Scanner un réseau avec Nessus (sous Debian)
Nessus est un scanner réseau qui essaie de détecter des failles de sécurité potentielles dans les machines d'un réseau (en se basant sur une liste de failles connues).
Cet article va vous expliquer comment installer Nessus (sur une Debian) et comment s'en servir pour scanner une machine.
Introduction
Nessus est constitué de 2 parties: Le serveur et le client.
- C'est le serveur qui effectue les tests de sécurité.
- Le client peut être situé sur une autre machine, et demander au serveur d'effectuer un test de sécurité sur une ou plusieurs machines.
Installation
sudo install nessus nessusd
Configuration
Il faut ajouter des utilisateurs au serveur Nessus pour les autoriser à effectuer des tests de sécurité.
Faites: sudo nessus-adduser
- Login: Entrez le nom de l'utilisateur
- Authentication: Pressez simplement ENTREE (sélection de 'pass' comme méthode d'authentification)
- Login password: Entrez le mot de passe de l'utilisateur
- Login password (again): Entrez à nouveau le mot de passe.
- User rules: Vous pouvez laisser vide pour le moment. Pressez simplement CTRL+D
- Is that ok ? : Confirmez la création de l'utilisateur avec y et ENTREE
Exemple:
toto@ubuntu:~$ sudo nessus-adduser Using /var/tmp as a temporary file holder Add a new nessusd user ---------------------- Login : john Authentication (pass/cert) [pass] : Login password : Login password (again) : User rules ---------- nessusd has a rules system which allows you to restrict the hosts that john has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser(8) man page for the rules syntax Enter the rules for this user, and hit ctrl-D once you are done : (the user can have an empty rules set) Login : john Password : *********** DN : Rules : Is that ok ? (y/n) [y] y user added.
Démarrer le serveur Nessus
Démarrez le serveur Nessus: sudo /etc/init.d/nessusd start
(Ignorez les messages d'avertissement sur des fichiers .inc manquants)
Connexion au serveur Nessus
Lancez le client Nessus (nessus dans un terminal ou bien menu Applications > Internet > Nessus sous Ubuntu)
Entrez l'adresse du serveur Nessus, ainsi que le login et mot de passe, puis cliquez sur le bouton "Log in".
Comme le certificat de votre serveur Nessus n'a pas été signé par une autorité de certification, sélectionnez la première option:
Le certificat sera ensuite affiché: Acceptez-le en cliquant sur Yes.
Utilisation du client Nessus
Par défaut, les plugins risquant de planter les machines à tester son désactivés.
(Nessus vous avertir d'ailleurs de cela par une petite fenêtre popup.)
Vous pouvez laisser les options par défaut dans un premier temps.
- L'onglet Plugin vous permet de choisir quels test effectuer.
- L'onglet Credentials vous permet de fournir éventuellement des logins/passwords pour accéder aux machines à tester.
- Scan options vous permet de choisir quels ports tester et la manière de détecter un port ouvert.
- Target permet de choisir quoi tester: Vous pouvez entrer l'adresse IP ou le nom de la machine à tester.
Entrez l'adresse IP de la machine à tester dans l'onglet Target et cliquez sur "Start the scan" en bas de l'écran.
Laissez le test se dérouler:
Vous n'avez plus qu'à cliquer sur les résultats pour les consulter
(vous pouvez consulter les résultats par machine, par sous-réseau, par port, par sévérité...)
Notes
Gestion des droits
Nessus possède une gestion des droits pour décrire précisément ce qu'a le droit de faire un utilisateur.
Par exemple, on peut configurer Nessus pour autoriser un utilisateurs à scanner uniquement sa propre machine.
Voir la documentation de Nessus pour plus d'informations.
Mises à jour
Il est important de tenir la liste des plugins à jour afin que Nessus soit capable de détecter les dernières failles.
Lancez régulièrement nessus-update-plugins: sudo nessus-update-plugins
Si vous passez par un proxy, créez le fichier /etc/nessus/nessus-fetch.rc et mettez dedans l'adresse du proxy et les éventuels logins/mots de passe:
proxy=192.168.0.1 proxy_port=3128 proxy_username=renaud proxy_password=s3cr3t