Instalar y actualizar Nessus en sistemas operativos Windows y Linux para analizar vulnerabilidades. La práctica describe los pasos para instalar Nessus en ambos sistemas, crear usuarios, actualizar plugins de seguridad y ejecutar escaneos de vulnerabilidades.
Practica 4 - Instalación y Actualización de Nessus
1. INSTITUTO TECNOLOGICO DE TUXTEPEC
Departamento de Sistemas y Computación
Formato para prácticas de Laboratorio
Carrera
Plan de
estudios
Ing. Informática
Clave de
la
materia
Nombre de la
materia
TWM1301
Auditoría en
Seguridad
Informática
2010
Practica No.
4
Laboratorio
de:
L5
Semestre
Gpo
Periodo
7
A
Ag-Dic/2013
Nombre de la práctica
Nessus : Instalación en Linux y Windows
Duración
(Hora)
4 Hrs.
1.- Enunciado
Instalar y actualizar los plugisn de seguridad de Nessus al menos dos de los sistemas operativos.
2.- Introducción
Nessus es el programa de auditoría mas prestigiado a al ahora de hacer un análisis de
vulnerabilidades. Posee un gran número de plug-ins no solo diseñados por la empresa, si no por la
gente que fue creando actualizaciones y mecanismos para lograr un análisis mas efectivo. La
manera de trabajar es de cliente servidor; el servidor tiene que ser Unix, y el cliente puede ser tanto
Linux como Windows.
3.- Objetivo (Competencia)
Instalar, Actualizar y Análizr Vulnerabilidades con Nessus en Sistemas Operativos Windows y
Linux.
4.- Fundamento
5.- Descripción (Procedimiento)
A)
Equipo necesario
•
•
•
•
Computadora de escritorio con Sistema
Oeprativo Linux o Windows, libre office
Archivo Instalador de Nessus.
Navegador Mozilla Firefox, IE o Google
Chrome.
Proyector.
Material de apoyo
•
•
•
Apuntes de la materia correspondientes a la
Unidad 3.
Manual de Instalación de Nessus.
Reporte de práctica de laboratorio.
2. INSTITUTO TECNOLOGICO DE TUXTEPEC
Departamento de Sistemas y Computación
Formato para prácticas de Laboratorio
B) Desarrollo de la práctica
1. Dependiendo del Sistema Operativo que estés Manejando Instala Nessus de acuerdo al
manual
de
instalación
que
podrás
encontrar
en
la
siguiente
liga:
http://static.tenable.com/documentation/nessus_5.0_installation_guide.pdf
2. Si la instalación la vas a realizar en un sistema operativo correspondiente a alguna distro de
Linux basada en Debian y tienes el archivo .deb para la instalación de Nessus, puedes
ejecutar desde la consola la siguiente opción para cargar los paquetes de Nessus:
sudo apt-get install instalador_nesus.deb
3. Generalemente los archivos de Nessus se instalan en la siguiente dirección: /opt/nessus
4. Despues resta comenzar a configurar via consola las opciones del programa para poder
terminar de instalarlo, por lo que via consola debes entrar a la siguiente dirección, para poder
ejecutar el archivo nessus-adduser:
/opt/nessus/sbin
5. Una vez que entraste al directorio sbin: ejecutas el archivo de la siguiente manera:
./nessus-adduser
6. Presionas la tecla Intro y te pedirá los datos para crear una cuenta de usuario, asegurate de
recordar bien el nombre de usuario y el password
7. A continuación tendrás que configurar las reglas para ese nuevo usuario creado. La regla que
deberás teclear es la siguiente:
default-accept
8. Presionarás dos veces la tecla Intro y con eso estará dado de alta el primer usuario de Nessus;
esta regla que acabas de suministrar te asegurará que este usuario pueda escanear un host
remoto.
9. Ahora ejecutarás el archivo nessus-mkcert-client que se encuentra en el mismo directorio
./nessus-mkcert-client
10. Darás un Intro y a continuación tendrás que responder a una serie de preguntas, sin embargo
la más importante de ellas es la primera : Do yo want to register the users in Nessus
Server....?. En este caso responderás que Si [y], ya que aplica a los casos en que el usuario
creado para Nessus y el programa instalado están en la misma PC.
11. Despues comenzará de nuevo una serie de preguntas a las cuales responderás deacuerdo a tus
datos:
• Client Certificate life time in days [365]: y
• Your Country (2 letras) [US]: MX
• Your State or Province Name [NY]: OAX
• Your Location( eg. Town) [New York]: TUXTEPEC
• Your Organization[]: PERSONAL
• Your Organization Unit[]: 1
12. Estas preguntas las realizará para cada certificado del cliente. Si requieres alguna respuesta
3. INSTITUTO TECNOLOGICO DE TUXTEPEC
Departamento de Sistemas y Computación
Formato para prácticas de Laboratorio
default podrás hacerlo tecleando solamente un punto ( . ).
13. Continúa y da de alta un usario más pero que no tenga la facultad de ser administrador y de
igual manera suministra los datos para su certificado.
14. Los usuarios son almacenados en la siguiente dirección: /tmp/nessus-67bc0a41
15. Ahora ejecutaremos el demonio de Nessus, para eso tendremos varias opciones, selecciona la
que desees:
• cd /opt/nessus/sbin
./nessusd
• cd /opt/nessus/sbin
./nessusd -D
• cd /opt/nessus/sbin
./nessus-service -D
16. Con alguna de las tres opciones podrás correr el servicio de Nessus, ahora el siguiente paso
será activarlo, de modo que para este paso deberías haber recibido el correo electrónico de
Tenable donde te dan la clave para activar tu producto. Cabe mensionar que si desinstalas
Nessus y deseas volver a instalar por segunda ocasión tendrás que volver a solicitar una
nueva clave de activación.
17. Dentro del directorio bin de nessus ejecutarás via consola las siguietes instrucciónes:
• cd .. (para regresar al directorio inmediato superior)
• cd bin (para acceder al directorio bin de nessus)
• ./nessus-fetch –register codigo_de_activación
• Presiona la tecla Intro y listo
4. INSTITUTO TECNOLOGICO DE TUXTEPEC
Departamento de Sistemas y Computación
Formato para prácticas de Laboratorio
18. Ahora puedes ejecutar en tu navegador (recuerda que de preferencia debería de ser Mozilla
Firefox, Google Chrome o IE ) el cliente de Nessus tecleando en la URL :
https://direccion_ip_de_tu_equipo:8834
19. En este momento podrás ver la pantalla de Nessus que te indicará que no hay un plugins
instalados, como a continuación se presenta:
20. Para actualizar los plugins de manera mas fácil ejecutarás via consola los siguientes
comandos:
• cd /opt/nessus/sbin
• ./nessus-update-plugins
21. Esto actualizará los plugins, sin emgargo esta operación tardará unos cuantos minutos.
22. Captura las pantallas de la terminal durante todo el proceso y de el Cliente de Nessus
ejecutándose en el navegador con los plugins ya actualizados, para que las incluyas en el
apartado de Anexos y no olvides poner tus comentarios al respecto del Programa
6.-Resultados y conclusiones
5. INSTITUTO TECNOLOGICO DE TUXTEPEC
Departamento de Sistemas y Computación
Formato para prácticas de Laboratorio
7.- Anexos
6. INSTITUTO TECNOLOGICO DE TUXTEPEC
Departamento de Sistemas y Computación
Formato para prácticas de Laboratorio
8.-Referencias
Fecha de realización: _____________________________
Formuló
I.S.C. Meztli Valeriano Orozco
Maestro
Realizó
___________________________________
Nombre del alumno y firma
Num. Control: _______________________
7. INSTITUTO TECNOLOGICO DE TUXTEPEC
Departamento de Sistemas y Computación
Formato para prácticas de Laboratorio
8.-Referencias
Fecha de realización: _____________________________
Formuló
I.S.C. Meztli Valeriano Orozco
Maestro
Realizó
___________________________________
Nombre del alumno y firma
Num. Control: _______________________