs. Si ces erreurs apparaissent lors de l'utilisation des utilitaires de ligne de commande, exécutez cmd.exe avec les privilèges «Run as» (Exécuter en tant que ) définis avec la valeur «administrator» (administrateur). Certains progiciels antivirus peuvent considérer Nessus comme un ver informatique ou un programme malveillant. Ceci est dû au grand nombre de connexions TCP créées pendant un scan. Si l'antivirus émet un avertissement, cliquez sur «allow» (autoriser) pour autoriser Nessus à poursuivre le scan. La plupart des 21

22 progiciels antivirus permettent également d'ajouter des programmes à une liste d'exceptions. Ajoutez Nessus.exe et Nessus-service.exe à cette liste pour éviter ce type d'avertissement. Il est recommandé d'obtenir un code d'activation de feed de plugin avant de démarrer le processus d'installation, car cette information sera requise pour que vous puissiez vous authentifier sur l'interface graphique Nessus. Pour plus d'informations sur l'obtention d'un code d'activation, consultez la section Souscriptions aux plugins de vulnérabilité. Questions concernant l'installation 22

23 Au cours de l'installation, Nessus invite l'utilisateur à fournir certaines informations de base. Avant de commencer, vous devez lire et accepter l'accord de licence : Après l'avoir accepté, vous pouvez configurer l'emplacement auquel Nessus sera installé : 23

24 Lorsque vous êtes invité à sélectionner le «Setup Type» (Type de configuration), sélectionnez «Complete» (complet) : Vous êtes alors invité à confirmer l'installation : 24

25 Une fois l'installation initiale terminée, Nessus démarre l'installation d'un pilote tiers servant à prendre en charge la communication Ethernet pour Nessus : Une fois l'installation terminée, cliquez sur «Finish» (Terminer). 25

26 Nessus poursuit alors l'opération en chargeant une page dans votre navigateur Web par défaut qui traitera la configuration initiale. Pour plus d'informations, reportez-vous à la section «Enregistrement des feeds et configuration de l'interface graphique». Démarrage et arrêt du démon Nessus La manipulation du service Nessus n'est normalement pas requise pour l'installation et l'utilisation quotidienne de Nessus. Cependant, il peut arriver qu'un administrateur souhaite temporairement arrêter ou redémarrer le service. Sur un système Windows, vous pouvez effectuer cette opération en ouvrant le menu «Start» (Démarrer) et en cliquant sur «Run» (Exécuter). Dans la case «Run» (Exécuter), saisissez «services.msc» pour ouvrir le Gestionnaire de services Windows (Windows Service Manager) : Cliquez avec le bouton droit de la souris sur le service «Tenable Nessus» pour ouvrir une boîte de dialogue qui permet de démarrer, d'arrêter, de mettre en pause, de reprendre ou de redémarrer le service en fonction de son état actuel. Vous pouvez également manipuler le service Nessus à partir de la ligne de commande. Pour de plus amples informations, consultez la section «Manipulation de Nessus Service via Windows CLI» Suppression de Nessus Pour supprimer Nessus, dans le Control Panel (Panneau de configuration), ouvrez «Add or Remove Programs» (Ajouter ou supprimer des programmes). Sélectionnez «Tenable Nessus», puis cliquez sur le bouton «Change/Remove» (Modifier/Supprimer). Vous obtenez l'installshield Wizard. Suivez les consignes de cet assistant pour supprimer complètement Nessus. Vous êtes alors invité à décider si vous souhaitez supprimer l'ensemble du dossier Nessus. Répondez «Yes» (Oui) uniquement si vous ne souhaitez pas conserver les résultats de scan ou les stratégies que vous pouvez avoir créées. Lorsque vous désinstallez Nessus, Windows vous demande si vous voulez continuer, mais affiche ce qui semble être un fichier.msi arbitraire non signé. Par exemple : C:\Windows\Installer\ msi Publisher: Unknown Cela est dû au fait que Windows conserve une copie interne du programme d'installation Nessus et l'utilise pour démarrer le processus de désinstallation. Vous pouvez approuver cette demande en toute sécurité. Mac OS X Mise à niveau La mise à niveau à partir d'une version de Nessus plus ancienne est similaire à l'exécution d'une nouvelle installation. Téléchargez le fichier Nessus-5.x.x.dmg.gz, puis double-cliquez sur ce dernier pour le décompresser. Double-cliquez sur le fichier Nessus-5.x.x.dmg, pour monter l'image du disque et l'afficher sous «Devices» (Périphériques) dans le 26

27 «Finder». Une fois que le volume «Nessus 5» apparaît dans le «Finder», double-cliquez sur le fichier Nessus 5. Lorsque l'installation est terminée, connectez-vous à Nessus au moyen du navigateur en accédant à Installation La dernière version de Nessus est disponible à l'adresse ou par l'intermédiaire du Tenable Support Portal. Nessus est disponible pour Mac OS X 10.6 et Confirmez l'intégrité du progiciel d'installation en comparant la somme de contrôle du téléchargement MD5 à celle indiquée dans le fichier MD5.asc ici. La taille des fichiers de distribution de Nessus pour Mac OS X varie légèrement d'une version à l'autre mais les tailles sont d'environ 45 Mo. Pour installer Nessus sur Mac OS X, téléchargez le fichier Nessus-5.x.x.dmg.gz, puis double-cliquez sur ce dernier pour le décompresser. Double-cliquez sur le fichier Nessus-5.x.x.dmg, pour monter l'image du disque et l'afficher sous «Devices» (Périphériques) dans le «Finder». Une fois que le volume «Nessus 5» apparaît dans le «Finder», doublecliquez sur le fichier Nessus 5 comme illustré ci-dessous : Le programme d'installation vous demandera, à un moment donné de l'installation, d'indiquer un nom d'utilisateur administrateur et un mode de passe. 27

28 Questions concernant l'installation L'installation s'affiche de la façon suivante : Cliquez sur «Continue» (Continuer) ; la licence du logiciel s'affiche. Cliquez à nouveau sur «Continue» (Continuer). Une boîte de dialogue s'affiche alors et vous demande d'accepter les conditions de la licence avant de continuer : 28

29 Après avoir accepté la licence, une autre boîte de dialogue s'affiche pour vous permettre de modifier l'emplacement d'installation par défaut, comme illustré ci-dessous : 29

30 Cliquez sur le bouton «Install» (Installer) pour continuer l'installation. Vous devrez saisir le nom de l'utilisateur administrateur et le mot de passe : L'installation est réussie lorsque l'écran suivant s'affiche : Nessus poursuit alors l'opération en chargeant une page dans votre navigateur Web par défaut qui traitera la configuration initiale. Pour plus d'informations, reportez-vous à la section «Enregistrement des feeds et configuration de l'interface graphique». 30

31 Démarrage et arrêt du service Nessus Le service nessusd démarre à l'issue de l'installation. Le service démarre automatiquement à chaque redémarrage. S'il existe une raison pour démarrer ou arrêter le service, vous pouvez le faire via une fenêtre de terminal (ligne de commande). La commande doit être exécutée en tant que «root», ou via sudo : Action Démarrer Commande de gestion nessusd # launchctl load -w /Library/LaunchDaemons/com.tenablesecurity.nessusd.plist Arrêt # launchctl unload -w /Library/LaunchDaemons/com.tenablesecurity.nessusd.plist Suppression de Nessus Pour supprimer Nessus, supprimez les répertoires suivants : /Library/Nessus /Applications/Nessus /Library/Receipts/Nessus* Si vous n'êtes pas familiarisé avec l'utilisation des lignes de commande Unix sur un système Mac OS X, contactez le service d'assistance de Tenable. Il existe des outils gratuits tels que «DesInstaller.app» ( et «CleanApp» ( qui peuvent aussi être utilisés pour supprimer Nessus. Tenable n'est pas associée à ces outils et ils n'ont pas été testés spécifiquement pour supprimer Nessus. Enregistrement des feeds et configuration de l'interface graphique Cette section décrit comment configurer le serveur Nessus 5 sur toutes les plateformes. À partir de Nessus 5, les options de configuration initiales telles que les options proxy et la fourniture d'un code d'activation sont effectuées via un processus Web. Après l'installation de Nessus, vous avez, pour des raisons de sécurité, six heures pour terminer le processus d'enregistrement. Si l'enregistrement n'est pas terminé à l'issue de ce délai, redémarrez nessusd et redémarrez le processus d'enregistrement. La version de Nessus Server Manager utilisée dans Nessus 4 est dépréciée. Si l'installation du logiciel n'ouvre pas votre navigateur Web à la page de configuration, vous pouvez charger un navigateur et aller à Server IP]:8834/WelcomeToNessus-Install/welcome. (ou à l'url fournie au cours du processus d'installation) pour démarrer le processus. Remarque : Les installations Unix peuvent fournir une URL contenant un nom d'hôte relatif qui ne figure pas dans le DNS (par exemple, Si le nom d'hôte ne figure pas dans le DNS, vous devez vous connecter au serveur Nessus à l'aide d'une adresse IP ou d'un nom DNS valide. 31

32 L'écran initial sert à avertir que tout le trafic à destination de l'interface graphique Nessus transite par SSL (HTTPS). Lorsque vous vous connectez pour la première fois au serveur Web Nessus, votre navigateur affiche un type d'erreur donné qui indique que la connexion n'est pas une connexion de confiance en raison d'un certificat SSL auto-signé. Pour la première connexion, acceptez le certificat pour poursuivre la configuration. Les instructions à suivre pour installer un certificat personnalisé sont traitées dans la suite de ce document, à la section «Configuration de Nessus avec un certificat SSL personnalisé». En raison de l'implémentation technique des certificats SSL, il n'est pas possible de livrer avec Nessus un certificat de confiance pour les navigateurs. Pour éviter cet avertissement, vous devez utiliser un certificat personnalisé propre à votre organisation. 32

33 Suivant le navigateur utilisé, une boîte de dialogue supplémentaire peut s'afficher pour vous permettre d'accepter le certificat : 33

34 Une fois le certificat accepté, vous serez redirigé vers l'écran d'enregistrement initial qui démarre les étapes détaillées : La première étape consiste à créer un compte pour le serveur Nessus. Le compte initial sera un administrateur. Ce compte peut accéder aux commandes d'exécution sur le système d'exploitation sous-jacent de l'installation Nessus ; il doit donc être considéré de la même façon que tout autre compte d'administrateur : 34

35 L'écran suivant demande un code d'activation des plugins et vous permet de configurer des paramètres de proxy en option. Si vous utilisez Tenable SecurityCenter, le code d'activation et les mises à jour de plugins sont gérés à partir de SecurityCenter. Nessus doit démarrer afin de pouvoir communiquer avec SecurityCenter, ce qu'il ne fait normalement pas sans un code d'activation valide et des plugins. Pour que Nessus ignore cette exigence et démarre (de façon à obtenir les informations du SecurityCenter), tapez «SecurityCenter» (en respectant la casse) sans guillemets dans la case Activation Code (Code d'activation). Le redémarrage du service nessusd marque la conclusion de l'installation et de la configuration initiales du scanner Nessus pour les utilisateurs de SecurityCenter qui peuvent passer à la section «Travailler avec SecurityCenter». Si vous n'enregistrez pas votre copie de Nessus, vous ne recevrez pas les nouveaux plugins et vous ne pourrez pas démarrer le serveur Nessus. Remarque : Le code d'activation n'est pas sensible à la casse. Si votre serveur Nessus se trouve sur un réseau qui utilise un proxy pour communiquer avec Internet, cliquez sur «Optional Proxy Settings» (Paramètres de proxy facultatifs) pour entrer les informations pertinentes. Les paramètres de proxy peuvent être ajoutés à tout moment à l'issue de l'installation. 35

36 Une fois que la configuration du code d'activation et des paramètres de proxy facultatifs est terminée, cliquez sur «Next» (Suivant) pour enregistrer votre scanner : 36

37 À l'issue de l'enregistrement, Nessus doit télécharger les plugins à partir de Tenable. Ce processus peut prendre plusieurs minutes car il transfère une importante quantité de données vers la machine, il vérifie l'intégrité des fichiers et il les compile dans une base de données interne : Après l'enregistrement initial, Nessus télécharge et compile en arrière-plan les plugins obtenus à partir du port 443 de plugins.nessus.org, plugins-customers.nessus.org ou plugins-us.nessus.org. Une fois que les plugins ont été téléchargés et compilés, l'interface graphique Nessus s'initialise et le serveur Nessus démarre : 37

38 Après l'initialisation, Nessus est prêt pour utilisation! Utilisez les identifiants administratifs créés au cours de l'installation pour vous connecter à l'interface Nessus et vérifier l'accès. Configuration Avec la version Nessus 5, la configuration du serveur Nessus est intégralement gérée via l'interface graphique. Le fichier nessusd.conf est déprécié. De plus, les paramètres de proxy, l'enregistrement des feeds d'abonnement et les mises à jour hors ligne sont gérés via l'interface graphique. Paramètres de proxy Web Sous l'en-tête «Configuration», l'onglet «Settings» (Paramètres) permet de configurer un proxy Web pour les mises à jour de plugin. Ce paramètre est requis si votre organisation exige que le trafic Web soit intégralement acheminé via un proxy d'entreprise : 38

39 Six champs contrôlent les paramètres de proxy, mais seuls l'hôte et le port sont requis. Un nom d'utilisateur et un mot de passe facultatifs peuvent être fournis, si nécessaire. Option Host (Hôte) Description Hôte ou IP du proxy (par exemple, proxy.exemple.com). Port Port du proxy (par exemple, 8080). Username (Nom d'utilisateur) Password (Mot de passe) User-Agent (Agent d'utilisateur) Custom Update Host (Hôte de mise à jour personnalisé) Facultatif : Si un nom d'utilisateur est requis pour l'utilisation de proxy (par exemple, «jdoe»). Facultatif : Si un mot de passe est requis pour l'utilisation de proxy (par exemple, «guineapigs»). Facultatif : Si le proxy utilisé filtre des agents d'utilisateur HTTP spécifiques, vous pouvez fournir une chaîne d'agent d'utilisateur personnalisé. Facultatif : Ce paramètre permet de forcer Nessus à mettre à jour les plugins à partir d'un hôte spécifique. Par exemple, si les plugins doivent être mis à jour à partir d'un site résidant aux États-Unis, vous pouvez spécifier «plugins-us.nessus.org». Comme pour Nessus 4.2, les scanners Microsoft Windows acceptent l'authentification par proxy, y compris NTLM. 39

40 Réinitialisation des codes d'activation et des mises à jour hors ligne Une fois le code d'activation initial saisi au cours du processus de configuration, les changements ultérieurs du code d'activation sont effectués dans l'onglet «Feed Settings» (Paramètres de flux). Si vous saisissez un nouveau code dans le champ «Activation Code» (Code d'activation) puis que vous cliquez sur «Save» (Enregistrer), le scanner Nessus est enregistré avec le nouveau code (par exemple, si vous effectuez la mise à niveau d'un HomeFeed vers le ProfessionalFeed). Vous pouvez forcer à tout moment une mise à jour de plugin en cliquant sur «Update Plugins» (Mettre à jour les plugins). Si la mise à jour des plugins échoue pour une raison ou une autre (par exemple, interruption de la connectivité réseau), Nessus fait une nouvelle tentative 10 minutes plus tard. La section «Offline Update» (Mise à jour hors ligne) permet de spécifier une archive de plugin pour traitement. Pour plus d'informations sur la mise à jour hors ligne, consultez la section «Nessus sans accès Internet» dans la suite de ce document. L'utilisation du client hérité à l'aide du protocole NTP est prise en charge par Nessus 5, mais elle est uniquement accessible pour les clients du ProfessionalFeed. Options de configuration avancée Nessus utilise diverses options de configuration afin de fournir un contrôle plus précis pour le fonctionnement du scanner. Un utilisateur administratif peut manipuler ces paramètres sous l'onglet «Advanced» (Avancé) de l'option «Configuration». AVERTISSEMENT : Les modifications apportées à la configuration du scanner Nessus affecteront TOUS les utilisateurs Nessus. Modifiez ces options avec prudence! 40

41 Vous pouvez configurer chaque option en modifiant le champ correspondant puis en cliquant sur le bouton «Save» (Enregistrer) au bas de l'écran. De plus, vous pouvez supprimer totalement l'option en cliquant sur le bouton. Par défaut, l'interface graphique Nessus fonctionne sur le port Pour changer ce port, modifiez xmlrpc_listen_port en fonction du port voulu. Le serveur Nessus traitera le changement en quelques minutes. Si des préférences supplémentaires sont requises, cliquez sur le bouton «Add Preference Item» (Ajouter un élément de préférence), entrez le nom et la valeur et appuyez sur «Save» (Enregistrer). Une fois qu'une préférence a été mise à jour et enregistrée, Nessus traite les changements en quelques minutes. Pour plus de détails sur les options de configuration, consultez la section «Configuration du démon Nessus (utilisateurs avancés)» de ce document. Création et gestion d'utilisateurs Nessus Un utilisateur administratif est créé au cours de la configuration initiale. Utilisez les identifiants spécifiés au cours de la configuration pour vous connecter à l'interface graphique Nessus. Une fois authentifié, cliquez sur l'en-tête «Users» (Utilisateurs) en haut : 41

42 Pour créer un nouvel utilisateur, cliquez sur «New User» (Ajouter) en haut à droite. Cette opération ouvre une boîte de dialogue qui demande les informations requises : Saisissez le nom d'utilisateur et le mot de passe, vérifiez le mot de passe et déterminez si l'utilisateur doit disposer de privilèges administrateur. Si un compte d'utilisateur doit être modifié, double-cliquez sur l'utilisateur : Il n'est pas possible de renommer un utilisateur. Pour changer le nom d'un utilisateur, supprimez l'utilisateur et créez-en un nouveau avec le nom de connexion approprié. Pour supprimer un utilisateur, cochez la case correspondant au compte dans la liste, sélectionnez «Options», cliquez sur «Delete User» (Supprimer l'utilisateur) et confirmez : 42

43 Un utilisateur qui n'est pas administrateur ne peut pas télécharger des plugins vers Nessus, ne peut pas le redémarrer à distance (ce qui est nécessaire après un téléchargement de plugins) et ne peut pas annuler le réglage max_hosts/max_checks dans la section configuration. S'il est prévu que l'utilisateur soit utilisé par SecurityCenter, il doit être un utilisateur administrateur. SecurityCenter assure la maintenance de sa liste d'utilisateurs et définit les permissions pour ceux-ci. Si vous voulez imposer des restrictions à un compte d'utilisateur Nessus, vous pouvez utiliser l'interface de ligne de commande (CLI) ; vous trouverez plus de détails à ce sujet dans la suite de ce document à la section «Utilisation et gestion de Nessus à partir de la ligne de commande». Configuration du démon Nessus (utilisateurs avancés) Le menu de configuration de l'interface graphique Nessus propose plusieurs options configurables. Par exemple, c'est ici que sont spécifiés le nombre maximum de contrôles et d'hôtes à scanner en même temps, les feeds que nessusd doit utiliser et la vitesse à laquelle les données doivent être lues, ainsi que beaucoup d'autres options. Il est recommandé d'examiner et de modifier ces paramètres selon les besoins de l'environnement de scan. Toutes les options de configuration sont expliquées à la fin de cette section. En particulier, les valeurs max_hosts et max_checks peuvent avoir des conséquences non négligeables sur la capacité du système Nessus à effectuer des scans et à scanner ces systèmes pour rechercher les vulnérabilités du réseau. Il faut faire particulièrement attention aux deux paramètres ci-dessous. Voici les deux paramètres et leur valeur par défaut comme indiqué dans le menu de configuration : Option Valeur max_hosts 40 max_checks 5 Ces paramètres seront remplacés pour chaque scan lorsque vous utilisez SecurityCenter de Tenable ou une stratégie personnalisée de l'interface utilisateur Nessus. Pour afficher ou modifier ces options pour un modèle de scan dans SecurityCenter, modifiez les «Scan Options» (options de scan) d'un Scan Template (modèle de scan). Dans Nessus User Interface, modifiez la stratégie de scan, puis cliquez sur l'onglet «Options». Le paramètre max_checks présente une limite codée en dur de 15. Toute valeur supérieure à 5 produira souvent des effets néfastes car les serveurs ne peuvent normalement pas prendre en charge autant de demandes intrusives en même temps. 43

44 Remarques concernant max_hosts : Comme son nom l'indique, il s'agit du nombre maximum de systèmes cibles qui seront scannés en même temps. Plus le nombre de systèmes scannés simultanément par un scanner Nessus individuel est élevé, plus la mémoire vive, le processeur et la bande passante réseau du système de scanner sont sollicités. Il faut prendre en compte la configuration matérielle du système de scanner et les autres applications qu'il exécute pour configurer la valeur max_hosts. Puisque d'autres facteurs propres à l'environnement de scan affecteront aussi les scans de Nessus (par exemple la stratégie de scan de l'organisation, tout autre trafic réseau, l'effet d'un type particulier de scan sur les hôtes cibles de scan), une expérimentation permettra de trouver la configuration optimale pour max_hosts. Un point de départ prudent pour déterminer la meilleure configuration de max_hosts dans un environnement d'entreprise est d'utiliser la valeur «20» sur un système Nessus basé sur Unix et «10» sur un scanner Nessus basé sur Windows. Remarques concernant max_checks : Il s'agit du nombre de contrôles ou de plugins qui seront exécutés simultanément sur un même hôte cible pendant un scan. Si ce nombre est trop élevé, les systèmes scannés pourraient être inondés, suivant les plugins utilisés pour le scan. Multipliez max_checks par max_hosts pour obtenir le nombre de contrôles simultanés qui peuvent potentiellement être exécutés à un moment donné lors d'un scan. Puisque max_checks et max_hosts sont utilisés ensemble, une valeur trop élevée de max_checks peut également causer des contraintes de ressources sur un système de scanner Nessus. Comme pour max_hosts, l'expérimentation permet de parvenir à la configuration optimale pour max_checks, mais il est recommandé de toujours choisir un paramètre bas. Options de configuration Le tableau suivant fournit une brève explication de toutes les options de configuration disponibles dans le menu de configuration. Vous pouvez configurer la plupart de ces options au moyen de l'interface utilisateur lorsque vous créez une stratégie de scan. Option Description auto_enable_dependencies Active automatiquement les plugins de dépendance. Si elle est désactivée, il est possible que certains plugins ne soient pas exécutés, même s'ils sont sélectionnés dans une stratégie de scan. auto_update auto_update_delay cgi_path checks_read_timeout Mises à jour automatiques des plugins. Si elle est activée et si Nessus est enregistré, les plugins les plus récents sont obtenus automatiquement depuis plugins.nessus.org. Désactivez-la si le scanner se trouve sur un réseau isolé qui ne peut pas être connecté à Internet. Nombre d'heures d'attente entre deux mises à jour. Quatre (4) heures est l'intervalle minimum admissible. Lors des tests des serveurs Web, utilisez cette liste de chemin d'accès CGI délimités par deux points. Temporisation de lecture pour les sockets des tests. disable_ntp Désactive l'ancien protocole hérité NTP. disable_xmlrpc Désactive la nouvelle interface XMLRPC (Web Server). 44

45 dumpfile Emplacement d'un fichier de vidage pour la sortie d'un débogage éventuel. enable_listen_ipv4 Indique à Nessus d'écouter sur IPv4. enable_listen_ipv6 global.max_scans global.max_simult_tcp_ sessions global.max_web_users host.max_simult_tcp_ sessions Indique à Nessus d'écouter sur IPv6 si le système prend en charge l'adressage IPv6. Si elle n'est pas configurée sur zéro, cette option définit le nombre maximum de scans qui peuvent être exécutés en parallèle. Remarque : Si cette option n'est pas utilisée, aucune limite n'est appliquée. Nombre maximum de sessions TCP simultanées entre tous les scans. Remarque : Si cette option n'est pas utilisée, aucune limite n'est appliquée. Si sa valeur est différente de zéro, cette option définit le nombre maximum d'utilisateurs (Web) qui peuvent être connectés en parallèle. Remarque : Si cette option n'est pas utilisée, aucune limite n'est appliquée. Nombre maximum de sessions TCP simultanées par hôte scanné. listen_address Adresses IPv4 pour écouter les connexions entrantes. Si vous utilisez , l'accès sera restreint aux seules connexions locales. listen_port log_whole_attack logfile Port sur lequel écouter (ancien protocole NTP). Utilisé pour les connexions antérieures à NessusClient 4.2. Consigner tous les détails de l'attaque? Utile pour le débogage des problèmes de scan, mais peut surcharger le disque. Emplacement dans lequel le fichier journal de Nessus est enregistré. max_hosts Nombre maximum d'hôtes contrôlés à la fois au cours d'un scan. max_checks Nombre maximal de contrôles simultanés envers chaque hôte testé : max_simult_tcp_sessions Nombre maximum de sessions TCP simultanées par scan. nasl_log_type Spécifie le type de sortie de moteur NASL dans nessusd.dump. nasl_no_signature_check nessus_syn_scanner global_throughput.max non_simult_ports Nessus doit-il considérer tous les scripts NASL comme signés? La sélection de «yes» (oui) est dangereuse et n'est pas recommandée. Définit le nombre maximum de paquets syn que Nessus envoie par seconde pendant son scan de port (quel que soit le nombre d'hôtes scannés en parallèle). Ajustez ce paramètre en fonction de la sensibilité du périphérique distant aux grands nombres de paquets syn. Ports sur lesquels deux plugins ne doivent pas être exécutés simultanément. optimize_test Optimise la procédure de test. Si vous changez ce paramètre sur «no», les scans prendront plus longtemps et produiront généralement davantage de faux positifs. 45

46 paused_scan_timeout plugin_upload Arrête un scan en pause après un nombre de minutes spécifié (0 pour aucune temporisation) Indique si les utilisateurs admin peuvent télécharger les plugins. plugin_upload_suffixes Suffixes des plugins que l'administrateur peut télécharger. plugins_timeout Durée de vie maximale d'une activité de plugin (en secondes). port_range purge_plugin_db qdb_mem_usage reduce_connections_on_ congestion Plage de ports que les scanners de port vont scanner. Peut utiliser les mots clés «default» (par défaut) ou «all» (tous) ainsi qu'une liste de ports ou des plages de ports délimités par des virgules. Détermine si Nessus doit purger la base de données des plugins lors de chaque mise à jour. Cette option indique à Nessus de supprimer, télécharger une nouvelle fois et reconstruire la base de données des plugins pour chaque mise à jour. Si vous choisissez «yes» (oui), la mise à jour sera nettement plus lente. Indique à Nessus d'utiliser plus ou moins de mémoire lorsqu'il est inactif. Si Nessus est exécuté sur un serveur dédié, le réglage de ce paramètre sur «high» (haut) utilisera plus de mémoire pour augmenter la performance. Si Nessus est exécuté sur un ordinateur partagé, le réglage de ce paramètre sur «low» (bas) utilisera beaucoup moins de mémoire, mais avec un impact modéré sur la performance. Réduit le nombre de sessions TCP en parallèle lorsque le réseau semble être congestionné. report_crashes Signaler anonymement les pannes à Tenable? rules Emplacement du fichier Nessus Rules (nessusd.rules). safe_checks save_knowledge_base Safe checks se base sur la capture des bannières au lieu des tests actifs pour une vulnérabilité. Sauvegarde la base de connaissances sur le disque pour une utilisation ultérieure. silent_dependencies slice_network_addresses source_ip Si elle est activée, la liste des dépendances de plugin et leur sortie ne sont pas incluses dans le rapport. Un plugin peut être sélectionné dans le cadre d'une stratégie qui dépend de l'exécution d'autres plugins. Par défaut, Nessus exécutera ces dépendances de plugin, mais n'inclura pas leur sortie dans le rapport. Si vous définissez cette option sur no (non), le plugin sélectionné et les dépendances de plugin apparaîtront tous dans le rapport. Si cette option est définie, Nessus ne scanne pas un réseau de façon incrémentielle ( , puis , puis et ainsi de suite) mais essaie de fractionner le travail sur l'ensemble du réseau (par exemple il scanne , puis , puis , puis , et ainsi de suite). Dans le cas d'un système multiconnecté avec des IP différentes sur le même sousréseau, cette option indique au scanner Nessus le NIC/IP à utiliser pour les tests. Si plusieurs IP sont fournies, Nessus les parcourt en cycle l'une après l'autre chaque fois qu'il effectue une connexion. ssl_cipher_list Accepte uniquement les cryptages SSL «forts» pour une connexion au port Prend en charge le mot clé «fort» ou les désignations OpenSSL génériques telles 46

47 que répertoriées sur stop_scan_on_disconnect Arrête de scanner un hôte qui semble avoir été déconnecté pendant le scan. stop_scan_on_hang Arrête un scan qui semble être figé. throttle_scan Ralentit le scan lorsque l'uc est surchargée. use_kernel_congestion_ detection www_logfile Utilise les messages de congestion TCP de Linux pour réduire l'activité de scan selon les besoins. Emplacement où le journal Nessus Web Server (interface utilisateur) est enregistré. xmlrpc_idle_session_ timeout xmlrpc_import_feed_ policies xmlrpc_listen_port Temporisation de session inactive XMLRPC (en minutes) Si vous affectez la valeur «no» (non) à ce paramètre, Nessus n'inclura pas les stratégies de scan par défaut fournies par Tenable. Port pour Nessus Web Server sur lequel écouter (nouveau protocole XMLRPC). xmlrpc_min_password_ len Indique à Nessus d'appliquer une stratégie pour la longueur du mot de passe pour les utilisateurs du scanner. Par défaut, report_crashes est configuré sur «yes» (oui). Les informations associées à une panne dans Nessus sont envoyées à Tenable pour faciliter le débogage des problèmes et fournir un logiciel de la meilleure qualité possible. Aucune information personnelle ou d'identification du système n'est envoyée. Ce paramètre peut être configuré sur «no» (non) par un administrateur Nessus. Configuration de Nessus avec un certificat SSL personnalisé L'installation par défaut de Nessus utilise un certificat SSL auto-signé. Lorsque l'interface Web est utilisée pour la première fois pour accéder au scanner Nessus, le navigateur Web affiche une erreur indiquant que le certificat n'est pas sécurisé : 47

48 Pour éviter les avertissements du navigateur, un certificat SSL personnalisé correspondant à l'organisation peut être utilisé. Pendant l'installation, Nessus crée deux fichiers qui constituent le certificat : servercert.pem et serverkey.pem. Ces fichiers doivent être remplacés par des fichiers de certificat créés par l'entreprise ou par une autorité de certification (CA - Certificate Authority) de confiance. Avant de remplacer les fichiers de certificat, arrêtez le serveur Nessus. Remplacez les deux fichiers et redémarrez le serveur Nessus. Les connexions ultérieures au scanner ne devraient pas afficher d'erreur si le certificat a été créé par une CA de confiance. Le tableau ci-dessous répertorie l'emplacement des fichiers de certificats en fonction du système d'exploitation : Système d'exploitation Linux et Solaris FreeBSD Windows Emplacements des fichiers de certificat /opt/nessus/com/nessus/ca/servercert.pem /opt/nessus/var/nessus/ca/serverkey.pem /usr/local/nessus/com/nessus/ca/servercert.pem /usr/local/nessus/var/nessus/ca/serverkey.pem C:\Program Files\Tenable\Nessus\nessus\CA\ Mac OS X /Library/Nessus/run/com/nessus/CA/servercert.pem /Library/Nessus/run/var/nessus/CA/serverkey.pem Nessus 5 prend en charge les chaînes de certificat SSL. Vous pouvez aussi consulter address]:8834/getcert pour installer la CA root dans le navigateur, ce qui éliminera l'avertissement. 48

49 Pour configurer une chaîne de certificat intermédiaire, le fichier serverchain.pem doit être placé dans le même répertoire que le fichier servercert.pem. Il doit contenir les certificats intermédiaires 1-n (certificats publics concaténés) nécessaires pour construire la chaîne de certificats complète du serveur Nessus sur le dernier certificat root (un certificat de confiance pour le navigateur de l'utilisateur). Authentification sur Nessus avec un Certificat SSL Authentification du certificat client SSL Nessus permet aux utilisateurs d'employer l'authentification du certificat client SSL. Cela permet d'utiliser les certificats client SSL, les cartes à puce et l'authentification CAC lorsque le navigateur est configuré pour cette méthode. Nessus autorise les méthodes d'authentification du certificat client SSL ou basées sur mot de passe pour les comptes utilisateur. Lorsque vous créez un utilisateur pour l'authentification du certificat client SSL, l'utilitaire nessus-mkcertclient est employé via la ligne de commande sur le serveur Nessus. Configurer Nessus pour les certificats La première étape pour permettre l'authentification du certificat SSL consiste à configurer le serveur Web Nessus avec un certificat de serveur et une CA. Ce processus permet au serveur Web de faire confiance aux certificats créés par l'autorité de certification (CA - Certificate Authority) à des fins d'authentification. Les fichiers générés relatifs aux certificats doivent être la propriété de root:root et les permissions par défaut son correctes. 1. (Facultatif) Créez un nouveau certificat de serveur et CA personnalisé pour le serveur Nessus à l'aide de la commande nessus-mkcert sur la ligne de commande. Cette opération placera les certificats dans les répertoires adéquats. Lorsque le système vous invite à saisir le nom d'hôte, saisissez le nom DNS ou l'adresse IP du serveur dans le navigateur, par exemple ou Le certificat par défaut utilise le nom d'hôte. 2. Si un certificat CA doit être utilisé à la place du certificat généré par Nessus, faites une copie du certificat CA auto-signé à l'aide de la commande appropriée pour votre système d'exploitation : Linux/Unix : # cp /opt/nessus/com/nessus/ca/cacert.pem /opt/nessus/com/nessus/ca/origcacert.pem Windows : C:\> copy \Program Files\Tenable\Nessus\Nessus\CA\cacert.pem C:\Program Files\Tenable\Nessus\nessus\CA\ORIGcacert.pem 3. Si les certificats à utiliser pour l'authentification sont créés par une CA autre que le serveur Nessus, le certificat CA doit être installé sur le serveur Nessus : Linux/Unix : Copiez le certificat CA de l'organisation dans /opt/nessus/com/nessus/ca/cacert.pem Windows : Copiez le certificat CA de l'organisation dans C:\Program Files\Tenable\Nessus\Nessus\CA\cacert.pem 4. Configurez le serveur Nessus pour l'authentification des certificats. Une fois l'authentification des certificats activée, la connexion à l'aide d'un nom d'utilisateur et d'un mot de passe est désactivée. Linux/Unix : # /opt/nessus/sbin/nessus-fix -set force_pubkey_auth=yes 49

50 Windows : C:\> \program files\tenable\nessus\nessus-fix -set force_pubkey_auth=yes 5. Une fois la CA en place et le paramètre force_pubkey_auth activé, redémarrez les services Nessus à l'aide de la commande service nessusd restart. Une fois Nessus configuré avec le(s) certificat(s) CA approprié(s), les utilisateurs peuvent se connecter à Nessus en utilisant les certificats client SSL, les cartes à puce et les CAC. Créer les certificats SSL Nessus pour la connexion Pour établir la connexion à un serveur Nessus avec des certificats SSL, les certificats doivent être créés avec l'utilitaire approprié. Pour ce processus, l'utilitaire de ligne de commande nessus-mkcert-client est utilisé sur le système. Les six questions posées concernent la définition de valeurs par défaut pour la création des utilisateurs dans le cadre de la session en cours. Elles incluent la durée de vie du certificat, le pays, l'état, l'emplacement, l'organisation et l'unité organisationnelle. Les valeurs par défaut de ces options peuvent être modifiées, le cas échéant, pendant la création des utilisateurs à proprement parler. Le ou les utilisateurs sont ensuite créés un par un selon les invites. À la fin du processus, les certificats sont copiés correctement et ils sont utilisés pour établir une connexion au serveur Nessus. 1. Sur le serveur Nessus, exécutez la commande nessus-mkcert-client. Linux/Unix : # /opt/nessus/sbin/nessus-mkcert-client Windows (Exécuter en tant qu'utilisateur administrateur local) : C:\> \Program Files\Tenable\Nessus\nessus-mkcert-client 2. Remplissez les champs conformément aux invites. Le processus est identique sur un serveur Linux/Unix ou Windows. Do you want to register the users in the Nessus server as soon as you create their certificates? [n]: y Creation Nessus SSL client Certificate This script will now ask you the relevant information to create the SSL client certificates for Nessus. Client certificate life time in days [365]: Your country (two letter code) [US]: Your state or province name [NY]: MD Your location (e.g. town) [New York]: Columbia Your organization []: Content Your organizational unit []: Tenable ********** We are going to ask you some question for each client certificate If some question have a default answer, you can force an empty answer by entering a single dot '.' ********* User #1 name (e.g. Nessus username) []: squirrel Should this user be administrator? [n]: y Country (two letter code) [US]: State or province name [MD]: Location (e.g. town) [Columbia]: Organization [Content]: Organizational unit [Tenable]: []: 50

51 User rules nessusd has a rules system which allows you to restrict the hosts that firstuser has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser(8) man page for the rules syntax Enter the rules for this user, and enter a BLANK LINE once you are done : (the user can have an empty rules set) User added to Nessus. Another client certificate? [n]: Your client certificates are in C:\Users\admin\AppData\Local\Temp\nessus e You will have to copy them by hand Les certificats client seront créés dans un répertoire temporaire aléatoire approprié au système. Le répertoire temporaire sera identifié sur la ligne commençant par «Your client certificates are in». 3. Deux fichiers seront créés dans le répertoire temporaire, cert_squirrel.pem et key_squirrel.pem. Ces fichiers doivent être combinés et exportés dans un format qui peut être importé dans le navigateur Web, tel que.pfx. Cette opération peut être effectuée à l'aide du programme openssl et de la commande suivante : # openssl pkcs12 -export -out combined_squirrel.pfx inkey key_squirrel.pem -in cert_squirrel.pem -chain -CAfile /opt/nessus/com/nessus/ca/cacert.pem -passout pass:'secretword' -name 'Nessus User Certificate for: squirrel' Le fichier résultant, combined_squirrel.pfx, sera créé dans le répertoire à partir duquel la commande est lancée. Ce fichier doit ensuite être importé dans le magasin de certificats personnels du navigateur Web. Activer les connexions avec la carte à puce ou la carte CAC Une fois que le CAcert pour la carte à puce, la carte CAC ou un périphérique similaire a été mis en place, les utilisateurs correspondants doivent être créés pour assurer la correspondance dans Nessus. Au cours de ce processus, les utilisateurs créés doivent correspondre au CN utilisé sur la carte que l'utilisateur va utiliser pour la connexion. 1. Sur le serveur Nessus, exécutez la commande nessus-mkcert-client. Linux/Unix : # /opt/nessus/sbin/nessus-mkcert-client Windows (Exécuter en tant qu'utilisateur administrateur local) : C:\> \Program Files\Tenable\Nessus\nessus-mkcert-client.exe 2. Remplissez les champs conformément aux invites. Le processus est identique sur un serveur Linux/Unix ou Windows. Le nom d'utilisateur doit correspondre au CN fourni par le certificat sur la carte. Do you want to register the users in the Nessus server as soon as you create their certificates? [n]: y Creation Nessus SSL client Certificate

52 This script will now ask you the relevant information to create the SSL client certificates for Nessus. Client certificate life time in days [365]: Your country (two letter code) [US]: Your state or province name [NY]: MD Your location (e.g. town) [New York]: Columbia Your organization []: Content Your organizational unit []: Tenable ********** We are going to ask you some question for each client certificate If some question have a default answer, you can force an empty answer by entering a single dot '.' ********* User #1 name (e.g. Nessus username) []: squirrel Should this user be administrator? [n]: y Country (two letter code) [US]: State or province name [MD]: Location (e.g. town) [Columbia]: Organization [Content]: Organizational unit [Tenable]: []: User rules nessusd has a rules system which allows you to restrict the hosts that firstuser has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser(8) man page for the rules syntax Enter the rules for this user, and enter a BLANK LINE once you are done : (the user can have an empty rules set) User added to Nessus. Another client certificate? [n]: Your client certificates are in C:\Users\admin\AppData\Local\Temp\nessus e You will have to copy them by hand Les certificats client sont créés dans un répertoire temporaire aléatoire approprié au système. Le répertoire temporaire sera identifié sur la ligne commençant par «Your client certificates are in». Si vous utilisez l'authentification de carte, ces certificats sont inutiles et peuvent être supprimés. 3. Une fois créé, un utilisateur doté de la carte appropriée peut accéder au serveur Nessus et s'authentifier automatiquement une fois que son PIN ou un code secret similaire est fourni. 52

53 Connexion avec un navigateur activé par certificat ou par carte Les informations suivantes sont fournies en supposant que votre navigateur est configuré pour l'authentification de certificat SSL. Cela inclut la confiance appropriée de la CA par le navigateur Web. Veuillez consulter les fichiers d'aide du navigateur ou une autre documentation pour configurer cette fonction. Le processus de connexion de certificat commence lorsqu'un utilisateur se connecte à Nessus. 1. Lancez un navigateur et naviguez jusqu'au serveur Nessus. 2. Le navigateur propose la liste des identités de certificat disponibles que vous pouvez choisir : 3. Une fois un certificat sélectionné, une invite vous demande d'indiquer le PIN ou le mot de passe du certificat (le cas échéant) afin d'y accéder. Si vous saisissez le PIN ou le mot de passe approprié, le certificat est disponible pour la session actuelle avec Nessus. 4. Lorsqu'il navigue dans l'interface Web de Nessus, l'utilisateur peut brièvement voir l'écran du nom d'utilisateur et du mot de passe, suivi d'une connexion automatique en tant qu'utilisateur désigné. L'interface utilisateur Nessus peut être utilisée normalement. 53

54 Si vous mettez fin à la session, l'écran de connexion Nessus standard s'affiche à votre attention. Si vous voulez vous connecter une nouvelle fois en utilisant le même certificat, actualisez votre navigateur. Si vous devez utiliser un certificat différent, vous devez redémarrer votre session de navigateur. Nessus sans accès Internet Cette section décrit les étapes nécessaires pour enregistrer le scanner Nessus, installer le code d'activation et recevoir les plugins les plus récents lorsque le système Nessus n'a pas d'accès direct à Internet. Les codes d'activation récupérés à l'aide du processus hors ligne décrit ci-dessous sont associés au scanner Nessus utilisé pendant le processus de mise à jour hors ligne. Pour commencer, suivez les instructions fournies par Nessus. Lorsque Nessus demande un code d'activation, entrez «Offline» comme indiqué. Générer un code de défi Vous devez récupérer le code d'activation pour l'abonnement Nessus à partir du compte du Tenable Support Portal pour le ProfessionalFeed ou à partir de l' d'enregistrement au HomeFeed. Vous ne pouvez utiliser qu'un seul code d'activation par scanner, sauf si les scanners sont gérés par SecurityCenter. Une fois que vous disposez du code d'activation, exécutez la commande suivante sur le système qui exécute Nessus : Windows : C:\Program Files\Tenable\Nessus>nessus-fetch.exe --challenge Linux et Solaris : # /opt/nessus/bin/nessus-fetch --challenge FreeBSD : # /usr/local/nessus/bin/nessus-fetch --challenge Mac OS X : # /Library/Nessus/run/bin/nessus-fetch --challenge Ceci produit une chaîne appelée «challenge code» (code de défi) qui ressemble à ce qui suit : 569ccd9ac72ab3a62a3115a945ef8e710c0d73b8 Obtention et installation de plugins à jour Ensuite, allez sur et copiez-collez dans les cases de texte correspondantes la chaîne «challenge» ainsi que le code d'activation reçu précédemment : 54

55 Ceci produit une URL similaire à la capture d'écran ci-dessous : Cet écran donne accès au téléchargement des derniers feeds de plugins Nessus (all-2.0.tar.gz) ainsi qu'au fichier nessus-fetch.rc en bas de l'écran. 55

56 Enregistrez cette URL car elle servira lors de chaque mise à jour des plugins, comme décrit ci-dessous. Un code d'enregistrement utilisé pour les mises à jour hors ligne ne peut pas être utilisé sur le même serveur de scanner Nessus par l'intermédiaire de Nessus Server Manager. Si vous devez à un moment ou à un autre vérifier le code d'enregistrement pour un scanner donné, utilisez l'option -- code-in-use du programme nessus-fetch. Copiez le fichier nessus-fetch.rc sur l'hôte exécutant Nessus dans le répertoire suivant : Windows : C:\Program Files\Tenable\Nessus\conf Linux et Solaris : /opt/nessus/etc/nessus/ FreeBSD : /usr/local/nessus/etc/nessus/ Mac OS X : /Library/Nessus/run/etc/nessus/ Le fichier nessus-fetch.rc ne doit être copié qu'une seule fois. Les téléchargements ultérieurs de plugins Nessus devront être copiés dans le répertoire approprié à chaque fois, comme décrit ci-dessous. Par défaut, Nessus tente de mettre à jour ses plugins toutes les 24 heures une fois que vous l'avez enregistré. Si vous ne voulez pas que cette mise à jour en ligne soit effectuée, configurez le paramètre «auto_update» sur «no» dans le menu «Configuration» -> «Advanced» (Avancé). Effectuez cette étape à chaque fois que vous effectuez une mise à jour hors ligne des plugins. À l'issue du téléchargement, déplacez le fichier all-2.0.tar.gz dans le répertoire Nessus. Indiquez ensuite à Nessus de traiter l'archive de plugin : Windows: C:\Program Files\Tenable\Nessus>nessus-update-plugins.exe all-2.0.tar.gz Unix (modifiez le chemin en fonction de votre installation) : # /opt/nessus/sbin/nessus-update-plugins all-2.0.tar.gz Après le traitement, vous devez redémarrer Nessus pour que les modifications soient prises en compte. Consultez les sections «Manipulation de Nessus Service via Windows CLI» ou «Démarrage et arrêt du démon Nessus» Une fois les plugins installés, vous n'êtes plus tenu de conserver le fichier all-2.0.tar.gz. Cependant, Tenable recommande de conserver la dernière version du fichier de plugin téléchargé au cas où vous en auriez encore besoin. Vous disposez à présent des plugins les plus récents. Chaque fois que vous souhaitez mettre à jour les plugins alors que vous ne disposez pas d'un accès Internet, vous devez aller à l'url fournie, accéder au fichier tar/gz, le copier sur le système exécutant Nessus et répéter le processus ci-dessus. 56

57 Utilisation et gestion de Nessus à partir de la ligne de commande Répertoires principaux de Nessus Le tableau ci-dessous répertorie les emplacements d'installation et les répertoires principaux utilisés par Nessus sur *nix/linux : Répertoire d'accueil Nessus Sous-répertoires Nessus Objet Distributions Unix Red Hat, SuSE, Debian, Ubuntu, Solaris : /opt/nessus./etc/nessus/ Fichiers de configuration./var/nessus/users/<username>/kbs/ Base de connaissance de l'utilisateur sauvegardée sur disque FreeBSD : /usr/local/nessus Mac OS X : /Library/Nessus/run./lib/nessus/plugins/./var/nessus/logs/ Plugins Nessus Fichiers journaux Nessus Le tableau ci-dessous répertorie les emplacements d'installation et les répertoires principaux utilisés par Nessus sur Windows : Répertoire d'accueil Nessus Sous-répertoires Nessus Objet Windows \Program Files\Tenable\Nessus \conf Fichiers de configuration \data Modèles de feuille de style \nessus\plugins Plugins Nessus \nessus\users\<username>\kbs \nessus\logs Base de connaissance de l'utilisateur sauvegardée sur disque Fichiers journaux Nessus Création et gestion des utilisateurs Nessus avec des limitations de compte Un seul scanner Nessus peut prendre en charge un arrangement complexe d'utilisateurs multiples. Par exemple, une organisation peut nécessiter que plusieurs employés aient accès au même scanner Nessus mais puissent aussi scanner des plages d'ip différentes, autorisant ainsi certains employés uniquement à accéder à des plages d'ip limitées. L'exemple suivant illustre la création d'un deuxième utilisateur Nessus avec authentification par mot de passe ainsi que de règles d'utilisateur qui limitent l'utilisateur au scan d'un sous-réseau de catégorie B, /16. Pour d'autres exemples et la syntaxe des règles d'utilisateur, reportez-vous aux pages man concernant nessus-adduser. 57

58 # /opt/nessus/sbin/nessus-adduser Login : tater-nessus Login password : Login password (again) : Do you want this user to be a Nessus 'admin' user? (can upload plugins, etc...) (y/n) [n]: y User rules nessusd has a rules system which allows you to restrict the hosts that tater-nessus has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser manual for the rules syntax Enter the rules for this user, and enter a BLANK LINE once you are done : (the user can have an empty rules set) accept /16 deny /0 Login : tater-nessus Password : *********** This user will have 'admin' privileges within the Nessus server Rules : accept /16 deny /0 Is that ok? (y/n) [y] y User added Pour afficher la page man de nessus-adduser(8), il peut être nécessaire d'exécuter les commandes suivantes sur certains systèmes d'exploitation : # export MANPATH=/opt/nessus/man # man nessus-adduser Options de ligne de commande Nessusd En plus de l'exécution du serveur nessusd, il existe plusieurs options de ligne de commande qui peuvent être utilisées selon les besoins. Le tableau ci-dessous contient des informations sur ces diverses commandes facultatives. Option Description -c <config-file> Lors du démarrage du serveur nessusd, cette option est utilisée pour spécifier le fichier de configuration nessusd côté serveur à utiliser. Elle permet d'utiliser un autre fichier de configuration à la place du fichier standard /opt/nessus/etc/nessus/nessusd.db (ou /usr/local/nessus/etc/nessus/nessusd.db pour FreeBSD). -a <address> Lors du démarrage du serveur nessusd, cette option est utilisée pour indiquer au serveur d'écouter uniquement les connexions à l'adresse <address> qui est une adresse IP, et non pas un nom d'ordinateur. Cette option est utile si nessusd est exécuté sur une passerelle et si vous ne souhaitez pas que des personnes extérieures se connectent à nessusd. 58

59 -S <ip[,ip2,...]> Lors du démarrage du serveur nessusd, force l'ip source des connexions établies par Nessus pendant le scan dans <ip>. Cette option est utile uniquement si vous disposez d'un périphérique multiconnecté avec plusieurs adresses IP publiques que vous souhaitez utiliser au lieu de l'adresse par défaut. Pour que cette configuration fonctionne, l'hôte exécutant nessusd doit avoir plusieurs cartes réseau avec ces adresses IP définies. -p <port-number> Lors du démarrage du serveur nessusd, cette option indique au serveur d'écouter les connexions de client sur le port <port-number> plutôt que celles sur le port 1241, qui est le port par défaut. -D Lors du démarrage du serveur nessusd, cette option fait fonctionner le serveur en arrièreplan (mode démon). -v Affiche le numéro de la version et quitte. -l Affiche les informations de licence de feed de plugin puis se ferme. -h Affiche le résumé des commandes puis se ferme. --ipv4-only Prend en compte le socket IPv4 uniquement. --ipv6-only Prend en compte le socket IPv6 uniquement. -q Fonctionnement en mode «silencieux», suppression de tous les messages à stdout. -R Force un nouveau traitement des plugins. -t Vérifie l'horodatage de chaque plugin lors du démarrage afin de compiler uniquement les derniers plugins mis à jour. -K Définit d'un mot de passe général pour le scanner. Si un mot de passe général est défini, Nessus chiffre toutes les stratégies et tous les identifiants contenus dans celles-ci avec la clé fournie par l'utilisateur (qui est beaucoup plus sécurisée que la clé par défaut). Si un mot de passe est défini, l'interface Web invite à saisir le mot de passe lors du démarrage. AVERTISSEMENT : Si le mot de passe général est défini mais perdu, il ne peut pas être récupéré par l'administrateur ou le service d'assistance de Tenable. Voici ci-dessous un exemple d'utilisation : Linux : # /opt/nessus/sbin/nessus-service [-vhd] [-c <config-file>] [-p <port-number>] [-a <address>] [-S <ip[,ip,...]>] FreeBSD : # /usr/local/nessus/sbin/nessus-service [-vhd] [-c <config-file>] [-p <port-number>] [-a <address>] [-S <ip[,ip,...]>] 59

60 Manipulation de Nessus Service via Windows CLI Vous pouvez aussi démarrer ou arrêter Nessus à partir de la ligne de commande : Veuillez noter que la fenêtre de commande doit être appelée avec les privilèges administratifs : C:\Windows\system32>net stop "Tenable Nessus" The Tenable Nessus service is stopping. The Tenable Nessus service was stopped successfully. C:\Windows\system32>net start "Tenable Nessus" The Tenable Nessus service is starting. The Tenable Nessus service was started successfully. C:\Windows\system32> Utilisation de SecurityCenter Vue d'ensemble de SecurityCenter Tenable SecurityCenter est une console de gestion Web qui unifie le processus de détection et de gestion des vulnérabilités, la gestion des événements et des journaux, la surveillance de la conformité et les rapports relatifs à toutes ces activités. SecurityCenter permet une communication efficace des événements de sécurité aux équipes informatiques, de gestion et d'audit. SecurityCenter prend en charge l'utilisation simultanée de plusieurs scanners Nessus pour le scan régulier d'un réseau de toute taille. SecurityCenter utilise l'api Nessus (application personnalisée du protocole XML-RPC) pour communiquer avec les scanners Nessus associés afin d'envoyer les instructions de scan et de recevoir les résultats. SecurityCenter autorise plusieurs utilisateurs et administrateurs possédant des niveaux de sécurité différents à partager les informations sur les vulnérabilités, définir la priorité des vulnérabilités, indiquer les actifs réseau qui présentent des problèmes de sécurité critiques, fournir des recommandations aux administrateurs système pour résoudre ces problèmes de sécurité et effectuer le suivi de l'atténuation des vulnérabilités. SecurityCenter reçoit également des données de nombreux IDS de pointe, comme Snort et ISS par l'intermédiaire du Log Correlation Engine. SecurityCenter peut aussi recevoir des informations passives de vulnérabilité provenant de Tenable Passive Vulnerability Scanner de sorte que les utilisateurs finaux puissent détecter les nouveaux hôtes, applications, vulnérabilités et intrusions sans avoir besoin du scan actif avec Nessus. Configuration de SecurityCenter pour l'utilisation avec Nessus Un «Nessus Server» peut être ajouté par l'interface d'administration SecurityCenter. En utilisant cette interface, SecurityCenter peut être configuré pour accéder à pratiquement tous les scanners Nessus et les contrôler. Cliquez sur l'onglet «Resources» (Ressources), puis sur «Nessus Scanners». Cliquez sur «Add» (Ajouter) pour ouvrir la boîte de dialogue «Add Scanner» (Ajouter un scanner). L'adresse IP du scanner Nessus, le port Nessus (par défaut : 1241), l'id de connexion administrative, le type d'authentification et le mot de passe (créé lors de la configuration de Nessus) sont requis. Les champs de mot de passe ne sont pas disponibles si l'authentification «SSL Certificate» (Certificat SSL) est sélectionnée. En outre, les zones auxquelles le scanner Nessus sera affecté peuvent être sélectionnées. Voici un exemple de capture d'écran de la page «Add Scanner» (Ajouter un scanner) de SecurityCenter : 60

61 Une fois le scanner ajouté, la page suivante s'affiche lorsque le scanner est sélectionné : Pour plus d'informations, consultez le «Guide d'administration de SecurityCenter». Configuration de SecurityCenter 4.4 pour l'utilisation avec Nessus L'interface d'administration SecurityCenter est utilisée pour configurer l'accès et contrôler tout scanner Nessus de version 4.2.x ou supérieure. Cliquez sur l'onglet «Resources» (Ressources), puis sur «Nessus Scanners». Cliquez sur «Add» (ajouter) pour ouvrir la boîte de dialogue «Add Scanner» (Ajouter un scanner). L'adresse IP ou le nom d'hôte du scanner Nessus, le port Nessus (par défaut : 8834), le type d'authentification (créé lors de la configuration de Nessus), l'id de connexion administrative et le mot de passe ou les informations de certificat sont requis. Les champs de mot de passe ne sont pas disponibles si l'authentification «SSL Certificate» (Certificat SSL) est sélectionnée. La capacité de vérification du nom d'hôte est fournie afin de vérifier le CN (Nom commun) du certificat SSL présenté par le serveur Nessus. L'état du scanner Nessus peut être défini, le cas échéant, avec Enabled (Activé) ou Disabled (Désactivé), la valeur par défaut étant Enabled. Vous pouvez sélectionner les zones auxquelles le scanner Nessus peut être affecté. Voici un exemple de capture d'écran de la page «Add Scanner» (Ajouter un scanner) de SecurityCenter 4.4 : 61