Guide d'installation et de configuration Nessus janvier 2014 (Révision 18)

Transcription

1 Guide d'installation et de configuration Nessus janvier 2014 (Révision 18)

2 Table des matières Introduction... 4 Normes et conventions... 4 Organisation... 4 Nouveautés dans Nessus Mises à jour des fonctions clé... 5 Système d'exploitation... 5 Informations de base... 6 Prérequis... 7 Nessus Unix... 7 Nessus Windows... 7 Options de déploiement... 7 Pare-feu de l'hôte... 8 Plugins de vulnérabilité... 8 Types de produit Nessus... 8 Support IPv Mise à niveau de la version d'évaluation vers une version sous licence... 9 Unix/Linux... 9 Mise à niveau... 9 Installation Démarrer le Démon Nessus Arrêter le Démon Nessus Suppression de Nessus Windows Mise à niveau Mise à niveau à partir de Nessus 4.x Mise à niveau à partir de Nessus 3.x Installation Téléchargement de Nessus Installation Questions concernant l'installation Démarrage et arrêt du démon Nessus Suppression de Nessus Mac OS X Mise à niveau Installation Questions concernant l'installation Démarrage et arrêt du service Nessus Suppression de Nessus Enregistrement des feeds et configuration de l'interface graphique Configuration Serveur de messagerie Paramètres des feeds de plugin

3 Réinitialisation des codes d'activation et des mises à jour hors ligne Options de configuration avancée Création et gestion d utilisateurs Nessus Configuration du démon Nessus (utilisateurs avancés) Options de configuration Configuration de Nessus avec un certificat SSL personnalisé Authentification sur Nessus avec un Certificat SSL Authentification du certificat client SSL Configurer Nessus pour les certificats Créer les certificats SSL Nessus pour la connexion Activer les connexions avec la carte à puce ou la carte CAC Connexion avec un navigateur activé par certificat ou par carte Nessus sans accès Internet Générer un code de défi Obtention et installation de plugins à jour Utilisation et gestion de Nessus à partir de la ligne de commande Répertoires principaux de Nessus Création et gestion des utilisateurs Nessus avec des limitations de compte Options de ligne de commande Nessusd Manipulation du service Nessus via Windows CLI Utilisation de SecurityCenter Vue d'ensemble de SecurityCenter Configuration de SecurityCenter pour travailler avec Nessus Pare-feu de l'hôte Dépannage de Nessus sous Windows Problèmes d'installation / de mise à niveau Problèmes de scan Pour plus d'informations À propos de Tenable Network Security

4 Introduction Ce document décrit l'installation et la configuration du scanner de vulnérabilité Nessus 5.2 de Tenable Network Security. Veuillez envoyer vos commentaires et suggestions à Tenable Network Security, Inc. est le créateur et le gestionnaire du scanner de vulnérabilité Nessus. En plus d'améliorer constamment le moteur Nessus, Tenable écrit la plupart des plugins disponibles pour le scanner, ainsi que les contrôles de conformité et de nombreuses stratégies de vérification. La configuration requise, les options de déploiement et l'installation pas à pas sont abordés dans ce document. Ce document est rédigé en partant du principe que l'utilisateur dispose d'une compréhension de base d'unix et du scan des vulnérabilités. Normes et conventions Dans l'ensemble de la documentation, les noms de fichiers, les démons (daemons) et les exécutables sont indiqués avec une police courier bold telle que setup.exe. Les options de ligne de commande et les mots clés sont aussi indiqués par la police courier bold. Les exemples de ligne de commande peuvent inclure ou non l'invite de ligne de commande et le texte provenant des résultats de la commande. Les exemples de ligne de commande sont affichés en courier bold dans la commande en cours d'exécution afin de montrer la saisie de l'utilisateur, tandis que l'exemple de sortie généré par le système utilisera la police courier (mais pas en gras). Voici ci-dessous un exemple d'exécution de la commande Unix pwd : # pwd /opt/nessus/ # Les remarques et considérations importantes sont mises en évidence avec ce symbole dans une boîte de texte grise. Les conseils, exemples et meilleures pratiques sont mis en évidence avec ce symbole en texte blanc sur fond bleu. Organisation Puisque l'interface graphique Nessus GUI est une interface standard quel que soit le système d'exploitation, ce document présente d'abord des informations spécifiques au système d'exploitation, puis les fonctionnalités communes à tous les systèmes d'exploitation. Nouveautés dans Nessus 5.2 Avec la version Nessus 5, la gestion des utilisateurs et la configuration du serveur (démon) Nessus sont exécutées au moyen de l'interface graphique Nessus, et non pas par l'intermédiaire d'un système NessusClient autonome ou du fichier nessusd.conf. L'interface graphique Nessus est une interface Web qui gère la configuration, la création de stratégies, les scans et les fonctions de rapport. À dater du 22 août 2013, les noms de produit Nessus ont été révisés comme suit : 4

5 Ancien nom de produit Nessus ProfessionalFeed Nessus HomeFeed Nouveau nom de produit Nessus Nessus Home La liste qui suit présente les noms officiels des produits Nessus : Nessus Nessus Perimeter Service Offres groupées Nessus Auditor Nessus Home Mises à jour des fonctions clé Les fonctions qui suivent comptent parmi les nouvelles fonctions disponibles dans Nessus 5.2. Pour une liste complète des modifications, reportez-vous aux notes de publication sur le Discussions Forum (Forum de discussion, en anglais). IPv6 est désormais pris en charge sur la plupart des installations Windows. Le code d'activation pour l'enregistrement peut être obtenu pendant le processus d'installation, depuis Nessus. Si vous le désirez, Nessus peut, pendant un scan des vulnérabilités, prendre des captures d'écran qui seront ajoutées au compte-rendu comme preuve de la vulnérabilité. Un volet de préférences système pour la gestion de service Nessus sur Mac OS X. Des progiciels RPM Nessus à signature numérique pour la prise en charge des distributions. Une réduction de l'encombrement mémoire et de l'utilisation de l'espace disque. Une interface Web plus rapide et plus réactive qui utilise moins de largeur de bande. De nouvelles fonctions ajoutées à NASL qui permettent aux plugins plus complexes d'utiliser moins de code. À l'issue d'un scan, les résultats peuvent être envoyés automatiquement à un utilisateur par . Système d'exploitation Nessus est disponible et fonctionne sur de nombreux systèmes d'exploitation et plateformes : Debian 6 (i386 et x86-64) Fedora Core 16, 17 et 18 (i386 et x86-64) FreeBSD 9 (i386 et x86-64) Mac OS X 10.8 et 10.9 (i386 et x86-64) Red Hat ES 4 / CentOS 4 (i386) Red Hat ES 5 / CentOS 5 / Oracle Linux 5 (i386 et x86-64) Red Hat ES 6 / CentOS 6 / Oracle Linux 6 (i386 et x86-64) [Server, Desktop, Workstation] SuSE 10 (x86-64), 11 (i386 et x86-64) Ubuntu (version 9.10), 11.10, et (i386 et x86-64) Windows XP, Server 2003, Server 2008, Server 2008 R2*, Server 2012, Vista, 7 et 8 (i386 et x86-64) Veuillez noter que, sur Windows Server 2008 R2, la version groupée de Microsoft IE ne s'interface pas correctement avec une installation Java. Cela peut perturber le bon fonctionnement de Nessus dans certaines situations. De plus, la stratégie de Microsoft recommande de ne pas utiliser MSIE sur les systèmes d'exploitation serveur. Nessus utilise des progiciels tiers distribués sous différentes licences. L'exécution de nessusd (ou de nessusd.exe sous Windows) avec l'argument l affiche la liste de ces licences logicielles tierces. 5

6 Informations de base Nessus est un scanner de sécurité de réseau performant et facile à utiliser, doté d'une vaste base de données de plugins mise à jour de façon quotidienne. Il est actuellement classé parmi les meilleurs produits de ce type dans l'ensemble du secteur de la sécurité et est approuvé par des professionnels de la sécurité de l'information tels que l'institut SANS. Nessus permet de vérifier à distance un réseau donné et de déterminer s'il a été compromis ou a fait l'objet d'une utilisation malveillante. Nessus fournit aussi la possibilité de vérifier localement une machine spécifique pour déterminer, entre autres, les vulnérabilités, les caractéristiques de conformité et les violations de stratégie de contenu. Scan intelligent À la différence de bien d'autres scanners de sécurité, Nessus ne fait aucune supposition. Autrement dit, il ne suppose pas qu'un service donné est exécuté sur un port fixe. Cela signifie que si un serveur Web est connecté au port 1234, Nessus le détecte et teste correctement sa sécurité. Il tente, dans la mesure du possible, de valider une vulnérabilité en l'exploitant. Dans le cas où le test n'est pas fiable ou peut avoir un impact négatif sur la cible, Nessus peut se fier à une bannière de serveur pour déterminer la présence de la vulnérabilité. Dans de tels cas, le compte-rendu des résultats indiquera clairement si cette méthode a été utilisée. Architecture modulaire L'architecture client/serveur fournit la souplesse nécessaire pour déployer le scanner (serveur) et le connecter à l'interface graphique (client) à partir de tout ordinateur équipé d'un navigateur Web, ce qui réduit les coûts de gestion (plusieurs clients peuvent accéder à un même serveur). Compatibilité CVE La plupart des plugins ont des liens au CVE pour que les administrateurs obtiennent davantage d'informations sur les vulnérabilités publiées. En général, ils comprennent aussi des références à Bugtraq (BID), OSVDB et aux alertes de sécurité des fournisseurs. Architecture de plugin Chaque test de sécurité est écrit en tant que plugin externe et regroupé dans l'une des 42 familles. Vous pouvez ainsi ajouter facilement des tests personnels, sélectionner des plugins spécifiques ou choisir une famille complète sans avoir à lire le code du moteur du serveur Nessus, nessusd. La liste complète des plugins Nessus est disponible sur NASL Le scanner Nessus inclut NASL (Nessus Attack Scripting Language, langage de scripts d'attaque Nessus), conçu spécialement pour l'écriture facile et rapide de tests de sécurité. Base de données des vulnérabilités de sécurité actualisée Tenable se concentre sur le développement des contrôles de sécurité pour les vulnérabilités récemment divulguées. Notre base de données de contrôle de sécurité est mise à jour quotidiennement et tous les contrôles de sécurité récents sont disponibles à Tests simultanés de plusieurs hôtes Selon la configuration du système qui héberge le scanner Nessus, vous pouvez tester un grand nombre d'hôtes en même temps. Reconnaissance intelligente de service Nessus ne suppose pas que les hôtes cibles respecteront les numéros de port affectés par IANA. Par conséquent, il reconnaît un serveur FTP fonctionnant sur un port non standard (par exemple 31337) ou un serveur Web fonctionnant sur le port 8080 au lieu du port 80. Services multiples Si deux serveurs Web ou plus sont exécutés sur un hôte (par exemple l'un sur le port 80 et un autre sur le port 8080), Nessus identifie et teste l'ensemble de ces serveurs. Coopération des plugins Les tests de sécurité effectués par les plugins Nessus coopèrent afin que des contrôles inutiles ne soient pas effectués. Si le serveur FTP ne propose pas de connexion anonyme, les contrôles de sécurité associés aux connexions anonymes ne sont pas effectués. Rapports complets Nessus précise non seulement les vulnérabilités présentes sur le réseau et le niveau de risque pour chacune d'entre elles (Info, Faible, Moyen, Élevé et Critique), mais il indique également comment les limiter en proposant des solutions. Support SSL complet Nessus peut tester les services offerts sur SSL, notamment HTTPS, SMTPS et IMAPS. 6

7 Plugins intelligents (facultatif) Nessus propose une option «Optimization» (Optimisation), qui détermine les plugins qui doivent ou qui ne doivent pas être démarrés sur l'hôte distant. Par exemple, Nessus ne testera pas les vulnérabilités sendmail pour Postfix. Non destructif (facultatif) Certains contrôles peuvent nuire à des services réseau particuliers. Si vous ne voulez pas prendre le risque de causer une panne de service sur le réseau, activez l'option «safe checks» (contrôles sans danger) de Nessus qui permettra à Nessus de se fier aux bannières au lieu d'exploiter les défauts réels pour déterminer si une vulnérabilité est présente. Forum ouvert Vous avez trouvé un bogue? Des questions concernant Nessus? Commencez une discussion sur Prérequis Tenable recommande la configuration matérielle suivante en fonction de l'utilisation de Nessus. Veuillez noter que ces ressources sont recommandées spécifiquement pour l'exécution de Nessus. D'autres logiciels ou charges de travail sur le système peuvent exiger des ressources supplémentaires. Scénario Nessus analyse de petits réseaux Nessus analyse de grands réseaux, avec pistes d'audit et génération de rapports PDF UC/Mémoire UC : 1 UC Pentium 4 double cœur 2 GHz (Intel double cœur pour Mac OS X) Mémoire : 2 Go de RAM (4 Go recommandés) UC : 1 UC Pentium 4 double cœur 3 GHz (2 UC double cœur recommandées) Mémoire : 3-4 Go de RAM (8 Go recommandés) Espace disque 30 Go 30 Go Nessus peut être exécuté sous une instance de VMware, mais si la machine virtuelle utilise le NAT (Network Address Translation, traduction d'adresses de réseau) pour accéder au réseau, un grand nombre de contrôles des vulnérabilités Nessus, l'énumération d'hôte et l'identification du système d'exploitation seront perturbés. Nessus Unix Avant d'installer Nessus sur Unix/Linux, plusieurs bibliothèques sont requises. De nombreux systèmes d'exploitation les installent par défaut et, en général, elles ne nécessitent pas d'installation séparée : zlib GNU C Library (c'est-à-dire libc) Oracle Java (rapports PDF uniquement) Java doit être installé sur l'hôte avant Nessus. Si Java est installé après, il faudra réinstaller Nessus. Nessus Windows Microsoft a apporté à Windows XP SP2 et aux versions plus récentes des changements qui peuvent affecter la performance de Nessus Windows. Pour une meilleure performance et une plus grande fiabilité du scan, il est fortement recommandé que Nessus Windows soit installé sur un système de serveur de la gamme Microsoft Windows tel que Windows Server Pour plus d'informations sur le sujet, voir la section «Dépannage de Nessus sous Windows». Options de déploiement Lors du déploiement de Nessus, il est souvent utile de connaître le routage, les filtres et les règles de pare-feu. Il est recommandé de déployer Nessus de façon à avoir une bonne connectivité IP avec les réseaux qu'il scanne. Le déploiement derrière un dispositif NAT n'est pas souhaitable, sauf s'il scanne le réseau interne. Chaque fois qu'un scan 7

8 des vulnérabilités traverse un NAT ou un proxy applicatif, le contrôle peut être perturbé et un faux positif ou négatif peut en résulter. En outre, un pare-feu («personnel» ou non) actif sur le système exécutant Nessus peut considérablement limiter l'efficacité d'un scan des vulnérabilités à distance. Les pare-feu sur hôte peuvent gêner le scan des vulnérabilités du réseau. Selon la configuration du pare-feu, il peut empêcher, perturber ou cacher les sondes d'un scan Nessus. Certains périphériques réseau qui effectuent une inspection dynamique des paquets, comme les pare-feu, équilibreurs de charge et IDS/IPS, peuvent mal réagir si un scan est exécuté par leur intermédiaire. Nessus comporte un certain nombre d'options qui peuvent aider à réduire l'impact du scan à travers de tels dispositifs, mais la meilleure méthode pour éviter les problèmes propres au scan à travers ces périphériques réseau consiste à effectuer un scan authentifié. Pare-feu de l'hôte Si le serveur Nessus est configuré sur un hôte comprenant un pare-feu «personnel» tel que ZoneAlarm, le pare-feu Windows ou tout autre logiciel pare-feu, les connexions doivent être autorisées à partir de l'adresse IP du client Nessus. Par défaut, le port 8834 est utilisé pour Nessus Web Server (interface utilisateur). Sur les systèmes Microsoft XP Service Pack 2 (SP2) et ultérieurs, l'utilisateur peut cliquer sur l'icône «Centre de sécurité» du «Panneau de configuration» pour pouvoir gérer les réglages du pare-feu Windows. Pour ouvrir le port TCP 8834, choisissez l'onglet «Exceptions» puis ajoutez le port «8834» à la liste. Pour les autres logiciels pare-feu personnels, consultez la documentation du fournisseur pour connaître les instructions de configuration. Plugins de vulnérabilité De nombreuses vulnérabilités nouvelles sont publiées quotidiennement par les fournisseurs, les chercheurs et d'autres sources. Tenable s'efforce de tester et de mettre à disposition dès que possible des contrôles pour les vulnérabilités récemment publiées, en général dans un délai de 24 heures après leur apparition. Le contrôle d'une vulnérabilité spécifique s'appelle un «plugin» dans le scanner Nessus. La liste complète des plugins Nessus est disponible sur Tenable distribue les plugins de vulnérabilité les plus récents selon deux modes pour Nessus : Nessus et Nessus Home. Les plugins sont téléchargés directement depuis Tenable par un processus automatisé dans Nessus. Nessus vérifie les signatures numériques de tous les téléchargements de plugin pour valider l'intégrité des fichiers. Pour les installations Nessus sans accès à Internet, il existe un processus de mise à jour hors ligne qui peut être utilisé pour s'assurer que le scanner reste actualisé. Vous devez souscrire à des plugins et les mettre à jour avant de pouvoir démarrer Nessus et accéder à l'interface de scan Nessus. La mise à jour des plugins se produit en arrière-plan après l'enregistrement initial du scanner et peut prendre plusieurs minutes. Types de produit Nessus Tenable propose une assistance commerciale, depuis le portail d'assistance Tenable ou par , pour les clients Nessus qui utilisent Nessus 5 ou une version ultérieure. Nessus comprend également un ensemble de contrôles de conformité de l'hôte pour Unix et Windows qui sont très utiles lors d'audits de conformité, comme SOX, FISMA ou PCI DSS. Vous pouvez acheter Nessus sur la boutique en ligne de Tenable, sur ou par commande auprès des Authorized Nessus Partners (Partenaires Nessus autorisés). Vous recevrez alors un code d'activation de Tenable. Ce code devra être utilisé lors de la configuration de la copie de Nessus pour les mises à jour. 8

9 Si vous utilisez Nessus avec SecurityCenter de Tenable, SecurityCenter met à jour automatiquement les scanners Nessus. Si vous êtes une organisation caritative de type 501(c)(3), vous pouvez utiliser Nessus gratuitement. Pour plus d'informations, veuillez consulter la page Web Tenable Charitable Organization Subscription Program (Programme de souscription Tenable pour les organisations caritatives). Si vous utilisez Nessus à la maison à des fins non professionnelles, vous pouvez souscrire à Nessus Home. L'utilisation de Nessus Home est gratuite mais il existe un contrat d'abonnement séparé pour Nessus Home que les utilisateurs doivent accepter. Support IPv6 Nessus prend en charge le scan sur IPv6. De nombreux systèmes d'exploitation et périphériques sont livrés avec le support IPv6 activé par défaut. Pour effectuer des scans des ressources IPv6, au moins une interface IPv6 doit être configurée sur l'hôte où Nessus est installé et Nessus doit être sur un réseau prenant en charge IPv6 (Nessus ne peut pas scanner des ressources IPv6 sur IPv4 mais il peut énumérer les interfaces IPv6 par des scans authentifiés sur IPv4). Les notations IPv6 complètes et compressées sont prises en charge lors du démarrage des scans. Les anciennes versions de Microsoft Windows sont dépourvues de certaines API clés nécessaires pour forger des paquets IPv6 (par exemple, obtention de l'adresse MAC du routeur, table de routage, etc.). Ceci empêche le scanner des ports de fonctionner correctement. Par conséquent, la prise en charge IPv6 n'est pas disponible sur Windows XP ou Server Le scan des plages d'adresses IP IPv6 Unicast globales est uniquement pris en charge si les adresses IP sont entrées individuellement (format de listes). Nessus ne prend pas en charge les plages exprimées sous la forme de plages fragmentées ou d'adresses CIDR. Nessus prend en charge les plages Link locales qui utilisent la directive «link6» comme cible de scan ou lien local avec «%eth0». Mise à niveau de la version d'évaluation vers une version sous licence Si vous installez une version d'évaluation de Nessus, il est fortement conseillé de la désinstaller avant de passer à une copie sous licence totalement fonctionnelle. Tous les résultats de scan ou stratégies créés peuvent être exportés et réimportés vers la nouvelle installation. Unix/Linux Mise à niveau Cette section explique comment mettre à niveau Nessus à partir d'une installation Nessus précédente. Téléchargez la dernière version de Nessus depuis ou depuis le Tenable Support Portal (Portail d'assistance Tenable). Confirmez l'intégrité du progiciel d'installation en comparant la somme de contrôle du téléchargement MD5 à celle indiquée dans le fichier MD5.asc ici. Sauf indication contraire, toutes les commandes doivent être exécutées par l'utilisateur root du système. Les comptes d'utilisateur ordinaires n'ont généralement pas les privilèges requis pour installer ce logiciel. Le tableau suivant fournit des instructions de mise à niveau pour le serveur Nessus sur toutes les plates-formes précédemment acceptées. Les paramètres de configuration et les utilisateurs qui ont été créés précédemment sont conservés. 9

10 Vérifiez que tout scan en cours d'exécution est terminé avant d'arrêter nessusd. Toutes les instructions spéciales de mise à niveau sont fournies sous forme de remarque après l'exemple. Plateforme Instructions de mise à niveau Red Hat ES 4 et CentOS 4 (32 bits) ; Red Hat ES 5, CentOS 5 et Oracle Linux 5 (32 et 64 bits) ; Red Hat ES 6, CentOS 6 et Oracle Linux 6 (32 et 64 bits) Commandes de mise à niveau # service nessusd stop Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de Red Hat exécutée : # rpm -Uvh Nessus es4.i386.rpm # rpm -Uvh Nessus es5.i386.rpm # rpm -Uvh Nessus es5.x86_64.rpm # rpm -Uvh Nessus es6.i686.rpm # rpm -Uvh Nessus es6.x86_64.rpm Une fois la mise à niveau terminée, redémarrez le service nessusd avec la commande suivante : # service nessusd start Exemple de sortie # service nessusd stop Shutting down Nessus services: [ OK ] # rpm -Uvh Nessus es5.i386.rpm Preparing... ########################################### [100%] Shutting down Nessus services: /etc/init.d/nessusd: 1:Nessus ########################################### [100%] Fetching the newest plugins from nessus.org... Fetching the newest updates from nessus.org... Done. The Nessus server will start processing these plugins within a minute nessusd (Nessus) [build R23016] for Linux (C) Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - You can start nessusd by typing /sbin/service nessusd start - Then go to to configure your scanner# service nessusd start Starting Nessus services: [ OK ] # 10

11 Fedora Core 16, 17 et 18 (32 et 64 bits) Commandes de mise à niveau # service nessusd stop Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de Fedora Core exécutée : # rpm -Uvh Nessus fc16.i686.rpm # rpm -Uvh Nessus fc16.x86_64.rpm Une fois la mise à niveau terminée, redémarrez le service nessusd avec la commande suivante : # service nessusd start Exemple de sortie # service nessusd stop Shutting down Nessus services: [ OK ] # rpm -Uvh Nessus fc16.i386.rpm [..] SuSE 10 (64 bits), 11 (32 et 64 bits) # service nessusd start Starting Nessus services: [ OK ] # Commandes de mise à niveau # service nessusd stop Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de SuSE exécutée : # rpm -Uvh Nessus suse10.x86_64.rpm # rpm -Uvh Nessus suse11.i586.rpm # rpm -Uvh Nessus suse11.x86_64.rpm Une fois la mise à niveau terminée, redémarrez le service nessusd avec la commande suivante : # service nessusd start Exemple de sortie # service nessusd stop Shutting down Nessus services: [ OK ] # rpm -Uvh Nessus suse11.i586.rpm Preparing... [..] # service nessusd start Starting Nessus services: [ OK ] # Debian 6 (32 et 64 bits) Commandes de mise à # /etc/init.d/nessusd stop 11

12 niveau Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de Debian exécutée : # dpkg -i Nessus debian6_i386.deb # dpkg -i Nessus debian6_amd64.deb # /etc/init.d/nessusd start Exemple de sortie # /etc/init.d/nessusd stop # dpkg -i Nessus debian6_i386.deb (Reading database files and directories currently installed.) Preparing to replace nessus (using Nessus debian6_i386.deb)... [..] # /etc/init.d/nessusd start Starting Nessus :. # Ubuntu (version 9.10), 11.10, et (i386 et x86-64) Commandes de mise à niveau # /etc/init.d/nessusd stop Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version d'ubuntu exécutée : # dpkg -i Nessus ubuntu910_i386.deb # dpkg -i Nessus ubuntu910_amd64.deb # dpkg -i Nessus ubuntu1110_i386.deb # dpkg -i Nessus ubuntu1110_amd64.deb # /etc/init.d/nessusd start Exemple de sortie # /etc/init.d/nessusd stop # dpkg -i Nessus ubuntu1110_i386.deb (Reading database files and directories currently installed.) Preparing to replace nessus (using Nessus ubuntu1110_i386.deb)... [..] # /etc/init.d/nessusd start Starting Nessus :. # 12

13 FreeBSD 9 (32 et 64 bits) Commandes de mise à niveau # killall nessusd # pkg_info Cette commande affiche une liste de tous les progiciels installés avec leur description. Voici un exemple de sortie pour la commande précédente montrant le progiciel Nessus : Nessus A powerful security scanner Retirez le progiciel Nessus en utilisant la commande suivante : # pkg_delete <package name> Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de FreeBSD exécutée : # pkg_add Nessus fbsd9.tbz # pkg_add Nessus fbsd9.amd64.tbz # /usr/local/nessus/sbin/nessusd -D Exemple de sortie # killall nessusd # pkg_delete Nessus # pkg_add Nessus fbsd9.tbz nessusd (Nessus) for FreeBSD (C) 2013 Tenable Network Security, Inc. [..] # /usr/local/nessus/sbin/nessusd -D nessusd (Nessus) for FreeBSD (C) 2013 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded # Remarques Pour effectuer la mise à niveau de Nessus sur FreeBSD, il faut d'abord désinstaller la version existante, puis installer la dernière version. Ce processus ne supprimera pas les fichiers de configuration ou les fichiers qui ne faisaient pas partie de l'installation initiale. Installation Téléchargez la dernière version de Nessus depuis ou depuis le Tenable Support Portal (Portail d'assistance Tenable). Confirmez l'intégrité du progiciel d'installation en comparant la somme de contrôle du téléchargement MD5 à celle indiquée dans le fichier MD5.asc ici. Sauf indication contraire, toutes les commandes doivent être exécutées par l'utilisateur root du système. Les comptes d'utilisateur ordinaires n'ont généralement pas les privilèges requis pour installer ce logiciel. 13

14 Le tableau suivant fournit des instructions d'installation pour le serveur Nessus sur toutes les plateformes prises en charge. Toutes les instructions particulières d'installation sont indiquées sous forme de remarque après l'exemple. Plateforme Instructions d'installation Red Hat ES 4 et CentOS 4 (32 bits) ; Red Hat ES 5, CentOS 5 et Oracle Linux 5 (32 et 64 bits) ; Red Hat ES 6, CentOS 6 et Oracle Linux 6 (32 et 64 bits) Commande d'installation Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de Red Hat exécutée : # rpm -ivh Nessus es4.i386.rpm # rpm -ivh Nessus es5.i386.rpm # rpm -ivh Nessus es5.x86_64.rpm # rpm -ivh Nessus es6.i686.rpm # rpm -ivh Nessus es6.x86_64.rpm Exemple de sortie # rpm -ivh Nessus es4.i386.rpm Preparing... ########################################### [100%] 1:Nessus ########################################### [100%] nessusd (Nessus) [build R23011] for Linux (C) Tenable Network Security, Inc. Fedora Core 16, 17 et 18 (32 et 64 bits) Processing the Nessus plugins... [##################################################] All plugins loaded - You can start nessusd by typing /sbin/service nessusd start - Then go to to configure your scanner # Commande d'installation Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de Fedora Core exécutée : # rpm -ivh Nessus fc16.i686.rpm # rpm -ivh Nessus fc16.x86_64.rpm Exemple de sortie # rpm -ivh Nessus fc16.i386.rpm Preparing... [..] SuSE 10 (64 bits), 11 (32 et 64 bits) # Commande d'installation Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de SuSE exécutée : # rpm ivh Nessus suse10.x86_64.rpm # rpm -ivh Nessus suse11.i586.rpm # rpm ivh Nessus suse11.x86_64.rpm 14

15 Exemple de sortie # rpm -ivh Nessus suse11.i586.rpm Preparing...################################## [100%] 1:Nessus ################################## [100%] [..] # Debian 6 (32 et 64 bits) Commande d'installation Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de Debian exécutée : # dpkg -i Nessus debian6_i386.deb # dpkg -i Nessus debian6_amd64.deb Exemple de sortie # dpkg -i Nessus debian6_i386.deb Selecting previously deselected package nessus. (Reading database files and directories currently installed.) Unpacking nessus (from Nessus debian6_i386.deb)... Setting up nessus (5.2.4)... [..] # Ubuntu (version 9.10), 11.10, et (i386 et x86-64) Commande d'installation Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version d'ubuntu exécutée : # dpkg -i Nessus ubuntu910_i386.deb # dpkg -i Nessus ubuntu910_amd64.deb # dpkg -i Nessus ubuntu1110_i386.deb # dpkg -i Nessus ubuntu1110_amd64.deb Exemple de sortie # dpkg -i Nessus ubuntu1110_amd64.deb Selecting previously deselected package nessus. (Reading database files and directories currently installed.) Unpacking nessus (from Nessus ubuntu1110_amd64.deb)... Setting up nessus (5.2.4)... [..] # FreeBSD 9 (32 et 64 bits) Commande d'installation Utilisez l'une des commandes appropriées ci-dessous qui correspond à la version de FreeBSD exécutée : # pkg_add Nessus fbsd9.tbz # pkg_add Nessus fbsd9.amd64.tbz 15

16 Exemple de sortie # pkg_add Nessus fbsd9.tbz nessusd (Nessus) for FreeBSD (C) Tenable Network Security, Inc. [..] # À l'issue de l'installation, démarrez le démon nessusd en suivant les instructions de la section suivante, en fonction de la distribution. Une fois Nessus installé, vous devez visiter l'url de scanner fournie pour terminer le processus d'enregistrement. Remarque : Les installations Unix peuvent fournir une URL contenant un nom d'hôte relatif qui ne figure pas dans le DNS (par exemple, Si le nom d'hôte ne figure pas dans le DNS, vous devez vous connecter au serveur Nessus à l'aide d'une adresse IP ou d'un nom DNS valide. À l'issue de ce processus, il est recommandé d'authentifier et de personnaliser les options de configuration pour votre environnement, en suivant les instructions de la section «Enregistrement des feeds et configuration de l'interface graphique». Nessus doit être installé dans /opt/nessus, mais un lien symbolique pointant vers /opt/nessus est acceptable. Démarrer le Démon Nessus Démarrez le service Nessus en tant qu'utilisateur root avec la commande suivante : Linux : # /opt/nessus/sbin/nessus-service -D FreeBSD : # /usr/local/nessus/sbin/nessus-service -D Cet exemple illustre les messages qui s affichent au démarrage de nessusd pour Red Hat : [root@squirrel ~]# /sbin/service nessusd start Starting Nessus services: [ OK ] [root@squirrel ~]# Si vous souhaitez supprimer le message de la commande, utilisez l'option «-q» comme suit : Linux : # /opt/nessus/sbin/nessus-service -q -D FreeBSD : # /usr/local/nessus/sbin/nessus-service -q -D Vous pouvez aussi démarrer Nessus en utilisant la commande suivante, selon la plateforme du système d'exploitation : Système d'exploitation Red Hat, CentOS et Oracle Linux Commande de démarrage nessusd # /sbin/service nessusd start 16

17 Fedora Core # /sbin/service nessusd start SuSE # /etc/rc.d/nessusd start Debian # /etc/init.d/nessusd start FreeBSD # /usr/local/etc/rc.d/nessusd.sh start Ubuntu # /etc/init.d/nessusd start Passez à la section «Enregistrement des feeds et configuration de l'interface graphique» pour installer le code d'activation des plugins. Arrêter le Démon Nessus Si vous devez arrêter le service nessusd pour une raison quelconque, la commande suivante arrête Nessus et arrête brusquement tout scan en cours : # killall nessusd Il est recommandé d'utiliser plutôt le script d'arrêt, plus graduel, fourni par votre système d'exploitation : Système d'exploitation Red Hat, CentOS et Oracle Linux Commande d'arrêt nessusd # /sbin/service nessusd stop Fedora Core # /sbin/service nessusd stop SuSE # /etc/rc.d/nessusd stop Debian # /etc/init.d/nessusd stop FreeBSD # /usr/local/etc/rc.d/nessusd.sh stop Ubuntu # /etc/init.d/nessusd stop Suppression de Nessus Le tableau suivant fournit des instructions pour supprimer le serveur Nessus sur toutes les plates-formes prises en charge. Sauf pour les instructions relatives à Mac OS X, les instructions fournies ne supprimeront pas les fichiers de configuration ou les fichiers qui ne faisaient pas partie de l'installation initiale. Les fichiers qui faisaient partie du progiciel initial mais qui ont changé depuis leur installation ne seront pas non plus supprimés. Pour supprimer complètement les fichiers restants, utilisez la commande suivante : Linux : # rm -rf /opt/nessus FreeBSD : # rm -rf /usr/local/nessus/bin 17

18 Plateforme Instructions pour la suppression Red Hat ES 4 et CentOS 4 (32 bits) ; Red Hat ES 5, CentOS 5 et Oracle Linux 5 (32 et 64 bits) ; Red Hat ES 6, CentOS 6 et Oracle Linux 6 (32 et 64 bits) Commande de suppression Déterminez le nom du progiciel : # rpm -qa grep Nessus Utilisez la sortie de la commande ci-dessus pour retirer le progiciel : # rpm -e <Package Name> Exemple de sortie # rpm -qa grep -i nessus Nessus es5 # rpm -e Nessus es5 # Fedora Core 16, 17 et 18 (32 et 64 bits) Commande de suppression Déterminez le nom du progiciel : # rpm -qa grep Nessus Utilisez la sortie de la commande ci-dessus pour retirer le progiciel : # rpm -e <Package Name> SuSE 10 (64 bits), 11 (32 et 64 bits) Commande de suppression Déterminez le nom du progiciel : # rpm -qa grep Nessus Utilisez la sortie de la commande ci-dessus pour retirer le progiciel : # rpm -e <Package Name> Debian 6 (32 et 64 bits) Commande de suppression Déterminez le nom du progiciel : # dpkg -l grep -i nessus Utilisez la sortie de la commande ci-dessus pour retirer le progiciel : # dpkg -r <package name> Exemple de sortie # dpkg -l grep nessus ii nessus Version 5 of the Nessus Scanner # dpkg -r nessus # 18

19 Ubuntu (version 9.10), 11.10, et (i386 et x86-64) Commande de suppression Déterminez le nom du progiciel : # dpkg -l grep -i nessus Utilisez la sortie de la commande ci-dessus pour retirer le progiciel : # dpkg -r <package name> Exemple de sortie # dpkg -l grep -i nessus ii nessus Version 5 of the Nessus Scanner # FreeBSD 9 (32 et 64 bits) Commande de suppression Arrêtez Nessus : # killall nessusd Déterminez le nom du progiciel : # pkg_info grep -i nessus Retirez le progiciel Nessus : # pkg_delete <package name> Exemple de sortie # killall nessusd Windows # pkg_info grep -i nessus Nessus A powerful security scanner # pkg_delete Nessus # Mise à niveau La mise à niveau de Nessus 5.x vers une version 5.x supérieure est directe et n'exige aucune considération spéciale. Mise à niveau à partir de Nessus 4.x Pour mettre à niveau Nessus d'une version 4.x à une version 5.x plus récente, le processus de mise à niveau demande si l'utilisateur souhaite supprimer tout le contenu du répertoire Nessus. Si cette option est choisie (en sélectionnant «Yes» (oui)), un processus de désinstallation est émulé. Si cette option est choisie, les utilisateurs précédemment créés, les stratégies de scan existantes et les résultats de scan seront supprimés et le scanner perdra son enregistrement. 19

20 Cliquez sur «Yes» (Oui) pour autoriser Nessus à tenter de supprimer l'ensemble du dossier Nessus ainsi que tout fichier ajouté manuellement, ou sur «No» (Non) pour conserver le dossier Nessus ainsi que les scans, rapports, etc., existants. Une fois la nouvelle version de Nessus installée, ceux-ci pourront toujours être affichés et exportés. Il se peut que l'utilisateur soit invité à redémarrer le système, en fonction de la version en cours d'installation et de la version déjà installée sur le système : Mise à niveau à partir de Nessus 3.x Une mise à niveau directement de Nessus 3.0.x vers Nessus 5.x n'est pas prise en charge. Toutefois, une mise à niveau vers la version 4 peut être utilisée comme étape intermédiaire pour vérifier que les paramètres et les stratégies de scan importants sont conservés. S'il n'est pas nécessaire de conserver les paramètres de scan, désinstallez d'abord Nessus 3.x, puis installez une nouvelle version de Nessus 5. Si vous sélectionnez «Yes» (Oui), tous les fichiers du répertoire Nessus seront supprimés, y compris les fichiers journaux, les plugins personnalisés ajoutés manuellement et autres. Cette option doit être utilisée avec précaution! 20

21 Installation Téléchargement de Nessus Téléchargez la dernière version de Nessus depuis ou depuis le Tenable Support Portal (Portail d assistance Tenable). Nessus 5 est disponible sur Windows XP, Server 2003, Server 2008, Vista et Windows 7. Confirmez l'intégrité du progiciel d'installation en comparant la somme de contrôle du téléchargement MD5 avec celle indiquée dans le fichier MD5.asc ici. Les tailles et les noms des fichiers de distribution de Nessus varient légèrement d'une version à l'autre mais les tailles sont d'environ 25 Mo. Installation Nessus est distribué sous forme de fichier d'installation exécutable. Placez le fichier sur le système sur lequel il sera installé ou sur un lecteur commun accessible par le système. Vous devez installer Nessus en utilisant un compte administrateur, et non pas un compte d'utilisateur sans privilèges. Si vous recevez une erreur associée à des permissions, le message «Access Denied» (Accès refusé) ou des erreurs suggérant qu'une action s'est produite à cause de privilèges insuffisants, assurez-vous que vous utilisez un compte avec des privilèges administratifs. Si ces erreurs apparaissent lors de l utilisation des utilitaires de ligne de commande, exécutez cmd.exe avec les privilèges «Run as» (Exécuter en tant que ) définis avec la valeur «administrator» (administrateur). Certains progiciels antivirus peuvent considérer Nessus comme un ver informatique ou un programme malveillant. Ceci est dû au grand nombre de connexions TCP créées pendant un scan. Si l antivirus émet un avertissement, cliquez sur «allow» (autoriser) pour autoriser Nessus à poursuivre le scan. La plupart des progiciels antivirus permettent également d'ajouter des programmes à une liste d'exceptions. Ajoutez Nessus.exe et Nessus-service.exe à cette liste pour éviter ce type d avertissement. Il est recommandé d'obtenir un code d'activation de feed de plugin avant de démarrer le processus d'installation, car cette information sera requise pour que vous puissiez vous authentifier sur l'interface graphique Nessus. Pour plus d'informations sur l'obtention d'un code d'activation, consultez la section Souscriptions aux plugins de vulnérabilité. 21

22 Questions concernant l'installation Au cours de l'installation, Nessus invite l'utilisateur à fournir certaines informations de base. Avant de commencer, vous devez lire et accepter l'accord de licence : 22

23 Vous êtes alors invité à confirmer l'installation : Une fois l'installation initiale terminée, Nessus démarre l'installation d'un pilote tiers servant à prendre en charge la communication Ethernet pour Nessus, s'il n'est pas déjà installé sur le système : 23

24 Une fois l'installation terminée, cliquez sur «Finish» (Terminer) : Nessus poursuit alors l'opération en chargeant une page dans votre navigateur Web par défaut qui traitera la configuration initiale. Pour plus d'informations, reportez-vous à la section «Enregistrement des feeds et configuration de l'interface graphique». Démarrage et arrêt du démon Nessus La manipulation du service Nessus n'est normalement pas requise pour l'installation et l'utilisation quotidienne de Nessus. Cependant, il peut arriver qu'un administrateur souhaite temporairement arrêter ou redémarrer le service. Sur un système Windows, vous pouvez effectuer cette opération en ouvrant le menu «Start» (Démarrer) et en cliquant sur «Run» (Exécuter). Dans la case «Run» (Exécuter), saisissez «services.msc» pour ouvrir le Gestionnaire de services Windows (Windows Service Manager) : Cliquez avec le bouton droit de la souris sur le service «Tenable Nessus» (Tenable Nessus) pour ouvrir une boîte de dialogue qui permet de démarrer, d'arrêter, de mettre en pause, de reprendre ou de redémarrer le service en fonction de son état actuel. 24

25 Vous pouvez également manipuler le service Nessus à partir de la ligne de commande. Pour de plus amples informations, consultez la section «Manipulation du service Nessus via Windows CLI» de ce document. Suppression de Nessus Pour supprimer Nessus, dans le Control Panel (Panneau de configuration), ouvrez «Add or Remove Programs» (Ajouter ou supprimer des programmes). Sélectionnez «Tenable Nessus», puis cliquez sur le bouton «Change/Remove» (Modifier/Supprimer). Vous obtenez l'installshield Wizard. Suivez les consignes de cet assistant pour supprimer complètement Nessus. Vous êtes alors invité à décider si vous souhaitez supprimer l'ensemble du dossier Nessus. Répondez «Yes» (Oui) uniquement si vous ne souhaitez pas conserver les résultats de scan ou les stratégies que vous pouvez avoir créées. Lorsque vous désinstallez Nessus, Windows vous demande si vous voulez continuer, mais affiche ce qui semble être un fichier.msi arbitraire non signé. Par exemple : C:\Windows\Installer\ msi Publisher: Unknown Cela est dû au fait que Windows conserve une copie interne du programme d'installation Nessus et l'utilise pour démarrer le processus de désinstallation. Vous pouvez approuver cette demande en toute sécurité. Mac OS X Mise à niveau La mise à niveau à partir d'une version de Nessus plus ancienne est similaire à l'exécution d'une nouvelle installation. Téléchargez le fichier Nessus-5.x.x.dmg.gz, puis double-cliquez sur ce dernier pour le décompresser. Double-cliquez sur le fichier Nessus-5.x.x.dmg, pour monter l'image du disque et l'afficher sous «Devices» (Périphériques) dans le «Finder» (Outil de recherche). Une fois que le volume «Nessus 5» apparaît dans le «Finder», double-cliquez sur le fichier Nessus 5. Lorsque l'installation est terminée, connectez-vous à Nessus au moyen du navigateur en accédant à Installation Téléchargez la dernière version de Nessus depuis ou depuis le Tenable Support Portal (Portail d assistance Tenable). Nessus est disponible pour Mac OS X 10.8 et Confirmez l'intégrité du progiciel d'installation en comparant la somme de contrôle du téléchargement MD5 à celle indiquée dans le fichier MD5.asc ici. La taille des fichiers de distribution de Nessus pour Mac OS X varie légèrement d'une version à l'autre mais les tailles sont d'environ 45 Mo. Pour installer Nessus sur Mac OS X, téléchargez le fichier Nessus-5.x.x.dmg.gz, puis double-cliquez sur ce dernier pour le décompresser. Double-cliquez sur le fichier Nessus-5.x.x.dmg, pour monter l'image du disque et l'afficher sous «Devices» (Périphériques) dans le «Finder» (Outil de recherche). Une fois que le volume «Nessus 5» apparaît dans le «Finder», double-cliquez sur le fichier Nessus 5 comme illustré ci-dessous : 25

26 Le programme d'installation vous demandera, à un moment donné de l'installation, d'indiquer un nom d'utilisateur administrateur et un mode de passe. Questions concernant l'installation L'installation s'affiche de la façon suivante : 26

27 Cliquez sur «Continue» (Continuer) ; la licence du logiciel s'affiche. Cliquez à nouveau sur «Continue» (Continuer). Une boîte de dialogue s'affiche alors et vous demande d'accepter les conditions de la licence avant de continuer : 27

28 Après avoir accepté la licence, une autre boîte de dialogue s'affiche pour vous permettre de modifier l'emplacement d'installation par défaut, comme illustré ci-dessous : Cliquez sur le bouton «Install» (Installer) pour continuer l'installation. Vous devrez saisir le nom de l'utilisateur administrateur et le mot de passe : 28

29 L'installation est réussie lorsque l'écran suivant s'affiche : Nessus poursuit alors l'opération en chargeant une page dans votre navigateur Web par défaut qui traitera la configuration initiale. Pour plus d'informations, reportez-vous à la section «Enregistrement des feeds et configuration de l'interface graphique». Démarrage et arrêt du service Nessus Le service nessusd démarre à l'issue de l'installation. Le service démarre automatiquement à chaque redémarrage. S'il existe une raison pour démarrer ou arrêter le service, vous pouvez le faire via une fenêtre de terminal (ligne de commande) ou la fenêtre System Preferences (Préférences système). La commande doit être exécutée en tant que «root», ou via sudo : Action Démarrage Commande de gestion nessusd # launchctl load -w /Library/LaunchDaemons/com.tenablesecurity.nessusd.plist Arrêt # launchctl unload -w /Library/LaunchDaemons/com.tenablesecurity.nessusd.plist 29

30 Le service Nessus peut aussi être géré via la fenêtre System Preferences (Préférences système) : Cliquez sur «Nessus» dans la fenêtre System Preferences (Préférences système) pour charger le volet Nessus.Preferences (Préférences Nessus) : 30

31 Pour modifier l'état du service, cliquez sur l'icône de verrou et fournissez le mot de passe root. Cette opération vous permettra de changer le paramètre de démarrage du système, ou encore de démarrer et d'arrêter le service Nessus : Suppression de Nessus Pour supprimer Nessus, supprimez les répertoires (et sous-répertoires) et fichiers suivants : /Library/Receipts/Nessus*/Library/LaunchDaemons/com.tenablesecurity.nessusd.plist /Library/Nessus /Library/PreferencePanes/Nessus Preferences.prefPane /Applications/Nessus Si vous n'êtes pas familiarisé avec l'utilisation des lignes de commande Unix sur un système Mac OS X, contactez le service d'assistance de Tenable. Il existe des outils gratuits tels que «DesInstaller.app» ( et «CleanApp» ( qui peuvent aussi être utilisés pour supprimer Nessus. Tenable n'est pas associée à ces outils et ils n'ont pas été testés spécifiquement pour supprimer Nessus. Enregistrement des feeds et configuration de l'interface graphique Cette section décrit comment configurer le serveur Nessus 5 sur toutes les plateformes. À partir de Nessus 5, les options de configuration initiales telles que les options proxy et la fourniture d'un code d'activation sont effectuées via un processus Web. Après l'installation de Nessus, vous avez, pour des raisons de sécurité, six heures pour terminer le processus d'enregistrement. Si l'enregistrement n'est pas terminé à l'issue de ce délai, redémarrez nessusd et redémarrez le processus d'enregistrement. La version de Nessus Server Manager utilisée dans Nessus 4 est dépréciée. Si l'installation du logiciel n'ouvre pas votre navigateur Web à la page de configuration, vous pouvez charger un navigateur et aller à Server IP]:8834/WelcomeToNessus-Install/welcome (ou à l'url fournie au cours du processus d'installation) pour démarrer le processus. Remarque : Les installations Unix peuvent fournir une URL contenant un nom d'hôte relatif qui ne figure pas dans le DNS (par exemple, Si le nom d'hôte ne 31

32 figure pas dans le DNS, vous devez vous connecter au serveur Nessus à l'aide d'une adresse IP ou d'un nom DNS valide. L'écran initial sert à avertir que tout le trafic à destination de l'interface graphique Nessus utilise SSL (HTTPS). Lorsque vous vous connectez pour la première fois au serveur Web Nessus, votre navigateur affiche un type d'erreur donné qui indique que la connexion n'est pas une connexion de confiance en raison d'un certificat SSL auto-signé. Pour la première connexion, acceptez le certificat pour poursuivre la configuration. Les instructions à suivre pour installer un certificat personnalisé sont traitées dans la suite de ce document, à la section «Configuration de Nessus avec un certificat SSL personnalisé». En raison de l'implémentation technique des certificats SSL, il n'est pas possible de livrer avec Nessus un certificat de confiance pour les navigateurs. Pour éviter cet avertissement, vous devez utiliser un certificat personnalisé propre à votre organisation. 32

33 Suivant le navigateur utilisé, une boîte de dialogue supplémentaire peut s'afficher pour vous permettre d'accepter le certificat : 33

34 Une fois le certificat accepté, vous serez redirigé vers l'écran d'enregistrement initial qui démarre les étapes détaillées : La première étape consiste à créer un compte pour le serveur Nessus. Le compte initial sera un administrateur. Ce compte peut accéder aux commandes d'exécution sur le système d'exploitation sous-jacent de l'installation Nessus ; il doit donc être considéré de la même façon que tout autre compte d'administrateur : 34

35 L'écran suivant demande un code d'activation des plugins et vous permet de configurer des paramètres de proxy en option. Si vous ne disposez pas d'un code, vous pouvez en obtenir un via le Tenable Support Portal (Portail d'assistance Tenable) ou par l'intermédiaire de votre canal de vente. À l'issue de l'enregistrement, vous recevrez un contenant un lien qui vous permettra d'activer le code. Vous devez activer votre code dans un délai de 24 heures pour que Nessus continue à fonctionner. Si vous utilisez Tenable SecurityCenter, le code d'activation et les mises à jour de plugins sont gérés à partir de SecurityCenter. Nessus doit démarrer afin de pouvoir communiquer avec SecurityCenter, ce qu'il ne fait normalement pas sans un code d'activation valide et des plugins. Pour que Nessus ignore cette exigence et démarre (de façon à obtenir les informations du SecurityCenter), tapez «SecurityCenter» (en respectant la casse) sans guillemets dans la case Activation Code (Code d'activation). Le redémarrage de Nessus marque la conclusion de l'installation et de la configuration initiales du scanner Nessus pour les utilisateurs de SecurityCenter qui peuvent passer à la section «Utilisation avec SecurityCenter». Si vous n'enregistrez pas votre copie de Nessus, vous ne recevrez pas les nouveaux plugins et vous ne pourrez pas démarrer le serveur Nessus. Remarque : L Activation Code (Code d'activation) n'est pas sensible à la casse. Si votre serveur Nessus se trouve sur un réseau qui utilise un proxy pour communiquer avec Internet, cliquez sur «Optional Proxy Settings» (Paramètres de proxy facultatifs) pour entrer les informations pertinentes. Les paramètres de proxy peuvent être ajoutés à tout moment à l'issue de l'installation. 35

36 Si vous sélectionnez une activation hors ligne, veuillez noter que «offline» (hors ligne) est sensible à la casse. L'étape suivante vous demande de saisir le code d'activation que vous avez déjà reçu via la page d'enregistrement Tenable Nessus. Une fois que la configuration du code d'activation et des paramètres Optional Proxy Settings (Paramètres de proxy facultatifs) est terminée, cliquez sur «Next» (Suivant) pour enregistrer votre scanner : 36

37 À l'issue de l'enregistrement, Nessus doit télécharger les plugins à partir de Tenable. Ce processus peut prendre plusieurs minutes car il transfère une importante quantité de données vers la machine, il vérifie l'intégrité des fichiers et il les compile dans une base de données interne : Après l'enregistrement initial, Nessus télécharge et compile en arrière-plan les plugins obtenus à partir du port 443 de plugins.nessus.org, plugins-customers.nessus.org ou plugins-us.nessus.org. Une fois que les plugins ont été téléchargés et compilés, l'interface graphique Nessus s'initialise et le serveur Nessus démarre : Après l'initialisation, Nessus est prêt pour utilisation! 37

38 Utilisez les identifiants administratifs créés au cours de l'installation pour vous connecter à l'interface Nessus et vérifier l'accès. Après l'authentification, cliquez sur la flèche bas placée à côté du nom d'utilisateur (par exemple, «admin») et sélectionnez «Settings» (Paramètres) pour afficher des informations sur Nessus et sur le feed en cours. Configuration Avec la version Nessus 5, la configuration du serveur Nessus est intégralement gérée via l'interface graphique. Le fichier nessusd.conf est déprécié. De plus, les paramètres de proxy, l'enregistrement des feeds d'abonnement et les mises à jour hors ligne sont gérés via l'interface graphique. 38

39 Serveur de messagerie Sous le menu «Settings» (Paramètres) via le menu déroulant placé dans le coin supérieur gauche de la fenêtre, l'onglet «Mail Server» (Serveur de messagerie) permet de configurer un serveur SMTP afin qu'il envoie automatiquement par les résultats des scans terminés. Option Host (Hôte) Description Hôte ou IP du serveur SMTP (par exemple, smtp.exemple.com). Port (Port) Port du serveur SMTP (par exemple, 25). From (De, adresse électronique de l'expéditeur) Auth Method (Méthode d'authentification) Username (Nom d'utilisateur) Password (Mot de passe) L'expéditeur apparent du rapport. Méthode d'authentification pour le serveur SMTP. Les méthodes None, Plain, NTLM, Login et CRAM-MD5 sont prises en charge. Nom d'utilisateur qui sert à authentifier le serveur SMTP. Mot de passe associé au nom d'utilisateur. Nessus Server Hostname (Nom d'hôte du serveur Adresse IP ou nom d'hôte pour le serveur Nessus. Veuillez noter que cette option fonctionne uniquement si l'hôte Nessus est accessible à l'utilisateur qui lit le rapport. 39

40 Nessus, pour les liens inclus dans les s) Paramètres des feeds de plugin Sous le menu «Settings» (Paramètres) via le menu déroulant placé dans le coin supérieur gauche de la fenêtre, l'onglet «Plugin Feed» (Feed de plugin) permet de configurer un proxy Web pour les mises à jour de plugins. Ce paramètre est requis si votre organisation exige que le trafic Web soit intégralement acheminé via un proxy d'entreprise : Six champs contrôlent les paramètres de proxy, mais seuls l'hôte et le port sont requis. Un nom d'utilisateur et un mot de passe facultatifs peuvent être fournis, si nécessaire. Option Custom Plugin Host (Hôte de plugin personnalisé) Host (Hôte) Description Facultatif : Cette option peut être utilisée pour forcer Nessus à mettre à jour les plugins à partir d'un hôte spécifié. Par exemple, si les plugins doivent être mis à jour à partir d'un site résidant aux États-Unis, vous pouvez spécifier «plugins-us.nessus.org». Hôte ou IP du proxy (par exemple, proxy.exemple.com). Port (Port) Port du proxy (par exemple, 8080). Username (Nom d'utilisateur) Password (Mot de passe) Facultatif : Si un nom d'utilisateur est requis pour l'utilisation de proxy (par exemple, «jdoe»). Facultatif : Si un mot de passe est requis pour l'utilisation de proxy (par exemple, «guineapigs»). 40

41 User-Agent (Agent d'utilisateur) Facultatif : Si le proxy utilisé filtre des agents d'utilisateur HTTP spécifiques, vous pouvez fournir une chaîne d'agent d'utilisateur personnalisé. Réinitialisation des codes d'activation et des mises à jour hors ligne Une fois le code d'activation (Activation Code) initial saisi au cours du processus de configuration, les changements ultérieurs du code d'activation sont effectués dans l'onglet «About» (À propos de) sous l'onglet «Settings» (Paramètres). Pour y accéder, cliquez sur la flèche bas placée à côté du nom d'utilisateur dans le coin supérieur droit de l'interface graphique et sélectionnez «Settings» (Paramètres). Dans le coin supérieur droit de cet écran, vous pouvez voir les boutons «Register» (Enregistrer) et «Upload Plugins» (Télécharger les plugins en amont). Si vous saisissez un nouveau code dans le champ «Update Registration» (Mettre à jour l'enregistrement) du bouton «Register» (Enregistrer) puis que vous cliquez sur «Save» (Enregistrer), le scanner Nessus est mis à jour avec le nouveau code (par exemple, si vous effectuez la mise à niveau de Nessus Home vers Nessus commercial). Le bouton «Upload Plugins» (Mise à jour des plugins) permet de spécifier une archive de plugin pour traitement. Pour plus d'informations sur la mise à jour hors ligne, consultez la section «Nessus sans accès Internet» dans la suite de ce document. L'utilisation du client hérité à l'aide du protocole NTP est prise en charge par Nessus 5, mais elle est uniquement accessible pour les clients Nessus. Si vous devez à un moment ou à un autre vérifier le code d'enregistrement pour un scanner donné, utilisez l'option --code-in-use du programme nessus-fetch. Veuillez noter que cette option exige des privilèges administratifs et une connectivité réseau. 41

42 Options de configuration avancée Nessus utilise diverses options de configuration afin de fournir un contrôle plus précis pour le fonctionnement du scanner. Un utilisateur administratif peut manipuler ces paramètres sous l'onglet «Advanced» (Avancé) via le menu déroulant placé dans le coin supérieur gauche de la fenêtre. AVERTISSEMENT : Les modifications apportées à la configuration du scanner Nessus affecteront TOUS les utilisateurs Nessus. Modifiez ces options avec prudence! Vous pouvez configurer chaque option en modifiant le champ correspondant puis en cliquant sur le bouton «Save» (Enregistrer) au bas de l'écran. De plus, vous pouvez supprimer totalement l'option en cliquant sur le bouton. Par défaut, l'interface graphique Nessus fonctionne sur le port Pour changer ce port, modifiez xmlrpc_listen_port en fonction du port voulu. Le serveur Nessus traitera le changement en quelques minutes. Si des préférences supplémentaires sont requises, cliquez sur le bouton «Add Preference Item» (Ajouter un élément de préférence), entrez le nom et la valeur et cliquez sur «Save» (Enregistrer). Une fois qu'une préférence a été mise à jour et enregistrée, Nessus traite les changements en quelques minutes. Pour plus de détails sur les options de configuration, consultez la section «Configuration du démon Nessus (utilisateurs avancés)» de ce document. 42

43 Création et gestion d utilisateurs Nessus Un utilisateur administratif est créé au cours de la configuration initiale. Utilisez les identifiants spécifiés au cours de la configuration pour vous connecter à l'interface graphique Nessus. Une fois authentifié, cliquez sur l'en-tête «Users» (Utilisateurs) en haut : Pour créer un nouvel utilisateur, cliquez sur «New User» (Ajouter) en haut à gauche. Cette opération ouvre une boîte de dialogue qui demande les informations requises : Saisissez le nom d'utilisateur et le mot de passe, vérifiez le mot de passe et déterminez si l'utilisateur doit disposer de privilèges administrateur. Si un compte d'utilisateur doit être modifié, cliquez sur l'utilisateur : 43

44 Il n'est pas possible de renommer un utilisateur. Pour changer le nom d'un utilisateur, supprimez l'utilisateur et créez-en un nouveau avec le nom de connexion approprié. Pour supprimer un utilisateur, cochez la case correspondant au compte dans la liste et cliquez sur «Delete» (Supprimer) en haut, ou cliquez sur «X» à droite du nom de compte. Un utilisateur qui n'est pas administrateur ne peut pas télécharger des plugins en amont vers Nessus, ne peut pas le redémarrer à distance (ce qui est nécessaire après un téléchargement de plugins) et ne peut pas annuler le réglage max_hosts/max_checks dans la section configuration. S'il est prévu que l'utilisateur soit utilisé par SecurityCenter, il doit être un utilisateur administrateur. SecurityCenter assure la maintenance de sa liste d'utilisateurs et définit les permissions pour ceux-ci. Si vous voulez imposer des restrictions à un compte d'utilisateur Nessus, vous pouvez utiliser l'interface de ligne de commande (CLI) ; vous trouverez plus de détails à ce sujet dans la suite de ce document à la section «Utilisation et gestion de Nessus à partir de la ligne de commande». Configuration du démon Nessus (utilisateurs avancés) Le menu de configuration de l'interface graphique Nessus propose plusieurs options configurables. Par exemple, c'est ici que sont spécifiés le nombre maximum de contrôles et d'hôtes à scanner en même temps, les ressources que nessusd doit utiliser et la vitesse à laquelle les données doivent être lues, ainsi que de nombreuses autres options. Il est recommandé d'examiner et de modifier ces paramètres selon les besoins de l'environnement de scan. Toutes les options de configuration sont expliquées à la fin de cette section. 44

45 En particulier, les valeurs max_hosts et max_checks peuvent avoir des conséquences non négligeables sur la capacité du système Nessus à effectuer des scans et à scanner ces systèmes pour rechercher les vulnérabilités du réseau. Il faut faire particulièrement attention aux deux paramètres ci-dessous. Voici les deux paramètres et leur valeur par défaut comme indiqué dans le menu de configuration : Option Valeur max_hosts 40 max_checks 5 Ces paramètres seront remplacés pour chaque scan lorsque vous utilisez SecurityCenter de Tenable ou une stratégie personnalisée de l'interface utilisateur Nessus. Pour afficher ou modifier ces options pour un modèle de scan dans SecurityCenter, modifiez les «Scan Options» (Options de scan) dans le modèle. Dans Nessus User Interface, modifiez la stratégie de scan, puis cliquez sur l'onglet «Options» (Options). Le paramètre max_checks présente une limite codée en dur de 15. Toute valeur supérieure à 5 produira souvent des effets néfastes car les serveurs ne peuvent normalement pas prendre en charge autant de demandes intrusives en même temps. Remarques concernant max_hosts : Comme son nom l'indique, il s'agit du nombre maximum de systèmes cibles qui seront scannés en même temps. Plus le nombre de systèmes scannés simultanément par un scanner Nessus individuel est élevé, plus la mémoire vive, le processeur et la bande passante réseau du système de scanner sont sollicités. Il faut prendre en compte la configuration matérielle du système de scanner et les autres applications qu'il exécute pour configurer la valeur max_hosts. Puisque d'autres facteurs propres à l'environnement de scan affecteront aussi les scans de Nessus (par exemple la stratégie de scan de l'organisation, tout autre trafic réseau, l'effet d'un type particulier de scan sur les hôtes cibles de scan), une expérimentation permettra de trouver la configuration optimale pour max_hosts. Un point de départ prudent pour déterminer la meilleure configuration de max_hosts dans un environnement d'entreprise est d'utiliser la valeur «20» sur un système Nessus basé sur Unix et «10» sur un scanner Nessus basé sur Windows. Outre max_hosts, le serveur autorise un paramètre global.max_hosts contrôlant tous les hôtes qui peuvent être scannés pour tous les utilisateurs en même temps. Avant Nessus 5.2.0, les administrateurs n'était pas tenus de respecter la restriction max_hosts, mais ils étaient soumis au paramètre global.max_hosts. À partir de Nessus 5.2.0, les administrateurs sont soumis aux mêmes restrictions pour les deux paramètres afin d'éviter toute charge excessive sur le serveur de scan, ce qui pourrait produire des effets néfastes sur les autres utilisateurs. Remarques concernant max_checks : Il s'agit du nombre de contrôles ou de plugins qui seront exécutés simultanément sur un même hôte cible pendant un scan. Si ce nombre est trop élevé, les systèmes scannés pourraient être inondés, suivant les plugins utilisés pour le scan. Multipliez max_checks par max_hosts pour obtenir le nombre de contrôles simultanés qui peuvent potentiellement être exécutés à un moment donné lors d'un scan. Puisque max_checks et max_hosts sont utilisés ensemble, une valeur trop élevée de max_checks peut également causer des contraintes de ressources sur un système de scanner Nessus. Comme pour max_hosts, l'expérimentation permet de parvenir à la configuration optimale pour max_checks, mais il est recommandé de toujours choisir un paramètre bas. 45

46 Options de configuration Le tableau suivant fournit une brève explication de toutes les options de configuration disponibles dans le menu de configuration. Vous pouvez configurer la plupart de ces options au moyen de l'interface utilisateur lorsque vous créez une stratégie de scan. Option auto_enable_dependencies auto_update auto_update_delay cgi_path checks_read_timeout Description Active automatiquement les plugins de dépendance. Si elle est désactivée, il est possible que certains plugins ne soient pas exécutés, même s'ils sont sélectionnés dans une stratégie de scan. Mises à jour automatiques des plugins. Si cette option est activée et si Nessus est enregistré, les plugins les plus récents sont obtenus automatiquement depuis plugins.nessus.org. Désactivez cette option si le scanner se trouve sur un réseau isolé qui ne peut pas être connecté à Internet. Nombre d'heures d'attente entre deux mises à jour. Quatre (4) heures est l'intervalle minimum autorisé. Lors des tests des serveurs Web, utilisez cette liste de chemin d'accès CGI délimités par deux points. Temporisation de lecture pour les sockets des tests. disable_ntp Désactive l'ancien protocole hérité NTP. disable_xmlrpc Désactive la nouvelle interface XMLRPC (Web Server). dumpfile Emplacement d'un fichier de vidage pour la sortie d'un débogage éventuel. enable_listen_ipv4 Indique à Nessus d'écouter sur IPv4. enable_listen_ipv6 Indique à Nessus d'écouter sur IPv6 si le système prend en charge l'adressage IPv6. global.max_scans global.max_simult_tcp_ sessions global.max_web_users host.max_simult_tcp_ sessions Si elle n'est pas configurée sur zéro, cette option définit le nombre maximum de scans qui peuvent être exécutés en parallèle. Remarque : Si cette option n'est pas utilisée, aucune limite n'est appliquée. Nombre maximum de sessions TCP simultanées entre tous les scans. Remarque : Si cette option n'est pas utilisée, aucune limite n'est appliquée. Si sa valeur est différente de zéro, cette option définit le nombre maximum d'utilisateurs (Web) qui peuvent être connectés en parallèle. Remarque : Si cette option n'est pas utilisée, aucune limite n'est appliquée. Nombre maximum de sessions TCP simultanées par hôte scanné. listen_address Adresses IPv4 pour écouter les connexions entrantes. Si vous utilisez , l'accès sera restreint aux seules connexions locales. listen_port Port sur lequel écouter (ancien protocole NTP). Utilisé pour les connexions antérieures à NessusClient

47 log_whole_attack logfile Consigner tous les détails de l'attaque? Utile pour le débogage des problèmes de scan, mais peut surcharger le disque. Emplacement dans lequel le fichier journal de Nessus est enregistré. login_banner max_hosts Bannière de texte qui sera affichée avant la connexion initiale au client Flash ou HTML5. Nombre maximum d'hôtes contrôlés à la fois au cours d'un scan. max_checks Nombre maximal de contrôles simultanés envers chaque hôte testé : max_simult_tcp_sessions Nombre maximum de sessions TCP simultanées par scan. nasl_log_type Spécifie le type de sortie de moteur NASL dans nessusd.dump. nasl_no_signature_check nessus_syn_scanner. global_throughput.max non_simult_ports optimize_test paused_scan_timeout plugin_upload Détermine si Nessus doit considérer tous les scripts NASL comme signés. La sélection de «yes» (oui) est dangereuse et n'est pas recommandée. Définit le nombre maximum de paquets syn que Nessus envoie par seconde pendant son scan de port (quel que soit le nombre d'hôtes scannés en parallèle). Ajustez ce paramètre en fonction de la sensibilité du périphérique distant aux grands nombres de paquets syn. Spécifie les ports sur lesquels deux plugins ne doivent pas être exécutés simultanément. Optimise la procédure de test. Si vous changez ce paramètre sur «no» (non), les scans prendront plus longtemps et produiront généralement davantage de faux positifs. Arrête un scan mis en pause après un nombre de minutes spécifié (0 pour aucune temporisation) Indique si les utilisateurs admin peuvent télécharger les plugins. plugin_upload_suffixes Suffixes des plugins que l administrateur peut télécharger. plugins_timeout Durée de vie maximale d'une activité de plugin (en secondes). port_range purge_plugin_db qdb_mem_usage Plage de ports que les scanners de port vont scanner. Peut utiliser les mots clés «default» (par défaut) ou «all» (tous) ainsi qu'une liste de ports ou des plages de ports délimités par des virgules. Détermine si Nessus doit purger la base de données des plugins lors de chaque mise à jour. Cette option indique à Nessus de supprimer, télécharger une nouvelle fois et reconstruire la base de données des plugins pour chaque mise à jour. Si vous choisissez «yes» (oui), la mise à jour sera nettement plus lente. Indique à Nessus d'utiliser plus ou moins de mémoire lorsqu'il est inactif. Si Nessus est exécuté sur un serveur dédié, le réglage de ce paramètre sur «high» (haut) utilisera plus de mémoire pour augmenter la performance. Si Nessus est exécuté sur un ordinateur partagé, le réglage de ce paramètre sur «low» (bas) utilisera beaucoup moins de mémoire, mais avec un impact modéré sur la performance. 47

48 reduce_connections_on_ congestion report_crashes Réduit le nombre de sessions TCP en parallèle lorsque le réseau semble être congestionné. Indique de signaler anonymement les pannes à Tenable. rules Emplacement du fichier Nessus Rules (nessusd.rules). Le fichier nessusd.rules s'applique également aux utilisateurs administratifs Nessus. safe_checks save_knowledge_base Safe checks (Vérifications sécurisées) se base sur la capture des bannières au lieu des tests actifs pour une vulnérabilité. Sauvegarde la base de connaissances sur le disque pour une utilisation ultérieure. silent_dependencies slice_network_addresses source_ip ssl_cipher_list stop_scan_on_disconnect Si elle est activée, la liste des dépendances de plugin et leur sortie ne sont pas incluses dans le rapport. Un plugin peut être sélectionné dans le cadre d'une stratégie qui dépend de l'exécution d'autres plugins. Par défaut, Nessus exécutera ces dépendances de plugin, mais n'inclura pas leur sortie dans le rapport. Si vous définissez cette option sur no (non), le plugin sélectionné et les dépendances de plugin apparaîtront tous dans le rapport. Si cette option est définie, Nessus ne scanne pas un réseau de façon incrémentielle ( , puis , puis et ainsi de suite) mais essaie de fractionner la charge de travail sur l'ensemble du réseau (par exemple il scanne , puis , puis , puis , et ainsi de suite). Dans le cas d'un système multiconnecté avec des IP différentes sur le même sousréseau, cette option indique au scanner Nessus le NIC/IP à utiliser pour les tests. Si plusieurs IP sont fournies, Nessus les parcourt en cycle l'un après l'autre chaque fois qu'il effectue une connexion. Assurez-vous que seuls les cryptages SSL «forts» sont utilisés pour une connexion au port Prend en charge le mot clé «fort» ou les désignations OpenSSL génériques telles que répertoriées sur Arrête de scanner un hôte qui semble avoir été déconnecté pendant le scan. stop_scan_on_hang Arrête un scan qui semble être figé. throttle_scan Ralentit le scan lorsque l'uc est surchargée. use_kernel_congestion_ detection www_logfile Utilise les messages de congestion TCP de Linux pour réduire l'activité de scan selon les besoins. Emplacement où le journal Nessus Web Server (interface utilisateur) est enregistré. xmlrpc_idle_session_ timeout xmlrpc_import_feed_ policies Temporisation de session inactive XMLRPC (en minutes). Si vous affectez la valeur «no» (non) à ce paramètre, Nessus n'inclura pas les stratégies de scan par défaut fournies par Tenable. 48

49 xmlrpc_listen_port Port sur lequel Nessus Web Server doit écouter (nouveau protocole XMLRPC). xmlrpc_min_password_len Indique à Nessus d appliquer une stratégie pour la longueur du mot de passe pour les utilisateurs du scanner. Par défaut, report_crashes est configuré sur «yes» (oui). Les informations associées à une panne dans Nessus sont envoyées à Tenable pour faciliter le débogage des problèmes et fournir un logiciel de la meilleure qualité possible. Aucune information personnelle ou d'identification du système n'est envoyée. Ce paramètre peut être configuré sur «no» (non) par un administrateur Nessus. Pour activer certains paramètres, source_ip par exemple, vous devez redémarrer Nessus. Configuration de Nessus avec un certificat SSL personnalisé L'installation par défaut de Nessus utilise un certificat SSL auto-signé. Lorsque l'interface Web est utilisée pour la première fois pour accéder au scanner Nessus, le navigateur Web affiche une erreur indiquant que le certificat n'est pas sécurisé : Pour éviter les avertissements du navigateur, un certificat SSL personnalisé correspondant à l'organisation peut être utilisé. Pendant l'installation, Nessus crée deux fichiers qui constituent le certificat : servercert.pem et serverkey.pem. Ces fichiers doivent être remplacés par des fichiers de certificat créés par l'entreprise ou par une autorité de certification (CA - Certificate Authority) de confiance. Avant de remplacer les fichiers de certificat, arrêtez le serveur Nessus. Remplacez les deux fichiers et redémarrez le serveur Nessus. Les connexions ultérieures au scanner ne devraient pas afficher d'erreur si le certificat a été créé par une CA de confiance. Le tableau ci-dessous répertorie l'emplacement des fichiers de certificats en fonction du système d'exploitation : 49

50 Système d'exploitation Linux FreeBSD Windows Vista et versions ultérieures Windows XP / 2003 Mac OS X Emplacements des fichiers de certificat /opt/nessus/com/nessus/ca/servercert.pem /opt/nessus/var/nessus/ca/serverkey.pem /usr/local/nessus/com/nessus/ca/servercert.pem /usr/local/nessus/var/nessus/ca/serverkey.pem C:\ProgramData\Tenable\Nessus\nessus\CA\ C:\Documents and Settings\All Users\Application Data\Tenable\Nessus\nessus\CA\ /Library/Nessus/run/com/nessus/CA/servercert.pem /Library/Nessus/run/var/nessus/CA/serverkey.pem Nessus 5 prend en charge les chaînes de certificat SSL. Vous pouvez aussi consulter address]:8834/getcert pour installer la CA root dans le navigateur, ce qui éliminera l'avertissement. Pour configurer une chaîne de certificat intermédiaire, le fichier serverchain.pem doit être placé dans le même répertoire que le fichier servercert.pem. Ce fichier contient les certificats intermédiaires 1-n (certificats publics concaténés) nécessaires pour construire la chaîne de certificats complète du serveur Nessus sur le dernier certificat root (un certificat de confiance pour le navigateur de l'utilisateur). Authentification sur Nessus avec un Certificat SSL Authentification du certificat client SSL Nessus prend en charge l'utilisation de l'authentification du certificat client SSL. Cela permet d'utiliser les certificats client SSL, les cartes à puce et l'authentification CAC lorsque le navigateur est configuré pour cette méthode. Nessus autorise les méthodes d'authentification du certificat client SSL ou basées sur mot de passe pour les comptes utilisateur. Lorsque vous créez un utilisateur pour l'authentification du certificat client SSL, l'utilitaire nessus-mkcertclient est employé via la ligne de commande sur le serveur Nessus. Configurer Nessus pour les certificats La première étape pour permettre l'authentification du certificat SSL consiste à configurer le serveur Web Nessus avec un certificat de serveur et une CA. Ce processus permet au serveur Web de faire confiance aux certificats créés par l'autorité de certification (CA - Certificate Authority) à des fins d'authentification. Les fichiers générés relatifs aux certificats doivent être la propriété de root:root et les permissions par défaut sont correctes. 1. (Facultatif) Créez un nouveau certificat de serveur et CA personnalisé pour le serveur Nessus à l'aide de la commande nessus-mkcert sur la ligne de commande. Cette opération placera les certificats dans les répertoires adéquats. Lorsque le système vous invite à saisir le nom d'hôte, saisissez le nom DNS ou l'adresse IP du serveur dans le navigateur, par exemple ou Le certificat par défaut utilise le nom d'hôte. 2. Si un certificat CA doit être utilisé à la place du certificat généré par Nessus, faites une copie du certificat CA auto-signé à l'aide de la commande appropriée pour votre système d'exploitation : 50

51 Linux/Unix : # cp /opt/nessus/com/nessus/ca/cacert.pem /opt/nessus/com/nessus/ca/origcacert.pem Windows Vista et versions ultérieures : C:\> copy \ProgramData\Tenable\Nessus\nessus\CA\cacert.pem C:\ProgramData\Tenable\Nessus\nessus\CA\ORIGcacert.pem Windows XP et 2003 : C:\> copy \Documents and Settings\All Users\Application Data\Tenable\Nessus\nessus\CA\cacert.pem C:\Documents and Settings\All Users\Application Data\Tenable\Nessus\nessus\CA\ORIGcacert.pem 3. Si les certificats à utiliser pour l'authentification sont créés par une CA autre que le serveur Nessus, le certificat CA doit être installé sur le serveur Nessus : Linux/Unix : Copiez le certificat CA de l'organisation dans /opt/nessus/com/nessus/ca/cacert.pem Windows Vista et versions ultérieures : Copiez le certificat CA de l'organisation dans C:\ProgramData\Tenable\Nessus\nessus\CA\\cacert.pem 4. Windows XP et 2003 : Copiez le certificat CA de l'organisation dans : C:\Documents and Settings\All Users\Application Data\Tenable\Nessus\nessus\CA\. Configurez le serveur Nessus pour l'authentification des certificats. Une fois l'authentification des certificats activée, la connexion à l'aide d'un nom d'utilisateur et d'un mot de passe est désactivée. Linux/Unix : # /opt/nessus/sbin/nessus-fix -set force_pubkey_auth=yes Windows : C:\> \program files\tenable\nessus\nessus-fix -set force_pubkey_auth=yes 5. Une fois la CA en place et le paramètre force_pubkey_auth activé, redémarrez les services Nessus à l'aide de la commande service nessusd restart. Une fois Nessus configuré avec le(s) certificat(s) CA approprié(s), les utilisateurs peuvent se connecter à Nessus en utilisant les certificats client SSL, les cartes à puce et les CAC. Créer les certificats SSL Nessus pour la connexion Pour établir la connexion à un serveur Nessus avec des certificats SSL, les certificats doivent être créés avec l'utilitaire approprié. Pour ce processus, l'utilitaire de ligne de commande nessus-mkcert-client est utilisé sur le système. Les six questions posées concernent la définition de valeurs par défaut pour la création des utilisateurs dans le cadre de la session en cours. Elles incluent la durée de vie du certificat, le pays, l'état, l'emplacement, l'organisation et l'unité organisationnelle. Les valeurs par défaut de ces options peuvent être modifiées, le cas échéant, pendant la création des utilisateurs à proprement parler. Le ou les utilisateurs sont ensuite créés un par un selon les invites. À la fin du processus, les certificats sont copiés correctement et ils sont utilisés pour établir une connexion au serveur Nessus. 1. Sur le serveur Nessus, exécutez la commande nessus-mkcert-client. Linux/Unix : # /opt/nessus/sbin/nessus-mkcert-client Windows (Exécuter en tant qu'utilisateur administrateur local) : C:\> \Program Files\Tenable\Nessus\nessus-mkcert-client 51

52 2. Remplissez les champs conformément aux invites. Le processus est identique sur un serveur Linux/Unix ou Windows. Do you want to register the users in the Nessus server as soon as you create their certificates? [n]: y Creation Nessus SSL client Certificate This script will now ask you the relevant information to create the SSL client certificates for Nessus. Client certificate life time in days [365]: Your country (two letter code) [US]: Your state or province name [NY]: MD Your location (e.g. town) [New York]: Columbia Your organization []: Content Your organizational unit []: Tenable ********** We are going to ask you some question for each client certificate If some question have a default answer, you can force an empty answer by entering a single dot '.' ********* User #1 name (e.g. Nessus username) []: squirrel Should this user be administrator? [n]: y Country (two letter code) [US]: State or province name [MD]: Location (e.g. town) [Columbia]: Organization [Content]: Organizational unit [Tenable]: []: User rules nessusd has a rules system which allows you to restrict the hosts that firstuser has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser(8) man page for the rules syntax Enter the rules for this user, and enter a BLANK LINE once you are done : (the user can have an empty rules set) User added to Nessus. Another client certificate? [n]: Your client certificates are in C:\Users\admin\AppData\Local\Temp\nessus e You will have to copy them by hand Les certificats client seront créés dans un répertoire temporaire aléatoire approprié au système. Le répertoire temporaire sera identifié sur la ligne commençant par «Your client certificates are in» (Vos certificats client se trouvent dans). Les installations de Nessus sous Windows ne comportent pas de pages «man» (instructions manuelles locales). Consultez le Tenable Support Portal (Portail d assistance de Tenable) pour en savoir plus sur les exécutables Nessus les plus utilisés. 52

53 3. Deux fichiers seront créés dans le répertoire temporaire, par exemple, cert_squirrel.pem et key_squirrel.pem (où «squirrel» est le nom d'hôte du système utilisé dans cet exemple). Ces fichiers doivent être combinés et exportés dans un format qui peut être importé dans le navigateur Web, tel que.pfx. Cette opération peut être effectuée à l'aide du programme openssl et de la commande suivante : # openssl pkcs12 -export -out combined_squirrel.pfx inkey key_squirrel.pem -in cert_squirrel.pem -chain -CAfile /opt/nessus/com/nessus/ca/cacert.pem -passout pass:'secretword' -name 'Nessus User Certificate for: squirrel' Le fichier résultant, combined_squirrel.pfx, sera créé dans le répertoire à partir duquel la commande est lancée. Ce fichier doit ensuite être importé dans le magasin de certificats personnels du navigateur Web. Activer les connexions avec la carte à puce ou la carte CAC Une fois que le CAcert pour la carte à puce, la carte CAC ou un périphérique similaire a été mis en place, les utilisateurs correspondants doivent être créés pour assurer la correspondance dans Nessus. Au cours de ce processus, les utilisateurs créés doivent correspondre au CN utilisé sur la carte que l'utilisateur va utiliser pour la connexion. 1. Sur le serveur Nessus, exécutez la commande nessus-mkcert-client. Linux/Unix : # /opt/nessus/sbin/nessus-mkcert-client Windows (Exécuter en tant qu'utilisateur administrateur local) : C:\> \Program Files\Tenable\Nessus\nessus-mkcert-client.exe 2. Remplissez les champs conformément aux invites. Le processus est identique sur un serveur Linux/Unix ou Windows. Le nom d'utilisateur doit correspondre au CN fourni par le certificat sur la carte. Do you want to register the users in the Nessus server as soon as you create their certificates? [n]: y Creation Nessus SSL client Certificate This script will now ask you the relevant information to create the SSL client certificates for Nessus. Client certificate life time in days [365]: Your country (two letter code) [US]: Your state or province name [NY]: MD Your location (e.g. town) [New York]: Columbia Your organization []: Content Your organizational unit []: Tenable ********** We are going to ask you some question for each client certificate If some question have a default answer, you can force an empty answer by entering a single dot '.' ********* User #1 name (e.g. Nessus username) []: squirrel Should this user be administrator? [n]: y Country (two letter code) [US]: State or province name [MD]: Location (e.g. town) [Columbia]: Organization [Content]: Organizational unit [Tenable]: 53

54 []: User rules nessusd has a rules system which allows you to restrict the hosts that firstuser has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser(8) man page for the rules syntax Enter the rules for this user, and enter a BLANK LINE once you are done : (the user can have an empty rules set) User added to Nessus. Another client certificate? [n]: Your client certificates are in C:\Users\admin\AppData\Local\Temp\nessus e You will have to copy them by hand Les certificats client sont créés dans un répertoire temporaire aléatoire approprié au système. Le répertoire temporaire sera identifié sur la ligne commençant par «Your client certificates are in» (Vos certificats clients se trouvent dans). Si vous utilisez l'authentification de carte, ces certificats sont inutiles et peuvent être supprimés. 3. Une fois créé, un utilisateur doté de la carte appropriée peut accéder au serveur Nessus et s'authentifier automatiquement une fois que son PIN ou un code secret similaire est fourni. Connexion avec un navigateur activé par certificat ou par carte Les informations suivantes sont fournies en supposant que votre navigateur est configuré pour l'authentification de certificat SSL. Cela inclut la confiance appropriée de la CA par le navigateur Web. Veuillez consulter les fichiers d'aide du navigateur ou une autre documentation pour configurer cette fonction. Le processus de connexion de certificat commence lorsqu'un utilisateur se connecte à Nessus. 1. Lancez un navigateur et naviguez jusqu'au serveur Nessus. 2. Le navigateur propose la liste des identités de certificat disponibles que vous pouvez choisir : 54

55 3. Une fois un certificat sélectionné, une invite vous demande d'indiquer le PIN ou le mot de passe du certificat (le cas échéant) afin d'y accéder. Si vous saisissez le PIN ou le mot de passe approprié, le certificat est disponible pour la session actuelle avec Nessus. 4. Lorsqu'il navigue dans l'interface Web de Nessus, l'utilisateur peut brièvement voir l'écran du nom d'utilisateur et du mot de passe, suivi d'une connexion automatique en tant qu'utilisateur désigné. L'interface utilisateur Nessus peut être utilisée normalement. Si vous mettez fin à la session, l'écran de connexion Nessus standard s'affiche à votre attention. Si vous voulez vous connecter une nouvelle fois en utilisant le même certificat, actualisez votre navigateur. Si vous devez utiliser un certificat différent, vous devez redémarrer votre session de navigateur. Nessus sans accès Internet Cette section décrit les étapes nécessaires pour enregistrer le scanner Nessus, installer le code d'activation et recevoir les plugins les plus récents lorsque le système Nessus n'a pas d'accès direct à Internet. 55

56 Les Activation Codes (Codes d'activation) récupérés à l'aide du processus hors ligne décrit ci-dessous sont associés au scanner Nessus utilisé pendant le processus de mise à jour hors ligne. Il n'est pas possible d'utiliser le groupe de plugins téléchargé avec un autre scanner Nessus. Pour commencer, suivez les instructions fournies par Nessus. Lorsque Nessus demande un Activation Code (Code d'activation), entrez «Offline» comme indiqué. Générer un code de défi Vous devez récupérer le code d'activation à partir du compte du Tenable Support Portal (Portail d assistance de Tenable) pour Nessus ou à partir de l' d'enregistrement à Nessus Home. Vous ne pouvez utiliser qu'un seul code d'activation par scanner, sauf si les scanners sont gérés par SecurityCenter. Une fois que vous disposez du code d'activation, exécutez la commande suivante sur le système qui exécute Nessus : Windows : C:\Program Files\Tenable\Nessus>nessus-fetch.exe --challenge Linux : # /opt/nessus/bin/nessus-fetch --challenge FreeBSD : # /usr/local/nessus/bin/nessus-fetch --challenge Mac OS X : # /Library/Nessus/run/bin/nessus-fetch --challenge Ceci produit une chaîne appelée «challenge code» (code de défi) qui ressemble à ce qui suit : 569ccd9ac72ab3a62a3115a945ef8e710c0d73b8 56

57 Obtention et installation de plugins à jour Ensuite, allez sur et copiez-collez dans les cases de texte correspondantes la chaîne «challenge» ainsi que le code d'activation reçu précédemment : Ceci produit une URL similaire à la capture d'écran ci-dessous : 57

58 Cet écran donne accès au téléchargement du dernier feed de plugins Nessus (all-2.0.tar.gz) ainsi qu'au fichier nessus-fetch.rc en bas de l'écran. Enregistrez cette URL car elle servira lors de chaque mise à jour des plugins, comme décrit ci-dessous. Un code d'enregistrement utilisé pour les mises à jour hors ligne ne peut pas être utilisé sur le même serveur de scanner Nessus par l'intermédiaire de Nessus Server Manager. Exécutez ensuite la commande suivante pour enregistrer Nessus hors ligne et installez le fichier nessus-fetch.rc dans le répertoire Nessus sur l'hôte : Windows XP/2K3 : C:\Program Files\Tenable\Nessus>nessus-fetch.exe --register-offline "C:\Documents and Settings\All Users\Application Data\Tenable\Nessus\conf\nessus-fetch.rc" Windows Vista/7/8/2008/2012 : C:\Program Files\Tenable\Nessus>nessus-fetch.exe --register-offline "C:\ ProgramData\Tenable\Nessus\conf\nessus-fetch.rc" Remarque : L'emplacement des fichiers de configuration a changé de Nessus 5.0 à Nessus 5.2. Linux : # /opt/nessus/bin/nessus-fetch --register-offline /opt/nessus/etc/nessus/nessus-fetch.rc FreeBSD : # /usr/local/nessus/bin/nessus-fetch --register-offline /usr/local/nessus/etc/nessus/nessus-fetch.rc Mac OS X : # /Library/Nessus/run/bin/nessus-fetch --register-offline /Library/Nessus/run/etc/nessus/nessus-fetch.rc Par défaut, Nessus tente de mettre à jour ses plugins toutes les 24 heures une fois que vous l'avez enregistré. Si vous ne voulez pas que cette mise à jour en ligne soit effectuée, configurez le paramètre «auto_update» sur «no» (non) dans le menu «Configuration» -> «Advanced» (Configuration -> Avancé). Effectuez cette étape à chaque fois que vous effectuez une mise à jour hors ligne des plugins. À l'issue du téléchargement, déplacez le fichier all-2.0.tar.gz ans le répertoire Nessus. Indiquez ensuite à Nessus de traiter l'archive de plugin : Windows : C:\Program Files\Tenable\Nessus>nessus-update-plugins.exe all-2.0.tar.gz Unix (modifiez le chemin en fonction de votre installation) : # /opt/nessus/sbin/nessus-update-plugins all-2.0.tar.gz Après le traitement, vous devez redémarrer Nessus pour que les modifications soient prises en compte. Consultez les sections «Manipulation du service Nessus via Windows CLI» ou «Démarrage et arrêt du démon Nessus» (Unix) pour en savoir plus sur l'exécution d'un redémarrage. 58

59 Une fois les plugins installés, vous n'êtes plus tenu de conserver le fichier all-2.0.tar.gz. Cependant, Tenable recommande de conserver la dernière version du fichier de plugin téléchargé au cas où vous en auriez encore besoin. Vous disposez à présent des plugins les plus récents. Chaque fois que vous souhaitez mettre à jour les plugins alors que vous ne disposez pas d'un accès Internet, vous devez aller à l'url fournie, accéder au fichier tar/gz, le copier sur le système exécutant Nessus et répéter le processus ci-dessus. Utilisation et gestion de Nessus à partir de la ligne de commande Répertoires principaux de Nessus Le tableau ci-dessous répertorie les emplacements d'installation et les répertoires principaux utilisés par Nessus sur *nix/linux : Répertoire d'accueil Nessus Sous-répertoires Nessus Objet Distributions Unix Red Hat, SuSE, Debian, Ubuntu : /opt/nessus FreeBSD : /usr/local/nessus Mac OS X : /Library/Nessus/run./etc/nessus/./var/nessus/users/<username>/kbs/./lib/nessus/plugins/./var/nessus/logs/ Fichiers de configuration Base de connaissance de l'utilisateur sauvegardée sur disque Plugins Nessus Fichiers journaux Nessus Le tableau ci-dessous répertorie les emplacements d'installation et les répertoires principaux utilisés par Nessus sur Windows : Répertoire d'accueil Nessus Sous-répertoires Nessus Objet Windows \Program Files\Tenable\Nessus \conf Fichiers de configuration \data Modèles de feuille de style \nessus\plugins Plugins Nessus \nessus\users\<username>\kbs \nessus\logs Base de connaissance de l'utilisateur sauvegardée sur disque Fichiers journaux Nessus Création et gestion des utilisateurs Nessus avec des limitations de compte Un seul scanner Nessus peut prendre en charge un arrangement complexe d'utilisateurs multiples. Par exemple, une organisation peut nécessiter que plusieurs employés aient accès au même scanner Nessus mais puissent aussi scanner des plages d'ip différentes, autorisant ainsi certains employés uniquement à accéder à des plages d'ip limitées. 59

60 L'exemple suivant illustre la création d'un deuxième utilisateur Nessus avec authentification par mot de passe ainsi que de règles d'utilisateur qui limitent l'utilisateur au scan d'un sous-réseau de catégorie B, /16. Pour d'autres exemples et la syntaxe des règles d'utilisateur, reportez-vous aux pages man concernant nessus-adduser. # /opt/nessus/sbin/nessus-adduser Login : tater-nessus Login password : Login password (again) : Do you want this user to be a Nessus 'admin' user? (can upload plugins, etc...) (y/n) [n]: y User rules nessusd has a rules system which allows you to restrict the hosts that tater-nessus has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser manual for the rules syntax Enter the rules for this user, and enter a BLANK LINE once you are done : (the user can have an empty rules set) accept /16 deny /0 Login : tater-nessus Password : *********** This user will have 'admin' privileges within the Nessus server Rules : accept /16 deny /0 Is that ok? (y/n) [y] y User added Pour afficher la page man de nessus-adduser(8), il peut être nécessaire d'exécuter les commandes suivantes sur certains systèmes d'exploitation : # export MANPATH=/opt/nessus/man # man nessus-adduser Options de ligne de commande Nessusd En plus de l'exécution du serveur nessusd, il existe plusieurs options de ligne de commande qui peuvent être utilisées selon les besoins. Le tableau ci-dessous contient des informations sur ces diverses commandes facultatives. Option Description -c <config-file> Lors du démarrage du serveur nessusd, cette option est utilisée pour spécifier le fichier de configuration nessusd côté serveur à utiliser. Elle permet d'utiliser un autre fichier de configuration à la place du fichier standard /opt/nessus/etc/nessus/nessusd.db (ou /usr/local/nessus/etc/nessus/nessusd.db pour FreeBSD). 60

61 -a <address> Lors du démarrage du serveur nessusd, cette option est utilisée pour indiquer au serveur d'écouter uniquement les connexions à l'adresse <address> qui est une adresse IP, et non pas un nom d'ordinateur. Cette option est utile si nessusd est exécuté sur une passerelle et si vous ne souhaitez pas que des personnes extérieures se connectent à nessusd. -S <ip[,ip2,...]> Lors du démarrage du serveur nessusd, force l'ip source des connexions établies par Nessus pendant le scan dans <ip>. Cette option est utile uniquement si vous disposez d'un périphérique multiconnecté avec plusieurs adresses IP publiques que vous souhaitez utiliser au lieu de l'adresse par défaut. Pour que cette configuration fonctionne, l'hôte exécutant nessusd doit avoir plusieurs cartes réseau avec ces adresses IP définies. -p <port-number> Lors du démarrage du serveur nessusd, cette option indique au serveur d'écouter les connexions de client sur le port <port-number> plutôt que celles sur le port 1241, qui est le port par défaut. -D Lors du démarrage du serveur nessusd, cette option fait fonctionner le serveur en arrière-plan (mode démon). -v Affiche le numéro de la version puis se ferme. -l Affiche les informations de licence de feed de plugin puis se ferme. -h Affiche le résumé des commandes puis se ferme. --ipv4-only Prend en compte le socket IPv4 uniquement. --ipv6-only Prend en compte le socket IPv6 uniquement. -q Fonctionnement en mode «silencieux», suppression de tous les messages à stdout. -R Force un nouveau traitement des plugins. -t Vérifie l'horodatage de chaque plugin lors du démarrage afin de compiler uniquement les derniers plugins mis à jour. -K Définit d'un mot de passe général pour le scanner. Si un mot de passe général est défini, Nessus chiffre toutes les stratégies et tous les identifiants contenus dans celles-ci avec la clé fournie par l'utilisateur (qui est beaucoup plus sécurisée que la clé par défaut). Si un mot de passe est défini, l'interface Web invite à saisir le mot de passe lors du démarrage. AVERTISSEMENT : Si le mot de passe général est défini mais perdu, il ne peut pas être récupéré par l'administrateur ou le service d'assistance de Tenable. Voici ci-dessous un exemple d'utilisation : 61

62 Linux : # /opt/nessus/sbin/nessus-service [-vhd] [-c <config-file>] [-p <port-number>] [-a <address>] [-S <ip[,ip,...]>] FreeBSD : # /usr/local/nessus/sbin/nessus-service [-vhd] [-c <config-file>] [-p <port-number>] [-a <address>] [-S <ip[,ip,...]>] Manipulation du service Nessus via Windows CLI Vous pouvez aussi démarrer ou arrêter Nessus à partir de la ligne de commande. Veuillez noter que la fenêtre de commande doit être appelée avec les privilèges administratifs : C:\Windows\system32>net stop "Tenable Nessus" The Tenable Nessus service is stopping. The Tenable Nessus service was stopped successfully. C:\Windows\system32>net start "Tenable Nessus" The Tenable Nessus service is starting. The Tenable Nessus service was started successfully. C:\Windows\system32> Utilisation de SecurityCenter Vue d'ensemble de SecurityCenter Tenable SecurityCenter est une console de gestion Web qui unifie le processus de détection et de gestion des vulnérabilités, la gestion des événements et des journaux, la surveillance de la conformité et les rapports relatifs à toutes ces activités. SecurityCenter permet une communication efficace des événements de sécurité aux équipes informatiques, de direction et d'audit. SecurityCenter prend en charge l'utilisation simultanée de plusieurs scanners Nessus pour le scan régulier d'un réseau de toute taille. SecurityCenter utilise l'api Nessus (application personnalisée du protocole XML-RPC) pour communiquer avec les scanners Nessus associés afin d'envoyer les instructions de scan et de recevoir les résultats. SecurityCenter autorise plusieurs utilisateurs et administrateurs possédant des niveaux de sécurité différents à partager les informations sur les vulnérabilités, définir la priorité des vulnérabilités, indiquer les actifs réseau qui présentent des problèmes de sécurité critiques, fournir des recommandations aux administrateurs système pour résoudre ces problèmes de sécurité et effectuer le suivi de l'atténuation des vulnérabilités. SecurityCenter reçoit également des données de nombreux IDS de pointe, comme Snort et ISS par l'intermédiaire du Log Correlation Engine (LCE). SecurityCenter peut aussi recevoir des informations passives de vulnérabilité provenant de Tenable Passive Vulnerability Scanner (PVS) de sorte que les utilisateurs finaux puissent détecter les nouveaux hôtes, applications, vulnérabilités et intrusions sans avoir besoin du scan actif avec Nessus. Configuration de SecurityCenter pour travailler avec Nessus L'interface d'administration SecurityCenter est utilisée pour configurer l'accès et contrôler tout scanner Nessus de version 4.2.x ou supérieure. Cliquez sur l'onglet «Resources» (Ressources), puis sur «Nessus Scanners» (Scanners Nessus). Click «Add» (Ajouter) pour ouvrir la boîte de dialogue «Add Scanner» (Ajouter un scanner). L'adresse IP ou le nom d'hôte du scanner Nessus, le port Nessus (8834 par défaut), le type d'authentification (créé lors de la configuration de Nessus), l'id de connexion administrative et le mot de passe ou les informations de certificat et un nom sont requis. Les champs de mot de passe ne sont pas disponibles si l'authentification «SSL Certificate» (certificat SSL) est sélectionnée. La capacité de vérification du nom d'hôte est fournie afin de vérifier le CN (CommonName - Nom commun) du certificat SSL présenté par le serveur Nessus. L'état du scanner Nessus peut être défini, le cas échéant, sur Enabled 62

63 (Activé) ou Disabled (Désactivé). Vous pouvez sélectionner l'utilisation d'un proxy et les zones auxquelles le scanner Nessus peut être affecté. Voici un exemple de capture d'écran de la page «Add Scanner» (Ajouter un scanner) de SecurityCenter 4.7 : Une fois le scanner ajouté, la bannière suivante s'affiche : Pour plus d'informations sur l'intégration de Nessus et de SecurityCenter, consultez le «Guide d'administration de SecurityCenter», disponible sur le Tenable Support Portal (Portail d assistance de Tenable). Pare-feu de l'hôte Si le serveur Nessus est configuré avec un pare-feu local tel que ZoneAlarm, BlackICE, le pare-feu Windows XP ou tout autre logiciel pare-feu, les connexions doivent être ouvertes à partir de l'adresse IP de SecurityCenter. Par défaut, le port 8834 est utilisé pour communiquer avec SecurityCenter. Sur les systèmes Microsoft XP Service Pack 2 et les versions ultérieures, l'utilisateur peut cliquer sur l'icône «Security Center» (Centre de sécurité) du «Control Panel» (Panneau de configuration) pour pouvoir gérer les paramètres du pare-feu Windows. Pour ouvrir le port 8834, choisissez l'onglet «Exceptions» (Exceptions) puis ajoutez le port «8834» à la liste. 63

64 Dépannage de Nessus sous Windows Problèmes d'installation / de mise à niveau Problème : Le journal nessusd.messages indique que nessusd a démarré, mais ce n'est pas le cas. Solution : Le message «nesssud <version> started» (Nessus <version> démarré) indique seulement que le programme nessusd a été exécuté. Le message «nessusd is ready» (nessusd est prêt) indique que le serveur Nessus est en cours d'exécution et prêt à accepter des connexions. Problème : Je reçois l'erreur suivante lorsque j'essaie d'installer Nessus Windows : «1607: Unable to install InstallShield Scripting Runtime» (1607 : Impossible d'installer l'exécutable de Scripting d'installshield) Solution : Ce code d'erreur peut être généré si le service WMI (Windows Management Instrumentation, Infrastructure de gestion Windows) a été désactivé pour une raison quelconque. Vérifiez que le service est en cours d'exécution. Si le service WMI fonctionne, il peut y avoir un problème entre les paramètres du système d'exploitation Microsoft Windows et le produit InstallShield qui est utilisé pour installer et supprimer Nessus Windows. Il existe des articles dans les bases de connaissances Microsoft et InstallShield qui expliquent en détail les causes potentielles et la résolution du problème. Base de connaissances Microsoft, ID d'article : Base de connaissances InstallShield, ID d'article Q : Problèmes de scan Problème : Je ne peux pas scanner sur ma connexion PPP ou PPTP. Solution : Cette fonction n'est pas prise en charge actuellement. Les prochaines révisions de Nessus Windows incluront cette fonctionnalité. Problème : Un scan de virus sur mon système signale un grand nombre de virus ou de logiciels malveillants dans Nessus Windows. Solution : Certaines applications antivirus peuvent signaler certains plugins de Nessus comme des virus. Excluez le répertoire des plugins du scan des virus car il n'existe pas de programmes exécutables dans ce répertoire. Pour en savoir plus sur l'utilisation de Nessus avec un logiciel de détection des programmes malveillants, consultez le document «Nessus 5 and Antivirus» (Nessus 5 et les antivirus). Problème : Je scanne un périphérique inhabituel, comme un contrôleur RAID, et le scan est abandonné parce que Nessus le détecte comme une imprimante. Solution : Désactivez «Safe Checks» (Contrôles sécurisés) dans la stratégie de scan avant de scanner le périphérique. Le scan d'une imprimante impose généralement de devoir redémarrer l'imprimante ; par conséquent, lorsque «Safe Checks» est défini, les périphériques détectés comme des imprimantes ne sont pas scannés. Problème : Les scans SYN ne semblent pas attendre que la connexion au port soit établie dans Nessus Windows. 64

65 Solution : Ce comportement est normal car le scan SYN n'établit pas de connexion TCP complète. Toutefois, cela n'a pas d'influence sur les résultats du scan. Problème : Pendant un scan, quels facteurs affectent la performance lorsque Nessus Windows est exécuté sur un système Windows XP? Solution : Microsoft a apporté des modifications à Windows XP Service Pack 2 et 3 (Home et Pro) qui peuvent affecter la performance de Nessus Windows et causer des faux négatifs. La pile TCP/IP limite désormais le nombre de tentatives de connexion TCP sortantes incomplètes simultanées. Lorsque la limite est atteinte, les tentatives de connexion ultérieures sont placées dans une file d'attente et sont résolues à une fréquence fixe (10 par secondes). Si un nombre excessif d'entre elles entrent dans la file d'attente, elles peuvent être abandonnées. Voir la page Microsoft TechNet suivante pour de plus amples informations : Ceci a pour conséquence qu'un scan Nessus sur Windows XP aura potentiellement des faux négatifs car XP n'autorise que 10 nouvelles connexions incomplètes par seconde (dans un état SYN). Pour améliorer la précision, il est recommandé que Nessus exécuté sur un système Windows XP soit doté d'un paramètre de ralentissement de scan de port comme suit, en fonction de la configuration de scan individuelle pour chaque stratégie de scan : Max number of hosts (Nombre max. d'hôtes) : 10 Max number of security checks (Nombre max. de contrôles de sécurité) : 4 Pour une meilleure performance et une plus grande fiabilité du scan, il est fortement recommandé que Nessus Windows soit installé sur un système de serveur de la gamme Microsoft Windows tel que Windows Server 2003 ou Windows Server Veuillez noter que la prise en charge de Windows XP sera abandonnée complètement à partir de Nessus 5.3. Pour plus d'informations Tenable a créé plusieurs autres documents expliquant en détail le déploiement, la configuration, l'utilisation et les tests d'ensemble de Nessus. Ceux-ci sont répertoriés ci-dessous : Nessus 5.2 User Guide (Guide de l'utilisateur Nessus 5.2) : présente l'utilisation du scanner de vulnérabilité Nessus, dont la configuration des scans et la création de rapports Nessus Credential Checks for Unix and Windows (Contrôles des identifiants Nessus pour Unix et Windows) : informations sur la façon d'effectuer des scans de réseau authentifiés avec le scanner de vulnérabilité Nessus Nessus Compliance Checks (Contrôles de conformité Nessus) : guide de haut niveau pour comprendre et exécuter les contrôles de conformité au moyen de Nessus et de SecurityCenter Nessus Compliance Checks Reference (Référence pour les contrôles de conformité Nessus) : guide complet sur la syntaxe des contrôles de conformité Nessus Nessus v2 File Format (Format de fichier Nessus v2) : décrit la structure du format de fichier.nessus, qui a été introduit avec Nessus 3.2 et NessusClient 3.2 Nessus 5.0 REST Protocol Specification (Caractéristique du protocole Nessus 5.0 REST) : décrit le protocole REST et l'interface dans Nessus 65

66 Nessus 5 and Antivirus (Nessus 5 et les antivirus) : présente le mode d'interaction des progiciels de sécurité les plus courants avec Nessus et fournit des conseils et des solutions qui favoriseront une meilleure coexistence des logiciels, sans compromettre la sécurité ou faire obstacle à vos opérations de scan des vulnérabilités Nessus 5 and Mobile Device Scanning (Nessus 5 et scan des périphériques mobiles) : décrit comment Nessus s'intègre à Microsoft Active Directory et aux serveurs MDM (Mobile Device Management, gestion des périphériques mobiles) afin d'identifier les périphériques mobiles utilisés sur le réseau Nessus 5.0 and Scanning Virtual Machines (Nessus 5.0 et scan des machines virtuelles) : présente comment utiliser le scanner de vulnérabilité Nessus de Tenable Network Security pour effectuer l'audit de la configuration des plateformes virtuelles et des logiciels exécutés sur ces plateformes Strategic Anti-malware Monitoring with Nessus, PVS, and LCE (Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE) : décrit comment la plateforme USM de Tenable peut détecter divers logiciels malveillants, identifier les infections de ces programmes malveillants et en déterminer l'étendue Patch Management Integration (Intégration de la gestion de correctifs) : décrit comment Nessus et SecurityCenter peuvent tirer parti des identifiants pour les systèmes de gestion de correctifs IBM TEM, Microsoft WSUS et SCCM, VMware Go et Red Hat Network Satellite afin d'effectuer l'audit de correctifs sur les systèmes pour lesquels les identifiants peuvent ne pas être mis à la disposition du scanner Nessus Real-Time Compliance Monitoring (Surveillance de conformité en temps réel) : décrit comment les solutions de Tenable peuvent être utilisées pour faciliter le respect d un grand nombre de types de règlements gouvernementaux et financiers Tenable Products Plugin Families (Familles de plugins des produits Tenable) : fournit la description et le résumé des familles de plugins pour Nessus, Log Correlation Engine et Passive Vulnerability Scanner SecurityCenter Administration Guide (Guide d'administration de SecurityCenter) D'autres ressources en ligne sont répertoriées ci-dessous : Forum de discussions Nessus : Blog Tenable : Podcast Tenable : Vidéos d'exemples d'utilisation : Feed Twitter Tenable : N hésitez pas à contacter Tenable aux adresses support@tenable.com et sales@tenable.com, ou consultez notre site internet sur 66

67 À propos de Tenable Network Security Les solutions de Tenable Network Security sont utilisées par plus de organisations, dont tous les services du Département de la Défense des États-Unis (DOD, Department of Defense) ainsi que de nombreuses grandes entreprises internationales et agences gouvernementales, pour prendre une longueur d'avance sur les vulnérabilités, menaces et risques de conformité émergents. Ses solutions Nessus et SecurityCenter continuent de définir la norme pour l'identification des vulnérabilités, la prévention des attaques et le respect de nombreuses exigences règlementaires. Pour plus d'informations, veuillez consulter SIÈGE MONDIAL Tenable Network Security 7021 Columbia Gateway Drive Suite 500 Columbia, Maryland Copyright Tenable Network Security, Inc. Tous droits réservés. Tenable Network Security et Nessus sont des marques déposées de Tenable Network Security, Inc. 67