CURSO NESSUS

Apuntes

Conferencia de estrategia de implementación

Nessuss es soportado por las plataformas:

 Linux
 Windows Server
 Windows Desktop OS (No en todos.)
 MAC OS

Nessus se puede virtualizar, pero si la máquina virtual está utilizando la traducción de

direcciones de red, o NAT, para llegar a la red, la enumeración del host, la
identificación del sistema operativo y muchas de las comprobaciones de vulnerabilidad
de Nessus pueden verse negativamente afectadas.

 No se recomienda que Nessuss este detrás de una NAT

 Los equipos que serán escaneados no deben tener activado el firewall local.
 Nessus soporta el escaneo con IPv6 (Nessus y endpoint deben estar en IPv6)

Demostración de instalación de Windows

 Copiar el instalador MSI al equipo

 Usar cuenta administradora para instalación
 Se recomienda que se instale en MS Windows server
 Agregar Nessuss.exe y Nessuss-service.exe en la excepción del antivirus.
 Después de la instalación se ingresa a https://ip_de_servidor_instalado:8834

Demostración de instalación de Linux

Tipo de Paquete
RED HAT – FEDORA - SUSE rpm-ivh
DEBIAN – UBUNTU dpkg
SOLARIS - FREEBSD pkadd-d

Iniciar servicio Nessuss

RED HAT – FEDORA /sbin/service/nessusd start
DEBIAN – UBUNTU - SOLARIS /etc/init.d/nessusd start
SUSE /etc/rc.d/nessusd start
FREEBSD /usr/local/etc/rc.d/nessusd.sh start

Demostración de activación y configuración

 Debe completar el registro de Nessuss dentro de las seis horas posteriores a la

instalación y luego resetear Nessuss.
 Crear una cuenta administradora para el servidor Nessuss.
 Ingresar el código de activación.
 Por defecto, las actualizaciones de todos los componentes son diarias.
 Cuando se hace una instalación de actualización Nessuss se reinicia.
Nessus Manager:

 User Accounts
 User Groups
 Scanner Permissions
 Nessus Agents
 Secondary Scanners
 Mail/Proxy servers
 LDAP
 Cisco ISE

Nessus Professional

 User Accounts
 Mail Servers
 Proxy Servers
 Advanced Settings

Escaneo

Nessus al momento del escáner, identifica:

1. Hosts,
2. Servicios,
3. Aplicaciones
4. Vulnerabilidades.

Plugins

Nessus completa una exploración mediante el uso de una serie de plugins

(complementos). Un plugin es un fragmento de código que realiza una prueba
individual para recuperar datos.

Estos complementos se ejecutan contra cada objetivo en el escaneo. Una política de

exploración (Scan policy) define qué complementos se aplican en una exploración
determinada, junto con otras opciones. Las características de la función del plugins es:

 Un test individual.
 Realizado en el objetivo.
 Política de escaneo habilita los plugins.

En Nessus, hay decenas de miles de plugins (complementos) individuales que realizan

pruebas.

Secuencia del escáner de Nessus

1. Recupera la configuración del escaneo

2. Descubrimiento de host
3. Escanea los puertos
 4. Detecta los servicios
5. Detecta el sistema operativo
6. Analiza las vulnerabilidades

 Recupera la configuración del escaneo

Al comienzo de cada exploración, Nessus recupera la configuración de exploración,

incluidos qué puertos se analizarán, qué complementos están habilitados y qué
configuración se define en las preferencias de la política.

 Descubrimiento de host

Al realizar una "Exploración de red básica", Nessus primero realiza un descubrimiento

de host haciendo ping a cada dirección IP o nombre de host en la lista de destino y
determinando si un host responde o no. Puede usar ICMP, TCP, ARP y UDP.

 Escaneo de puertos

A continuación, Nessus hace un escaneo de puertos para cada objetivo que

respondieron. Puede ajustar los puertos que se escanean en su política de Nessus. La
lista de puertos en una política de escaneo puede contener números individuales o
rangos, cada uno separado por comas, los valores aceptables varían de 1 a 65535.

 Detección de servicios

Después de que se haya determinado los puertos abiertos, Nessus realiza capturas de
banner y otros test en cada puerto detectado para saber qué servicios están corriendo
en el objetivo.

 Detección del sistema operativo

Nessus identifica el Sistema Operativo basándose en los servicios que están

corriendo.

 Analiza vulnerabilidades

Finalmente, Nessus hace referencia a la información recopilada contra

"vulnerabilidades conocidas".

Nessus solo realiza pruebas de vulnerabilidad que son apropiadas para el sistema
operativo y los servicios que se ejecutan en el destino.

En consecuencia, si bien hay decenas de miles de pruebas que se pueden realizar,

Nessus solo realiza un subconjunto de estas contra cualquier objetivo individual. Esto
mejora la velocidad y la precisión del escaneo.

Operaciones básicas

Lo básico en el proceso de realizar un escaneo es:

 1. Definir los parámetros de escaneo.
2. Crear el escaneo.
3. Iniciar el escaneo.
4. Analizar los resultados.

Política de escaneo

Nessus proporciona una serie de modelos para poder crear políticas de escaneos.

1. Se debe crear la política de escáner,

2. Se debe crear el escáner donde se detallará:

 Nombre
 Descripción
 Folder
 Programación
 Lista de objetivos (IPv4, IPv6 o hostname)

Métodos de escaneo

 Escaneo en red

Detalles externos y análisis de vulnerabilidad de visibilidad externa.

 Escaneo con credenciales

Configuraciones erróneas internas y vulnerabilidades ocultas.

Ventanas de escáner con credenciales

 Más información recolectada.

Se revisa las vulnerabilidades de las aplicaciones que se encuentran en el objetivo y

que no pueden ser escaneadas con el escáner basado en red ya que las aplicaciones
no responden en un puerto.

Ejemplo:

Si se corre una versión antigua de una aplicación como Adobe Reader, no se podrá
identificar con el escáner basado en red, pero si con el escáner basado en
credenciales.

Nessus utilizará la estructura de comandos internos, incluido "netstat", para identificar

puertos y servicios abiertos.

Dependiendo del sistema operativo, usa:

 El administrador de paquetes
 Llamadas WMI o,
 El registro del sistema,
para identificar el software instalado, la configuración del sistema y las
vulnerabilidades que existen dentro del objetivo.

 Más rápido

Por qué no sondea cada puerto individualmente y así reduce el tráfico de red.

 Verifica procesos

Verifica los procesos en ejecución en busca de infección de malware, actividad de

botnet y para recopilar información adicional sobre el host.

Nessus admite varios tipos de credenciales según el host y se puede autenticar

directamente utilizados métodos comunes como SSH y SMB.

Además:

 Credenciales de servidor de base de datos,

 Credenciales basadas en servicios,
 Credenciales de dispositivo de red,
 Credenciales de la serie IBM I y otros

Escaneo basado en credenciales para Windows

 Se recomienda usar una cuenta dedicada para escanear un host Windows.

Si bien Nessus puede admitir el uso de la cuenta de administrador, las mejores

prácticas dictan que cree una cuenta separada de nivel administrativo para fines de
escaneo. Esta cuenta debe ser miembro del grupo admin local o administrador de
dominio. Si se usa una cuenta admin local, debe establecer el método de autenticación
en "Clásico".

Sin privilegios de nivel de administrador, Nessus no podrá verificar directamente las

versiones de los archivos, en cambio volverá a buscar actualizaciones instaladas en el
registro.

 El control de acceso de usuario (User Access Control) debe ser

deshabilitado para la cuenta que se usará durante el escaneo.

 Debe habilitar el uso compartido de archivos e impresiones en el host.

 El servicio de registro remoto debe estar disponible en el destino. Puede

crear una política de escaneo para iniciar automáticamente el servicio de
registro remoto en hosts donde está configurado en "Manual".

 El servicio WMI debe estar corriendo y disponible.

  También debe configurar el firewall de Windows, a través de la política de
grupo o política local, para permitir conexiones remotas para compartir
archivos e impresiones, así como WMI.

Escaneo basado en credenciales para Linux y Unix

Para los hosts que admiten SSH y autenticación de pares de claves, la mejor práctica
para el escaneo acreditado es utilizar pares de claves RSA / DSA con una frase de
paso. Pero para los que no soportan, deben usar nombres de usuario y contraseñas
encriptados del sistema operativo y privilegios nivel root para mejores resultados.

Si se usa pares de claves RSA/DSA en el host que soporta SSH, primero debes
generar los pares de claves en el escáner Nessus. Luego, debes incluir la clave
privada en la política de escáner, así como la frase de contraseña si corresponde y
luego colocar la clave pública en los hosts. Esto asegura que los intentos de logueo al
SSH sean de confianza en los hosts de confianza.

Nessus proporciona variedad de métodos para elevación de privilegios como:

 SU
 SUDO
 SU+SUDO
 PBRUN
 DZDO

NOTA:

 En cualquier lugar donde las credenciales proporcionadas no funcionen,

Nessus realizará un escaneo basado en la red.

 El estado del escaneo puede estar en:

 Programado
 Completado
 Actualmente corriendo

 Tenga en cuenta que el método combina la política de escaneo y el

cronograma de escaneo. No se necesita una política de escaneo separada.

Análisis de escaneo básico

Cuando se analiza los resultados de un escáner, la lista de host está en orden

descendente desde el que es más vulnerable al menos vulnerable.

La lista proporciona resultados en 5 categorías que generalmente corresponden al

score de CVSS:
 Factor Riesgo CVSS
Critical 10
High 7.0 - 9.9
Medium 4.0 - 6.9
Low 0 - 3.9
Info No score

El nivel informativo puede proporcionar la siguiente información del host:

 Detección de servicios
 Reglas de Firewall
 Información de cuenta de usuario
 Lista de software instalados
 Tipo de dispositivo
 Sistema Operativo
 Información de conexión netstat
 Información de procesos corriendo
 Información de estadísticas y troubleshooting del escaneo.

Análisis avanzado

Puede reducir rápidamente sus resultados a un tipo específico de vulnerabilidad y que

ayudaría en la priorización de la remediación de sistemas.

Reparar vulnerabilidades críticas es generalmente la más alta prioridad. Sin embargo,

si hay una gran cantidad de vulnerabilidades críticas, el uso de filtros lo ayudará a
priorizar aún más la corrección. Se puede basar en criterios como:

 Métricas CVSS (Common Vulnerability Scoring System)

 CPE (Common Platform Enumeration)
 Exploitability
 Microsoft Bulletin IDs
 Puertos
 Protocolos

Solución de problemas de credenciales

Los problemas más comunes son:

 Credenciales incorrectas proporcionadas a Nessus.

 Firewall o IDS no permite que se logue.
 No se tiene los privilegios necesarios.

Independientemente del sistema operativo, el ID 21745 de plugin puede ayudar a

determinar si las credenciales fueron exitosas además el plugin ID 19506 también
indica que las credenciales fueron exitosas.
Éxitos de Windows (Success)

Plugin ID 10394: Es posible iniciar sesión en Microsoft Windows SMB, indica que
Nessus se autenticó y especifica el nombre de usuario que Nessus usó durante el
escaneo.

Plugin ID 10400: Accesible al registro remoto de Microsoft Windows SMB. Permite

leer los registros del sistema.

Plugin ID 24269: Disponibilidad de WMI. Permite llamar a WMI del sistema objetivo.

Fracaso de Windows (Failure)

Plugin ID 24786: Indica que Nessus se pudo autenticar, pero no tiene suficiente
privilegios.

Plugin ID 10428: Indica que no se puede acceder completamente a los registros de

MS Windows SMB por tema de privilegios.

Plugin ID 26917: Indica que no se puede leer los registros de sistema de MS Windows
SMB.

Éxito y fracaso en Unix

Plugin ID 12634: Validación de autenticación. Este complemento indica si se autenticó

o no correctamente en el destino. También de si tiene el nivel de privilegios
adecuados.

Seguimiento de Auditoria
El seguimiento de auditoría es una función que le permite identificar por qué un
escaneo determinado no apareció en los resultados del análisis. Esto es útil para
determinar posibles falsos negativos.
Esto permite proporcionar información de porqué un host nos es vulnerable a una falla
en particular o porqué un plugin no retorno resultados.
El audit trail está habilitado por defecto para cada escaneo. Sin embargo, hay 2
niveles:
1. Full audit trail

 Por qué salió un complemento

 Por qué no se inició el complemento
 Habilitado cuando el escaneo es menor a 256 hosts
NOTA:
La información de audit trail se registra en “nessusd.messages”. Comando para ver si
está habilitado el "Full audit trail"
grep 'audit trail' nessusd.messages | less
2. Partial audit trail

 Al escanear redes grandes

 Por qué salió un complemento
Reportes
El "Executive Summary" proporciona una lista de:

 Vulnerabilidades identificadas,
 Resultados de cumplimiento
 Sugerencias de corrección ordenadas por host.
Para modificar el reporte, se selecciona "Custom" y se puede elegir el tipo de data
que debería aparecer y como debería ser agrupado.
La opción Nessus DB exporta datos en un formato de base de datos protegido por
contraseña que incluye todos los elementos en el informe de exploración, como el
seguimiento de auditoría y los archivos adjuntos.

ESCANEO AVANZADO EN NESSUS

Detección de Software Maliciosos

Nessus escanea los sistemas remotos en busca de:

 Software malicioso y potencialmente no deseado

 Actividad de botnet
 Audita el software antivirus.
Nessus puede realizar algunas de estas comprobaciones sin credenciales, pero
algunas requieren credenciales.
El software no deseado podría instalarse en un sistema host y escuchar conexiones en
un puerto específico. Nessus para encontrar dichos softwares maliciosos, examina los
puertos abiertos en el sistema.
Si la respuesta del puerto coincide con una firma conocida, Nessus documenta los
resultados en el reporte de escaneo.
Cuando el escaneo CGI está habilitado, Nessus escanea contenidos de páginas web
en el sistema objetivo para encontrar links de sitios web y URLs usados por botnets
conocidos. También detecta ejecutables maliciosos.
Durante el escaneo, Nessus utiliza las credenciales proporcionadas para iniciar sesión
en el host y realizar un examen más profundo de posibles infecciones.

Nessus tiene controles incorporados para amenazas particularmente extendidas.

Busca ciertos archivos y claves de registro asociados con software malicioso y
muestra resultados detallados. Adicionalmente, puede escanear archivos maliciosos
localizados en el directorio del sistema. Esto se realiza mediante el escaneo de los
archivos comunes dentro de los directorios e identifica aquellos que coinciden con las
firmas de malware conocidas. Se puede personalizar esta búsqueda que se realiza en
los directorios.
Nessus también puede usar los conjuntos de reglas YARA para la búsqueda
inteligente y la coincidencia de patrones.
Este tipo de escaneo demora más dependiendo de la cantidad de archivos y
directorios que se tenga en el sistema.
Cuando se hace un escaneo con credenciales, Nessus puede analizar procesos que
están corriendo. Nessus lista los procesos que están corriendo, genera hashes y lo
compara con la base de datos de Tenable para saber si es bueno, malicioso o
potencialmente software no deseado.
Si Nessus encuentra un proceso potencialmente malicioso o no deseado, se registra:

 Ruta de archivo
 Nombre del proceso
 ID del proceso
 Producto
Y lo identifican como proceso malicioso.
Nessus incluye los archivos maliciosos en el resultado del escaneo el cual puede ser
descargado para su análisis. Esta característica aprovecha los datos de muchos
proveedores de antivirus, en comparación con una sola herramienta instalada
localmente.
Puedes personalizar esta característica para subir su propia lista de hash para usar de
comparación, adicionalmente al servicio en la nube.
Cuando se escanea 2 o mas hosts, Nessus compara la lista de procesos corriendo e
identifica si alguno es exclusivo de un sistema. Se debería revisar manualmente esta
lista para detectar algún proceso anómalo.
El escaneo con credenciales recopila información de IP, DNS y conexión activa para
identificar posibles actividades maliciosas.
Nessus revisa la IP del host remoto contra una base de datos para saber si es
miembro de botnet y reportarlo en el caso coincida.
Las comprobaciones adicionales aseguran que el servidor DNS y las entradas DNS
personalizadas no se cambiaron para apuntar a un servidor hostil o para evitar
actualizaciones de software.
Nessus también aprovecha el comando netstat para auditar conexiones de red activas
en el host remoto e identificar la comunicación con IP de botnet conocidas.
Adicionalmente Nessus puede auditar las soluciones de antivirus para verificar el
producto instalado y la versión, determinar si el servicio esta habilitado y confirmar que
la definición de virus es actual.

 Producto
 Versión
 Servicio
 Definiciones
Escaneo de aplicación Web
Nessus tiene incorporado técnicas para ayudar a identificar vulnerabilidades conocidas
y no conocidas en la aplicación web.
Es importante comprender que el escaneo de aplicaciones web es un proceso
específico y separado del escaneo general del sistema, y requiere una política de
escaneo personalizada para su aplicación web.
Escaneo Básico
Durante un escaneo básico de aplicación web, Nessus evaluará el servidor web e
identificará las vulnerabilidades conocidas en el marco de trabajo del servidor.
Comparado con el escaneo avanzado, el escaneo básico es relativamente eficiente y
no intrusivo.

 Es rápido
 Solo vulnerabilidades conocidas
 Es completo cuando se combina con credenciales.
Si la aplicación web requiere autenticación, Nessus soporta una variedad de métodos
de logueo.

 Autenticación básica en HTTP

 Inicio de sesión basado en formulario HTTP
 Cookies
Análisis dinámico
Una vez que se han corregido las vulnerabilidades en el sistema operativo, el marco
del servidor y los niveles de aplicación debe permitir que Nessus pruebe su aplicación
web utilizando una técnica de análisis dinámico o "fuzzing".
Este es un proceso más avanzado y lento que intentará identificar fallas en su
aplicación que aún no se han descubierto o revelado.
Esto es especialmente útil para aplicaciones desarrolladas internamente que no
están disponibles públicamente.
El proceso de prueba dinámica consiste en un espejo web, así como técnicas de
empañamiento y otras técnicas de enumeración para detectar vulnerabilidades
previamente desconocidas.
El espejo web rastrea el sitio web de destino y realiza una copia de todos los
elementos, en lugar de ejecutar pruebas directamente en el servidor web.
A continuación, Nessus comenzará a probar los parámetros de la aplicación web para
detectar ataques comunes, como la inyección de SQL, “cross-site scripting”, “Server
Side Includes”, y muchos más.
CUMPLIMIENTO NESSUS

Resumen de cumplimiento
El cumplimiento se define como un estado de conformidad con las pautas
establecidas, las especificaciones o la legislación, o el proceso para lograrlo.
Para lograr el cumplimiento, se debe establecer una configuración de línea de base
recomendada y segura para los hosts en su red.
Luego, confirmaría si los hosts en su red cumplen o no con esta línea base.
Estas configuraciones de línea de base son creadas y proporcionadas por las
organizaciones reguladoras pertinentes.
CUMPLIMIENTO EN APLICACIÓN NESSUS
Auditorías de aplicaciones, malware y contenido
Puedes auditar aplicaciones de escritorio, navegadores y office suites, webserver y
framework tal como auditar antivirus.
GESTION DE AGENTES NESSUS
En Nessus Manager, puede realizar evaluaciones de vulnerabilidad y cumplimiento en
los sistemas de destino mediante el uso de agentes remotos de Nessus.
El uso de un agente, las evaluaciones llevarán a cabo verificaciones locales
solamente, sin escaneo de puertos externos.
Puede implementar Agentes utilizando su solución de administración de software
centralizada existente para facilitar la instalación y administración.
Después de la instalación de agentes, funcionan de manera similar a los escaneos con
credenciales.
Los agentes eliminan la necesidad de que Nessus realice un escaneo a través de la
red para cada sistema individual. Con los agentes, ya no necesita escanear sistemas
individuales a través de la red. El agente hace la evaluación localmente:

 Reúne información sobre el host

  Transmite los resultados a Nessus Manager para análisis y reporte.
La implementación de agentes es útil en una variedad de entornos diferentes. Por
ejemplo, puede usar agentes en situaciones en las que no puede obtener credenciales
para los sistemas de destino. También puede ayudar en situaciones donde la
topología es compleja que prohíba el escaneo de Nessus.
Beneficios de agentes

 Supera obstáculos técnicos

 Reúne resultados de escaneo más rápidos
 Escala a ambientes grandes
Grupo de agentes

El grupo de agentes es un grupo lógico de sistemas que desea escanear al mismo

tiempo. Por ejemplo, podría crear un grupo de agentes para sistemas de servidor
Windows. Los pasos para crear un grupo:

 Tome nota de la llave, ya que la necesitará al configurar los agentes instalados.

 Debe crear un grupo de agentes.
 Configurar los permisos
- No access: No permite a los usuarios a iniciar análisis basado en
agentes en los sistemas de este grupo.
- Can use: Permite a los usuarios a iniciar análisis basado en agentes en
los sistemas de este grupo sin embargo no permite editar a los agentes.
 Configurar el agente para convertirlo en miembro del grupo creado.
 Cuando inicia un análisis, Nessus le proporciona al Agente la política de
análisis.
 Luego, el agente realiza el análisis en función de la configuración de la política
y transmite los resultados a Nessus.

Si el sistema de destino no tiene conectividad. los resultados se mantienen en el

destino hasta que se restablezca la conectividad y luego se transmiten.

Nessus Manager transfiere automáticamente los complementos (plugins) y

actualizaciones de software requeridos por el agente.

Un mismo agente puede estar en más de un grupo.

.
Implementación de agente en Windows
La información necesaria para configurar el agente en Windows es:
Llave de Nessus
IP y Puerto del Nessus Manager (X.X.X.X:8834)
Nombre (s) del grupo donde pertenecerá (Sin son más de uno, separar por coma)
Implementación de agentes por GPO
msiexec.exe con los siguientes parámetros:
/q/l* agent_log.txt/i NessusAgent64-6.2.0.msi NESSUS_SERVER=<IP or HOST>:8834
NESSUS_KEY=<key> NESSUS_GROUPS=<group1,group2>
Comandos para el agente por CLI:
nessuscli.exe – agent unlink
nessuscli.exe – agent status
Implementación de agente en Lunix

Gestion de usuarios

Tipos de Roles:

 System Administrators (Privilegios completos)

- Definir usuarios y grupos
- Lanzamientos de actualizaciones de plugins
- Cofigurar actualización de software
- Soporte de Multi escaneo
- Habilitar LDAP
- Habilitar mail y servidore proxy
 Administrators
- Crear y modificar usuarios
 Standard Users
- No puede acceder a todos los ajustes
 Basic Users
- Solo permite ver, compartir o exportar resultados de escaner
 - No tiene habilitado el lanzamiento de escaneo y cambios de
configuración.

Todos los usuarios puedes analizar y ecanear