Upload
felipe-vs
View
107
Download
4
Tags:
Embed Size (px)
Citation preview
Tenable Network Security, Inc. • 7063 Columbia Gateway Drive, Suite 100, Columbia, MD 21046, EE. UU. • 410.872.0555 • [email protected] • www.tenable.com
Copyright © 2002-2012 Tenable Network Security, Inc. Tenable Network Security, Nessus y ProfessionalFeed son marcas comerciales registradas de Tenable Network Security, Inc. Tenable, el logotipo de Tenable, el logotipo de Nessus y/o otros productos de Tenable a los que se haga referencia aquí son marcas comerciales de Tenable Network Security, Inc. y pueden estar registrados en determinadas jurisdicciones. Cualquier otro nombre de producto, nombre de compañía, marca, logotipo y símbolo puede ser marca comercial de su respectivo propietario.
Guía de instalación y configuración de
Nessus 5.0
30 de noviembre de 2012
(Revisión 16)
Copyright © 2002-2012 Tenable Network Security, Inc.
2
Índice
Introducción .............................................................................................................................. 5
Estándares y convenciones ....................................................................................................... 5 Organización .............................................................................................................................. 5 Nuevo en Nessus 5 .................................................................................................................... 6
Actualizaciones de funciones importantes ............................................................................. 6 Navegación ........................................................................................................................................ 6 Análisis ............................................................................................................................................... 6 Informes ............................................................................................................................................. 6 Nueva GUI de servidor ....................................................................................................................... 6
Compatibilidad del sistema operativo ......................................................................................... 7
Información general .................................................................................................................. 7
Requisitos previos .................................................................................................................... 9
Nessus Unix ............................................................................................................................... 9 Nessus Windows ......................................................................................................................10
Opciones de implementación ..................................................................................................10
Firewalls basados en hosts .......................................................................................................10
Suscripciones de plugins de vulnerabilidades ...................................................................... 11
Tipos de suscripción .................................................................................................................11
Compatibilidad con IPv6 ..........................................................................................................12
Unix/Linux .................................................................................................................................12
Actualización .............................................................................................................................12 Instalación .................................................................................................................................17 Inicio del demonio de Nessus ...................................................................................................20 Detención del demonio de Nessus ............................................................................................21 Cómo quitar Nessus..................................................................................................................21
Windows ...................................................................................................................................25
Actualización .............................................................................................................................25 Actualización desde Nessus 4.x ...........................................................................................25 Actualización desde Nessus 3.x ...........................................................................................26
Instalación .................................................................................................................................26 Descarga de Nessus ............................................................................................................26 Instalación ............................................................................................................................26 Preguntas sobre instalación ..................................................................................................27
Inicio y detención del demonio de Nessus ................................................................................30 Cómo quitar Nessus..................................................................................................................31
Copyright © 2002-2012 Tenable Network Security, Inc.
3
Mac OS X ...................................................................................................................................31
Actualización .............................................................................................................................31 Instalación .................................................................................................................................31
Preguntas sobre instalación ..................................................................................................32 Inicio y detención del servicio Nessus .......................................................................................35 Cómo quitar Nessus..................................................................................................................36
Registro de fuentes y configuración de la GUI ......................................................................36
Configuración ............................................................................................................................43 Configuración del proxy web .....................................................................................................44 Restablecimiento de códigos de activación y actualizaciones sin conexión .............................45 Opciones de configuración avanzada .......................................................................................46
Creación y administración de usuarios de Nessus ...............................................................47
Configuración del demonio de Nessus (usuarios avanzados) .............................................49
Opciones de configuración ........................................................................................................50
Configuración de Nessus con un certificado SSL personalizado ........................................54
Autenticación de Nessus con certificado SSL .......................................................................55
Autenticación del certificado SSL de cliente ..............................................................................55 Configuración de Nessus para certificados ...............................................................................55 Creación de certificados SSL de Nessus para inicio de sesión .................................................57 Habilitación de conexiones con smart cards (tarjetas inteligentes) o CAC (tarjetas
de acceso común) ................................................................................................................58 Conexión con explorador habilitado para certificados o tarjetas ................................................60
Nessus sin acceso a Internet ..................................................................................................61
Generación de un Challenge Code ...........................................................................................61 Obtención e instalación de plugins actualizados .......................................................................62
Uso y administración de Nessus desde la línea de comandos .............................................65
Directorios principales de Nessus .............................................................................................65 Creación y administración de usuarios de Nessus con limitaciones de cuenta..........................66 Opciones de líneas de comandos de Nessusd .........................................................................67 Manipulación del servicio Nessus por medio de la interfaz de la línea de comandos
(CLI) de Windows .................................................................................................................68
Trabajo con SecurityCenter .....................................................................................................69
Descripción general de SecurityCenter .....................................................................................69 Configuración de SecurityCenter 4.0-4.2 para trabajar con Nessus ..........................................69 Configuración de SecurityCenter 4.4 para trabajar con Nessus ................................................70
Firewalls basados en hosts ...................................................................................................71
Copyright © 2002-2012 Tenable Network Security, Inc.
4
Solución de problemas de Nessus Windows .........................................................................72
Problemas de instalación/actualización .....................................................................................72 Problemas de Análisis ...............................................................................................................72
Para obtener más información ................................................................................................74
Declaraciones sobre licencias que no pertenecen a Tenable ...............................................75
Acerca de Tenable Network Security ......................................................................................79
Copyright © 2002-2012 Tenable Network Security, Inc.
5
INTRODUCCIÓN
Este documento describe la instalación y la configuración del analizador de vulnerabilidades
Nessus 5.0 de Tenable Network Security. Envíe sus comentarios o sugerencias por correo
electrónico a [email protected].
Tenable Network Security, Inc. es el autor y el administrador del analizador de
vulnerabilidades Nessus. Además de mejorar permanentemente el motor Nessus, Tenable
diseña la mayoría de los plugins disponibles para el analizador, así como también las
comprobaciones de compatibilidad y una amplia variedad de directivas de auditoría.
En este documento se abordarán los requisitos previos, las opciones de implementación y
las instrucciones paso a paso sobre la instalación. Se supone que se cuenta con un
conocimiento básico de Unix y de los análisis de vulnerabilidades.
ESTÁNDARES Y CONVENCIONES
Este documento es una traducción de la versión original escrita en inglés. Algunos
fragmentos permanecen en inglés con el fin de mostrar cómo aparecen realmente en el
producto.
En toda la documentación, los nombres de archivo, demonios y archivos ejecutables se indican con fuente courier negrita, por ejemplo, setup.exe.
Las opciones de líneas de comandos y las palabras clave también se indican con fuente
courier negrita. Los ejemplos de líneas de comandos pueden incluir o no el indicador de
la línea de comandos y el texto de salida de los resultados del comando. Los ejemplos de
líneas de comandos mostrarán el comando ejecutado en courier negrita para indicar lo
que el usuario escribió, mientras que el resultado de muestra generado por el sistema se indicará en courier (normal). Este es un ejemplo de ejecución del comando pwd de Unix:
# pwd
/opt/nessus/
#
Las consideraciones y notas importantes se resaltan con este símbolo y cuadros
de texto grises.
Las sugerencias, los ejemplos y las prácticas recomendadas se resaltan con este
símbolo y con letras blancas en cuadros de texto azules.
ORGANIZACIÓN
Ya que la GUI de Nessus es estándar independientemente del sistema operativo, este
documento se presenta con información específica del sistema operativo primero, y luego
con la funcionalidad común a todos los sistemas operativos.
Copyright © 2002-2012 Tenable Network Security, Inc.
6
NUEVO EN NESSUS 5
Con el lanzamiento de Nessus 5, la configuración del servidor (demonio) de
Nessus y la administración de usuarios se controla a través de la GUI de Nessus, no a través del NessusClient independiente ni del archivo nessusd.conf. La GUI
de Nessus es una interfaz web que controla configuración, creación de
directivas, análisis y todos los informes.
Actualizaciones de funciones importantes Estas son algunas de las nuevas funciones disponibles en Nessus 5. Para ver una lista
completa de los cambios, consulte las Notas de lanzamiento en el Discussions Forum (Foro de
discusión).
Navegación
> Nuevo panel de resumen de hosts: los paneles de resumen de hosts y de
vulnerabilidades facilitan ver los niveles de riesgo sin ejecutar un informe.
> Las barras gráficas muestran instantáneamente los hosts más vulnerables.
Análisis
> Ahora, Nessus 5 tiene cinco niveles de gravedad: Informativo, Riesgo bajo, Riesgo
medio, Riesgo alto y Riesgo crítico.
> Los usuarios pueden seleccionar diversos criterios de filtro, como “Vulnerability
Publication Date” (Fecha de publicación de la vulnerabilidad), “Vulnerability database ID”
(Identificación de la base de datos de la vulnerabilidad) (por ejemplo, CVE, OSVDB,
Bugtraq ID, CERT, Secunia), “Plugin type (local or remote)” (Tipo de plugin [local o
remoto]), “Information Assurance Vulnerability Alert (IAVA)” (Alerta de vulnerabilidades
de la seguridad de la información [IAVA]) y otros.
> La función “Audit trail” (Registro de auditoría) registra el motivo por el que una
vulnerabilidad NO aparece en el informe de un host en particular.
Informes
> Sistema de informes en capítulos, organizado entre vulnerabilidades y compatibilidad.
> Los informes se pueden generar en formatos nativos de Nessus, HTML y ahora en PDF
(debe tener instalado Oracle Java en el servidor de Nessus).
Nueva GUI de servidor
> Interfaz web que ahora controla la configuración y la administración de usuarios,
además de la creación de directivas, los análisis y todos los informes.
> Se pueden iniciar actualizaciones de plugins desde la interfaz web.
> El servidor web de Nessus es compatible con IPv6.
Copyright © 2002-2012 Tenable Network Security, Inc.
7
COMPATIBILIDAD DEL SISTEMA OPERATIVO
Nessus se encuentra disponible para una variedad de plataformas y sistemas operativos, y
es compatible con ellos:
> Debian 6 (i386 y x86-64)
> Fedora Core 16 (i386 y x86-64)
> FreeBSD 9 (i386 y x86-64)
> Mac OS X 10.6 y 10.7 (i386 y x86-64)
> Red Hat ES 4/CentOS 4 (i386)
> Red Hat ES 5/CentOS 5/Oracle Linux 5 (i386 y x86-64)
> Red Hat ES 6/CentOS 6/Oracle Linux 6 (i386 y x86-64) [servidor, equipo de escritorio,
estación de trabajo]
> SuSE 10 (x86-64), 11 (i386 y x86-64)
> Ubuntu 8.04, 9.10, 10.04, 10.10, 11.10, y 12.04 (i386 y x86-64)
> Windows XP, Server 2003, Server 2008, Server 2008 R2 *, Vista y 7 (i386 y x86-64)
Tenga en cuenta que en el Windows Server 2008 R2, la versión integrada de
Microsoft IE no interactúa adecuadamente con una instalación Java. Esto hace
que Nessus no funcione de la manera esperada en algunas situaciones. Además,
la política de Microsoft recomienda no utilizar MSIE en sistemas operativos de
servidores. Tenable recomienda que el registro y la actividad de análisis se
realicen desde un sistema de escritorio.
INFORMACIÓN GENERAL
Nessus es un analizador de seguridad de redes potente y fácil de usar, con una amplia
base de datos de plugins que se actualiza a diario. Actualmente se encuentra entre los
productos más importantes de este tipo en todo el sector de la seguridad, y cuenta con el
respaldo de organizaciones profesionales de seguridad de la información, tales como SANS
Institute. Nessus le permite realizar auditorías de forma remota en una red en particular y
determinar si ha sido comprometida o usada de alguna forma inadecuada. Nessus también
proporciona la capacidad de auditar de forma local un equipo específico para analizar
vulnerabilidades, especificaciones de compatibilidad, violaciones de directivas de
contenido y otros temas.
> Análisis inteligente: a diferencia de muchos otros analizadores de seguridad, Nessus
no da nada por sentado. Es decir, no supondrá que un servicio dado se ejecuta en un
puerto fijo. Esto significa que si usted ejecuta su servidor web en el puerto 1234, Nessus
lo detectará y probará su seguridad según corresponda. Cuando sea posible, intentará
validar una vulnerabilidad a través de su explotación. En los casos en que no sea
confiable o se pueda afectar de manera negativa el destino, Nessus puede basarse en un
banner del servidor para determinar la presencia de la vulnerabilidad. En tales casos,
quedará registrado en el informe resultante si se usó este método.
Copyright © 2002-2012 Tenable Network Security, Inc.
8
> Arquitectura modular: la arquitectura cliente/servidor proporciona la flexibilidad
necesaria para implementar el analizador (servidor) y conectarse con la GUI (cliente)
desde cualquier equipo mediante un explorador web, con lo cual se reducen los costos
de administración (varios clientes pueden acceder a un único servidor).
> Compatible con CVE: la mayoría de los plugins se enlazan con CVE, para que los
administradores obtengan más información sobre las vulnerabilidades publicadas.
También incluyen frecuentemente referencias a Bugtraq (BID), OSVDB y las alertas de
seguridad de proveedores.
> Arquitectura de plugins: cada prueba de seguridad está diseñada como plugin
externo, y se agrupa en una de 42 familias. De esta forma, usted puede añadir
fácilmente sus propias pruebas, seleccionar plugins específicos o elegir una familia entera sin tener que leer el código del motor de servidores Nessus, nessusd. La lista
completa de los plugins de Nessus se encuentra disponible en
http://www.nessus.org/plugins/index.php?view=all.
> NASL: el analizador Nessus incluye NASL (Nessus Attack Scripting Language) (lenguaje
Attack Scripting de Nessus), un lenguaje diseñado específicamente para crear pruebas
de seguridad de manera rápida y sencilla.
> Base de datos actualizada de vulnerabilidades de seguridad: Tenable se centra en
el desarrollo de comprobaciones de seguridad correspondientes a vulnerabilidades
recientemente divulgadas. Nuestra base de datos de comprobaciones de seguridad se
actualiza diariamente, y todas las comprobaciones de seguridad más recientes se
encuentran disponibles en http://www.nessus.org/scripts.php.
> Prueba varios hosts de forma simultánea: según la configuración del sistema
del analizador Nessus, usted puede probar una gran cantidad de hosts
simultáneamente.
> Reconocimiento de servicios inteligente: Nessus no supone que los hosts de destino
respeten los números de puertos asignados por IANA (Autoridad de asignación de
números de Internet). Esto significa que reconocerá un servidor FTP que se ejecute en
un puerto no estándar (por ejemplo, 31337) o un servidor web que se ejecute en el
puerto 8080 en lugar del 80.
> Varios servicios: si se emplean dos o más servidores web en un host (por ejemplo,
uno en el puerto 80 y el otro en el puerto 8080), Nessus los identificará y los probará
todos.
> Cooperación de plugins: las pruebas de seguridad realizadas por los plugins de
Nessus cooperan de manera tal que no se lleven a cabo comprobaciones innecesarias. Si
su servidor FTP no ofrece inicios de sesión anónimos, no se realizarán comprobaciones
de seguridad relacionadas con estos.
Copyright © 2002-2012 Tenable Network Security, Inc.
9
> Informes completos: Nessus no solo le informará qué vulnerabilidades de seguridad
existen en su red y el nivel de riesgo de cada una de ellas (Info, Low, Medium, High y
Critical) (informativo, bajo, medio, alto y crítico), sino que también le notificará sobre
cómo mitigarlas, ofreciendo soluciones.
> Compatibilidad total con SSL: Nessus tiene la capacidad para probar los servicios
ofrecidos sobre SSL, tales como HTTPS, SMTPS, IMAPS y otros.
Plugins inteligentes (opcional): Nessus cuenta con una opción de “optimización” que
determinará qué plugins deben o no iniciarse en el host remoto. Por ejemplo, Nessus no
probará las vulnerabilidades de sendmail respecto de Postfix.
> Comprobaciones no destructivas (opcional): ciertas comprobaciones pueden ser
perjudiciales para servicios de red específicos. Si no desea arriesgarse a provocar un
error de servicio en la red, habilite la opción “safe checks” de Nessus, que hará que
Nessus se base en los banners en lugar de la explotación de errores reales para
determinar si hay alguna vulnerabilidad.
> Foro abierto: ¿encontró un error? ¿Tiene preguntas sobre Nessus? Inicie una discusión
en https://discussions.nessus.org/.
REQUISITOS PREVIOS
Tenable recomienda una memoria de 2 GB como mínimo para operar Nessus. Para realizar
análisis más amplios de varias redes se recomienda al menos 3 GB de memoria, pero se
puede necesitar hasta 4 GB para un uso intensivo, como seguimientos de auditoría y
generación de informes en PDF.
Se recomienda un procesador Pentium 3 que funcione a 2 GHz o más. Cuando se use Mac
OS X, se recomienda un procesador Intel® de doble núcleo que funcione a 2 GHz o más. Se
recomienda implementar Nessus en sistemas de 64 bits. El sistema debe tener al menos 30
GB de espacio libre en el disco para Nessus y los datos de análisis posteriores.
Nessus se puede ejecutar en una instancia de VMware, pero si el equipo virtual emplea la
Network Address Translation, NAT (Traducción de direcciones de red) para conectarse con la
red, muchas de las comprobaciones de vulnerabilidades de Nessus, la enumeración de hosts
y la identificación de sistemas operativos se verán afectadas de manera negativa.
NESSUS UNIX
Antes de instalar Nessus en Unix/Linux, se requieren varias bibliotecas. Muchos sistemas
operativos las instalan de forma predeterminada y normalmente no requieren una
instalación independiente:
> zlib
> GNU C Library (es decir, libc)
> Oracle Java (solo para informes en PDF)
Java debe estar instalado en el host antes de instalar Nessus. Si instala Java
después, deberá reinstalar Nessus.
Copyright © 2002-2012 Tenable Network Security, Inc.
10
NESSUS WINDOWS
Microsoft ha incorporado cambios a Windows XP SP-2 y versiones más recientes que pueden
afectar el rendimiento de Nessus Windows. Para lograr un mayor rendimiento y confiabilidad
de análisis, se recomienda muy especialmente que Nessus Windows se instale en un
servidor que pertenezca a la familia de Microsoft Windows, como Windows Server 2003.
Para obtener más información sobre este tema, consulte la sección “Solución de problemas de
Nessus Windows”.
OPCIONES DE IMPLEMENTACIÓN
Al implementar Nessus, a menudo resulta útil tener conocimiento sobre directivas de firewalls,
enrutamiento y filtros. Se recomienda implementar Nessus de modo que tenga una buena
conectividad IP con las redes que analiza. No es deseable la implementación detrás de un
dispositivo NAT, a menos que analice la red interna. Toda vez que se realice un análisis de
vulnerabilidades mediante una NAT o un proxy de aplicación de algún tipo, la comprobación
se puede distorsionar y producir un falso positivo o negativo. Además, si el sistema en el que
se ejecuta Nessus posee firewalls personales o de escritorio, estas herramientas pueden
limitar considerablemente la eficacia de un análisis de vulnerabilidades remoto.
Los firewalls basados en hosts pueden interferir con el análisis de vulnerabilidades
de red. De acuerdo con la configuración del firewall, este puede evitar,
distorsionar u ocultar los sondeos del análisis de Nessus.
Algunos dispositivos de red que llevan a cabo una inspección con estado, tales
como firewalls, equilibradores de carga y sistemas de detección o prevención de
intrusos, pueden reaccionar de forma negativa cuando se lleva a cabo un análisis
a través de ellos. Nessus cuenta con una cantidad de opciones de ajuste preciso
que pueden ayudar a reducir el efecto de los análisis a través de tales
dispositivos, pero el método óptimo para evitar los problemas que son inherentes
al análisis a través de dichos dispositivos de red consiste en la realización de un
análisis con credenciales.
FIREWALLS BASADOS EN HOSTS
Si su servidor Nessus está configurado en un host con un firewall “personal” como Zone
Alarm, Sygate, el firewall de Windows o cualquier otro software de firewall, es necesario que
se habiliten las conexiones desde la dirección IP del cliente de Nessus.
De manera predeterminada, se utiliza el puerto 8834 para el servidor web de Nessus
(interfaz del usuario). En los sistemas Microsoft XP Service Pack 2 (SP2) y posteriores,
hacer clic en el icono “Security Center” (Centro de seguridad) que se encuentra en
“Control Panel” (Panel de control), le da al usuario la oportunidad de administrar la
configuración del “Windows Firewall” (Firewall de Windows). Para abrir el puerto 8834,
seleccione la ficha “Exceptions” (Excepciones) y luego añada el puerto “8834” a la lista.
En el caso de otro software de firewall personal, consulte la documentación del proveedor
para obtener las instrucciones de configuración.
Copyright © 2002-2012 Tenable Network Security, Inc.
11
SUSCRIPCIONES DE PLUGINS DE VULNERABILIDADES
Todos los días los proveedores, los investigadores y demás fuentes publican numerosas
vulnerabilidades nuevas. Tenable se esfuerza para que las comprobaciones de
vulnerabilidades recientemente publicadas se prueben y se pongan a disposición de los
usuarios a la mayor brevedad, normalmente dentro de las 24 horas de la divulgación. La
comprobación de una vulnerabilidad específica tiene en el analizador Nessus la denominación
“plugin”. Una lista completa de todos los plugins de Nessus se encuentra disponible en
http://www.nessus.org/plugins/index.php?view=all. Tenable distribuye los plugins de
vulnerabilidad más recientes en dos modos para Nessus: el ProfessionalFeed y el HomeFeed.
Los plugins se descargan directamente desde Tenable a través de un proceso automatizado
de Nessus. Nessus verifica las firmas digitales de todas las descargas de plugins para
garantizar la integridad de los archivos. En el caso de las instalaciones de Nessus sin acceso
a Internet, existe un offline update process (proceso de actualización sin conexión) que se
puede usar para garantizar que el analizador permanezca actualizado.
Usted deberá registrarse para recibir una fuente de plugins y actualizarlos antes
de que se inicie Nessus y se ponga a disposición la interfaz de análisis de Nessus.
La actualización de plugins se realiza en segundo plano, después del registro
inicial del analizador, y puede llevar varios minutos.
TIPOS DE SUSCRIPCIÓN
Tenable proporciona asistencia comercial, mediante el Tenable Support Portal (Portal de
soporte de Tenable) o por correo electrónico, a los clientes de ProfessionalFeed que usan
Nessus 5. ProfessionalFeed también incluye un conjunto de comprobaciones de
compatibilidad basadas en hosts para Unix y Windows que son muy útiles para realizar
auditorías de compatibilidad, tales como SOX, FISMA o PCI DSS.
Puede adquirir una ProfessionalFeed a través de la Tienda en línea de Tenable en
https://store.tenable.com/ o por una orden de compra a través de Authorized ProfessionalFeed
Partners (Socios autorizados de ProfessionalFeed). Posteriormente recibirá de Tenable un código
de activación. Este código se usará al configurar su copia de Nessus para recibir
actualizaciones.
Si usa Nessus junto con SecurityCenter de Tenable, SecurityCenter tendrá
acceso a ProfessionalFeed y actualizará de manera automática sus analizadores
de Nessus.
Si representa a una organización benéfica 501(c)(3), quizá califique para recibir
ProfessionalFeed sin costo. Para obtener más información, visite la página web del Tenable
Charitable Organization Subscription (Programa de suscripción de organizaciones benéficas de
Tenable).
Si usa Nessus de forma doméstica con fines no profesionales, puede suscribirse a
HomeFeed. El uso de HomeFeed es gratuito. Sin embargo, existe una licencia independiente
de HomeFeed cuyo cumplimiento debe aceptarse por parte de los usuarios.
Copyright © 2002-2012 Tenable Network Security, Inc.
12
COMPATIBILIDAD CON IPV6
Nessus admite análisis de recursos con IPv6. Muchos sistemas operativos y dispositivos se
distribuyen con la compatibilidad con IPv6 habilitada de manera predeterminada. Para
realizar análisis respecto de recursos IPv6 se debe configurar al menos una interfaz IPv6 en
el host en el que Nessus está instalado, y Nessus debe encontrarse en una red compatible
con IPv6 (Nessus no puede analizar recursos IPv6 sobre IPv4, pero puede enumerar las
interfaces IPv6 mediante análisis con credenciales sobre IPv4). Al iniciar los análisis, se
admite la notación IPv6 completa y la comprimida.
Microsoft Windows carece de algunas de las API clave que son necesarias para la
falsificación de paquetes IPv6 (por ejemplo, obtener la dirección MAC del
enrutador, tabla de enrutamiento, etc.). Esto a su vez impide que el analizador de
puertos funcione correctamente. Tenable está trabajando en el desarrollo de las
mejoras que sortearán eficazmente las restricciones de API en versiones futuras
de Nessus. Hasta ese entonces, la compatibilidad con IPv6 solo está disponible en
plataformas *nix.
UNIX/LINUX
ACTUALIZACIÓN
Esta sección explica cómo realizar una actualización de Nessus a partir de una instalación
anterior del software.
La siguiente tabla ofrece instrucciones de actualización para el servidor Nessus en todas las
plataformas admitidas anteriormente. Los parámetros de configuración y los usuarios que se
crearon previamente permanecerán intactos.
Asegúrese de que todo análisis en ejecución haya finalizado antes de detener nessusd.
Toda instrucción de actualización especial, si la hay, se proporciona en forma de nota
después del ejemplo.
Plataforma Instrucciones de actualización
Red Hat ES 4 y CentOS 4 (32 bits); Red Hat ES 5, CentOS 5 y Oracle Linux 5
(32 y 64 bits); Red Hat ES 6, CentOS 6 y Oracle Linux 6 (32 y 64 bits)
Comandos
de actualización
# service nessusd stop
Use uno de los comandos apropiados que se indican a
continuación, que corresponda a la versión de Red Hat que está
ejecutando:
# rpm -Uvh Nessus-5.0.1-es4.i386.rpm
# rpm -Uvh Nessus-5.0.1-es5.i386.rpm
# rpm -Uvh Nessus-5.0.1-es5.x86_64.rpm
# rpm -Uvh Nessus-5.0.1-es6.i686.rpm
Copyright © 2002-2012 Tenable Network Security, Inc.
13
# rpm -Uvh Nessus-5.0.1-es6.x86_64.rpm
Una vez que la actualización haya finalizado, reinicie el servicio nessusd mediante el siguiente comando:
# service nessusd start
Resultados
de muestra
# service nessusd stop
Shutting down Nessus services: [ OK ]
# rpm -Uvh Nessus-5.0.1-es5.i386.rpm
Preparing...
########################################### [100%]
Shutting down Nessus services: /etc/init.d/nessusd: …
1:Nessus
########################################### [100%]
Fetching the newest plugins from nessus.org...
Fetching the newest updates from nessus.org...
Done. The Nessus server will start processing these
plugins within a minute
nessusd (Nessus) 5.0.1 [build R23016] for Linux
(C) 1998 - 2012 Tenable Network Security, Inc.
Processing the Nessus plugins...
[##################################################]
All plugins loaded
- You can start nessusd by typing /sbin/service
nessusd start
- Then go to https://localhost:8834/ to configure your
scanner# service nessusd start
Starting Nessus services: [ OK ]
#
Fedora Core 16 (32 y 64 bits)
Comandos
de actualización
# service nessusd stop
Use uno de los comandos apropiados que se indican a
continuación, que corresponda a la versión de Fedora Core que
está ejecutando:
# rpm -Uvh Nessus-5.0.1-fc16.i686.rpm
# rpm -Uvh Nessus-5.0.1-fc16.x86_64.rpm
Una vez que la actualización haya finalizado, reinicie el servicio nessusd mediante el siguiente comando:
# service nessusd start
Copyright © 2002-2012 Tenable Network Security, Inc.
14
Resultados
de muestra
# service nessusd stop
Shutting down Nessus services: [ OK ]
# rpm -Uvh Nessus-5.0.1-fc16.i386.rpm
[..]
# service nessusd start
Starting Nessus services: [ OK ]
#
SuSE 10 (64 bits), 11 (32 y 64 bits)
Comandos
de actualización
# service nessusd stop
Use uno de los comandos apropiados que se indican a continuación,
que corresponda a la versión de SuSE que está ejecutando: # rpm -Uvh Nessus-5.0.1-suse10.x86_64.rpm
# rpm -Uvh Nessus-5.0.1-suse11.i586.rpm
# rpm -Uvh Nessus-5.0.1-suse11.x86_64.rpm
Una vez que la actualización haya finalizado, reinicie el servicio
nessusd mediante el siguiente comando:
# service nessusd start
Resultados
de muestra
# service nessusd stop
Shutting down Nessus services: [ OK ]
# rpm -Uvh Nessus-5.0.1-suse11.i586.rpm
Preparing...
[..]
# service nessusd start
Starting Nessus services: [ OK ]
#
Debian 6 (32 y 64 bits)
Comandos
de actualización
# /etc/init.d/nessusd stop
Use uno de los comandos apropiados que se indican a
continuación, que corresponda a la versión de Debian que está
ejecutando:
# dpkg -i Nessus-5.0.1-debian6_i386.deb
# dpkg -i Nessus-5.0.1-debian6_amd64.deb
# /etc/init.d/nessusd start
Copyright © 2002-2012 Tenable Network Security, Inc.
15
Resultados
de muestra
# /etc/init.d/nessusd stop
# dpkg -i Nessus-5.0.1-debian6_i386.deb
(Reading database ... 19831 files and directories
currently installed.)
Preparing to replace nessus 4.4.0 (using Nessus-5.0.0-
debian6_i386.deb) ...
[..]
# /etc/init.d/nessusd start
Starting Nessus : .
#
Ubuntu 8.04, 9.10, 10.04, 10.10 y 11.10 (32 y 64 bits)
Comandos de
actualización
# /etc/init.d/nessusd stop
Use uno de los comandos apropiados que se indican a
continuación, que corresponda a la versión de Ubuntu que está
ejecutando: # dpkg -i Nessus-5.0.1-ubuntu804_i386.deb
# dpkg -i Nessus-5.0.1-ubuntu804_amd64.deb
# dpkg -i Nessus-5.0.1-ubuntu910_i386.deb
# dpkg -i Nessus-5.0.1-ubuntu910_amd64.deb
# dpkg -i Nessus-5.0.1-ubuntu1010_i386.deb
# dpkg -i Nessus-5.0.1-ubuntu1010_amd64.deb
# dpkg -i Nessus-5.0.1-ubuntu1110_i386.deb
# dpkg -i Nessus-5.0.1-ubuntu1110_amd64.deb
# /etc/init.d/nessusd start
Resultados
de muestra
# /etc/init.d/nessusd stop
# dpkg -i Nessus-5.0.1-ubuntu804_i386.deb
(Reading database ... 19831 files and directories
currently installed.)
Preparing to replace nessus 4.4.0 (using Nessus-5.0.0-
ubuntu810_i386.deb) ...
[..]
# /etc/init.d/nessusd start
Starting Nessus : .
#
Copyright © 2002-2012 Tenable Network Security, Inc.
16
FreeBSD 9 (32 y 64 bits)
Comandos
de actualización
# killall nessusd
# pkg_info
Este comando generará una lista de todos los paquetes
instalados y sus descripciones. A continuación se indica un
ejemplo de resultados que corresponde al comando anterior y
que muestra el paquete de Nessus:
Nessus-4.4.4 A powerful security scanner
Quite el paquete de Nessus mediante el siguiente comando:
# pkg_delete <package name>
Use uno de los comandos apropiados que se indican a
continuación, que corresponda a la versión de FreeBSD que está
ejecutando:
# pkg_add Nessus-5.0.1-fbsd9.tbz
# pkg_add Nessus-5.0.1-fbsd9.amd64.tbz
# /usr/local/nessus/sbin/nessusd -D
Resultados
de muestra
# killall nessusd
# pkg_delete Nessus-4.4.4
# pkg_add Nessus-5.0.1-fbsd9.tbz
nessusd (Nessus) 5.0.1. for FreeBSD
(C) 2011 Tenable Network Security, Inc.
[..]
# /usr/local/nessus/sbin/nessusd -D
nessusd (Nessus) 5.0.1. for FreeBSD
(C) 2011 Tenable Network Security, Inc.
Processing the Nessus plugins...
[##################################################]
All plugins loaded
#
Notas Para actualizar Nessus en FreeBSD, primero debe desinstalar la
versión existente y luego instalar la versión más nueva. Este
proceso no quitará los archivos de configuración ni los archivos
que no formaban parte de la instalación original.
Copyright © 2002-2012 Tenable Network Security, Inc.
17
INSTALACIÓN
Descargue la versión más reciente de Nessus desde
http://www.nessus.org/products/nessus/nessus-download-agreement o a través del Tenable
Support Portal (Portal de soporte de Tenable). Confirme la integridad del paquete de
instalación comparando la suma de comprobación MD5 de la descarga con la que aparece en el archivo MD5.asc aquí.
A menos que se indique lo contrario, todos los comandos se deben ejecutar como
usuario raíz del sistema. Las cuentas de usuario normales no cuentan
habitualmente con los privilegios necesarios para instalar este software.
La siguiente tabla ofrece instrucciones de instalación para el servidor Nessus en todas las
plataformas admitidas. Toda instrucción de instalación especial, si la hay, se proporciona en
forma de nota después del ejemplo.
Plataforma Instrucciones de instalación
Red Hat ES 4 y CentOS 4 (32 bits); Red Hat ES 5, CentOS 5 y Oracle Linux 5 (32 y
64 bits); Red Hat ES 6, CentOS 6 y Oracle Linux 6 (32 y 64 bits)
Comando
de instalación
Use uno de los comandos apropiados que se indican a continuación,
que corresponda a la versión de Red Hat que está ejecutando:
# rpm -ivh Nessus-5.0.1-es4.i386.rpm
# rpm -ivh Nessus-5.0.1-es5.i386.rpm
# rpm -ivh Nessus-5.0.1-es5.x86_64.rpm
# rpm -ivh Nessus-5.0.1-es6.i686.rpm
# rpm -ivh Nessus-5.0.1-es6.x86_64.rpm
Resultados
de muestra
# rpm -ivh Nessus-5.0.1-es4.i386.rpm
Preparing...
########################################### [100%]
1:Nessus
########################################### [100%]
nessusd (Nessus) 5.0.1 [build R23011] for Linux
(C) 1998 - 2012 Tenable Network Security, Inc.
Processing the Nessus plugins...
[##################################################]
All plugins loaded
- You can start nessusd by typing /sbin/service nessusd
start
- Then go to https://squirrel:8834/ to configure your
scanner
#
Copyright © 2002-2012 Tenable Network Security, Inc.
18
Fedora Core 16 (32 y 64 bits)
Comando
de instalación
Use uno de los comandos apropiados que se indican a continuación,
que corresponda a la versión de Fedora Core que está ejecutando:
# rpm -ivh Nessus-5.0.1-fc16.i686.rpm
# rpm -ivh Nessus-5.0.1-fc16.x86_64.rpm
Resultados
de muestra
# rpm -ivh Nessus-5.0.1-fc16.i386.rpm
Preparing...
[..]
#
SuSE 10 (64 bits), 11 (32 y 64 bits)
Comando
de instalación
Use uno de los comandos apropiados que se indican a continuación,
que corresponda a la versión de SuSE que está ejecutando:
# rpm –ivh Nessus-5.0.1-suse10.x86_64.rpm
# rpm -ivh Nessus-5.0.1-suse11.i586.rpm
# rpm –ivh Nessus-5.0.1-suse11.x86_64.rpm
Resultados
de muestra
# rpm -ivh Nessus-5.0.1-suse11.i586.rpm
Preparing...
##################################
[100%]
1:Nessus
##################################
[100%]
[..]
#
Debian 6 (32 y 64 bits)
Comando
de instalación
Use uno de los comandos apropiados que se indican a continuación,
que corresponda a la versión de Debian que está ejecutando: # dpkg -i Nessus-5.0.1 –debian6_i386.deb
# dpkg -i Nessus-5.0.1 –debian6_amd64.deb
Resultados
de muestra
# dpkg -i Nessus-5.0.1-debian6_i386.deb
Selecting previously deselected package nessus.
(Reading database ... 36954 files and directories
currently installed.)
Unpacking nessus (from Nessus-5.0.1-debian6_i386.deb) ...
Setting up nessus (5.0.1) ...
[..]
#
Copyright © 2002-2012 Tenable Network Security, Inc.
19
Ubuntu 8.04, 9.10, 10.04, 10.10 y 11.10 (32 y 64 bits)
Comando
de instalación
Use uno de los comandos apropiados que se indican a continuación,
que corresponda a la versión de Ubuntu que está ejecutando:
# dpkg -i Nessus-5.0.1-ubuntu804_i386.deb
# dpkg -i Nessus-5.0.1-ubuntu804_amd64.deb
# dpkg -i Nessus-5.0.1-ubuntu910_i386.deb
# dpkg -i Nessus-5.0.1-ubuntu910_amd64.deb
# dpkg -i Nessus-5.0.1-ubuntu1010_i386.deb
# dpkg -i Nessus-5.0.1-ubuntu1010_amd64.deb
# dpkg -i Nessus-5.0.1-ubuntu1110_i386.deb
# dpkg -i Nessus-5.0.1-ubuntu1110_amd64.deb
Resultados
de muestra
# dpkg -i Nessus-5.0.1-ubuntu804_amd64.deb
Selecting previously deselected package nessus.
(Reading database ... 32444 files and directories
currently installed.)
Unpacking nessus (from Nessus-5.0.1-ubuntu804_amd64.deb)
...
Setting up nessus (5.0.1) ...
[..]
#
FreeBSD 9 (32 y 64 bits)
Comando
de instalación
Use uno de los comandos apropiados que se indican a continuación,
que corresponda a la versión de FreeBSD que está ejecutando:
# pkg_add Nessus-5.0.1-fbsd9.tbz
# pkg_add Nessus-5.0.1-fbsd9.amd64.tbz
Resultados
de muestra
# pkg_add Nessus-5.0.1-fbsd9.tbz
nessusd (Nessus) 5.0.1 for FreeBSD
(C) 1998 – 2012 Tenable Network Security, Inc.
[..]
#
Después de finalizar la instalación, inicie el demonio nessusd como se indica en la siguiente
sección, según la distribución. Una vez que Nessus esté instalado, debe visitar la URL del
analizador proporcionada para finalizar el proceso de registro.
Nota: Las instalaciones con Unix pueden proveer una URL con un nombre de host
relativo que no esté en DNS (por ejemplo, http://mybox:8834/). Si el nombre de
host no está en DNS, debe conectarse al servidor Nessus utilizando una dirección
IP o un nombre DNS válido.
Copyright © 2002-2012 Tenable Network Security, Inc.
20
Después de finalizar el proceso, se recomienda que autentique y personalice las opciones de
configuración para su entorno, según se describe en la sección “Registro de fuentes y
configuración de la GUI”.
Nessus debe instalarse en /opt/nessus. Sin embargo, se aceptará si
/opt/nessus es un enlace simbólico symlink que señala otro lugar.
INICIO DEL DEMONIO DE NESSUS
Inicie el servicio de Nessus como raíz mediante el siguiente comando:
Linux y Solaris:
# /opt/nessus/sbin/nessus-service -D
FreeBSD:
# /usr/local/nessus/sbin/nessus-service -D
A continuación se incluye un ejemplo de los resultados en pantalla al iniciar nessusd para
Red Hat:
[root@squirrel ~]# /sbin/service nessusd start
Starting Nessus services: [ OK ]
[root@squirrel ~]#
Si desea suprimir el resultado del comando, use la opción “-q” de la siguiente forma:
Linux y Solaris:
# /opt/nessus/sbin/nessus-service -q -D
FreeBSD:
# /usr/local/nessus/sbin/nessus-service -q -D
De forma alternativa, Nessus puede iniciarse mediante el siguiente comando de acuerdo con
la plataforma del sistema operativo:
Sistema operativo Comando para iniciar nessusd
Red Hat, CentOS y
Oracle Linux
# /sbin/service nessusd start
Fedora Core # /sbin/service nessusd start
SuSE # /etc/rc.d/nessusd start
Debian # /etc/init.d/nessusd start
Copyright © 2002-2012 Tenable Network Security, Inc.
21
FreeBSD # /usr/local/etc/rc.d/nessusd.sh start
Solaris # /etc/init.d/nessusd start
Ubuntu # /etc/init.d/nessusd start
Continúe con la sección “Registro de fuentes y configuración de la GUI” para instalar el plugin
Activation Code.
DETENCIÓN DEL DEMONIO DE NESSUS
Si por cualquier motivo necesita detener el servicio nessusd, el siguiente comando
suspenderá Nessus y detendrá de manera inmediata cualquier análisis en curso:
# killall nessusd
En su lugar, se recomienda que use las secuencias de comando de apagado más ordenadas
proporcionadas por su sistema operativo:
Sistema operativo Comando para detener nessusd
Red Hat, CentOS y
Oracle Linux
# /sbin/service nessusd stop
Fedora Core # /sbin/service nessusd stop
SuSE # /etc/rc.d/nessusd stop
Debian # /etc/init.d/nessusd stop
FreeBSD # /usr/local/etc/rc.d/nessusd.sh stop
Solaris # /etc/init.d/nessusd stop
Ubuntu # /etc/init.d/nessusd stop
CÓMO QUITAR NESSUS
La siguiente tabla ofrece instrucciones para eliminar el servidor Nessus en todas las
plataformas admitidas. Con excepción de las instrucciones para Mac OS X, las instrucciones
proporcionadas no quitarán los archivos de configuración ni los archivos que no formaban
parte de la instalación original. Los archivos que eran parte del paquete original pero
sufrieron modificaciones desde la instalación, tampoco serán quitados. Para quitar por
completo los archivos restantes, use el siguiente comando:
Linux y Solaris:
# rm -rf /opt/nessus
Copyright © 2002-2012 Tenable Network Security, Inc.
22
FreeBSD:
# rm -rf /usr/local/nessus/bin
Plataforma Instrucciones de eliminación
Red Hat ES 4 y CentOS 4 (32 bits); Red Hat ES 5, CentOS 5 y Oracle Linux 5
(32 y 64 bits); Red Hat ES 6, CentOS 6 y Oracle Linux 6 (32 y 64 bits)
Comando Quitar Determine el nombre del paquete:
# rpm -qa | grep Nessus
Use los resultados del comando anterior para quitar el paquete:
# rpm -e <Package Name>
Resultados
de muestra
# rpm -qa | grep -i nessus
Nessus-5.0.1-es5
# rpm -e Nessus-5.0.1-es5
#
Fedora Core 16 (32 y 64 bits)
Comando Quitar Determine el nombre del paquete:
# rpm -qa | grep Nessus
Use los resultados del comando anterior para quitar el paquete:
# rpm -e <Package Name>
SuSE 10 (64 bits), 11 (32 y 64 bits)
Comando Quitar Determine el nombre del paquete:
# rpm -qa | grep Nessus
Use los resultados del comando anterior para quitar el paquete:
# rpm -e <Package Name>
Copyright © 2002-2012 Tenable Network Security, Inc.
23
Debian 6 (32 y 64 bits)
Comando Quitar Determine el nombre del paquete:
# dpkg -l | grep -i nessus
Use los resultados del comando anterior para quitar el paquete:
# dpkg -r <package name>
Resultados
de muestra
# dpkg -l | grep nessus
ii nessus 5.0.1 Version 4 of the Nessus
Scanner
# dpkg -r nessus
#
Ubuntu 8.04, 9.10, 10.04, 10.10 y 11.10 (32 y 64 bits)
Comando Quitar Determine el nombre del paquete:
# dpkg -l | grep -i nessus
Use los resultados del comando anterior para quitar el paquete:
# dpkg -r <package name>
Resultados
de muestra
# dpkg -l | grep -i nessus
ii nessus 5.0.1 Version 4 of the Nessus Scanner #
Solaris 10 (sparc)
Comando Quitar Detenga el servicio nessusd:
# /etc/init.d/nessusd stop
Determine el nombre del paquete:
# pkginfo | grep –i nessus
Quite el paquete de Nessus:
# pkgrm <package name>
Resultados
de muestra
A continuación se indica un ejemplo de resultados que corresponde
al comando anterior y que muestra el paquete de Nessus:
# pkginfo | grep –i nessus
application TNBLnessus The Nessus Network
Vulnerability Scanner
# pkgrm TNBLnessus
#
Copyright © 2002-2012 Tenable Network Security, Inc.
24
FreeBSD 9 (32 y 64 bits)
Comando Quitar Detenga Nessus:
# killall nessusd
Determine el nombre del paquete:
# pkg_info | grep -i nessus
Quite el paquete de Nessus:
# pkg_delete <package name>
Resultados
de muestra
# killall nessusd
# pkg_info | grep -i nessus
Nessus-5.0.1 A powerful security scanner
# pkg_delete Nessus-5.0.1 #
Mac OS X
Comando Quitar Abra una ventana de terminal: Desde “Applications”
(Aplicaciones), haga clic en “Utilities” (Utilidades) y luego, en
“Terminal” o “X11”. Desde el indicador de shell, use el comando
“sudo” para ejecutar un shell raíz y quitar los directorios de Nessus
de la siguiente forma:
$ sudo /bin/sh
Password :
# ls -ld /Library/Nessus
# rm -rf /Library/Nessus
# ls -ld /Library/Nessus
# ls -ld /Applications/Nessus
# rm -rf /Applications/Nessus
# ls -ld /Applications/Nessus
# ls -ld /Library/Receipts/Nessus*
# rm -rf /Library/Receipts/Nessus*
# ls -ld /Library/Receipts/Nessus*
# exit
Copyright © 2002-2012 Tenable Network Security, Inc.
25
Resultados de
muestra
$ sudo /bin/sh
Password :
# ls -ld /Library/Nessus
drwxr-xr-x 6 root admin 204 Apr 6 15:12
/Library/Nessus
# rm -rf /Library/Nessus
# ls -ld /Library/Nessus
ls: /Library/Nessus: No such file or directory
# ls -ld /Applications/Nessus
drwxr-xr-x 4 root admin 136 Apr 6 15:12
/Applications/Nessus
# rm -rf /Applications/Nessus
# ls -ld /Applications/Nessus
# ls -ld /Library/Receipts/Nessus*
drwxrwxr-x 3 root admin 102 Apr 6 15:11
/Library/Receipts/Nessus Client.pkg
drwxrwxr-x 3 root admin 102 Apr 6 15:11
/Library/Receipts/Nessus Server.pkg
# rm -rf /Library/Receipts/Nessus*
# ls -ld /Library/Receipts/Nessus*
ls: /Library/Receipts/Nessus*: No such file or directory
# exit
$
Notas No intente este proceso a menos que tenga conocimiento de los
comandos shell de Unix. Los comandos “ls” se incluyen para
verificar que el nombre de la ruta se haya escrito correctamente.
WINDOWS
ACTUALIZACIÓN
Actualización desde Nessus 4.x Al actualizar Nessus desde una versión 4.x a una distribución más reciente 5.x, el proceso
de actualización le preguntará al usuario si desea eliminar todo lo contenido en el directorio
de Nessus. Elegir esta opción (al seleccionar “Yes”) imitará un proceso de desinstalación. Si
elige esta opción, los usuarios creados anteriormente, las directivas de análisis existentes y
los resultados de los análisis se quitarán, y el analizador dejará de estar registrado.
Copyright © 2002-2012 Tenable Network Security, Inc.
26
Haga clic en “Yes” para permitir que Nessus intente eliminar toda la carpeta Nessus junto
con todo archivo agregado manualmente, o “No” para conservar la carpeta Nessus junto con
los análisis, informes, etc. existentes. Después de que se haya instalado la nueva versión de
Nessus, aún podrán verse y exportarse.
Actualización desde Nessus 3.x No se admite una actualización directa de Nessus 3.0.x a Nessus 5.x. Sin embargo, puede
utilizar una actualización a 4 como paso intermedio para garantizar que se preserven la
configuración y directivas de análisis fundamentales. Si no es necesario conservar la
configuración de análisis, desinstale primero Nessus 3.x y luego instale una copia nueva de
Nessus 5.
Si selecciona “Yes”, se eliminarán todos los archivos del directorio de Nessus,
incluidos los archivos de registro y los plugins personalizados añadidos de forma
manual, entre otros. Utilice esta opción con cuidado.
INSTALACIÓN
Descarga de Nessus La versión más reciente de Nessus está disponible en
http://www.nessus.org/products/nessus/nessus-download-agreement o a través del Tenable
Support Portal (Portal de soporte de Tenable). Nessus 5 está disponible para Windows XP,
Server 2003, Server 2008, Vista y Windows 7. Confirme la integridad del paquete de
instalación comparando la suma de comprobación MD5 de la descarga con la que aparece en el archivo MD5.asc aquí.
Los nombres y los tamaños de los archivos de distribución de Nessus varían ligeramente de
una versión a otra, pero tienen un tamaño de aproximadamente 12 MB.
Instalación Nessus se distribuye como archivo de instalación ejecutable. Coloque el archivo en el
sistema en el que se está instalando o en una unidad compartida a la que tenga acceso el
sistema.
Debe instalar Nessus empleando una cuenta administrativa y no como usuario sin
privilegios. Si se producen errores relacionados con los permisos, “Access Denied” (Acceso
denegado) o errores que sugieren que una acción tuvo lugar debido a la falta de privilegios,
asegúrese de que esté usando una cuenta con privilegios administrativos. Si se producen estos errores al usar las utilidades de líneas de comandos, ejecute cmd.exe con los
privilegios “Run as…” (Ejecutar como) establecidos en “administrator” (administrador).
Algunos paquetes de software antivirus pueden incluir a Nessus en la categoría de
gusano o de alguna forma de software malintencionado. Lo anterior se debe a la
gran cantidad de conexiones TCP generadas durante un análisis. Si su software
antivirus produce una advertencia, haga clic en "allow" (permitir) para que
Nessus pueda seguir analizando. La mayoría de los paquetes de antivirus también le permiten añadir procesos a una lista de excepciones. Añada Nessus.exe y
Nessus-service.exe a esta lista para evitar tales advertencias.
Copyright © 2002-2012 Tenable Network Security, Inc.
27
Se recomienda que obtenga un código de activación de fuente de plugins antes de iniciar el
proceso de instalación, ya que esa información será necesaria para poder autenticar en la
interfaz GUI de Nessus. Para ver más información sobre cómo obtener un código de
activación, lea la sección Suscripciones de plugins de vulnerabilidades.
Preguntas sobre instalación
Durante el proceso de instalación, Nessus le solicitará al usuario que introduzca algunos
datos básicos. Antes de comenzar, debe leer y aceptar el contrato de licencia:
Copyright © 2002-2012 Tenable Network Security, Inc.
28
Luego de ello, puede configurar la ubicación en la que se instalará Nessus:
Cuando se le solicite que seleccione “Setup Type” (Tipo de instalación), seleccione
“Complete” (Completa).
Copyright © 2002-2012 Tenable Network Security, Inc.
29
Se le solicitará que confirme la instalación:
Después de finalizar la instalación inicial, Nessus comenzará la instalación de un controlador
independiente que se utiliza para permitir la comunicación Ethernet de Nessus:
Una vez que haya finalizado la instalación, haga clic en “Finish” (Finalizar).
Copyright © 2002-2012 Tenable Network Security, Inc.
30
En este momento, Nessus cargará en su explorador web predeterminado una página que
manejará la configuración inicial, tratada en la sección “Registro de fuentes y configuración de la GUI”.
INICIO Y DETENCIÓN DEL DEMONIO DE NESSUS
Durante la instalación y la operación diaria de Nessus, no suele ser necesario manipular el
servicio de Nessus. Sin embargo, en algunos casos un administrador puede querer detener
o reiniciar temporalmente el servicio.
Esto se puede hacer en un sistema Windows abriendo el menú “Start” (Inicio) y haciendo
clic en “Run” (Ejecutar). En el cuadro “Run” (Ejecutar), escriba “services.msc” para abrir el
Windows Service Manager (Administrador de servicios de Windows):
Haga clic derecho en el servicio “Tenable Nessus” para ver un cuadro de diálogo que le
permita iniciar, detener, pausar, reanudar o reiniciar el servicio según el estado actual.
Además, el servicio Nessus puede manipularse por medio de la línea de comandos. Para
obtener más información, consulte la sección “Manipulación del servicio de Nessus mediante la
CLI de Windows” en este documento.
Copyright © 2002-2012 Tenable Network Security, Inc.
31
CÓMO QUITAR NESSUS
Para quitar Nessus, en Control Panel (Panel de control), abra “Add or Remove Programs”
(Agregar o quitar programas). Seleccione “Tenable Nessus”, y luego haga clic en el botón
“Change/Remove” (Cambiar o quitar). Esto abrirá el asistente InstallShield Wizard. Siga
las instrucciones de este asistente para quitar Nessus por completo. Se le preguntará si
desea quitar toda la carpeta Nessus. Responda “Yes” solo si no desea conservar ninguna
directiva ni resultado de análisis que pueda haber generado.
Al desinstalar Nessus, Windows le preguntará si desea continuar, pero mostrará lo que parece ser un archivo arbitrario .msi sin certificación. Por ejemplo:
C:\Windows\Installer\778608.msi
Autor: Unknown (Desconocido)
Esto se debe a que Windows conserva una copia interna del instalador de Nessus y
la utiliza para iniciar el proceso de desinstalación. Es seguro aprobar esta solicitud.
MAC OS X
ACTUALIZACIÓN
Las actualizaciones a partir de una versión anterior de Nessus son similares a la realización de una instalación nueva. Descargue el archivo Nessus-5.x.x.dmg.gz, y luego haga doble
clic en él para descomprimirlo. Haga doble clic en el archivo Nessus-5.x.x.dmg, con lo que
se montará la imagen de disco y hará que aparezca en “Devices” (Dispositivos) en “Finder”
(Buscador). Cuando el volumen “Nessus 5” aparezca en el “Finder”, haga doble clic en el
archivo Nessus 5. Una vez que se haya finalizado la instalación, inicie sesión en Nessus a
través de su explorador, en https://localhost:8834.
INSTALACIÓN
La versión más reciente de Nessus está disponible en
http://www.nessus.org/products/nessus/nessus-download-agreement o a través del Tenable
Support Portal (Portal de soporte de Tenable). Nessus está disponible para Mac OS X 10.6 y
10.7. Confirme la integridad del paquete de instalación comparando la suma de comprobación MD5 de la descarga con la que aparece en el archivo MD5.asc aquí.
El tamaño del archivo de distribución de Nessus para Mac OS X es ligeramente diferente
entre una y otra publicación, pero aproximadamente pesa 45 MB.
Copyright © 2002-2012 Tenable Network Security, Inc.
32
Para instalar Nessus en Mac OS X, debe descargar el archivo Nessus-5.x.x.dmg.gz y luego
hacer doble clic en él para descomprimirlo. Haga doble clic en el archivo Nessus-5.x.x.dmg,
con lo que se montará la imagen de disco y hará que aparezca en “Devices” (Dispositivos)
en “Finder” (Buscador). Cuando el volumen “Nessus 5” aparezca en “Finder” (Buscador), haga doble clic en el archivo Nessus 5 como se muestra a continuación:
Tenga en cuenta que se le solicitará un nombre de usuario y contraseña de
administrador en algún momento de la instalación.
Preguntas sobre instalación La instalación aparecerá en la pantalla de la siguiente forma:
Copyright © 2002-2012 Tenable Network Security, Inc.
33
Haga clic en “Continue” (Continuar) y se mostrará la licencia del software. Haga clic en
“Continue” nuevamente, y aparecerá un cuadro de diálogo que le pedirá que acepte las
condiciones de la licencia antes de continuar:
Copyright © 2002-2012 Tenable Network Security, Inc.
34
Después de aceptar la licencia, aparecerá otro cuadro de diálogo que le permitirá cambiar la
ubicación predeterminada de la instalación, como se muestra a continuación:
Haga clic en el botón “Install” (Instalar) para continuar la instalación. En este punto se le
solicitará que introduzca el nombre de usuario y contraseña de administrador:
Copyright © 2002-2012 Tenable Network Security, Inc.
35
La instalación ha finalizado correctamente cuando aparece la siguiente pantalla:
En este momento, Nessus cargará en su explorador web predeterminado una página que
manejará la configuración inicial, tratada en la sección “Registro de fuentes y configuración de
la GUI”.
INICIO Y DETENCIÓN DEL SERVICIO NESSUS
Después de la instalación, se iniciará el servicio nessusd. En cada reinicio, el servicio se
iniciará automáticamente. Si existe una razón para iniciar o detener el servicio, esto puede
realizarse a través de una ventana de terminal (línea de comandos). El comando debe ejecutarse como “root” (raíz) o sudo:
Acción Comando para administrar nessusd
Inicio # launchctl load -w
/Library/LaunchDaemons/com.tenablesecurity.nessusd.plist
Detención # launchctl unload -w
/Library/LaunchDaemons/com.tenablesecurity.nessusd.plist
Copyright © 2002-2012 Tenable Network Security, Inc.
36
CÓMO QUITAR NESSUS
Para quitar Nessus, elimine los siguientes directorios:
/Library/Nessus
/Applications/Nessus
/Library/Receipts/Nessus*
Si no tiene conocimientos del uso de la línea de comandos de Unix en un sistema
Mac OS X, comuníquese con la Asistencia técnica de Tenable para obtener ayuda.
Existen herramientas de software gratuito, tales como “DesInstaller.app”
(http://www.macupdate.com/info.php/id/7511) y “CleanApp”
(http://www.macupdate.com/info.php/id/21453/cleanapp) que también se pueden usar para
quitar Nessus. Tenable no guarda ningún tipo de relación con estas herramientas, y no se
probaron específicamente para quitar Nessus.
REGISTRO DE FUENTES Y CONFIGURACIÓN DE LA GUI
En esta sección se describe cómo configurar el servidor Nessus 5 en todas las plataformas.
A partir de Nessus 5 las opciones de configuración inicial, como las opciones de proxy y el
suministro de un Código de activación, se realizan a través de un proceso web. Después de
la instalación de Nessus tiene seis horas para completar el proceso de registro, por razones
de seguridad. Si no lo hace, debe reiniciar nessusd y el proceso de registro.
El Nessus Server Manager utilizado en Nessus 4 está en desuso.
Si la instalación del software no abre su explorador web con la página de configuración, puede
cargar un explorador e ir a http://[Nessus Server IP]:8834/WelcomeToNessus-Install/welcome (o a
la URL provista durante el proceso de instalación) para comenzar el proceso. Nota: Las
instalaciones con Unix pueden proveer una URL con un nombre de host relativo que no esté
en DNS (por ejemplo, http://mybox:8834/). Si el nombre de host no está en DNS, debe
conectarse al servidor Nessus utilizando una dirección IP o un nombre DNS válido.
Copyright © 2002-2012 Tenable Network Security, Inc.
37
La pantalla inicial sirve como advertencia de que todo el tráfico hacia la GUI de Nessus se
realiza por SSL (HTTPS). La primera vez que se conecte al servidor web Nessus, su explorador
mostrará algún tipo de error que indica que la conexión no es confiable debido a un certificado
SSL autofirmado. En la primera conexión, acepte el certificado para continuar la configuración.
Las instrucciones para instalar un certificado personalizado se tratan más adelante en este
documento, en la sección “Configuración de Nessus con un certificado SSL personalizado”.
Debido a la implementación técnica de los certificados SSL, no es posible enviar
un certificado con Nessus que sea confiable para los exploradores. Para evitar
esta advertencia, debe utilizar un certificado personalizado para su organización.
Copyright © 2002-2012 Tenable Network Security, Inc.
38
Según el explorador que utilice, puede haber un diálogo adicional que le permita aceptar el
certificado:
Copyright © 2002-2012 Tenable Network Security, Inc.
39
Una vez que lo aceptó, se le redirigirá a la pantalla inicial de registro que comienza las
instrucciones paso a paso:
El primer paso es crear una cuenta para el servidor Nessus. La cuenta inicial será de
administrador; esta cuenta tiene acceso a la ejecución de comandos en el sistema operativo
subyacente de la instalación de Nessus, por lo que se debe considerar de la misma manera
que cualquier otra cuenta de administrador:
Copyright © 2002-2012 Tenable Network Security, Inc.
40
La siguiente pantalla solicita un Código de activación de plugins y le permite configurar
parámetros de proxy opcionales.
Si usa el Tenable SecurityCenter, el código de activación y las actualizaciones de
los plugins se administran desde SecurityCenter. Para comunicarse con
SecurityCenter, Nessus necesita iniciarse, lo cual normalmente no se podrá lograr
sin un código de activación y plugins válidos. Para que Nessus ignore este
requisito y se inicie (y pueda así obtener la información de SecurityCenter),
escriba “SecurityCenter” (con mayúsculas y minúsculas) sin comillas en el cuadro
Activation Code (Código de activación). Después de iniciar Nessus, los usuarios de
SecurityCenter habrán completado la instalación y configuración iniciales del
analizador Nessus y podrán pasar a la sección “Trabajo con SecurityCenter”.
Si no registra su copia de Nessus, no recibirá ningún plugin nuevo y no podrá
iniciar el servidor Nessus. Nota: el código de activación no distingue mayúsculas
de minúsculas.
Si su servidor Nessus se encuentra en una red que utiliza un proxy para comunicarse con
Internet, haga clic en “Optional Proxy Settings” (Configuración de proxy opcional)
para escribir la información correspondiente. Los parámetros de proxy pueden agregarse en
cualquier momento después de finalizar la instalación.
Copyright © 2002-2012 Tenable Network Security, Inc.
41
Una vez que se finalizó la configuración del Código de activación y los parámetros de proxy
opcionales, haga clic en “Next” (Siguiente) para registrar su analizador:
Copyright © 2002-2012 Tenable Network Security, Inc.
42
Después del registro, Nessus debe descargar los plugins de Tenable. Este proceso puede
tomar varios minutos, ya que transfiere una gran cantidad de datos al equipo, verifica la
integridad de los archivos y los compila en una base de datos interna:
Después del registro inicial, Nessus descargará y compilará los plugins obtenidos
del puerto 443 de plugins.nessus.org, plugins-customers.nessus.org o plugins-
us.nessus.org en segundo plano.
Una vez que se hayan descargado y compilado los plugins, la GUI de Nessus se inicializará y
el servidor Nessus se iniciará:
Después de su inicialización, Nessus está listo para su uso.
Copyright © 2002-2012 Tenable Network Security, Inc.
43
Con las credenciales administrativas creadas durante la instalación, inicie sesión en la
interfaz de Nessus para verificar el acceso.
CONFIGURACIÓN
Con el lanzamiento de Nessus 5, toda la configuración del servidor de Nessus se controla a través de la GUI. El archivo nessusd.conf está en desuso. Además, los parámetros de
proxy, el registro de fuentes de suscripción y las actualizaciones sin conexión también se
administran a través de la GUI.
Copyright © 2002-2012 Tenable Network Security, Inc.
44
CONFIGURACIÓN DEL PROXY WEB
Bajo el encabezado “Configuration” (Configuración), la ficha “Settings” (Opciones) le
permite configurar un proxy web para actualizaciones de plugins. Esto es necesario si su
organización necesita que todo el tráfico web sea dirigido a través de un proxy corporativo:
Existen seis campos que controlan la configuración del proxy, pero solo son necesarios el host y el
puerto. También puede suministrarse un nombre de usuario y una contraseña si es necesario.
Opción Descripción
“Host”
(Host)
El host o IP del proxy (por ejemplo, proxy.example.com).
“Port”
(Puerto)
El puerto del proxy (por ejemplo, 8080).
“Username”
(Nombre de usuario)
Opcional: si se requiere un nombre de usuario para el uso del
proxy (por ejemplo, “jdoe”).
“Password”
(Contraseña)
Opcional: si se requiere una contraseña para el uso del proxy
(por ejemplo, “guineapigs”).
Copyright © 2002-2012 Tenable Network Security, Inc.
45
“User-Agent”
(Agente-usuario)
Opcional: si el proxy que utiliza filtra agentes de usuario HTTP
específicos, se puede suministrar una cadena agente-usuario
personalizada.
“Custom
Update Host”
(Host de actualización
personalizada)
Opcional: esto puede utilizarse para forzar a Nessus a
actualizar plugins desde un host específico. Por ejemplo, si los
plugins se deben actualizar desde un lugar en EE. UU., puede
especificar “plugins-us.nessus.org”.
A partir de Nessus 4.2, los analizadores de Microsoft Windows admiten la
autenticación de proxy, incluido NTLM.
RESTABLECIMIENTO DE CÓDIGOS DE ACTIVACIÓN Y ACTUALIZACIONES
SIN CONEXIÓN
Después de haber introducido el Código de activación inicial durante el proceso de
configuración, los cambios adicionales al Código de activación se hacen a través de la ficha
“Feed Settings” (Opciones de configuración de fuentes). Al ingresar un nuevo código
en el campo “Activation Code” (Código de activación) y hacer clic en “Save” (Guardar) se
actualizará el analizador Nessus con el nuevo código (por ejemplo, si actualiza de HomeFeed
a ProfessionalFeed).
También puede forzar una actualización de plugin en cualquier momento haciendo clic en
“Update Plugins” (Actualizar plugins). Si una actualización de plugin falla por cualquier
motivo (por ejemplo, una interrupción en la conexión a la red), Nessus volverá a intentarla
10 minutos después.
La sección “Offline Update” (Actualización sin conexión) le permite especificar un archivo de
plugins para el procesamiento. Para obtener más detalles acerca de la actualización sin
conexión, consulte la sección “Nessus sin acceso a Internet” más adelante en este documento.
El uso del cliente heredado a través del protocolo NTP es admitido por Nessus 5,
pero solo está disponible para clientes de ProfessionalFeed.
Copyright © 2002-2012 Tenable Network Security, Inc.
46
OPCIONES DE CONFIGURACIÓN AVANZADA
Nessus utiliza una amplia variedad de opciones de configuración para ofrecer un control más
pormenorizado de cómo funciona el analizador. En la ficha “Advanced” de la opción
“Configuration”, un usuario administrador puede modificar estos parámetros.
ADVERTENCIA: Cualquier cambio en la configuración del analizador Nessus
afectará a TODOS los usuarios de Nessus. Modifique estas opciones con cuidado.
Puede configurar cada opción modificando el campo correspondiente y haciendo clic en el
botón “Save” (Guardar) que está en la base de la pantalla. Además, puede quitar por
completo la opción haciendo clic en el botón .
De manera predeterminada, la GUI de Nessus opera en el puerto 8834. Para cambiar este puerto, modifique xmlrpc_listen_port para escoger el puerto deseado. El servidor Nessus
procesará el cambio en unos minutos.
Si requiere preferencias adicionales, haga clic en el botón “Add Preference Item” (Agregar
elemento de preferencia), escriba el nombre y el valor, y presione “Save” (Guardar). Una
vez que la preferencia se actualizó y se guardó, Nessus procesará los cambios en unos minutos.
Para obtener más detalles acerca de cada opción de configuración, consulte la sección
“Configuración del demonio de Nessus (usuarios avanzados)” de este documento.
Copyright © 2002-2012 Tenable Network Security, Inc.
47
CREACIÓN Y ADMINISTRACIÓN DE USUARIOS DE NESSUS
Durante la configuración inicial, se crea un usuario administrador. Utilizando las credenciales
especificadas durante la configuración, inicie sesión en la GUI de Nessus. Una vez obtenida
la autenticación, haga clic en el encabezado “Users” de la parte superior:
Para crear un nuevo usuario, Haga clic en “New User” (Nuevo usuario), en la esquina
superior derecha. Esto abrirá un diálogo que le pide que ingrese los siguientes detalles
obligatorios:
Escriba el nombre de usuario y la contraseña, repita la contraseña y decida si el usuario
tendrá privilegios de administrador.
Copyright © 2002-2012 Tenable Network Security, Inc.
48
Si necesita modificar una cuenta de usuario, escoja la cuenta en la lista y haga clic en “Edit”:
No puede cambiar el nombre de los usuarios. Si desea cambiar el nombre de un
usuario, debe eliminar al usuario y crear un nuevo usuario con el nombre de inicio
de sesión correspondiente.
Para eliminar un usuario, seleccione el cuadro de verificación junto a la cuenta en la lista,
seleccione “Options” (Opciones) en la esquina superior derecha, haga clic en “Delete User”
(Eliminar usuario) y confirme:
Un usuario que no sea administrador no puede subir plugins a Nessus, no puede
reiniciarlo remotamente (esto es necesario después de subir un plugin), ni puede
anular el parámetro max_hosts/max_checks en la sección de configuración. Si el
usuario va a ser utilizado por SecurityCenter, debe ser un usuario
administrador. SecurityCenter mantiene su propia lista de usuarios y establece
los permisos para ellos.
Si necesita que una cuenta de usuario de Nessus tenga limitaciones, puede hacerlo
utilizando la interfaz de la línea de comandos (CLI); esto se trata más adelante en el
documento, en la sección “Uso y administración de Nessus desde la línea de comandos”.
Copyright © 2002-2012 Tenable Network Security, Inc.
49
CONFIGURACIÓN DEL DEMONIO DE NESSUS
(USUARIOS AVANZADOS)
El menú de configuración de la GUI de Nessus contiene varias opciones configurables. Por
ejemplo, es aquí donde se especifican la cantidad máxima de comprobaciones y de hosts
que se analizarán por vez, los recursos que desea que nessusd use y la velocidad a la que
se deben leer los datos, así como muchas otras opciones. Se recomienda revisar y modificar
estos parámetros según su entorno de análisis. Al final de esta sección se explica la lista
completa de opciones de configuración.
En particular, los valores max_hosts y max_checks pueden afectar en gran medida la
capacidad de su sistema de Nessus para realizar análisis, así como la de aquellos sistemas
que se analizan en busca de vulnerabilidades en su red. Preste especial atención a estos dos
parámetros de configuración.
Estos son los dos parámetros y sus valores predeterminados según se ven en el menú de
configuración:
Opción Valor
max_hosts 40
max_checks 5
Tenga en cuenta que esta configuración será reemplazada en cada análisis al usar
SecurityCenter de Tenable o en la directiva personalizada de la interfaz de usuario de
Nessus. Para ver o modificar estas opciones para una plantilla de análisis en SecurityCenter,
modifique “Scan Options” (Opciones de análisis) en Scan Template (Plantilla de análisis). En
la Nessus User Interface (Interfaz de usuario de Nessus), modifique la directiva de análisis,
y luego haga clic en la ficha “Options” (Opciones).
Tenga en cuenta que el parámetro max_checks posee un límite, codificado de
forma rígida, de 15. Cualquier valor mayor de 5 producirá normalmente efectos
adversos, ya que la mayoría de los servidores no pueden procesar tantas
solicitudes intrusivas al mismo tiempo.
Notas sobre max_hosts:
Como el nombre lo indica, representa la cantidad máxima de sistemas de destino que se
examinarán en un momento dado. Mientras mayor sea la cantidad de sistemas analizados
de forma simultánea por un analizador Nessus individual, mayor exigencia se aplicará a la
memoria RAM, el procesador y el ancho de banda de la red del sistema de ese analizador. Al establecer el valor max_hosts, tenga en cuenta la configuración del hardware del sistema
del analizador y de otras aplicaciones que se ejecuten en este.
Copyright © 2002-2012 Tenable Network Security, Inc.
50
Dado que también afectará a los análisis de Nessus una cantidad de otros factores que son
exclusivos de su entorno de análisis (por ejemplo, la directiva de su organización respecto
de los análisis, otro tráfico presente en la red, el efecto que un tipo de análisis en particular
tenga en los hosts de destino de su análisis), la experimentación le proporcionará el valor óptimo para max_hosts.
Un punto de partida conservador para determinar el mejor valor de max_hosts en un
entorno empresarial sería establecerlo en “20” en sistemas Nessus basados en Unix, y en
“10” en analizadores Nessus para Windows.
Notas sobre max_checks:
Es la cantidad de comprobaciones o plugins que se ejecutarán de forma simultánea en un
único host de destino durante un análisis. Tenga en cuenta que establecer esta cantidad en
un valor demasiado elevado podría saturar los sistemas que está analizando, según qué
plugins use en el análisis.
Multiplique max_checks por max_hosts para encontrar la cantidad de comprobaciones
simultáneas que se podrían ejecutar en un momento dado durante un análisis. Debido a que max_checks y max_hosts se usan en conjunto, establecer max_checks en un valor
demasiado elevado también puede provocar restricciones de recursos en el sistema del analizador Nessus. Al igual que con max_hosts, la experimentación le proporcionará el valor
óptimo para max_checks, pero se recomienda que siempre esté establecido en un valor
relativamente bajo.
OPCIONES DE CONFIGURACIÓN
En la siguiente tabla se incluye una breve explicación de cada opción de configuración
disponible en el menú de configuración. Muchas de estas opciones son configurables a
través de la interfaz del usuario al crear una directiva de análisis.
Opción Descripción
auto_enable_
dependencies
Activa de manera automática los plugins de los que depende.
Si se encuentra deshabilitada, no todos los plugins se pueden
ejecutar, a pesar de haber sido seleccionados en una
directiva de análisis.
auto_update Actualizaciones automáticas de plugins. Si se encuentra
habilitada y Nessus está registrado, obtenga los plugins más
recientes de plugins.nessus.org automáticamente.
Deshabilite la opción si el analizador se encuentra en una red
aislada que no puede conectarse con Internet.
auto_update_delay Cantidad de horas que se deben esperar entre una actualización
y otra. El intervalo mínimo permitido es cuatro (4) horas.
cgi_path Durante la prueba de los servidores web, use esta lista de
rutas de acceso CGI delimitada por dos puntos.
checks_read_timeout Lee el tiempo de espera para los sockets de las pruebas.
Copyright © 2002-2012 Tenable Network Security, Inc.
51
disable_ntp Deshabilita el protocolo heredado NTP anterior.
disable_xmlrpc Deshabilita la nueva interfaz de XMLRPC (servidor web).
dumpfile Ubicación de un archivo de descarga correspondiente a los
resultados de la depuración, en caso de que se genere.
enable_listen_ipv4 Indica a Nessus que escuche en IPv4.
enable_listen_ipv6 Indica a Nessus que escuche en IPv6, si el sistema admite las
direcciones IPv6.
global.max_scans Si está establecida en un número distinto de cero, define la
cantidad máxima de análisis que pueden producirse de forma
paralela.
Nota: si esta opción no se usa, no se aplicará ningún límite.
global.max_simult_tcp_
sessions
Cantidad máxima de sesiones TCP simultáneas entre todos
los análisis.
Nota: si esta opción no se usa, no se aplicará ningún límite.
global.max_web_users Si está establecida en un número distinto de cero, define la
cantidad máxima de usuarios (web) que se pueden conectar
de forma paralela.
Nota: si esta opción no se usa, no se aplicará ningún límite.
host.max_simult_tcp_
sessions
Cantidad máxima de sesiones TCP simultáneas por host
analizado.
listen_address La dirección IPv4 a la que escuchar para las conexiones
entrantes. Si está establecida en 127.0.0.1, se limitará el
acceso a conexiones locales únicamente.
listen_port Puerto que se escuchará (protocolo NTP anterior). Usado
para conexiones de NessusClient anteriores a 4.2.
log_whole_attack ¿Desea registrar todos los detalles del ataque? Resulta útil
para depurar problemas con el análisis, pero puede usar el
disco duro de forma intensiva.
logfile Lugar en el que se almacena el archivo de registro de
Nessus.
max_hosts Cantidad máxima de hosts comprobados al mismo tiempo
durante un análisis.
max_checks Cantidad máxima de comprobaciones simultáneas en cada
host probado.
max_simult_tcp_sessions Cantidad máxima de sesiones TCP simultáneas por análisis.
nasl_log_type Indica el tipo de resultados del motor NASL en
nessusd.dump.
Copyright © 2002-2012 Tenable Network Security, Inc.
52
nasl_no_signature_check ¿Nessus debe considerar todas las secuencias de comandos
NASL como firmadas? Seleccionar “yes” es poco seguro y no
recomendado.
nessus_syn_scanner.
global_throughput.max
Establece la cantidad máxima de paquetes SYN que Nessus
enviará por segundo durante su análisis de puertos
(independientemente de la cantidad de hosts que se analicen
de forma paralela). Ajuste esta opción en función de la
sensibilidad del dispositivo remoto ante grandes cantidades
de paquetes SYN.
non_simult_ports Puertos en los cuales no se deben ejecutar dos plugins de
manera simultánea.
optimize_test Optimiza el procedimiento de prueba. Si cambia la opción a
“no”, hará que los análisis demoren más y normalmente
producirá más falsos positivos.
paused_scan_timeout Elimina un análisis pausado después de cierta cantidad de
minutos (0 indica que no haya tiempo de espera).
plugin_upload Indica si los usuarios administradores pueden cargar plugins.
plugin_upload_suffixes Sufijos de los plugins que puede cargar el usuario
administrador.
plugins_timeout Duración máxima de la actividad de un plugin (en segundos).
port_range Intervalo de los puertos que serán analizados por los
analizadores de puertos. Se pueden usar las palabras clave
“all” o “default”, así como también una lista de puertos o
intervalos de puertos delimitados por comas.
purge_plugin_db ¿Nessus debe purgar la base de datos de los plugins en cada
actualización? Esto indica a Nessus que quite, vuelva a
descargar y vuelva a compilar la base de datos de plugins
para cada actualización. Elegir “Yes” (Sí) hará que cada
actualización sea considerablemente más lenta.
qdb_mem_usage Indica a Nessus que use más o menos memoria al estar
inactivo. Si Nessus se ejecuta en un servidor dedicado,
establecer esta opción en “high” (alta) usará más memoria
para aumentar el rendimiento. Si Nessus se ejecuta en un
equipo compartido, establecer esta opción en “low” (baja)
usará considerablemente menos memoria, pero a expensas
de un efecto moderado en el rendimiento.
reduce_connections_on_
congestion
Reduce la cantidad de sesiones TCP paralelas cuando la red
parece congestionada.
report_crashes ¿Desea crear informes anónimos sobre bloqueos para Tenable?
rules Ubicación del archivo de reglas de Nessus (nessusd.rules).
Copyright © 2002-2012 Tenable Network Security, Inc.
53
safe_checks Las comprobaciones seguras se basan en la captación de
banners en lugar de pruebas activas en busca de
vulnerabilidades.
save_knowledge_base Guarda la base de conocimiento en el disco para usar
posteriormente.
silent_dependencies Si está habilitada la opción, la lista de dependencias de los
plugins y sus resultados no se incluyen en el informe. Se puede
escoger un plugin como parte de una directiva que dependa de
otros plugins para ejecutarse. De manera predeterminada,
Nessus ejecutará esas dependencias de plugins, pero no incluirá
su resultado en el informe. Si configura esta opción en no hará
que tanto el plugin seleccionado como cualquier dependencia de
plugin aparezcan en el informe.
slice_network_addresses Si esta opción está establecida, Nessus no analizará una red
incrementalmente (10.0.0.1, luego 10.0.0.2, luego 10.0.0.3
y sucesivamente) sino que intentará dividir la carga de
trabajo por toda la red (por ejemplo, analizará 10.0.0.1,
luego 10.0.0.127, luego 10.0.0.2, luego 10.0.0.128 y
sucesivamente).
source_ip En el caso de un sistema con múltiples hosts y diferentes
direcciones IP en la misma subred, esta opción indica al
analizador Nessus qué NIC/IP usar para las pruebas. Si se
proporcionan varias IP, Nessus las recorrerá toda vez que
realice una conexión.
ssl_cipher_list Asegura que solo se empleen cifrados SSL “strong" (sólidos)
al conectarse con el puerto 1241. Admite la palabra clave
“strong” (sólido) o las designaciones generales de OpenSSL,
según se enumeran en
http://www.openssl.org/docs/apps/ciphers.html.
stop_scan_on_disconnect Detiene el análisis de un host que parece haberse
desconectado durante el análisis.
stop_scan_on_hang Detiene un análisis que parece estar suspendido.
throttle_scan Acelera el análisis cuando la CPU está sobrecargada.
use_kernel_congestion_
detection
Usa los mensajes de congestión TCP de Linux para reducir la
actividad de análisis según sea necesario.
www_logfile Lugar en el que se almacena el registro de Nessus Web
Server (interfaz de usuario).
xmlrpc_idle_session_time
out
Tiempo de espera de sesión inactiva XMLRPC (en minutos).
xmlrpc_import_feed_
policies
Si esta opción está establecida en “no”, Nessus no incluirá
directivas de análisis predeterminadas proporcionadas por
Tenable.
Copyright © 2002-2012 Tenable Network Security, Inc.
54
xmlrpc_listen_port Puerto para que escuche Nessus Web Server (nuevo
protocolo XMLRPC).
xmlrpc_min_password_
len
Ordena a Nessus que aplique una directiva para la longitud
de una contraseña de los usuarios de un analizador.
De manera predeterminada report_crashes está establecido en “yes” (sí). La información
relacionada con los bloqueos de Nessus se enviará a Tenable para ayudar a depurar
problemas y brindar un software de la mayor calidad posible. No se enviará a Tenable
ningún tipo de información de identificación personal ni del sistema. Un usuario
administrador de Nessus puede establecer esta configuración como “no” (no).
CONFIGURACIÓN DE NESSUS CON UN CERTIFICADO
SSL PERSONALIZADO
La instalación predeterminada de Nessus usa un certificado SSL autofirmado. Al usar la
interfaz web por primera vez para obtener acceso al analizador Nessus, su explorador web
mostrará un error en el que se indica que el certificado no es confiable:
Para evitar advertencias por parte del explorador, se puede usar un certificado SSL
personalizado que sea específico para su organización. Durante la instalación, Nessus crea
dos archivos que conforman el certificado: servercert.pem y serverkey.pem. Estos
archivos deben ser reemplazados con archivos de certificado generados por su organización
o por una Entidad de certificación (CA) confiable.
Antes de reemplazar los archivos de certificado, detenga el servidor Nessus. Reemplace los
dos archivos y reinicie el servidor Nessus. Las conexiones al analizador posteriores no
deberían mostrar un error si el certificado fue generado por una CA de confianza.
Copyright © 2002-2012 Tenable Network Security, Inc.
55
La siguiente tabla enumera la ubicación de los archivos de certificado de acuerdo con el
sistema operativo:
Sistema operativo Ubicaciones de los archivos de certificado
Linux y Solaris /opt/nessus/com/nessus/CA/servercert.pem
/opt/nessus/var/nessus/CA/serverkey.pem
FreeBSD /usr/local/nessus/com/nessus/CA/servercert.pem
/usr/local/nessus/var/nessus/CA/serverkey.pem
Windows C:\Program Files\Tenable\Nessus\nessus\CA\
Mac OS X /Library/Nessus/run/com/nessus/CA/servercert.pem
/Library/Nessus/run/var/nessus/CA/serverkey.pem
Nessus 5 admite cadenas de certificados SSL.
También puede visitar https://[IP address]:8834/getcert para instalar la CA
raíz en su explorador, lo que quitará la advertencia.
Para implementar una cadena de certificados intermedia, se debe colocar un archivo llamado serverchain.pem en el mismo directorio que el archivo servercert.pem. Debe
contener los certificados intermedios 1-n (certificados públicos concatenados) necesarios
para construir la cadena de certificados completa del servidor Nessus, para su certificado
raíz definitivo (que sea confiable para el explorador del usuario).
AUTENTICACIÓN DE NESSUS CON CERTIFICADO SSL
AUTENTICACIÓN DEL CERTIFICADO SSL DE CLIENTE
Nessus permite a los usuarios utilizar la autenticación de certificados SSL de cliente. Esto
permite el uso de certificados SSL de clientes, tarjetas inteligentes y autenticación CAC
cuando el explorador está configurado para este método.
Nessus permite métodos de autenticación con contraseña o certificado SSL para
cuentas de usuarios. Al crear un usuario para una autenticación con certificado SSL, la utilidad nessus-mkcert-client se usa a través de la línea de comandos en el servidor
Nessus.
CONFIGURACIÓN DE NESSUS PARA CERTIFICADOS
El primer paso para permitir la autenticación de certificados SSL es configurar el servidor
web de Nessus con un certificado de servidor y un CA. Este proceso permite que el servidor
web confíe en certificados creados por la Entidad de certificados (CA) con fines de
autenticación. Los archivos generados relacionados con los certificados deben ser propiedad
de root:root y los permisos predeterminados son buenos.
1. (Opcional) Cree un nuevo CA personalizado y un certificado de servidor para el servidor Nessus utilizando el comando nessus-mkcert en la línea de comandos. Esto
colocará los certificados en sus directorios correctos.
Copyright © 2002-2012 Tenable Network Security, Inc.
56
Cuando se le pida el nombre de host, escriba el nombre de DNS o la dirección IP
del servidor en el explorador, como https://hostname:8834/ o
https://ipaddress:8834/. El certificado predeterminado utiliza el nombre de
host.
2. Si se utilizará un certificado CA en lugar del certificado generado por Nessus, haga
una copia del certificado CA autofirmado con el comando correspondiente de su
sistema operativo:
Linux/Unix: # cp /opt/nessus/com/nessus/CA/cacert.pem
/opt/nessus/com/nessus/CA/ORIGcacert.pem
Windows: C:\> copy \Program Files\Tenable\Nessus\Nessus\CA\cacert.pem C:\Program
Files\Tenable\Nessus\nessus\CA\ORIGcacert.pem
3. Si los certificados que se utilizarán para autenticación son creados por una CA que no
sea el servidor Nessus, el certificado CA debe instalarse en el servidor Nessus:
Linux/Unix:
Copie el certificado CA de la organización en /opt/nessus/com/nessus/CA/cacert.pem
Windows: Copie el certificado CA de la organización en C:\Program Files\Tenable\Nessus\Nessus\CA\cacert.pem
4. Configure el servidor Nessus para la autenticación de certificados. Cuando la
autenticación de certificados está habilitada, el inicio de sesión con nombre de
usuario y contraseña está deshabilitado.
Linux/Unix: # /opt/nessus/sbin/nessus-fix –-set force_pubkey_auth=yes
Windows: C:\> \program files\Tenable\Nessus\nessus-fix –-set
force_pubkey_auth=yes
5. Una vez que el CA está instalado y el parámetro force_pubkey_auth está habilitado,
reinicie los servicios de Nessus con el comando service nessusd restart.
Después de configurar Nessus con el/los certificado/s CA adecuado/s, los usuarios pueden
iniciar sesión en Nessus con SSL client certificates (certificados SSL de cliente), Smart Cards
(tarjetas inteligentes) y CAC (Tarjetas de acceso común).
Copyright © 2002-2012 Tenable Network Security, Inc.
57
CREACIÓN DE CERTIFICADOS SSL DE NESSUS PARA INICIO DE SESIÓN
Para iniciar sesión en un servidor Nessus con certificados SSL, los certificados deben crearse
con el programa adecuado. Para este proceso se usa la utilidad de línea de comandos nessus-mkcert-client en el sistema. Las seis preguntas que se hacen deben establecer
valores predeterminados para la creación de usuarios durante la sesión actual. Estas son:
lifetime, country, state, location, organization y organizational unit. Los valores
predeterminados para estas opciones pueden cambiarse durante la creación de usuarios real
si así lo desea. El/Los usuario/s se creará/n uno por vez según lo indicado. Al finalizar el
proceso, los certificados se copian adecuadamente y se utilizan para iniciar sesión en el
servidor Nessus.
1. En el servidor Nessus, ejecute el comando nessus-mkcert-client.
Linux/Unix: # /opt/nessus/sbin/nessus-mkcert-client
Windows (ejecutar como usuario administrador local): C:\> \Program Files\Tenable\Nessus\nessus-mkcert-client
2. Complete los campos como se indica. El proceso, en un servidor de Linux/Unix o
Windows, es idéntico.
Do you want to register the users in the Nessus server as soon as you create
their certificates ? [n]: y
----------------------------------------------------------------------------
---
Creation Nessus SSL client Certificate
----------------------------------------------------------------------------
---
This script will now ask you the relevant information to create the SSL
client certificates for Nessus.
Client certificate life time in days [365]:
Your country (two letter code) [US]:
Your state or province name [NY]: MD
Your location (e.g. town) [New York]: Columbia
Your organization []: Content
Your organizational unit []: Tenable
**********
We are going to ask you some question for each client certificate
If some question have a default answer, you can force an empty answer by
entering a single dot '.'
*********
User #1 name (e.g. Nessus username) []: squirrel
Should this user be administrator? [n]: y
Country (two letter code) [US]:
State or province name [MD]:
Location (e.g. town) [Columbia]:
Organization [Content]:
Organizational unit [Tenable]:
e-mail []:
Copyright © 2002-2012 Tenable Network Security, Inc.
58
User rules
----------
nessusd has a rules system which allows you to restrict the hosts that
firstuser has the right to test. For instance, you may want him to be
able to scan his own host only.
Please see the nessus-adduser(8) man page for the rules syntax
Enter the rules for this user, and enter a BLANK LINE once you are done:
(the user can have an empty rules set)
User added to Nessus.
Another client certificate? [n]:
Your client certificates are in C:\Users\admin\AppData\Local\Temp\nessus-
0000040e
You will have to copy them by hand
Los certificados de cliente se crearán en un directorio temporal aleatorio
adecuado según el sistema. El directorio temporal se identificará en la línea
que comience con “Your client certificates are in” (Sus certificados de cliente
están en).
3. Habrá dos archivos creados en el directorio temporal, cert_squirrel.pem y
key_squirrel.pem. Estos archivos deben combinarse y exportarse en un formato
que pueda importarse al explorador web, como .pfx. Esto se puede realizar con el
programa openssl y el siguiente comando:
# openssl pkcs12 -export -out combined_squirrel.pfx -inkey
key_squirrel.pem -in cert_squirrel.pem -chain -CAfile
/opt/nessus/com/nessus/CA/cacert.pem -passout pass:'SecretWord' -name
'Nessus User Certificate for: squirrel'
El archivo de resultado combined_squirrel.pfx se creará en el directorio desde el
cual se lanzó el comando. Luego, este archivo debe importarse al almacenamiento de
certificados personales del explorador web.
HABILITACIÓN DE CONEXIONES CON SMART CARDS (TARJETAS
INTELIGENTES) O CAC (TARJETAS DE ACCESO COMÚN)
Una vez que se implementó la certificación CA para smart cards (tarjetas inteligentes), CAC
(Tarjetas de acceso común) o de dispositivos similares, deben crearse los usuarios que
correspondan para coincidir en Nessus. En este proceso, los usuarios creados deben
coincidir con los CN utilizados en la tarjeta con la que cada usuario se conectará.
1. En el servidor Nessus, ejecute el comando nessus-mkcert-client.
Linux/Unix: # /opt/nessus/sbin/nessus-mkcert-client
Windows (ejecutar como usuario administrador local): C:\> \Program Files\Tenable\Nessus\nessus-mkcert-client.exe
Copyright © 2002-2012 Tenable Network Security, Inc.
59
2. Complete los campos como se indica. El proceso, en un servidor de Linux/Unix o
Windows, es idéntico. El nombre de usuario debe coincidir con el CN suministrado
por el certificado en la tarjeta.
Do you want to register the users in the Nessus server as soon as you create
their certificates ? [n]: y
----------------------------------------------------------------------------
---
Creation Nessus SSL client Certificate
----------------------------------------------------------------------------
---
This script will now ask you the relevant information to create the SSL
client certificates for Nessus.
Client certificate life time in days [365]:
Your country (two letter code) [US]:
Your state or province name [NY]: MD
Your location (e.g. town) [New York]: Columbia
Your organization []: Content
Your organizational unit []: Tenable
**********
We are going to ask you some question for each client certificate
If some question have a default answer, you can force an empty answer by
entering a single dot '.'
*********
User #1 name (e.g. Nessus username) []: squirrel
Should this user be administrator? [n]: y
Country (two letter code) [US]:
State or province name [MD]:
Location (e.g. town) [Columbia]:
Organization [Content]:
Organizational unit [Tenable]:
e-mail []:
User rules
----------
nessusd has a rules system which allows you to restrict the hosts that
firstuser has the right to test. For instance, you may want him to be
able to scan his own host only.
Please see the nessus-adduser(8) man page for the rules syntax
Enter the rules for this user, and enter a BLANK LINE once you are done:
(the user can have an empty rules set)
User added to Nessus.
Another client certificate? [n]:
Your client certificates are in C:\Users\admin\AppData\Local\Temp\nessus-
0000040e
You will have to copy them by hand
Copyright © 2002-2012 Tenable Network Security, Inc.
60
Los certificados de cliente se crearán en un directorio temporal aleatorio
adecuado según el sistema. El directorio temporal se identificará en la línea que
comience con “Your client certificates are in” (Sus certificados de cliente están
en). Para el uso de la autenticación con tarjeta, no necesita estos certificados y
puede eliminarlos.
3. Una vez creado, un usuario con la tarjeta adecuada puede acceder al servidor Nessus
y autenticarse automáticamente ingresando su PIN o una contraseña similar.
CONEXIÓN CON EXPLORADOR HABILITADO PARA CERTIFICADOS O TARJETAS
Esta información se suministra suponiendo que su explorador está configurado
para la autenticación con certificados SSL. Esto implica que el explorador web
confía adecuadamente en la CA. Consulte los archivos de ayuda u otra
documentación de su explorador para configurar esta función.
El proceso de inicio de sesión de certificado comienza cuando un usuario se conecta a Nessus.
1. Inicie un explorador y diríjase al servidor Nessus.
2. El explorador presentará una lista de las identidades de certificados disponibles entre
las que puede escoger:
Copyright © 2002-2012 Tenable Network Security, Inc.
61
3. Una vez que haya seleccionado un certificado, se le solicitará que ingrese el PIN o
contraseña del certificado (si corresponde) para acceder a su certificado. Una vez
que ingrese el PIN o la contraseña correctamente, el certificado estará disponible
para la sesión actual con Nessus.
4. Al navegar la interfaz web de Nessus, el usuario puede ver brevemente la
pantalla de nombre de usuario y contraseña seguida de un inicio de sesión
automático como el usuario designado. La interfaz de usuario de Nessus puede
usarse normalmente.
Si cierra sesión, verá la pantalla de inicio de sesión estándar de Nessus. Si desea
volver a iniciar sesión con el mismo certificado, actualice su explorador. Si
necesita utilizar otro certificado, debe reiniciar la sesión de su explorador.
NESSUS SIN ACCESO A INTERNET
Esta sección describe los pasos necesarios para registrar el analizador Nessus, instalar el
código de activación y recibir los plugins más recientes cuando su sistema Nessus no cuenta
con acceso directo a Internet.
Los códigos de activación obtenidos durante el proceso sin conexión descrito a
continuación están vinculados con el analizador Nessus usado durante el proceso
de actualización sin conexión. Usted no podrá usar el paquete descargado de
plugins con otro analizador Nessus.
Comience siguiendo las instrucciones proporcionadas por Nessus. Cuando se le pida un
código de activación, ingrese “Offline” (Sin conexión) como se le indica.
GENERACIÓN DE UN CHALLENGE CODE
Usted debe obtener el Activation Code (código de activación) para la Suscripción de Nessus
desde su cuenta de Tenable Support Portal (Portal de soporte de Tenable)-en el caso de
ProfessionalFeed- o en el mensaje de correo electrónico de registro a HomeFeed.
Tenga en cuenta que solo podrá usar un único Activation Code (código de activación) por
analizador, a menos que los analizadores sean administrados por SecurityCenter.
Copyright © 2002-2012 Tenable Network Security, Inc.
62
Una vez que posea el Activation Code (código de activación), ejecute el siguiente comando
en el sistema en el que se ejecute Nessus:
Windows:
C:\Program Files\Tenable\Nessus>nessus-fetch.exe --challenge
Linux y Solaris:
# /opt/nessus/bin/nessus-fetch --challenge
FreeBSD:
# /usr/local/nessus/bin/nessus-fetch --challenge
Mac OS X:
# /Library/Nessus/run/bin/nessus-fetch --challenge
De esta forma se producirá una cadena denominada “challenge code” (código de desafío)
que tiene el siguiente aspecto:
569ccd9ac72ab3a62a3115a945ef8e710c0d73b8
OBTENCIÓN E INSTALACIÓN DE PLUGINS ACTUALIZADOS
Luego visite https://plugins.nessus.org/offline.php y copie y pegue la cadena “challenge”
(desafío), así como el código de activación que recibió anteriormente, en los cuadros de
texto correspondientes:
Copyright © 2002-2012 Tenable Network Security, Inc.
63
Esta acción mostrará una dirección URL que será similar a la captura de pantalla que se
muestra a continuación:
Esta pantalla le brinda acceso para descargar las fuentes de plugins de Nessus más recientes (all-2.0.tar.gz), junto con un enlace al archivo nessus-fetch.rc que está en
la parte inferior de la pantalla.
Guarde esta dirección URL, ya que la usará cada vez que actualice sus plugins,
como se describe a continuación.
No se puede emplear un código de registro usado para actualizaciones sin conexión
en el mismo servidor del analizador Nessus a través de Nessus Server Manager.
Si, en cualquier momento, necesita verificar el código de registro para un analizador específico, puede usar la opción --code-in-use del programa nessus-fetch.
Copie el archivo nessus-fetch.rc en el host en que se ejecuta Nessus, en el siguiente directorio:
Windows:
C:\Program Files\Tenable\Nessus\conf
Linux y Solaris:
/opt/nessus/etc/nessus/
Copyright © 2002-2012 Tenable Network Security, Inc.
64
FreeBSD:
/usr/local/nessus/etc/nessus/
Mac OS X:
/Library/Nessus/run/etc/nessus/
El archivo nessus-fetch-rc solo debe copiarse una vez. Las descargas
posteriores de los plugins de Nessus deberán copiarse en el directorio
correspondiente en cada ocasión, como se describe a continuación.
Tenga en cuenta que, de forma predeterminada, Nessus intentará actualizar sus plugins
cada 24 horas después de que usted lo haya registrado. Si no quiere intentar esta actualización en línea, cambie el parámetro “auto_update” a “no” en el menú
“Configuration” -> “Advanced” (Configuración - > Opciones avanzadas).
Efectúe este paso cada vez que realice una actualización sin conexión de sus plugins.
Una vez descargado, mueva el archivo all-2.0.tar.gz al directorio de Nessus. A
continuación, ordénele a Nessus que procese el archivo de plugins:
Windows:
C:\Program Files\Tenable\Nessus>nessus-update-plugins.exe all-2.0.tar.gz
Unix (modifique la ruta para su instalación): # /opt/nessus/sbin/nessus-update-plugins all-2.0.tar.gz
Una vez procesado, debe reiniciar Nessus para que los cambios entren en vigencia. Consulte
las secciones “Manipulación del servicio de Nessus mediante la CLI de Windows” o “Arranque/Parada
del demonio de Nessus” (Unix) para ver los detalles sobre cómo realizar un reinicio.
Una vez instalados los plugins, no es necesario que conserve el archivo all-2.0.tar.gz.
Sin embargo, Tenable recomienda que conserve la versión más reciente del archivo de
plugins descargado, en caso de que lo necesite nuevamente.
Usted contará ahora con los plugins más recientes que estén disponibles. Cada vez que
desee actualizar sus plugins sin conexión a Internet, debe visitar la dirección URL
proporcionada, obtener el archivo tar/gz, copiarlo en el sistema en el que se ejecute
Nessus, y repetir el proceso anterior.
Copyright © 2002-2012 Tenable Network Security, Inc.
65
USO Y ADMINISTRACIÓN DE NESSUS DESDE LA LÍNEA DE
COMANDOS
DIRECTORIOS PRINCIPALES DE NESSUS
La siguiente tabla enumera la ubicación de la instalación y los directorios principales usados
por Nessus en *nix/Linux:
Directorio principal
de Nessus Subdirectorios de Nessus Objetivo
Distribuciones de Unix
Red Hat, SuSE,
Debian, Ubuntu,
Solaris: /opt/nessus
./etc/nessus/ Archivos de
configuración
./var/nessus/users/<username>/kbs/ Base de conocimiento
del usuario guardada
en el disco
FreeBSD: /usr/local/nessus
./lib/nessus/plugins/ Plugins de Nessus
Mac OS X: /Library/Nessus/run
./var/nessus/logs/ Archivos de registro
de Nessus
La siguiente tabla enumera la ubicación de la instalación y los directorios principales usados
por Nessus en Windows:
Directorio principal de
Nessus Subdirectorios de Nessus Objetivo
Windows
\Program
Files\Tenable\Nessus \conf Archivos de
configuración
\data Plantillas de hojas de
estilo
\nessus\plugins Plugins de Nessus
\nessus\users\<username>\kbs Base de conocimiento
del usuario guardada
en el disco
\nessus\logs Archivos de registro de
Nessus
Copyright © 2002-2012 Tenable Network Security, Inc.
66
CREACIÓN Y ADMINISTRACIÓN DE USUARIOS DE NESSUS CON LIMITACIONES
DE CUENTA
Un único analizador Nessus puede admitir una organización compleja de varios usuarios. Por
ejemplo, es posible que una organización necesite que varios miembros del personal tengan
acceso al mismo analizador Nessus pero tengan la capacidad de analizar diferentes
intervalos IP, y permitir que solo algunos miembros del personal tengan acceso a intervalos
IP restringidos.
El siguiente ejemplo destaca la creación de un segundo usuario de Nessus mediante reglas
de usuario y autenticación de contraseña que lo restringen a analizar una subred clase B,
172.20.0.0/16. Para obtener más ejemplos y la sintaxis de las reglas de usuario, consulte las man pages (páginas de manual) correspondientes a nessus-adduser.
# /opt/nessus/sbin/nessus-adduser
Login : tater-nessus
Login password :
Login password (again) :
Do you want this user to be a Nessus 'admin' user ? (can upload plugins,
etc...) (y/n) [n]: y
User rules
----------
nessusd has a rules system which allows you to restrict the hosts
that tater-nessus has the right to test. For instance, you may want
him to be able to scan his own host only.
Please see the nessus-adduser manual for the rules syntax
Enter the rules for this user, and enter a BLANK LINE once you are done :
(the user can have an empty rules set)
accept 172.20.0.0/16
deny 0.0.0.0/0
Login : tater-nessus
Password : ***********
This user will have 'admin' privileges within the Nessus server
Rules :
accept 172.20.0.0/16
deny 0.0.0.0/0
Is that ok ? (y/n) [y] y
User added
Para ver la man page (página de manual) de nessus-adduser(8), en algunos
sistemas operativos es posible que deba ejecutar los siguientes comandos:
# export MANPATH=/opt/nessus/man
# man nessus-adduser
Copyright © 2002-2012 Tenable Network Security, Inc.
67
OPCIONES DE LÍNEAS DE COMANDOS DE NESSUSD
Además de ejecutar el servidor nessusd, existen varias opciones de líneas de comandos que
se pueden usar según resulte necesario. La siguiente tabla contiene información sobre los
distintos comandos opcionales.
Opción Descripción
-c <config-file> Al iniciar el servidor nessusd, esta opción se emplea para
especificar el archivo de configuración nessusd del servidor que
se usará. Posibilita el uso de un archivo de configuración alternativo en lugar del /opt/nessus/etc/nessus/nessusd.db
estándar (o /usr/local/nessus/etc/nessus/nessusd.db para
FreeBSD).
-a <address> Al iniciar el servidor nessusd, esta opción se emplea para
indicar al servidor que solo escuche las conexiones en la dirección <address> que sea una IP, no un nombre de equipo.
Esta opción resulta útil si usted ejecuta nessusd en una puerta
de enlace, y si no desea que personas ajenas se conecten con su nessusd.
-S <ip[,ip2,...]> Al iniciar el servidor nessusd, fuerza la IP de origen de las
conexiones establecidas por Nessus durante el análisis a <ip>.
Esta opción solo es de utilidad si usted tiene un equipo de
múltiples hosts con varias direcciones IP públicas que desea
usar en lugar de la dirección predeterminada. Para que funcione esta configuración, el host en el que se ejecute nessusd debe
contar con varias NIC en las que estén establecidas estas
direcciones IP.
-p <port-number> Al iniciar el servidor nessusd, esta opción le indicará al servidor
que escuche las conexiones con el cliente en el puerto <port-
number> en lugar de escucharlas en el puerto 1241, que es el
predeterminado.
-D Al iniciar el servidor nessusd, esta opción hará que el servidor
se ejecute en segundo plano (modo demonio).
-v Muestra el número de la versión y cierra.
-l Muestra la información de licencia de la fuente de los plugins y
cierra.
-h Muestra un resumen de los comandos y cierra.
--ipv4-only Solo escucha en el socket IPv4.
--ipv6-only Solo escucha en el socket IPv6.
-q Funciona en modo “silencioso”, con lo cual se suprimen todos los mensajes a stdout.
Copyright © 2002-2012 Tenable Network Security, Inc.
68
-R Fuerza el reprocesamiento de los plugins.
-t Comprueba la marca de tiempo de cada plugin al iniciarse para
solo compilar los plugins recientemente actualizados.
-K Establece la contraseña maestra para el analizador.
Si se establece una contraseña maestra, Nessus cifrará todas las directivas y toda
credencial contenida en ellas con la clave suministrada por el usuario (considerablemente
más segura que la clave predeterminada). Si se establece una contraseña, la interfaz web
se la solicitará durante el inicio.
ADVERTENCIA: si se estableció la contraseña maestra y se extravió, ni su
administrador ni la Asistencia técnica de Tenable podrán recuperarla.
A continuación se indica un ejemplo de uso:
Linux:
# /opt/nessus/sbin/nessus-service [-vhD] [-c <config-file>] [-p <port-
number>] [-a <address>] [-S <ip[,ip,...]>]
FreeBSD:
# /usr/local/nessus/sbin/nessus-service [-vhD] [-c <config-file>] [-p <port-
number>] [-a <address>] [-S <ip[,ip,...]>]
MANIPULACIÓN DEL SERVICIO NESSUS POR MEDIO DE LA INTERFAZ DE LA
LÍNEA DE COMANDOS (CLI) DE WINDOWS
Nessus también puede iniciarse o detenerse desde la línea de comandos. Tenga en cuenta
que la ventana de comandos debe abrirse con privilegios de administrador:
C:\Windows\system32>net stop "Tenable Nessus"
The Tenable Nessus service is stopping.
The Tenable Nessus service was stopped successfully.
C:\Windows\system32>net start "Tenable Nessus"
The Tenable Nessus service is starting.
The Tenable Nessus service was started successfully.
C:\Windows\system32>
Copyright © 2002-2012 Tenable Network Security, Inc.
69
TRABAJO CON SECURITYCENTER
DESCRIPCIÓN GENERAL DE SECURITYCENTER
Tenable SecurityCenter es una consola de administración web que unifica el proceso de
detección y administración de vulnerabilidades, la administración de eventos y registros, la
supervisión de compatibilidades y la generación de informes sobre todo lo anterior.
SecurityCenter permite la comunicación eficaz de eventos de seguridad a los equipos de TI,
administración y auditoría.
SecurityCenter admite el uso de varios analizadores Nessus en conjunto para analizar redes
de prácticamente cualquier tamaño, en forma periódica. Mediante Nessus API (una
implementación personalizada del protocolo XML-RPC), SecurityCenter se comunica con los
analizadores Nessus relacionados para enviar instrucciones de análisis y recibir resultados.
SecurityCenter habilita a varios usuarios y administradores, con distintos niveles de
seguridad, a compartir información sobre vulnerabilidades, establecer prioridades entre
ellas, mostrar qué recursos de red sufren problemas de seguridad críticos, ofrecer
recomendaciones a los administradores del sistema para resolver estos problemas de
seguridad, y observar cuándo se mitigan las vulnerabilidades. SecurityCenter también
recibe datos provenientes de muchos sistemas líderes para la detección de intrusos, tales
como Snort e ISS, a través del Log Correlation Engine (Motor de correlación de registro).
SecurityCenter también puede recibir información pasiva sobre vulnerabilidades desde el
Passive Vulnerability Scanner (Analizador de vulnerabilidades pasivo) de Tenable, de modo
que los usuarios finales puedan descubrir nuevos hosts, aplicaciones, vulnerabilidades e
intrusos sin la necesidad de realizar análisis activos mediante Nessus.
CONFIGURACIÓN DE SECURITYCENTER 4.0-4.2 PARA TRABAJAR CON
NESSUS
Se puede añadir un servidor “Nessus Server” mediante la interfaz de administración de
SecurityCenter. Con ella, SecurityCenter se puede configurar para obtener acceso y
controlar prácticamente cualquier analizador Nessus. Haga clic en la ficha “Resources”
(Recursos), y luego en “Nessus Scanners” (Analizadores Nessus). Haga clic en “Add”
(Agregar) para abrir el cuadro de diálogo “Add Scanner” (Agregar analizador). Se requiere
la dirección IP del analizador Nessus, el puerto de Nessus (predeterminado: 1241), la
identificación de inicio de sesión administrativo, el tipo de autenticación y la contraseña
(creada mientras configuraba Nessus). Los campos de contraseña no se encuentran
disponibles si se seleccionó la autenticación “SSL Certificate” (Certificado SSL). Además, se
pueden seleccionar las Zonas a las que se asignará el analizador Nessus.
Copyright © 2002-2012 Tenable Network Security, Inc.
70
A continuación se muestra una captura de pantalla de un ejemplo de la página “Add
Scanner” (Agregar analizador) de SecurityCenter:
Después de añadir correctamente el analizador, aparecerá la siguiente página tras la
selección del analizador:
Para obtener más información, consulte la “Guía de administración de SecurityCenter”.
CONFIGURACIÓN DE SECURITYCENTER 4.4 PARA TRABAJAR CON NESSUS
La interfaz de administración SecurityCenter se utiliza para configurar el acceso y el control
de cualquier analizador Nessus de versiones 4.2.x o superiores. Haga clic en la ficha
“Resources” (Recursos), y luego en “Nessus Scanners” (Analizadores Nessus).
Haga clic en “Add” (Agregar) para abrir el cuadro de diálogo “Add Scanner” (Agregar
analizador). Se requiere la dirección IP del analizador Nessus o nombre de host, el puerto
de Nessus (predeterminado: 8834), el tipo de autenticación (creada mientras configuraba
Nessus), la identificación de inicio de sesión administrativo y la contraseña o información de
certificados. Los campos de contraseña no se encuentran disponibles si se seleccionó la
autenticación “SSL Certificate” (Certificado SSL). La capacidad de verificar el nombre de
host se incluye para comprobar el CommonName (CN) (Nombre común) del certificado SSL
presentado por el servidor Nessus. El estado del analizador Nessus puede configurarse como
Enabled (Habilitado) o Disabled (Deshabilitado) según sea necesario, pero el
predeterminado es Enabled (Habilitado). Se pueden seleccionar Zonas a las que puede
asignarse el analizador Nessus.
Copyright © 2002-2012 Tenable Network Security, Inc.
71
A continuación se muestra una captura de pantalla de un ejemplo de la página “Add
Scanner” de SecurityCenter 4.4:
Después de agregar correctamente el analizador, se mostrará el siguiente banner:
Para obtener más información acerca de cómo integrar Nessus y SecurityCenter, consulte la
“Guía de administración de SecurityCenter”.
Firewalls basados en hosts Si su servidor Nessus está configurado con un firewall local como ZoneAlarm, Sygate,
BlackICE, el firewall de Windows XP o cualquier otro software de firewall, es necesario que
se abran las conexiones desde la dirección IP del SecurityCenter.
De manera predeterminada se utiliza el puerto 8834. En los sistemas Microsoft XP Service
Pack 2 (SP2) y posteriores, hacer clic en el icono “Security Center” (Security Center)
que se encuentra en “Control Panel” (Panel de control), le da al usuario la oportunidad
de administrar la configuración del “Windows Firewall” (Cortafuegos de Windows). Para abrir
el puerto 8834, seleccione la ficha “Exceptions” (Excepciones) y luego añada el puerto
“8834” a la lista.
Si SecurityCenter está utilizando el protocolo NTP desactualizado en lugar del
puerto 1241, los comandos anteriores utilizarán 1241 en lugar de 8834.
Copyright © 2002-2012 Tenable Network Security, Inc.
72
SOLUCIÓN DE PROBLEMAS DE NESSUS WINDOWS
PROBLEMAS DE INSTALACIÓN/ACTUALIZACIÓN
Problema: el registro nessusd.messages indica que se inició nessusd, pero no es
así.
Solución: el mensaje “nessusd <version> started” (nessusd <versión> se inició) solo indica
que se ejecutó el programa nessusd. El mensaje “nessusd is ready” (nessusd está listo) indica
que el servidor Nessus se encuentra en ejecución y listo para aceptar conexiones.
Problema: recibo el siguiente error al intentar instalar Nessus Windows:
“1607: Unable to install InstallShield Scripting Runtime”
Solución: este código de error se puede producir si el servicio Windows Management
Instrumentation (Instrumental de administración de Windows) (WMI) fue deshabilitado por
algún motivo. Verifique que el servicio se encuentre en ejecución.
Si el servicio WMI está ejecutándose, puede tratarse de un problema entre la configuración
del sistema operativo Microsoft Windows y el producto InstallShield que se usa para instalar y
quitar Nessus Windows. Existen artículos de la base de conocimiento, tanto de Microsoft como
de InstallShield, que describen en detalle las posibles causas y soluciones del problema.
> Artículo de la base de conocimiento de Microsoft, identificación 910816:
http://support.microsoft.com/?scid=kb;en-us;910816
> Artículo de la base de conocimiento de InstallShield, identificación Q108340: http://consumer.installshield.com/kb.asp?id=Q108340
PROBLEMAS DE ANÁLISIS
Problema: no puedo analizar a través de mi conexión PPP o PPTP.
Solución: actualmente no se admite esta opción. En futuras versiones de Nessus Windows
se incluirá esta funcionalidad.
Problema: un análisis de virus de mi sistema informa una gran cantidad de virus
en Nessus Windows.
Solución: algunas aplicaciones antivirus pueden indicar que algunos de los plugins de
Nessus son virus. Excluya el directorio de plugins de los análisis de virus, ya que en este
directorio no hay programas ejecutables.
Problema: cuando analizo un dispositivo inusual, como una controladora RAID, el
análisis se anula porque Nessus la detecta como impresora.
Solución: deshabilite la opción “Safe Checks” (Comprobaciones seguras) en la directiva de
análisis antes de analizar el dispositivo. El análisis de una impresora normalmente requerirá que
esta se reinicie; por lo tanto, cuando está establecida la opción “Safe Checks” (Comprobaciones
seguras), los dispositivos que se identifiquen como impresoras no se analizarán.
Copyright © 2002-2012 Tenable Network Security, Inc.
73
Problema: aparentemente, los análisis SYN no esperan a que se establezca la
conexión con los puertos en Nessus Windows.
Solución: esto es correcto en lo que respecta al hecho de que el análisis SYN no establece
una conexión TCP total. Sin embargo, no cambia los resultados del análisis.
Problema: al realizar un análisis ¿qué factores afectan el rendimiento al ejecutar
Nessus Windows en un sistema Windows XP?
Solución: Microsoft ha incorporado cambios a Windows XP Service Pack 2 y 3 (Home y Pro)
que pueden afectar el rendimiento de Nessus Windows y producir falsos negativos. La pila
de TCP/IP ahora limita la cantidad de intentos incompletos simultáneos de conexión TCP
saliente. Una vez alcanzado el límite, los intentos de conexión subsiguientes se colocan en
una cola y se resuelven a una velocidad fija (10 por segundo). Si ingresan demasiados en la
cola, es posible que se eliminen. Para obtener más información, consulte la siguiente página
de Microsoft TechNet:
http://technet.microsoft.com/en-us/library/bb457156.aspx
El efecto que produce en los análisis de Nessus en Windows XP son los posibles falsos
negativos, ya que XP solo permite 10 conexiones nuevas incompletas por segundo (en un
estado SYN). Para lograr mayor precisión se recomienda que, en un sistema Windows XP, la
opción de aceleración de análisis de puertos de Nessus esté establecida en los siguientes
valores, los cuales se encuentran en la configuración de análisis individual para cada
directiva de análisis:
Max number of hosts: 10
Max number of security checks: 4
Para lograr un mayor rendimiento y confiabilidad de análisis, se recomienda muy
especialmente que Nessus Windows se instale en un servidor que pertenezca a la familia de
Microsoft Windows, como Windows Server 2003 o Windows Server 2008.
Copyright © 2002-2012 Tenable Network Security, Inc.
74
PARA OBTENER MÁS INFORMACIÓN
Tenable ha confeccionado una variedad de otros documentos que detallan la
implementación, configuración, operación del usuario y pruebas generales de Nessus. Estos
se incluyen aquí:
> Nessus User Guide (Guía del usuario de Nessus): instrucciones sobre cómo
configurar y operar la interfaz de usuario de Nessus.
> Nessus Credential Checks for Unix and Windows (Comprobaciones con
credenciales de Nessus para Unix y Windows): información sobre cómo llevar a
cabo análisis de red autenticados mediante el analizador de vulnerabilidades Nessus.
> Nessus Compliance Checks (Comprobaciones de compatibilidad con Nessus):
guía de alto nivel para comprender y ejecutar las comprobaciones de compatibilidad con
Nessus y SecurityCenter.
> Nessus Compliance Checks Reference (Referencia para comprobaciones de
compatibilidad con Nessus): guía completa de la sintaxis de las comprobaciones de
compatibilidad con Nessus.
> Nessus v2 File Format (Formato de archivo de Nessus v2): describe la estructura del formato de archivo .nessus, que se presentó con Nessus 3.2 y NessusClient 3.2.
> Nessus XML-RPC Protocol Specification (Especificación del protocolo XML-RPC
en Nessus): describe la interfaz y el protocolo XML-RPC en Nessus.
> Real-Time Compliance Monitoring (Supervisión de compatibilidad en tiempo
real): describe el modo en que pueden usarse las soluciones de Tenable para colaborar
con el cumplimiento de distintos tipos de normas gubernamentales y financieras.
> Guía de administración de SecurityCenter
Estos son otros recursos en línea:
> Foro de debate de Nessus: https://discussions.nessus.org/
> Blog de Tenable: http://blog.tenable.com/
> Podcast de Tenable: http://blog.tenablesecurity.com/podcast/
> Videos de ejemplos de uso: http://www.youtube.com/user/tenablesecurity
> Canal de Twitter de Tenable: http://twitter.com/tenablesecurity
No dude en comunicarse con Tenable a través de [email protected] o [email protected], o
bien visite nuestro sitio web http://www.tenable.com/.
Copyright © 2002-2012 Tenable Network Security, Inc.
75
DECLARACIONES SOBRE LICENCIAS QUE NO PERTENECEN
A TENABLE
A continuación encontrará paquetes de software de terceros que Tenable proporciona para
que sean usados con Nessus. Todo componente de terceros que no posea la marca de
derechos de autor de Tenable se encuentra sujeto a otras condiciones de licencia que se
especifican en la documentación.
Los complementos de terceros se consideran “Complementos de detección de
vulnerabilidades” y se abordan de la siguiente forma:
La Sección 1 (a) del Acuerdo de licencia de Nessus indica:
Todos aquellos complementos o componentes que no posean la marca de derechos de autor
de Tenable no se considerarán Complementos según lo definido en el presente Acuerdo de
suscripción, y se encuentran sujetos a otras condiciones de licencia.
La Sección 1 (b) (i) del Acuerdo de licencia de Nessus indica:
La Suscripción incluye programas de detección de vulnerabilidades no desarrollados por
Tenable ni sus licenciantes, a cuya licencia usted tendrá acceso en virtud de acuerdos
independientes. Los términos y condiciones del presente Acuerdo de suscripción no rigen los
mencionados programas de detección de vulnerabilidades.
Existen porciones de este software de seguridad de redes de Tenable que pueden emplear
el siguiente material protegido por derechos de autor, el uso del cual se reconoce mediante
el presente:
Partes - Copyright (c) 1997-2008 University of Cambridge (libpcre)
La redistribución y el uso en formas binarias o de códigos fuente, con o sin modificaciones,
se encuentran permitidas siempre que se satisfagan las siguientes condiciones:
Las redistribuciones del código fuente deben conservar el aviso de derechos de autor
indicado, esta lista de condiciones, y la siguiente exención de responsabilidad.
Las redistribuciones en forma binaria deben reproducir el aviso de derechos de autor
indicado, esta lista de condiciones y la siguiente exención de responsabilidad en la
documentación o demás materiales que se brinden con la distribución.
No podrán usarse el nombre de la University of Cambridge (Universidad de
Cambridge) ni el nombre de Google Inc., y tampoco los nombres de sus
colaboradores, para respaldar o promover productos derivados del presente software
sin que medie previamente un permiso específico por escrito.
LOS TITULARES DE LOS DERECHOS DE AUTOR Y SUS COLABORADORES PROPORCIONAN
EL PRESENTE SOFTWARE “EN SU ESTADO ACTUAL” Y NO SE OFRECE NINGÚN TIPO DE
GARANTÍAS, NI EXPLÍCITAS NI IMPLÍCITAS, ENTRE LAS QUE SE INCLUYEN, SIN
LIMITACIÓN, LAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD Y APTITUD PARA UN FIN
DETERMINADO. EN NINGUNA CIRCUNSTANCIA, NI EL PROPIETARIO DE LOS DERECHOS DE
AUTOR NI SUS COLABORADORES SERÁN RESPONSABLES EN CASO DE DAÑOS DIRECTOS,
INDIRECTOS, INCIDENTALES, ESPECIALES, PUNITIVOS O EMERGENTES (ENTRE LOS QUE
Copyright © 2002-2012 Tenable Network Security, Inc.
76
SE INCLUYEN, SIN LIMITACIÓN, LA ADQUISICIÓN DE BIENES O SERVICIOS SUBSTITUTOS,
LA PÉRDIDA DE LA CAPACIDAD DE USO, DATOS O GANANCIAS, O LA INTERRUPCIÓN DE
LAS ACTIVIDADES COMERCIALES) INDEPENDIENTEMENTE DE SUS CAUSAS Y EN FUNCIÓN
DE CUALQUIER TEORÍA DE RESPONSABILIDAD, YA SEA POR CONTRATO,
RESPONSABILIDAD OBJETIVA O PERJUICIO (ENTRE LOS QUE SE INCLUYE LA NEGLIGENCIA
U OTROS) QUE SURJAN POR CUALQUIER MOTIVO DEL USO DEL PRESENTE SOFTWARE,
AUN SI SE INFORMASE DE LA POSIBILIDAD DE DICHOS DAÑOS.
Partes - Copyright (c) 2000 The NetBSD Foundation, Inc. Todos los derechos reservados.
NETBSD FOUNDATION, INC. Y SUS COLABORADORES PROPORCIONAN EL PRESENTE
SOFTWARE “EN SU ESTADO ACTUAL” Y NO SE OFRECE NINGÚN TIPO DE GARANTÍAS, NI
EXPLÍCITAS NI IMPLÍCITAS, ENTRE LAS QUE SE INCLUYEN, SIN LIMITACIÓN, LAS
GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD Y APTITUD PARA UN FIN DETERMINADO.
EN NINGUNA CIRCUNSTANCIA, NI LA FUNDACIÓN NI SUS COLABORADORES SERÁN
RESPONSABLES EN CASO DE DAÑOS DIRECTOS, INDIRECTOS, INCIDENTALES,
ESPECIALES, PUNITIVOS O EMERGENTES (ENTRE LOS QUE SE INCLUYEN, SIN LIMITACIÓN,
LA ADQUISICIÓN DE BIENES O SERVICIOS SUBSTITUTOS, LA PÉRDIDA DE LA CAPACIDAD
DE USO, DATOS O GANANCIAS, O LA INTERRUPCIÓN DE LAS ACTIVIDADES COMERCIALES)
INDEPENDIENTEMENTE DE SUS CAUSAS Y EN FUNCIÓN DE CUALQUIER TEORÍA DE
RESPONSABILIDAD, YA SEA POR CONTRATO, RESPONSABILIDAD OBJETIVA O PERJUICIO
(ENTRE LOS QUE SE INCLUYE LA NEGLIGENCIA U OTROS) QUE SURJAN POR CUALQUIER
MOTIVO DEL USO DEL PRESENTE SOFTWARE, AUN SI SE INFORMASE DE LA POSIBILIDAD
DE DICHOS DAÑOS.
Partes - Copyright (c) 1995-1999 Kungliga Tekniska Hogskolan (Instituto Real de
Tecnología, Estocolmo, Suecia). Todos los derechos reservados.
EL INSTITUTO Y SUS COLABORADORES PROPORCIONAN EL PRESENTE SOFTWARE “EN SU
ESTADO ACTUAL” Y NO SE OFRECE NINGÚN TIPO DE GARANTÍAS, NI EXPLÍCITAS NI
IMPLÍCITAS, ENTRE LAS QUE SE INCLUYEN, SIN LIMITACIÓN, LAS GARANTÍAS IMPLÍCITAS
DE COMERCIABILIDAD Y APTITUD PARA UN FIN DETERMINADO. EN NINGUNA
CIRCUNSTANCIA, NI EL INSTITUTO NI SUS COLABORADORES SERÁN RESPONSABLES EN
CASO DE DAÑOS DIRECTOS, INDIRECTOS, INCIDENTALES, ESPECIALES, PUNITIVOS O
EMERGENTES (ENTRE LOS QUE SE INCLUYEN, SIN LIMITACIÓN, LA ADQUISICIÓN DE
BIENES O SERVICIOS SUBSTITUTOS, LA PÉRDIDA DE LA CAPACIDAD DE USO, DATOS O
GANANCIAS O LA INTERRUPCIÓN DE LAS ACTIVIDADES COMERCIALES),
INDEPENDIENTEMENTE DE SUS CAUSAS Y EN FUNCIÓN DE CUALQUIER TEORÍA DE
RESPONSABILIDAD, YA SEA POR CONTRATO, RESPONSABILIDAD OBJETIVA O PERJUICIO
(ENTRE LOS QUE SE INCLUYE LA NEGLIGENCIA U OTROS) QUE SURJAN POR CUALQUIER
MOTIVO DEL USO DEL PRESENTE SOFTWARE, AUN SI SE INFORMASE DE LA POSIBILIDAD
DE DICHOS DAÑOS.
Partes - Copyright (c) 1998, 1999, 2000 Thai Open Source Software Center Ltd and Clark
Cooper
Partes - Copyright (c) 2001, 2002, 2003, 2004, 2005, 2006 Expat maintainers.
EL PRESENTE SOFTWARE SE PROPORCIONA “EN SU ESTADO ACTUAL” Y NO SE OFRECE
NINGÚN TIPO DE GARANTÍAS, NI EXPLÍCITAS NI IMPLÍCITAS, ENTRE LAS QUE SE
INCLUYEN, SIN LIMITACIÓN, LAS GARANTÍAS DE COMERCIABILIDAD, APTITUD PARA UN
FIN DETERMINADO Y NO INFRACCIÓN. EN NINGUNA CIRCUNSTANCIA, NI LOS AUTORES NI
Copyright © 2002-2012 Tenable Network Security, Inc.
77
LOS TITULARES DE LOS DERECHOS DE AUTOR SE CONSIDERARÁN RESPONSABLES EN
CASO DE RECLAMOS, DAÑOS U OTRO TIPO DE RESPONSABILIDAD, POR UNA ACCIÓN
CONTRACTUAL, UN PERJUICIO O ALGÚN OTRO MOTIVO, YA SEA QUE SURJAN DEL
SOFTWARE O DEL USO DE ESTE U OTRAS ACTIVIDADES REALIZADAS CON ESTE, O BIEN
SE ENCUENTREN RELACIONADOS CON ESTE.
Este producto incluye software desarrollado por el OpenSSL Project (Proyecto OpenSSL)
para que se use en el Kit de herramientas OpenSSL. (http://www.openssl.org/) Copyright (c)
1998-2007 The OpenSSL Project. Todos los derechos reservados.
THE OpenSSL PROJECT PROPORCIONA EL PRESENTE SOFTWARE “EN SU ESTADO ACTUAL”
Y NO SE OFRECE NINGÚN TIPO DE GARANTÍAS, NI EXPLÍCITAS NI IMPLÍCITAS, ENTRE LAS
QUE SE INCLUYEN, SIN LIMITACIÓN, LAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD Y
APTITUD PARA UN FIN DETERMINADO. EN NINGUNA CIRCUNSTANCIA, NI THE OpenSSL
PROJECT NI SUS COLABORADORES SERÁN RESPONSABLES EN CASO DE DAÑOS
DIRECTOS, INDIRECTOS, INCIDENTALES, ESPECIALES, PUNITIVOS O EMERGENTES (ENTRE
LOS QUE SE INCLUYEN, SIN LIMITACIÓN, LA ADQUISICIÓN DE BIENES O SERVICIOS
SUBSTITUTOS, LA PÉRDIDA DE LA CAPACIDAD DE USO, DATOS O GANANCIAS, O LA
INTERRUPCIÓN DE LAS ACTIVIDADES COMERCIALES), INDEPENDIENTEMENTE DE SUS
CAUSAS Y EN FUNCIÓN DE CUALQUIER TEORÍA DE RESPONSABILIDAD, YA SEA POR
CONTRATO, RESPONSABILIDAD OBJETIVA O PERJUICIO (ENTRE LOS QUE SE INCLUYE LA
NEGLIGENCIA U OTROS) QUE SURJAN POR CUALQUIER MOTIVO DEL USO DEL PRESENTE
SOFTWARE, AUN SI SE INFORMASE DE LA POSIBILIDAD DE DICHOS DAÑOS.
Partes - Copyright (C) 1998-2003 Daniel Veillard. Todos los derechos reservados.
Por el presente se concede autorización, de forma gratuita, a cualquier persona que obtenga
una copia de este software y archivos de documentación relacionados (el "Software") a
realizar actividades con el Software sin restricción alguna, lo cual incluye, sin limitación, los
derechos de usar, copiar, modificar, fusionar, publicar, distribuir, sublicenciar o vender
copias del Software, y a permitir a las personas a las que se les proporcione el software
realizar dichas acciones, con las siguientes condiciones:
El aviso de derechos de autor indicado y el presente aviso de autorización se incluirán en
todas las copias o partes considerables del Software.
EL PRESENTE SOFTWARE SE PROPORCIONA “EN SU ESTADO ACTUAL” Y NO SE OFRECE
NINGÚN TIPO DE GARANTÍAS, NI EXPLÍCITAS NI IMPLÍCITAS, ENTRE LAS QUE SE
INCLUYEN, SIN LIMITACIÓN, LAS GARANTÍAS DE COMERCIABILIDAD, APTITUD PARA UN
FIN DETERMINADO Y NO INFRACCIÓN. EN NINGUNA CIRCUNSTANCIA DANIEL VEILLARD SE
CONSIDERARÁ RESPONSABLE EN CASO DE RECLAMOS, DAÑOS U OTRO TIPO DE
RESPONSABILIDAD, POR UNA ACCIÓN CONTRACTUAL, UN PERJUICIO O ALGÚN OTRO
MOTIVO, YA SEA QUE SURJAN DEL SOFTWARE O DEL USO DE ESTE U OTRAS ACTIVIDADES
REALIZADAS CON ÉL, O BIEN SE ENCUENTREN RELACIONADOS CON ESTE.
Partes - Copyright (C) 2001-2002 Thomas Broyer, Charlie Bozeman y Daniel Veillard.
Todos los derechos reservados.
Por el presente se concede autorización, de forma gratuita, a cualquier persona que obtenga
una copia de este software y archivos de documentación relacionados (el "Software") a
Copyright © 2002-2012 Tenable Network Security, Inc.
78
realizar actividades con el Software sin restricción alguna, lo cual incluye, sin limitación, los
derechos de usar, copiar, modificar, fusionar, publicar, distribuir, sublicenciar o vender
copias del Software, y a permitir a las personas a las que se les proporcione el software
realizar dichas acciones, con las siguientes condiciones:
El aviso de derechos de autor indicado y el presente aviso de autorización se incluirán en
todas las copias o partes considerables del Software.
EL PRESENTE SOFTWARE SE PROPORCIONA “EN SU ESTADO ACTUAL” Y NO SE OFRECE
NINGÚN TIPO DE GARANTÍAS, NI EXPLÍCITAS NI IMPLÍCITAS, ENTRE LAS QUE SE
INCLUYEN, SIN LIMITACIÓN, LAS GARANTÍAS DE COMERCIABILIDAD, APTITUD PARA UN
FIN DETERMINADO Y NO INFRACCIÓN. EN NINGUNA CIRCUNSTANCIA LOS AUTORES SE
CONSIDERARÁN RESPONSABLES EN CASO DE RECLAMOS, DAÑOS U OTRO TIPO DE
RESPONSABILIDAD, POR UNA ACCIÓN CONTRACTUAL, UN PERJUICIO O ALGÚN OTRO
MOTIVO, YA SEA QUE SURJAN DEL SOFTWARE O DEL USO DE ESTE U OTRAS ACTIVIDADES
REALIZADAS CON ÉL, O BIEN SE ENCUENTREN RELACIONADOS CON ESTE.
Copyright © 2002-2012 Tenable Network Security, Inc.
79
ACERCA DE TENABLE NETWORK SECURITY
Tenable Network Security, líder en Supervisión de seguridad unificada, es el proveedor del
analizador de vulnerabilidades Nessus, y ha creado soluciones de clase empresarial sin agente
para la supervisión continua de vulnerabilidades, puntos débiles de configuración, filtración de
datos, administración de registros y detección de compromisos para ayudar a garantizar la
seguridad de redes y la compatibilidad con FDCC, FISMA, SANS CAG y PCI. Los galardonados
productos de Tenable son utilizados por muchas organizaciones de la lista Forbes Global 2000 y
organismos gubernamentales con el fin de minimizar de forma proactiva el riesgo de las redes.
Para obtener más información, visite http://www.tenable.com/.
Tenable Network Security, Inc.
7063 Columbia Gateway Drive
Suite 100
Columbia, MD 21046, EE. UU.
410.872.0555 www.tenable.com