Nessus – O seu auditor de segurança!

Olá a todos!

No seguimento dos nossos posts de segurança em ambientes de opensource, vamos no próximo posts falar na ferramenta de auditorias Nessus.

O Nessus, bem como o Suricata e o Snort, são produtos com raizes profundas no opensource que amadureceram em produtos referencia, com versões profissionais e empresariais, com full enterprise support que hoje em dia tornaram-se em ferramentas indispensáveis para segurança nas nossas empresas e laboratórios.

O Nessus é construído e mantido pela Tenable, em ambiente GPL 2.21, sendo free para utilização pessoal e não empresarial.

No meu caso especifico utilizo a combinação do Nessus para testar em conjunto com o Snort as defesas de perímetro e algumas webapps do meu laboratório e irei demonstrar como podem fazer o mesmo nos vossos laboratórios.

Vamos então começar!

Em primeiro lugar, foi construído um LXC container para executar a aplicação – no meu caso CentOS 7.3 64bits.

Em seguida será necessário irem a pagina da Nessus efetuar vosso registo e vosso download aqui.

# wget “https://downloads.nessus.org/nessus3dl.php?file=Nessus-6.10.9-es7.x86_64.rpm&licence_accept=yes

Em seguida, será necessário uma licença para o vosso software. A mesma pode ser obtida aqui.

No site, existem três tipos de subscrições que podem obter caso o desejem:

No nosso caso, por ser para utilização pessoal e em ambiente de laboratório, iremos optar pela primeira. Após preencher os campos pedidos em seguida iremos receber a nossa key de ativação por email.

Depois será necessário instalar o software em si no nosso container:

# rpm –install Nessus-6.10.9-es7.x86_64.rpm 

warning: Nessus-6.10.9-es7.x86_64.rpm: Header V4 RSA/SHA1 Signature, key ID 1c0c4a5d: NOKEY
Unpacking Nessus Core Components…

nessusd (Nessus) 6.10.9 [build M20097] for Linux

Copyright (C) 1998 – 2016 Tenable Network Security, Inc

Processing the Nessus plugins…

[##################################################]

All plugins loaded (1sec)

– You can start Nessus by typing /bin/systemctl start nessusd.service
– Then go to https://nessus:8834/ to configure your scanner

Nota: O certificado é self signed irá aparecer um erro de certificado quando acederem ao URL do Nessus.

Os primeiros ecrãs são relativamente simples de entender, onde nos é pedido para criar um utilizador de administração, o tipo de subscrição, e carregar a key que nos foi enviada por email num dos passos anteriores.

Finalmente e após o download dos plugins disponíveis para a nossa licença teremos a página de login:

Vamos então começar com a nossa primeira auditoria.

No caso presente vamos procurar vulnerabilidades relacionadas com o baú de hacks disponibilizado pelo grupo shadow brokers, relacionados com as falhas exploradas pela NSA. Mais info aqui.

Assim sendo, efetuar New Scan:

Escolher o template shadow brokers:

Notem a quantidade de templates, e descritivos de cada um deles. Podem escolher um ou vários, conforme a vossa necessidade, ou efetuar um advanced scan com as opções que desejam validar.

Para a nossa demonstração especifica, para cobaia do nosso teste, usamos o mesmo container que tem em execução o Nessus, e onde foi instalado um servidor apache, um MTA postfix, e uma MariaDB.

Após algum tempo temos o nosso primeiro resultado:

Numero de hosts auditados na politica de auditoria:

Tipo de alertas encontrados:

Drill down dos alertas encontrados:

Notem pf que todos os meus são possíveis de drill down em cada issue de segurança, sendo que que quando são encontrados problemas, tipicamente a solução ou indicação para a solução é igualmente demonstrada.

Alargando para um teste mais abrangente:

Usando a template advanced scan:

Os issues encontrados. Denotem os alertas High, medium, low e info que foram descobertos:

Escolhendo o host auditado é apresentada uma lista descritiva do issues. Todos os alertas são categorizados conforme o seu nível de risco.

Finalmente e se escolhermos um alerta, temos a indicação da sua classificação, motivo e CVE associado ao alerta.

Concluído, este é um software fundamental para quem quer gerir a sua própria infra-estrutura, havendo plugins especialmente para webapps – como por exemplo o blogger ou o WordPress, e auditorias a compliance de patches de segurança de um sistema.

Lembro que andarem a fazer pentesting a sistemas que não tem acesso, é considerado um crime na lei Portuguesa e só deve ser efetuado com autorização do dono do sistema.
Experimentem portanto nos vossos sistemas.

Caso tenham alguma duvida queiram pf entrar em contacto comigo!

Abraço e bons testes!
Nuno