Nessus Schnellanleitung - Open-Source Security Scanner Downloadadresse: http://www.nessus.org erstellt von OneConsult GmbH, Christoph Baumgartner - 23.06.2003 ========================================================================= 1 Herunterladen und Installieren von Nessus ------------------------------------------------------------------------- a Lynx Auto-Script lynx -source http://install.nessus.org | sh (nicht als ROOT laufen lassen) b Installer-Script ftp://sunsite.cnlab-switch.ch/mirror/nessus/nessus-[Hier aktuelle Versionsnummer einfügen]/nessus-installer nessus-installer.sh herunterladen Berechtigungen auf Ausfuehrbar aendern ./nessus-installer.sh c Manuell ftp://sunsite.cnlab-switch.ch/mirror/nessus/nessus-[Hier aktuelle Versionsnummer einfügen]/src nessus-libraries-[Hier aktuelle Versionsnummer einfügen].tar.gz herunterladen Archiv extrahieren Shell als Benutzer starten ./configure make su make install exit libnasl-[Hier aktuelle Versionsnummer einfügen].tar.gz herunterladen Archiv extrahieren ./configure make su make install ldconfig exit nessus-core-[Hier aktuelle Versionsnummer einfügen].tar.gz herunterladen Archiv extrahieren ./configure make su make install exit nessus-plugins-[Hier aktuelle Versionsnummer einfügen].tar.gz herunterladen Archiv extrahieren ./configure make su make install exit 2 Nessus Konfigurieren ------------------------------------------------------------------------- a Konfiguration Shell als Root oeffnen nessus-mkcert nessus-adduser b Aktualisieren Shell als Root oeffnen nessus-update-plugins c Starten nessusd -D (server - als root starten) nessus (client - als Benutzer starten) d Deinstallieren Shell als Root oeffnen uninstall-nessus 3 Nessus Scan Einstellungen ------------------------------------------------------------------------- Nessus hat viele Optionen, und die Standard-Einstellungen reichen oft aus. Hier finden sich Erklärungen zu einigen Einstellungen. Es gibt Differenzen zwischen LAN-Scans (100 MBit) und Internet Scans (56 KBit/64 KBit), Nessus generiert uebrigens viel Netzwerkverkehr ;-). Nessus ist eine Client-Server- Applikation, darum muss man sich am Server anmelden. Lasche Beschreibung Einstellung ------------------------------------------------------------------------- Nessusd host Sitzungseinstellungen logon with your created user connect other Nessus-Server Plugins Plugin Auswahl enable dependencies at runtime enable all but dangerous plugins Prefs. Scan Einstellungen connect-scans are loud make syn/fin-scans if possible enable UDP/RPC portscan ping the remote host identify remote OS perhaps enable fragment IP packets (scan takes much longer!) timing policy should be normal (take polite if scanning via internet) can take brute-force options (end of prefs) Scan options Scan Optionen Port range: 1-65535 no of hosts test same time: 10 (256 MB RAM - 512 MB RAM take 15) no of checks perform same time 5 (256 MB RAM - 512 MB RAM take 10) optimze tests safe checks port scanner: LaBrea tarpitted enabled Ping remote host enabled Nmap enabled (have to be installed) SNMP port scan enabled Target select. Ziel Auswahl can give half a Class-C Subnet can enable session saving User Benutzer Regeln KB Wissensdatenbank can enable KB saving (Nessus learns when scanning again same host) Credits zeigt Nessus-Version an 4 Nessus Erfahrungen ------------------------------------------------------------------------- Wenn man ein Netzwerk mit LAN 100 MBit und 2 MB WAN-Links scannt, nimmt der Test eines Klasse-C Subnets etwa einen Tag in Anspruch. Ein einzelner Computer, bei TCP/UDP/RPC/SNMP und mehr aktiviert, dauert etwa 30 Minuten. Wenn man ein Netzwerk testen will, sollte man ein Pilot-Projekt machen, um Seiteneffekte mit bösartigen Plugins (und ohne) vorherzusehen. Aktivierte Firewalls (auf scannenden Computer/Nessusd-Server/Ziel/Route) können den Scan verfälschen, bitte auch ACL's auf WAN-Router beachten. Am besten lässt man einen Netzwerksniffer laufen, wenn man mit Nessus scannt (z.B. tcpdump oder ethereal), um sehen zu können, was passiert (ARP-Requests beachten, und sehr langsame Computer anpingen, ob sie noch online sind - Nessus schaut nur am Anfang des Scans, ob die Ziele online sind). Aber aufgepasst, tcpdump braucht auch viele Resourcen! Man kann Nessus-Reports mit dem Befehl "sort -u report1.nsr report2.nsr > report.nsr" mergen, wenn man NSR-Dateien generiert. Anschliessend kann man wieder HTML-formatierte Reports mit Tortendiagrammen und Grafiken generieren (Knopf LOAD REPORT im Nessus Client). Temporäre Dateien werden vom Nessus Client und Server generiert. Die Client-Dateien in $TMPDIR (/tmp) werden gleich nach der Fertigstellung des Scans gelöscht, wenn man KB-Speicherung aktiviert, speichert Nessus Daten nach /usr/local/var/nessus/users//kbs und mit Sitzung-Speicherung zusaetzlich nach /usr/local/var/nessus/users//sessions. (c) 2003 OneConsult GmbH, www.oneconsult.com - Alle Rechte vorbehalten.