Auditer son système avec Nessus
Nessus est un outil de sécurité informatique. Il signale les faiblesses potentielles ou avérées sur les machines testées. Ceci inclut, entre autres :
- les services vulnérables à des attaques permettant la prise de contrôle de la machine, l'accès à des informations sensibles
- les fautes de configuration (relais de messagerie ouvert par exemple)
- les patchs de sécurité non appliqués, que les failles corrigées soient exploitables ou non dans la configuration testée
- les mots de passe par défaut, quelques mots de passe communs, et l'absence de mots de passe sur certains comptes systèmes.
- les services jugés faibles (on suggère par exemple de remplacer Telnet par SSH)
- les dénis de service contre la pile TCP/IP
Wikipédia.
Nessus est un logiciel plutôt destiné aux entreprises mais il y a une version gratuite,
Nessus Home, qui est suffisante pour un usage personnel sur un nombre limité de machines locales. Inscrivez-vous sur le site officiel pour obtenir une clé de licence :
Télécharger la dernière version pour Debian ici :
Vérifier l'intégrité du paquet (.deb) avec md5sum en comparant l'empreinte depuis cette liste :
# md5sum Nessus-5.2.7-debian6_amd64.deb
f21234c83aada489ec8fd17fd57fdb93 Nessus-5.2.7-debian6_amd64.deb
Installation
L'installation de Nessus est très simple, il suffit juste d'utiliser la commande dpkg :
# dpkg -i Nessus-5.2.7-debian6_amd64.deb
Selecting previously unselected package nessus.
(Reading database ... 39942 files and directories currently installed.)
Unpacking nessus (from Nessus-5.2.7-debian6_amd64.deb) ...
Setting up nessus (5.2.7) ...
nessusd (Nessus) 5.2.7 [build N25122] for Linux
Copyright (C) 1998 - 2014 Tenable Network Security, Inc
Processing the Nessus plugins...
[##################################################]
All plugins loaded
- You can start nessusd by typing /etc/init.d/nessusd start
- Then go to https://IP:8834/ to configure your scanner
Par défaut, Nessus est installé dans le répertoire
/opt/nessus.
Démarrage du daemon
Démarrer Nessus avec cette commande :
service nessusd start
Initialisation
L'interface de gestion de Nessus est accessible depuis le port
8834 :
http://ADRESSE IP:8834/WelcomeToNessus-Install/welcome
Pour continuer, vous devez passer par le protocole HTTPS, cliquez sur le lien indiqué :
Par défaut un certificat auto-signé est généré avec la commande nessus-mkcert, ajouter une exception dans votre navigateur pour continuer :
Ensuite il faut ajouter un nouveau compte administrateur et indiquer la clé de licence que vous avez reçu par mail. Une fois la clé activée par les serveurs de Nessus, vous devriez avoir ce message :
Cliquez sur
Download plugins pour télécharger toutes les règles de détections à partir du site officiel :
Une fois que les plugins ont tous été téléchargés, Nessus commence une phase d'initialisation assez longue, 15-20 minutes en fonction de votre matériel. Ne vous inquiétez pas si vous voyez la charge du processeur monter à 100%, c'est normal. Sur un Kimsufi KS-2, l'initialisation dure un peu moins de 20 minutes mais le proc prend cher quand même
Configuration de Nessus
Vous pouvez maintenant vous connecter avec les identifiants saisis pendant l'installation :
On commence par configurer les paramètres d'envoie des alertes par email :
Vous devez installer un serveur smtp pour que les alertes puissent être envoyés par Nessus, allez voir l'installation de Postfix dans ce tutoriel :
http://mondedie.fr/d/5750.
La première chose à faire avant de lancer un scan, c'est de définir une nouvelle politique de sécurité, cliquez sur
Policies dans le menu en haut, puis
New Policy. Il existe plein de type différents, en fonction du type d'environnement que l'on veut tester (réseau, authentification, application web...etc). Pour ce tutoriel, on va prendre
Basic Network Scan :
Définir un nom et le périmètre de visibilité :
Type du scan, choisir
Internal :
Pour finir, saisir les paramètres de connexion SSH pour que Nessus puisse accéder à votre serveur.
ATTENTION : Si vous avez des logiciels de prévention d'intrusion comme OSSEC, fail2ban...etc installés sur votre serveur, arrêtez les avant de lancer le scan, sinon ils vont entreprendre des actions inutiles et vous envoyer des emails pour rien.
Cliquez sur
Save pour enregistrer.
Maintenant on va ajouter un nouveau scan. Cliquer sur
Scans dans le menu en haut puis
New Scan. Entrer un nom pour le scan et choisir la politique de sécurité que nous avons crée juste avant. Dans le champ
Targets, saisissez les IPs des serveurs à scanner :
Ensuite il faut configurer la
périodicité du scan. Dans l'exemple suivant, Nessus effectura un audit du réseau tous les
lundi à 11h30 :
Ajoutez votre adresse email pour reçevoir le message de reporting. Nessus envoie automatiquement après chaque scan un email contenant un rapport avec les vulnérabilités trouvées au sein de votre réseau.
Vous pouvez maintenant lancer le scan manuellement en sélectionnant
Schedules dans le menu du haut et en cliquant sur le petit bouton bouton Start. Un audit complet prend environ 5 minutes, mais ça peut varier en fonction de votre serveur.
Une fois l'audit terminé, vous allez reçevoir un rapport par email comme celui-ci :
Cliquer sur le lien pour voir le rapport détaillé :
Le rapport indique les vulnérabilités détectées sur vos serveurs pendant le scan, elles sont classées par niveau de gravité. Vous devez prendre très au sérieux les failles/vulnérabilités de niveau
High et
Critical, votre serveur pourrait être compromis si vous ne faites rien. Cliquez sur votre serveur pour voir le détail de chaque vulnérabilités. A chaque fois, une explication est présente pour vous aider à mieux identifier et régler le problème.
Il ne vous reste plus qu'à ajouter de nouveaux types de scan en fonction de vos besoins.
--------------------------------------------------------------------------------------------------------------
