Nessus 5.0 Installation Guide ESN

Gua de instalacin y configuracin
de Nessus 5.0
30 de noviembre de 2012
(Revisin 16)

2
ndice
Introduccin ........................................................................................................................................ 4
Estndares y convenciones ........................................................................................................................ 4
Organizacin ................................................................................................................................................ 4
Nuevo en Nessus 5 ...................................................................................................................................... 4
Actualizaciones de funciones importantes ................................................................................................. 4
Navegacin ................................................................................................................................................................ 5
Anlisis ....................................................................................................................................................................... 5
Informes ..................................................................................................................................................................... 5
Nueva GUI de servidor ............................................................................................................................................... 5
Compatibilidad del sistema operativo ........................................................................................................ 5
Informacin general ............................................................................................................................ 6
Requisitos previos .............................................................................................................................. 7
Nessus Unix ................................................................................................................................................. 7
Nessus Windows ......................................................................................................................................... 7
Opciones de implementacin ............................................................................................................ 8
Firewalls basados en hosts ........................................................................................................................ 8
Suscripciones de plugins de vulnerabilidades ................................................................................ 8
Tipos de suscripcin ................................................................................................................................... 8
Compatibilidad con IPv6 .................................................................................................................... 9
Unix/Linux ............................................................................................................................................ 9
Actualizacin ............................................................................................................................................... 9
Instalacin .................................................................................................................................................. 13
Inicio del demonio de Nessus ................................................................................................................... 16
Detencin del demonio de Nessus ........................................................................................................... 17
Cmo quitar Nessus .................................................................................................................................. 18
Windows ............................................................................................................................................ 21
Actualizacin ............................................................................................................................................. 21
Actualizacin desde Nessus 4.x............................................................................................................... 21
Actualizacin desde Nessus 3.x............................................................................................................... 21
Instalacin .................................................................................................................................................. 21
Descarga de Nessus ................................................................................................................................ 21
Instalacin ............................................................................................................................................... 22
Preguntas sobre instalacin ..................................................................................................................... 22
Inicio y detencin del demonio de Nessus .............................................................................................. 26
Mac OS X ........................................................................................................................................... 26
Actualizacin ............................................................................................................................................. 26
Instalacin .................................................................................................................................................. 27
Preguntas sobre instalacin ..................................................................................................................... 27
Inicio y detencin del servicio Nessus .................................................................................................... 30
Registro de fuentes y configuracin de la GUI .............................................................................. 31

3
Configuracin ............................................................................................................................................ 37
Configuracin del proxy web .................................................................................................................... 38
Restablecimiento de cdigos de activacin y actualizaciones sin conexin........................................ 39
Opciones de configuracin avanzada ...................................................................................................... 39
Creacin y administracin de usuarios de Nessus ....................................................................... 40
Configuracin del demonio de Nessus (usuarios avanzados) ..................................................... 42
Opciones de configuracin ....................................................................................................................... 44
Configuracin de Nessus con un certificado SSL personalizado ................................................ 47
Autenticacin de Nessus con certificado SSL ............................................................................... 48
Autenticacin del certificado SSL de cliente ........................................................................................... 48
Configuracin de Nessus para certificados ............................................................................................ 48
Creacin de certificados SSL de Nessus para inicio de sesin ............................................................. 49
Habilitacin de conexiones con smart cards (tarjetas inteligentes) o CAC (tarjetas de acceso
comn) ....................................................................................................................................................... 50
Conexin con explorador habilitado para certificados o tarjetas .......................................................... 52
Nessus sin acceso a Internet ........................................................................................................... 53
Generacin de un Challenge Code ........................................................................................................... 53
Obtencin e instalacin de plugins actualizados .................................................................................... 54
Uso y administracin de Nessus desde la lnea de comandos .................................................... 56
Directorios principales de Nessus ........................................................................................................... 56
Creacin y administracin de usuarios de Nessus con limitaciones de cuenta ................................... 56
Opciones de lneas de comandos de Nessusd........................................................................................ 57
Manipulacin del servicio Nessus por medio de la interfaz de la lnea de comandos (CLI) de
Windows ..................................................................................................................................................... 58
Trabajo con SecurityCenter ............................................................................................................. 59
Descripcin general de SecurityCenter ................................................................................................... 59
Configuracin de SecurityCenter 4.0-4.2 para trabajar con Nessus ...................................................... 59
Configuracin de SecurityCenter 4.4 para trabajar con Nessus ............................................................ 60
Firewalls basados en hosts ...................................................................................................................... 61
Solucin de problemas de Nessus Windows ................................................................................. 62
Problemas de instalacin/actualizacin .................................................................................................. 62
Problemas de Anlisis............................................................................................................................... 62
Para obtener ms informacin ........................................................................................................ 64
Declaraciones sobre licencias que no pertenecen a Tenable ....................................................... 65
Acerca de Tenable Network Security .............................................................................................. 68

4
Introduccin
Este documento describe la instalacin y la configuracin del analizador de vulnerabilidades Nessus 5.0 de Tenable
Network Security. Enve sus comentarios o sugerencias por correo electrnico a support@tenable.com.
Tenable Network Security, Inc. es el autor y el administrador del analizador de vulnerabilidades Nessus. Adems de
mejorar permanentemente el motor Nessus, Tenable disea la mayora de los plugins disponibles para el analizador, as
como tambin las comprobaciones de compatibilidad y una amplia variedad de directivas de auditora.
En este documento se abordarn los requisitos previos, las opciones de implementacin y las instrucciones paso a paso
sobre la instalacin. Se supone que se cuenta con un conocimiento bsico de Unix y de los anlisis de vulnerabilidades.
Estndares y convenciones
Este documento es una traduccin de la versin original escrita en ingls. Algunos fragmentos permanecen en ingls con
el fin de mostrar cmo aparecen realmente en el producto.
En toda la documentacin, los nombres de archivo, demonios y archivos ejecutables se indican con fuente courier
negrita, por ejemplo, setup.exe.
Las opciones de lneas de comandos y las palabras clave tambin se indican con fuente courier negrita. Los
ejemplos de lneas de comandos pueden incluir o no el indicador de la lnea de comandos y el texto de salida de los
resultados del comando. Los ejemplos de lneas de comandos mostrarn el comando ejecutado en courier negrita
para indicar lo que el usuario escribi, mientras que el resultado de muestra generado por el sistema se indicar en
courier (normal). Este es un ejemplo de ejecucin del comando pwd de Unix:
# pwd
/opt/nessus/
#

Las consideraciones y notas importantes se resaltan con este smbolo y cuadros de texto grises.

Las sugerencias, los ejemplos y las prcticas recomendadas se resaltan con este smbolo y con letras blancas
en cuadros de texto azules.

Organizacin
Ya que la GUI de Nessus es estndar independientemente del sistema operativo, este documento se presenta con
informacin especfica del sistema operativo primero, y luego con la funcionalidad comn a todos los sistemas
operativos.
Nuevo en Nessus 5

Con el lanzamiento de Nessus 5, la configuracin del servidor (demonio) de Nessus y la administracin de
usuarios se controla a travs de la GUI de Nessus, no a travs del NessusClient independiente ni del archivo
nessusd.conf. La GUI de Nessus es una interfaz web que controla configuracin, creacin de
directivas, anlisis y todos los informes.

Actualizaciones de funciones importantes
Estas son algunas de las nuevas funciones disponibles en Nessus 5. Para ver una lista completa de los cambios,
consulte las Notas de lanzamiento en el Discussions Forum (Foro de discusin).

5
Navegacin
Nuevo panel de resumen de hosts: los paneles de resumen de hosts y de vulnerabilidades facilitan ver los
niveles de riesgo sin ejecutar un informe.
Las barras grficas muestran instantneamente los hosts ms vulnerables.
Anlisis
Ahora, Nessus 5 tiene cinco niveles de gravedad: Informativo, Riesgo bajo, Riesgo medio, Riesgo alto y Riesgo
crtico.
Los usuarios pueden seleccionar diversos criterios de filtro, como Vulnerability Publication Date (Fecha de
publicacin de la vulnerabilidad), Vulnerability database ID (Identificacin de la base de datos de la
vulnerabilidad) (por ejemplo, CVE, OSVDB, Bugtraq ID, CERT, Secunia), Plugin type (local or remote) (Tipo de
plugin [local o remoto]), Information Assurance Vulnerability Alert (IAVA) (Alerta de vulnerabilidades de la
seguridad de la informacin [IAVA]) y otros.
La funcin Audit trail (Registro de auditora) registra el motivo por el que una vulnerabilidad NO aparece en el
informe de un host en particular.
Informes
Sistema de informes en captulos, organizado entre vulnerabilidades y compatibilidad.
Los informes se pueden generar en formatos nativos de Nessus, HTML y ahora en PDF (debe tener instalado
Oracle Java en el servidor de Nessus).
Nueva GUI de servidor
Interfaz web que ahora controla la configuracin y la administracin de usuarios, adems de la creacin de
directivas, los anlisis y todos los informes.
Se pueden iniciar actualizaciones de plugins desde la interfaz web.
El servidor web de Nessus es compatible con IPv6.
Compatibilidad del sistema operativo
Nessus se encuentra disponible para una variedad de plataformas y sistemas operativos, y es compatible con ellos:
Debian 6 (i386 y x86-64)
Fedora Core 16 (i386 y x86-64)
FreeBSD 9 (i386 y x86-64)
Mac OS X 10.6 y 10.7 (i386 y x86-64)
Red Hat ES 4/CentOS 4 (i386)
Red Hat ES 5/CentOS 5/Oracle Linux 5 (i386 y x86-64)
Red Hat ES 6/CentOS 6/Oracle Linux 6 (i386 y x86-64) [servidor, equipo de escritorio, estacin de trabajo]
SuSE 10 (x86-64), 11 (i386 y x86-64)
Ubuntu 8.04, 9.10, 10.04, 10.10, 11.10, y 12.04 (i386 y x86-64)
Windows XP, Server 2003, Server 2008, Server 2008 R2 *, Vista y 7 (i386 y x86-64)

6

Tenga en cuenta que en el Windows Server 2008 R2, la versin integrada de Microsoft IE no interacta
adecuadamente con una instalacin Java. Esto hace que Nessus no funcione de la manera esperada en
algunas situaciones. Adems, la poltica de Microsoft recomienda no utilizar MSIE en sistemas operativos de
servidores. Tenable recomienda que el registro y la actividad de anlisis se realicen desde un sistema de
escritorio.

Informacin general
Nessus es un analizador de seguridad de redes potente y fcil de usar, con una amplia base de datos de plugins que
se actualiza a diario. Actualmente se encuentra entre los productos ms importantes de este tipo en todo el sector de
la seguridad, y cuenta con el respaldo de organizaciones profesionales de seguridad de la informacin, tales como
SANS Institute. Nessus le permite realizar auditoras de forma remota en una red en particular y determinar si ha sido
comprometida o usada de alguna forma inadecuada. Nessus tambin proporciona la capacidad de auditar de forma
local un equipo especfico para analizar vulnerabilidades, especificaciones de compatibilidad, violaciones de directivas
de contenido y otros temas.
Anlisis inteligente: a diferencia de muchos otros analizadores de seguridad, Nessus no da nada por sentado.
Es decir, no supondr que un servicio dado se ejecuta en un puerto fijo. Esto significa que si usted ejecuta su
servidor web en el puerto 1234, Nessus lo detectar y probar su seguridad segn corresponda. Cuando sea
posible, intentar validar una vulnerabilidad a travs de su explotacin. En los casos en que no sea confiable o
se pueda afectar de manera negativa el destino, Nessus puede basarse en un banner del servidor para
determinar la presencia de la vulnerabilidad. En tales casos, quedar registrado en el informe resultante si se us
este mtodo.
Arquitectura modular: la arquitectura cliente/servidor proporciona la flexibilidad necesaria para implementar el
analizador (servidor) y conectarse con la GUI (cliente) desde cualquier equipo mediante un explorador web, con
lo cual se reducen los costos de administracin (varios clientes pueden acceder a un nico servidor).
Compatible con CVE: la mayora de los plugins se enlazan con CVE, para que los administradores obtengan
ms informacin sobre las vulnerabilidades publicadas. Tambin incluyen frecuentemente referencias a Bugtraq
(BID), OSVDB y las alertas de seguridad de proveedores.
Arquitectura de plugins: cada prueba de seguridad est diseada como plugin externo, y se agrupa en una de
42 familias. De esta forma, usted puede aadir fcilmente sus propias pruebas, seleccionar plugins especficos o
elegir una familia entera sin tener que leer el cdigo del motor de servidores Nessus, nessusd. La lista completa
de los plugins de Nessus se encuentra disponible en http://www.nessus.org/plugins/index.php?view=all.
NASL: el analizador Nessus incluye NASL (Nessus Attack Scripting Language) (lenguaje Attack Scripting de
Nessus), un lenguaje diseado especficamente para crear pruebas de seguridad de manera rpida y sencilla.
Base de datos actualizada de vulnerabilidades de seguridad: Tenable se centra en el desarrollo de
comprobaciones de seguridad correspondientes a vulnerabilidades recientemente divulgadas. Nuestra base de
datos de comprobaciones de seguridad se actualiza diariamente, y todas las comprobaciones de seguridad ms
recientes se encuentran disponibles en http://www.nessus.org/scripts.php.
Prueba varios hosts de forma simultnea: segn la configuracin del sistema del analizador Nessus, usted
puede probar una gran cantidad de hosts simultneamente.
Reconocimiento de servicios inteligente: Nessus no supone que los hosts de destino respeten los nmeros de
puertos asignados por IANA (Autoridad de asignacin de nmeros de Internet). Esto significa que reconocer un
servidor FTP que se ejecute en un puerto no estndar (por ejemplo, 31337) o un servidor web que se ejecute en
el puerto 8080 en lugar del 80.
Varios servicios: si se emplean dos o ms servidores web en un host (por ejemplo, uno en el puerto 80 y el otro
en el puerto 8080), Nessus los identificar y los probar todos.

7
Cooperacin de plugins: las pruebas de seguridad realizadas por los plugins de Nessus cooperan de manera
tal que no se lleven a cabo comprobaciones innecesarias. Si su servidor FTP no ofrece inicios de sesin
annimos, no se realizarn comprobaciones de seguridad relacionadas con estos.
Informes completos: Nessus no solo le informar qu vulnerabilidades de seguridad existen en su red y el nivel
de riesgo de cada una de ellas (Info, Low, Medium, High y Critical) (informativo, bajo, medio, alto y crtico), sino
que tambin le notificar sobre cmo mitigarlas, ofreciendo soluciones.
Compatibilidad total con SSL: Nessus tiene la capacidad para probar los servicios ofrecidos sobre SSL, tales
como HTTPS, SMTPS, IMAPS y otros.
Plugins inteligentes (opcional): Nessus cuenta con una opcin de optimizacin que determinar qu plugins
deben o no iniciarse en el host remoto. Por ejemplo, Nessus no probar las vulnerabilidades de sendmail
respecto de Postfix.
Comprobaciones no destructivas (opcional): ciertas comprobaciones pueden ser perjudiciales para servicios
de red especficos. Si no desea arriesgarse a provocar un error de servicio en la red, habilite la opcin safe
checks de Nessus, que har que Nessus se base en los banners en lugar de la explotacin de errores reales
para determinar si hay alguna vulnerabilidad.
Foro abierto: encontr un error? Tiene preguntas sobre Nessus? Inicie una discusin en
https://discussions.nessus.org/.
Requisitos previos
Tenable recomienda una memoria de 2 GB como mnimo para operar Nessus. Para realizar anlisis ms amplios de
varias redes se recomienda al menos 3 GB de memoria, pero se puede necesitar hasta 4 GB para un uso intensivo,
como seguimientos de auditora y generacin de informes en PDF.
Se recomienda un procesador Pentium 3 que funcione a 2 GHz o ms. Cuando se use Mac OS X, se recomienda un
procesador Intel de doble ncleo que funcione a 2 GHz o ms. Se recomienda implementar Nessus en sistemas de 64
bits. El sistema debe tener al menos 30 GB de espacio libre en el disco para Nessus y los datos de anlisis posteriores.
Nessus se puede ejecutar en una instancia de VMware, pero si el equipo virtual emplea la Network Address Translation,
NAT (Traduccin de direcciones de red) para conectarse con la red, muchas de las comprobaciones de vulnerabilidades
de Nessus, la enumeracin de hosts y la identificacin de sistemas operativos se vern afectadas de manera negativa.
Nessus Unix
Antes de instalar Nessus en Unix/Linux, se requieren varias bibliotecas. Muchos sistemas operativos las instalan de
forma predeterminada y normalmente no requieren una instalacin independiente:
zlib
GNU C Library (es decir, libc)
Oracle Java (solo para informes en PDF)

Java debe estar instalado en el host antes de instalar Nessus. Si instala Java despus, deber reinstalar
Nessus.

Nessus Windows
Microsoft ha incorporado cambios a Windows XP SP-2 y versiones ms recientes que pueden afectar el rendimiento de
Nessus Windows. Para lograr un mayor rendimiento y confiabilidad de anlisis, se recomienda muy especialmente que
Nessus Windows se instale en un servidor que pertenezca a la familia de Microsoft Windows, como Windows Server
2003. Para obtener ms informacin sobre este tema, consulte la seccin Solucin de problemas de Nessus Windows.

8
Opciones de implementacin
Al implementar Nessus, a menudo resulta til tener conocimiento sobre directivas de firewalls, enrutamiento y filtros. Se
recomienda implementar Nessus de modo que tenga una buena conectividad IP con las redes que analiza. No es deseable
la implementacin detrs de un dispositivo NAT, a menos que analice la red interna. Toda vez que se realice un anlisis de
vulnerabilidades mediante una NAT o un proxy de aplicacin de algn tipo, la comprobacin se puede distorsionar y
producir un falso positivo o negativo. Adems, si el sistema en el que se ejecuta Nessus posee firewalls personales o de
escritorio, estas herramientas pueden limitar considerablemente la eficacia de un anlisis de vulnerabilidades remoto.

Los firewalls basados en hosts pueden interferir con el anlisis de vulnerabilidades de red. De acuerdo con la
configuracin del firewall, este puede evitar, distorsionar u ocultar los sondeos del anlisis de Nessus.

Algunos dispositivos de red que llevan a cabo una inspeccin con estado, tales como firewalls, equilibradores
de carga y sistemas de deteccin o prevencin de intrusos, pueden reaccionar de forma negativa cuando se
lleva a cabo un anlisis a travs de ellos. Nessus cuenta con una cantidad de opciones de ajuste preciso que
pueden ayudar a reducir el efecto de los anlisis a travs de tales dispositivos, pero el mtodo ptimo para
evitar los problemas que son inherentes al anlisis a travs de dichos dispositivos de red consiste en la
realizacin de un anlisis con credenciales.

Firewalls basados en hosts
Si su servidor Nessus est configurado en un host con un firewall personal como Zone Alarm, Sygate, el firewall de
Windows o cualquier otro software de firewall, es necesario que se habiliten las conexiones desde la direccin IP del
cliente de Nessus.
De manera predeterminada, se utiliza el puerto 8834 para el servidor web de Nessus (interfaz del usuario). En los
sistemas Microsoft XP Service Pack 2 (SP2) y posteriores, hacer clic en el icono Security Center (Centro de
seguridad) que se encuentra en Control Panel (Panel de control), le da al usuario la oportunidad de administrar la
configuracin del Windows Firewall (Firewall de Windows). Para abrir el puerto 8834, seleccione la ficha Exceptions
(Excepciones) y luego aada el puerto 8834 a la lista.
En el caso de otro software de firewall personal, consulte la documentacin del proveedor para obtener las instrucciones
de configuracin.
Suscripciones de plugins de vulnerabilidades
Todos los das los proveedores, los investigadores y dems fuentes publican numerosas vulnerabilidades nuevas.
Tenable se esfuerza para que las comprobaciones de vulnerabilidades recientemente publicadas se prueben y se
pongan a disposicin de los usuarios a la mayor brevedad, normalmente dentro de las 24 horas de la divulgacin. La
comprobacin de una vulnerabilidad especfica tiene en el analizador Nessus la denominacin plugin. Una lista completa
de todos los plugins de Nessus se encuentra disponible en http://www.nessus.org/plugins/index.php?view=all. Tenable
distribuye los plugins de vulnerabilidad ms recientes en dos modos para Nessus: el ProfessionalFeed y el HomeFeed.
Los plugins se descargan directamente desde Tenable a travs de un proceso automatizado de Nessus. Nessus verifica
las firmas digitales de todas las descargas de plugins para garantizar la integridad de los archivos. En el caso de las
instalaciones de Nessus sin acceso a Internet, existe un offline update process (proceso de actualizacin sin conexin)
que se puede usar para garantizar que el analizador permanezca actualizado.

Usted deber registrarse para recibir una fuente de plugins y actualizarlos antes de que se inicie Nessus y se
ponga a disposicin la interfaz de anlisis de Nessus. La actualizacin de plugins se realiza en segundo
plano, despus del registro inicial del analizador, y puede llevar varios minutos.

Tipos de suscripcin
Tenable proporciona asistencia comercial, mediante el Tenable Support Portal (Portal de soporte de Tenable) o por
correo electrnico, a los clientes de ProfessionalFeed que usan Nessus 5. ProfessionalFeed tambin incluye un conjunto

9
de comprobaciones de compatibilidad basadas en hosts para Unix y Windows que son muy tiles para realizar auditoras
de compatibilidad, tales como SOX, FISMA o PCI DSS.
Puede adquirir una ProfessionalFeed a travs de la Tienda en lnea de Tenable en https://store.tenable.com/ o por una
orden de compra a travs de Authorized ProfessionalFeed Partners (Socios autorizados de ProfessionalFeed).
Posteriormente recibir de Tenable un cdigo de activacin. Este cdigo se usar al configurar su copia de Nessus para
recibir actualizaciones.

Si usa Nessus junto con SecurityCenter de Tenable, SecurityCenter tendr acceso a ProfessionalFeed y
actualizar de manera automtica sus analizadores de Nessus.

Si representa a una organizacin benfica 501(c)(3), quiz califique para recibir ProfessionalFeed sin costo. Para obtener
ms informacin, visite la pgina web del Tenable Charitable Organization Subscription (Programa de suscripcin de
organizaciones benficas de Tenable).
Si usa Nessus de forma domstica con fines no profesionales, puede suscribirse a HomeFeed. El uso de HomeFeed es
gratuito. Sin embargo, existe una licencia independiente de HomeFeed cuyo cumplimiento debe aceptarse por parte de
los usuarios.
Compatibilidad con IPv6
Nessus admite anlisis de recursos con IPv6. Muchos sistemas operativos y dispositivos se distribuyen con la
compatibilidad con IPv6 habilitada de manera predeterminada. Para realizar anlisis respecto de recursos IPv6 se debe
configurar al menos una interfaz IPv6 en el host en el que Nessus est instalado, y Nessus debe encontrarse en una red
compatible con IPv6 (Nessus no puede analizar recursos IPv6 sobre IPv4, pero puede enumerar las interfaces IPv6
mediante anlisis con credenciales sobre IPv4). Al iniciar los anlisis, se admite la notacin IPv6 completa y la comprimida.

Microsoft Windows carece de algunas de las API clave que son necesarias para la falsificacin de paquetes
IPv6 (por ejemplo, obtener la direccin MAC del enrutador, tabla de enrutamiento, etc.). Esto a su vez impide
que el analizador de puertos funcione correctamente. Tenable est trabajando en el desarrollo de las mejoras
que sortearn eficazmente las restricciones de API en versiones futuras de Nessus. Hasta ese entonces, la
compatibilidad con IPv6 solo est disponible en plataformas *nix.

Unix/Linux
Actualizacin
Esta seccin explica cmo realizar una actualizacin de Nessus a partir de una instalacin anterior del software.
La siguiente tabla ofrece instrucciones de actualizacin para el servidor Nessus en todas las plataformas admitidas
anteriormente. Los parmetros de configuracin y los usuarios que se crearon previamente permanecern intactos.

Asegrese de que todo anlisis en ejecucin haya finalizado antes de detener nessusd.

Toda instruccin de actualizacin especial, si la hay, se proporciona en forma de nota despus del ejemplo.

10
Plataforma Instrucciones de actualizacin
Red Hat ES 4 y CentOS 4 (32 bits); Red Hat ES 5, CentOS 5 y Oracle Linux 5 (32 y 64 bits);
Red Hat ES 6, CentOS 6 y Oracle Linux 6 (32 y 64 bits)
Comandos de actualizacin # service nessusd stop

Use uno de los comandos apropiados que se indican a continuacin, que corresponda
a la versin de Red Hat que est ejecutando:

# rpm -Uvh Nessus-5.0.1-es4.i386.rpm
# rpm -Uvh Nessus-5.0.1-es5.x86_64.rpm
# rpm -Uvh Nessus-5.0.1-es6.x86_64.rpm

Una vez que la actualizacin haya finalizado, reinicie el servicio nessusd mediante el
siguiente comando:

# service nessusd start
Resultados de muestra # service nessusd stop
Shutting down Nessus services: [ OK ]
Preparing...
########################################### [100%]
Shutting down Nessus services: /etc/init.d/nessusd:
1:Nessus
########################################### [100%]
Fetching the newest plugins from nessus.org...
Fetching the newest updates from nessus.org...
Done. The Nessus server will start processing these plugins
within a minute
nessusd (Nessus) 5.0.1 [build R23016] for Linux
(C) 1998 - 2012 Tenable Network Security, Inc.

Processing the Nessus plugins...
[##################################################]

All plugins loaded
- You can start nessusd by typing /sbin/service nessusd start
- Then go to https://localhost:8834/ to configure your scanner#
service nessusd start
Starting Nessus services: [ OK ]
#
Fedora Core 16 (32 y 64 bits)

a la versin de Fedora Core que est ejecutando:

# rpm -Uvh Nessus-5.0.1-fc16.i686.rpm
# rpm -Uvh Nessus-5.0.1-fc16.x86_64.rpm

11
siguiente comando:

# rpm -Uvh Nessus-5.0.1-fc16.i386.rpm

[..]

#
SuSE 10 (64 bits), 11 (32 y 64 bits)

Use uno de los comandos apropiados que se indican a continuacin, que corresponda a
la versin de SuSE que est ejecutando:

# rpm -Uvh Nessus-5.0.1-suse10.x86_64.rpm
# rpm -Uvh Nessus-5.0.1-suse11.i586.rpm
# rpm -Uvh Nessus-5.0.1-suse11.x86_64.rpm

siguiente comando:

# rpm -Uvh Nessus-5.0.1-suse11.i586.rpm
Preparing...

[..]

#
Debian 6 (32 y 64 bits)
Comandos de actualizacin # /etc/init.d/nessusd stop

a la versin de Debian que est ejecutando:

# dpkg -i Nessus-5.0.1-debian6_i386.deb
# dpkg -i Nessus-5.0.1-debian6_amd64.deb

# /etc/init.d/nessusd start
Resultados de muestra # /etc/init.d/nessusd stop

12
# dpkg -i Nessus-5.0.1-debian6_i386.deb
(Reading database ... 19831 files and directories currently
installed.)
Preparing to replace nessus 4.4.0 (using Nessus-5.0.0-
debian6_i386.deb) ...

[..]


Starting Nessus : .
#
Ubuntu 8.04, 9.10, 10.04, 10.10 y 11.10 (32 y 64 bits)
Comandos de actualizacin # /etc/init.d/nessusd stop

a la versin de Ubuntu que est ejecutando:

# dpkg -i Nessus-5.0.1-ubuntu804_i386.deb
# dpkg -i Nessus-5.0.1-ubuntu804_amd64.deb

Resultados de muestra # /etc/init.d/nessusd stop

installed.)
Preparing to replace nessus 4.4.0 (using Nessus-5.0.0-
ubuntu810_i386.deb) ...

[..]


Starting Nessus : .
#
FreeBSD 9 (32 y 64 bits)
Comandos de actualizacin # killall nessusd
# pkg_info

Este comando generar una lista de todos los paquetes instalados y sus
descripciones. A continuacin se indica un ejemplo de resultados que corresponde al
comando anterior y que muestra el paquete de Nessus:

Nessus-4.4.4 A powerful security scanner

13

Quite el paquete de Nessus mediante el siguiente comando:

# pkg_delete <package name>

a la versin de FreeBSD que est ejecutando:

# pkg_add Nessus-5.0.1-fbsd9.tbz
# pkg_add Nessus-5.0.1-fbsd9.amd64.tbz

# /usr/local/nessus/sbin/nessusd -D
Resultados de muestra # killall nessusd
# pkg_delete Nessus-4.4.4

nessusd (Nessus) 5.0.1. for FreeBSD
(C) 2011 Tenable Network Security, Inc.

[..]

# /usr/local/nessus/sbin/nessusd -D

nessusd (Nessus) 5.0.1. for FreeBSD
(C) 2011 Tenable Network Security, Inc.

[##################################################]

All plugins loaded
#
Notas Para actualizar Nessus en FreeBSD, primero debe desinstalar la versin existente y
luego instalar la versin ms nueva. Este proceso no quitar los archivos de
configuracin ni los archivos que no formaban parte de la instalacin original.

Instalacin
Descargue la versin ms reciente de Nessus desde http://www.nessus.org/products/nessus/nessus-download-
agreement o a travs del Tenable Support Portal (Portal de soporte de Tenable). Confirme la integridad del paquete de
instalacin comparando la suma de comprobacin MD5 de la descarga con la que aparece en el archivo MD5.asc aqu.

A menos que se indique lo contrario, todos los comandos se deben ejecutar como usuario raz del sistema.
Las cuentas de usuario normales no cuentan habitualmente con los privilegios necesarios para instalar este
software.

La siguiente tabla ofrece instrucciones de instalacin para el servidor Nessus en todas las plataformas admitidas. Toda
instruccin de instalacin especial, si la hay, se proporciona en forma de nota despus del ejemplo.

14
Plataforma Instrucciones de instalacin
Comando de instalacin Use uno de los comandos apropiados que se indican a continuacin, que corresponda
a la versin de Red Hat que est ejecutando:

# rpm -ivh Nessus-5.0.1-es4.i386.rpm
# rpm -ivh Nessus-5.0.1-es5.x86_64.rpm
# rpm -ivh Nessus-5.0.1-es6.x86_64.rpm
Resultados de muestra # rpm -ivh Nessus-5.0.1-es4.i386.rpm
Preparing...
########################################### [100%]
1:Nessus
########################################### [100%]
nessusd (Nessus) 5.0.1 [build R23011] for Linux
(C) 1998 - 2012 Tenable Network Security, Inc.

[##################################################]

All plugins loaded
- You can start nessusd by typing /sbin/service nessusd start
- Then go to https://squirrel:8834/ to configure your scanner
#
a la versin de Fedora Core que est ejecutando:

# rpm -ivh Nessus-5.0.1-fc16.i686.rpm
# rpm -ivh Nessus-5.0.1-fc16.x86_64.rpm
Resultados de muestra # rpm -ivh Nessus-5.0.1-fc16.i386.rpm
Preparing...
[..]

#
SuSE 10 (64 bits), 11 (32 y 64 bits)
a la versin de SuSE que est ejecutando:

# rpm ivh Nessus-5.0.1-suse10.x86_64.rpm
# rpm -ivh Nessus-5.0.1-suse11.i586.rpm
# rpm ivh Nessus-5.0.1-suse11.x86_64.rpm
Resultados de muestra # rpm -ivh Nessus-5.0.1-suse11.i586.rpm
Preparing... ##################################
[100%]

15
1:Nessus ##################################
[100%]

[..]

#
a la versin de Debian que est ejecutando:

# dpkg -i Nessus-5.0.1 debian6_i386.deb
# dpkg -i Nessus-5.0.1 debian6_amd64.deb
Resultados de muestra # dpkg -i Nessus-5.0.1-debian6_i386.deb
Selecting previously deselected package nessus.
installed.)
Unpacking nessus (from Nessus-5.0.1-debian6_i386.deb) ...
Setting up nessus (5.0.1) ...

[..]

#
Ubuntu 8.04, 9.10, 10.04, 10.10 y 11.10 (32 y 64 bits)
a la versin de Ubuntu que est ejecutando:

Resultados de muestra # dpkg -i Nessus-5.0.1-ubuntu804_amd64.deb
Selecting previously deselected package nessus.
installed.)
Unpacking nessus (from Nessus-5.0.1-ubuntu804_amd64.deb) ...
Setting up nessus (5.0.1) ...

[..]
#
a la versin de FreeBSD que est ejecutando:


16
# pkg_add Nessus-5.0.1-fbsd9.amd64.tbz
Resultados de muestra # pkg_add Nessus-5.0.1-fbsd9.tbz

nessusd (Nessus) 5.0.1 for FreeBSD
(C) 1998 2012 Tenable Network Security, Inc.

[..]
#

Despus de finalizar la instalacin, inicie el demonio nessusd como se indica en la siguiente seccin, segn la
distribucin. Una vez que Nessus est instalado, debe visitar la URL del analizador proporcionada para finalizar el
proceso de registro.

Nota: Las instalaciones con Unix pueden proveer una URL con un nombre de host relativo que no est en
DNS (por ejemplo, http://mybox:8834/). Si el nombre de host no est en DNS, debe conectarse al servidor
Nessus utilizando una direccin IP o un nombre DNS vlido.

Despus de finalizar el proceso, se recomienda que autentique y personalice las opciones de configuracin para su
entorno, segn se describe en la seccin Registro de fuentes y configuracin de la GUI.

Nessus debe instalarse en /opt/nessus. Sin embargo, se aceptar si /opt/nessus es un enlace
simblico symlink que seala otro lugar.

Inicio del demonio de Nessus
Inicie el servicio de Nessus como raz mediante el siguiente comando:
Linux y Solaris:
# /opt/nessus/sbin/nessus-service -D
FreeBSD:
# /usr/local/nessus/sbin/nessus-service -D
A continuacin se incluye un ejemplo de los resultados en pantalla al iniciar nessusd para Red Hat:
[root@squirrel ~]# /sbin/service nessusd start
[root@squirrel ~]#

Si desea suprimir el resultado del comando, use la opcin -q de la siguiente forma:
Linux y Solaris:
# /opt/nessus/sbin/nessus-service -q -D
FreeBSD:
# /usr/local/nessus/sbin/nessus-service -q -D
De forma alternativa, Nessus puede iniciarse mediante el siguiente comando de acuerdo con la plataforma del sistema
operativo:

17
Sistema operativo Comando para iniciar nessusd
Red Hat, CentOS y Oracle Linux # /sbin/service nessusd start
Fedora Core # /sbin/service nessusd start
SuSE # /etc/rc.d/nessusd start
Debian # /etc/init.d/nessusd start
FreeBSD # /usr/local/etc/rc.d/nessusd.sh start
Solaris # /etc/init.d/nessusd start
Ubuntu # /etc/init.d/nessusd start

Contine con la seccin Registro de fuentes y configuracin de la GUI para instalar el plugin Activation Code.
Detencin del demonio de Nessus
Si por cualquier motivo necesita detener el servicio nessusd, el siguiente comando suspender Nessus y detendr de
manera inmediata cualquier anlisis en curso:
# killall nessusd
En su lugar, se recomienda que use las secuencias de comando de apagado ms ordenadas proporcionadas por su
sistema operativo:
Sistema operativo Comando para detener nessusd
Red Hat, CentOS y Oracle Linux # /sbin/service nessusd stop
Fedora Core # /sbin/service nessusd stop
SuSE # /etc/rc.d/nessusd stop
Debian # /etc/init.d/nessusd stop
FreeBSD # /usr/local/etc/rc.d/nessusd.sh stop
Solaris # /etc/init.d/nessusd stop
Ubuntu # /etc/init.d/nessusd stop

18
Cmo quitar Nessus
La siguiente tabla ofrece instrucciones para eliminar el servidor Nessus en todas las plataformas admitidas. Con
excepcin de las instrucciones para Mac OS X, las instrucciones proporcionadas no quitarn los archivos de
configuracin ni los archivos que no formaban parte de la instalacin original. Los archivos que eran parte del paquete
original pero sufrieron modificaciones desde la instalacin, tampoco sern quitados. Para quitar por completo los archivos
restantes, use el siguiente comando:
Linux y Solaris:
# rm -rf /opt/nessus
FreeBSD:
# rm -rf /usr/local/nessus/bin
Plataforma Instrucciones de eliminacin
Comando Quitar Determine el nombre del paquete:

# rpm -qa | grep Nessus

Use los resultados del comando anterior para quitar el paquete:

# rpm -e <Package Name>
Resultados de muestra # rpm -qa | grep -i nessus
Nessus-5.0.1-es5
# rpm -e Nessus-5.0.1-es5
#



SuSE 10 (64 bits), 11 (32 y 64 bits)




# dpkg -l | grep -i nessus

19


# dpkg -r <package name>
Resultados de muestra # dpkg -l | grep nessus
ii nessus 5.0.1 Version 4 of the Nessus Scanner

# dpkg -r nessus
#
Ubuntu 8.04, 9.10, 10.04, 10.10 y 11.10 (32 y 64 bits)

# dpkg -l | grep -i nessus


# dpkg -r <package name>
Resultados de muestra # dpkg -l | grep -i nessus
ii nessus 5.0.1 Version 4 of the Nessus Scanner
#
Solaris 10 (sparc)
Comando Quitar Detenga el servicio nessusd:

# /etc/init.d/nessusd stop

Determine el nombre del paquete:

# pkginfo | grep i nessus

Quite el paquete de Nessus:

# pkgrm <package name>
Resultados de muestra A continuacin se indica un ejemplo de resultados que corresponde al comando anterior
y que muestra el paquete de Nessus:

# pkginfo | grep i nessus

application TNBLnessus The Nessus Network
Vulnerability Scanner
# pkgrm TNBLnessus
#
Comando Quitar Detenga Nessus:

# killall nessusd

Determine el nombre del paquete:

20

# pkg_info | grep -i nessus

Quite el paquete de Nessus:

# pkg_delete <package name>
Resultados de muestra # killall nessusd

# pkg_info | grep -i nessus
Nessus-5.0.1 A powerful security scanner
# pkg_delete Nessus-5.0.1
#
Mac OS X
Comando Quitar Abra una ventana de terminal: Desde Applications (Aplicaciones), haga clic en
Utilities (Utilidades) y luego, en Terminal o X11. Desde el indicador de shell, use
el comando sudo para ejecutar un shell raz y quitar los directorios de Nessus de la
siguiente forma:

$ sudo /bin/sh
Password :
# ls -ld /Library/Nessus
# rm -rf /Library/Nessus
# ls -ld /Applications/Nessus
# rm -rf /Applications/Nessus
# ls -ld /Library/Receipts/Nessus*
# rm -rf /Library/Receipts/Nessus*
# exit
Resultados de muestra $ sudo /bin/sh
Password :
drwxr-xr-x 6 root admin 204 Apr 6 15:12 /Library/Nessus
# rm -rf /Library/Nessus
ls: /Library/Nessus: No such file or directory
drwxr-xr-x 4 root admin 136 Apr 6 15:12 /Applications/Nessus
# rm -rf /Applications/Nessus
drwxrwxr-x 3 root admin 102 Apr 6 15:11
/Library/Receipts/Nessus Client.pkg
drwxrwxr-x 3 root admin 102 Apr 6 15:11
/Library/Receipts/Nessus Server.pkg
# rm -rf /Library/Receipts/Nessus*
ls: /Library/Receipts/Nessus*: No such file or directory
# exit
$

21
Notas No intente este proceso a menos que tenga conocimiento de los comandos shell de
Unix. Los comandos ls se incluyen para verificar que el nombre de la ruta se haya
escrito correctamente.

Windows
Actualizacin
Actualizacin desde Nessus 4.x
Al actualizar Nessus desde una versin 4.x a una distribucin ms reciente 5.x, el proceso de actualizacin le preguntar
al usuario si desea eliminar todo lo contenido en el directorio de Nessus. Elegir esta opcin (al seleccionar Yes) imitar
un proceso de desinstalacin. Si elige esta opcin, los usuarios creados anteriormente, las directivas de anlisis
existentes y los resultados de los anlisis se quitarn, y el analizador dejar de estar registrado.

Haga clic en Yes para permitir que Nessus intente eliminar toda la carpeta Nessus junto con todo archivo agregado
manualmente, o No para conservar la carpeta Nessus junto con los anlisis, informes, etc. existentes. Despus de que
se haya instalado la nueva versin de Nessus, an podrn verse y exportarse.
Actualizacin desde Nessus 3.x
No se admite una actualizacin directa de Nessus 3.0.x a Nessus 5.x. Sin embargo, puede utilizar una actualizacin a 4
como paso intermedio para garantizar que se preserven la configuracin y directivas de anlisis fundamentales. Si no es
necesario conservar la configuracin de anlisis, desinstale primero Nessus 3.x y luego instale una copia nueva de
Nessus 5.

Si selecciona Yes, se eliminarn todos los archivos del directorio de Nessus, incluidos los archivos de
registro y los plugins personalizados aadidos de forma manual, entre otros. Utilice esta opcin con cuidado.

Instalacin
Descarga de Nessus
La versin ms reciente de Nessus est disponible en http://www.nessus.org/products/nessus/nessus-download-
agreement o a travs del Tenable Support Portal (Portal de soporte de Tenable). Nessus 5 est disponible para Windows
XP, Server 2003, Server 2008, Vista y Windows 7. Confirme la integridad del paquete de instalacin comparando la suma
de comprobacin MD5 de la descarga con la que aparece en el archivo MD5.asc aqu.
Los nombres y los tamaos de los archivos de distribucin de Nessus varan ligeramente de una versin a otra, pero
tienen un tamao de aproximadamente 12 MB.

22
Instalacin
Nessus se distribuye como archivo de instalacin ejecutable. Coloque el archivo en el sistema en el que se est
instalando o en una unidad compartida a la que tenga acceso el sistema.
Debe instalar Nessus empleando una cuenta administrativa y no como usuario sin privilegios. Si se producen errores
relacionados con los permisos, Access Denied (Acceso denegado) o errores que sugieren que una accin tuvo lugar
debido a la falta de privilegios, asegrese de que est usando una cuenta con privilegios administrativos. Si se producen
estos errores al usar las utilidades de lneas de comandos, ejecute cmd.exe con los privilegios Run as (Ejecutar
como) establecidos en administrator (administrador).

Algunos paquetes de software antivirus pueden incluir a Nessus en la categora de gusano o de alguna forma
de software malintencionado. Lo anterior se debe a la gran cantidad de conexiones TCP generadas durante
un anlisis. Si su software antivirus produce una advertencia, haga clic en "allow" (permitir) para que Nessus
pueda seguir analizando. La mayora de los paquetes de antivirus tambin le permiten aadir procesos a una
lista de excepciones. Aada Nessus.exe y Nessus-service.exe a esta lista para evitar tales advertencias.

Se recomienda que obtenga un cdigo de activacin de fuente de plugins antes de iniciar el proceso de instalacin, ya
que esa informacin ser necesaria para poder autenticar en la interfaz GUI de Nessus. Para ver ms informacin sobre
cmo obtener un cdigo de activacin, lea la seccin Suscripciones de plugins de vulnerabilidades.
Preguntas sobre instalacin

Durante el proceso de instalacin, Nessus le solicitar al usuario que introduzca algunos datos bsicos. Antes de
comenzar, debe leer y aceptar el contrato de licencia:

23

Luego de ello, puede configurar la ubicacin en la que se instalar Nessus:

Cuando se le solicite que seleccione Setup Type (Tipo de instalacin), seleccione Complete (Completa).

24

Se le solicitar que confirme la instalacin:

Despus de finalizar la instalacin inicial, Nessus comenzar la instalacin de un controlador independiente que se utiliza
para permitir la comunicacin Ethernet de Nessus:

25

Una vez que haya finalizado la instalacin, haga clic en Finish (Finalizar).

En este momento, Nessus cargar en su explorador web predeterminado una pgina que manejar la configuracin
inicial, tratada en la seccin Registro de fuentes y configuracin de la GUI.

26
Inicio y detencin del demonio de Nessus
Durante la instalacin y la operacin diaria de Nessus, no suele ser necesario manipular el servicio de Nessus. Sin
embargo, en algunos casos un administrador puede querer detener o reiniciar temporalmente el servicio.
Esto se puede hacer en un sistema Windows abriendo el men Start (Inicio) y haciendo clic en Run (Ejecutar). En el
cuadro Run (Ejecutar), escriba services.msc para abrir el Windows Service Manager (Administrador de servicios de
Windows):

Haga clic derecho en el servicio Tenable Nessus para ver un cuadro de dilogo que le permita iniciar, detener, pausar,
reanudar o reiniciar el servicio segn el estado actual.
Adems, el servicio Nessus puede manipularse por medio de la lnea de comandos. Para obtener ms informacin,
consulte la seccin Manipulacin del servicio Nessus por medio de la interfaz de la lnea de comandos (CLI) de
Windows en este documento.
Cmo quitar Nessus
Para quitar Nessus, en Control Panel (Panel de control), abra Add or Remove Programs (Agregar o quitar
programas). Seleccione Tenable Nessus, y luego haga clic en el botn Change/Remove (Cambiar o quitar). Esto
abrir el asistente InstallShield Wizard. Siga las instrucciones de este asistente para quitar Nessus por completo. Se le
preguntar si desea quitar toda la carpeta Nessus. Responda Yes solo si no desea conservar ninguna directiva ni
resultado de anlisis que pueda haber generado.

Al desinstalar Nessus, Windows le preguntar si desea continuar, pero mostrar lo que parece ser un archivo
arbitrario .msi sin certificacin. Por ejemplo:

C:\Windows\Installer\778608.msi
Autor: Unknown (Desconocido)

Esto se debe a que Windows conserva una copia interna del instalador de Nessus y la utiliza para iniciar el
proceso de desinstalacin. Es seguro aprobar esta solicitud.

Mac OS X
Actualizacin
Las actualizaciones a partir de una versin anterior de Nessus son similares a la realizacin de una instalacin nueva.
Descargue el archivo Nessus-5.x.x.dmg.gz, y luego haga doble clic en l para descomprimirlo. Haga doble clic en el
archivo Nessus-5.x.x.dmg, con lo que se montar la imagen de disco y har que aparezca en Devices (Dispositivos) en
Finder (Buscador). Cuando el volumen Nessus 5 aparezca en el Finder, haga doble clic en el archivo Nessus 5. Una
vez que se haya finalizado la instalacin, inicie sesin en Nessus a travs de su explorador, en https://localhost:8834.

27
Instalacin
La versin ms reciente de Nessus est disponible en http://www.nessus.org/products/nessus/nessus-download-
agreement o a travs del Tenable Support Portal (Portal de soporte de Tenable). Nessus est disponible para Mac OS X
10.6 y 10.7. Confirme la integridad del paquete de instalacin comparando la suma de comprobacin MD5 de la descarga
con la que aparece en el archivo MD5.asc aqu.
El tamao del archivo de distribucin de Nessus para Mac OS X es ligeramente diferente entre una y otra publicacin,
pero aproximadamente pesa 45 MB.
Para instalar Nessus en Mac OS X, debe descargar el archivo Nessus-5.x.x.dmg.gz y luego hacer doble clic en l
para descomprimirlo. Haga doble clic en el archivo Nessus-5.x.x.dmg, con lo que se montar la imagen de disco y
har que aparezca en Devices (Dispositivos) en Finder (Buscador). Cuando el volumen Nessus 5 aparezca en
Finder (Buscador), haga doble clic en el archivo Nessus 5 como se muestra a continuacin:

Tenga en cuenta que se le solicitar un nombre de usuario y contrasea de administrador en algn momento
de la instalacin.

Preguntas sobre instalacin
La instalacin aparecer en la pantalla de la siguiente forma:

28
Haga clic en Continue (Continuar) y se mostrar la licencia del software. Haga clic en Continue nuevamente, y
aparecer un cuadro de dilogo que le pedir que acepte las condiciones de la licencia antes de continuar:

29
Despus de aceptar la licencia, aparecer otro cuadro de dilogo que le permitir cambiar la ubicacin predeterminada
de la instalacin, como se muestra a continuacin:

Haga clic en el botn Install (Instalar) para continuar la instalacin. En este punto se le solicitar que introduzca el
nombre de usuario y contrasea de administrador:

30
La instalacin ha finalizado correctamente cuando aparece la siguiente pantalla:

En este momento, Nessus cargar en su explorador web predeterminado una pgina que manejar la configuracin
inicial, tratada en la seccin Registro de fuentes y configuracin de la GUI.
Inicio y detencin del servicio Nessus
Despus de la instalacin, se iniciar el servicio nessusd. En cada reinicio, el servicio se iniciar automticamente. Si
existe una razn para iniciar o detener el servicio, esto puede realizarse a travs de una ventana de terminal (lnea de
comandos). El comando debe ejecutarse como root (raz) o sudo:
Accin Comando para administrar nessusd
Inicio # launchctl load -w /Library/LaunchDaemons/com.tenablesecurity.nessusd.plist
Detencin # launchctl unload -w
/Library/LaunchDaemons/com.tenablesecurity.nessusd.plist

Cmo quitar Nessus
Para quitar Nessus, elimine los siguientes directorios:
/Library/Nessus
/Applications/Nessus
/Library/Receipts/Nessus*

Si no tiene conocimientos del uso de la lnea de comandos de Unix en un sistema Mac OS X, comunquese
con la Asistencia tcnica de Tenable para obtener ayuda.

31
Existen herramientas de software gratuito, tales como DesInstaller.app (http://www.macupdate.com/info.php/id/7511) y
CleanApp (http://www.macupdate.com/info.php/id/21453/cleanapp) que tambin se pueden usar para quitar Nessus.
Tenable no guarda ningn tipo de relacin con estas herramientas, y no se probaron especficamente para quitar Nessus.
Registro de fuentes y configuracin de la GUI
En esta seccin se describe cmo configurar el servidor Nessus 5 en todas las plataformas. A partir de Nessus 5 las
opciones de configuracin inicial, como las opciones de proxy y el suministro de un Cdigo de activacin, se realizan a
travs de un proceso web. Despus de la instalacin de Nessus tiene seis horas para completar el proceso de registro,
por razones de seguridad. Si no lo hace, debe reiniciar nessusd y el proceso de registro.

El Nessus Server Manager utilizado en Nessus 4 est en desuso.

Si la instalacin del software no abre su explorador web con la pgina de configuracin, puede cargar un explorador e ir a
http://[Nessus Server IP]:8834/WelcomeToNessus-Install/welcome (o a la URL provista durante el proceso de instalacin)
para comenzar el proceso. Nota: Las instalaciones con Unix pueden proveer una URL con un nombre de host relativo
que no est en DNS (por ejemplo, http://mybox:8834/). Si el nombre de host no est en DNS, debe conectarse al servidor
Nessus utilizando una direccin IP o un nombre DNS vlido.

La pantalla inicial sirve como advertencia de que todo el trfico hacia la GUI de Nessus se realiza por SSL (HTTPS). La
primera vez que se conecte al servidor web Nessus, su explorador mostrar algn tipo de error que indica que la
conexin no es confiable debido a un certificado SSL autofirmado. En la primera conexin, acepte el certificado para
continuar la configuracin. Las instrucciones para instalar un certificado personalizado se tratan ms adelante en este
documento, en la seccin Configuracin de Nessus con un certificado SSL personalizado.

Debido a la implementacin tcnica de los certificados SSL, no es posible enviar un certificado con Nessus
que sea confiable para los exploradores. Para evitar esta advertencia, debe utilizar un certificado
personalizado para su organizacin.

32

Segn el explorador que utilice, puede haber un dilogo adicional que le permita aceptar el certificado:

33
Una vez que lo acept, se le redirigir a la pantalla inicial de registro que comienza las instrucciones paso a paso:

El primer paso es crear una cuenta para el servidor Nessus. La cuenta inicial ser de administrador; esta cuenta tiene
acceso a la ejecucin de comandos en el sistema operativo subyacente de la instalacin de Nessus, por lo que se debe
considerar de la misma manera que cualquier otra cuenta de administrador:

34
La siguiente pantalla solicita un Cdigo de activacin de plugins y le permite configurar parmetros de proxy opcionales.

Si usa el Tenable SecurityCenter, el cdigo de activacin y las actualizaciones de los plugins se administran
desde SecurityCenter. Para comunicarse con SecurityCenter, Nessus necesita iniciarse, lo cual normalmente
no se podr lograr sin un cdigo de activacin y plugins vlidos. Para que Nessus ignore este requisito y se
inicie (y pueda as obtener la informacin de SecurityCenter), escriba SecurityCenter (con maysculas y
minsculas) sin comillas en el cuadro Activation Code (Cdigo de activacin). Despus de iniciar Nessus, los
usuarios de SecurityCenter habrn completado la instalacin y configuracin iniciales del analizador Nessus y
podrn pasar a la seccin Trabajo con SecurityCenter.

Si no registra su copia de Nessus, no recibir ningn plugin nuevo y no podr iniciar el servidor Nessus. Nota:
el cdigo de activacin no distingue maysculas de minsculas.

Si su servidor Nessus se encuentra en una red que utiliza un proxy para comunicarse con Internet, haga clic en
Optional Proxy Settings (Configuracin de proxy opcional) para escribir la informacin correspondiente. Los
parmetros de proxy pueden agregarse en cualquier momento despus de finalizar la instalacin.

35

Una vez que se finaliz la configuracin del Cdigo de activacin y los parmetros de proxy opcionales, haga clic en
Next (Siguiente) para registrar su analizador:

36
Despus del registro, Nessus debe descargar los plugins de Tenable. Este proceso puede tomar varios minutos, ya que
transfiere una gran cantidad de datos al equipo, verifica la integridad de los archivos y los compila en una base de datos
interna:

Despus del registro inicial, Nessus descargar y compilar los plugins obtenidos del puerto 443 de
plugins.nessus.org, plugins-customers.nessus.org o plugins-us.nessus.org en segundo plano.

Una vez que se hayan descargado y compilado los plugins, la GUI de Nessus se inicializar y el servidor Nessus se iniciar:

Despus de su inicializacin, Nessus est listo para su uso.

37

Con las credenciales administrativas creadas durante la instalacin, inicie sesin en la interfaz de Nessus para verificar el
acceso.
Configuracin
Con el lanzamiento de Nessus 5, toda la configuracin del servidor de Nessus se controla a travs de la GUI. El archivo
nessusd.conf est en desuso. Adems, los parmetros de proxy, el registro de fuentes de suscripcin y las
actualizaciones sin conexin tambin se administran a travs de la GUI.

38
Configuracin del proxy web
Bajo el encabezado Configuration (Configuracin), la ficha Settings (Opciones) le permite configurar un proxy web
para actualizaciones de plugins. Esto es necesario si su organizacin necesita que todo el trfico web sea dirigido a
travs de un proxy corporativo:

Existen seis campos que controlan la configuracin del proxy, pero solo son necesarios el host y el puerto. Tambin
puede suministrarse un nombre de usuario y una contrasea si es necesario.
Opcin Descripcin
Host
(Host)
El host o IP del proxy (por ejemplo, proxy.example.com).
Port
(Puerto)
El puerto del proxy (por ejemplo, 8080).
Username
(Nombre de usuario)
Opcional: si se requiere un nombre de usuario para el uso del proxy (por ejemplo,
jdoe).
Password
(Contrasea)
Opcional: si se requiere una contrasea para el uso del proxy (por ejemplo,
guineapigs).
User-Agent
(Agente-usuario)
Opcional: si el proxy que utiliza filtra agentes de usuario HTTP especficos, se puede
suministrar una cadena agente-usuario personalizada.
Custom Update Host
(Host de actualizacin
personalizada)
Opcional: esto puede utilizarse para forzar a Nessus a actualizar plugins desde un
host especfico. Por ejemplo, si los plugins se deben actualizar desde un lugar en EE.
UU., puede especificar plugins-us.nessus.org.

39

A partir de Nessus 4.2, los analizadores de Microsoft Windows admiten la autenticacin de proxy, incluido
NTLM.

Restablecimiento de cdigos de activacin y actualizaciones sin conexin
Despus de haber introducido el Cdigo de activacin inicial durante el proceso de configuracin, los cambios adicionales al
Cdigo de activacin se hacen a travs de la ficha Feed Settings (Opciones de configuracin de fuentes). Al ingresar
un nuevo cdigo en el campo Activation Code (Cdigo de activacin) y hacer clic en Save (Guardar) se actualizar el
analizador Nessus con el nuevo cdigo (por ejemplo, si actualiza de HomeFeed a ProfessionalFeed).

Tambin puede forzar una actualizacin de plugin en cualquier momento haciendo clic en Update Plugins (Actualizar
plugins). Si una actualizacin de plugin falla por cualquier motivo (por ejemplo, una interrupcin en la conexin a la red),
Nessus volver a intentarla 10 minutos despus.
La seccin Offline Update (Actualizacin sin conexin) le permite especificar un archivo de plugins para el
procesamiento. Para obtener ms detalles acerca de la actualizacin sin conexin, consulte la seccin Nessus sin
acceso a Internet ms adelante en este documento.

El uso del cliente heredado a travs del protocolo NTP es admitido por Nessus 5, pero solo est disponible
para clientes de ProfessionalFeed.

Opciones de configuracin avanzada
Nessus utiliza una amplia variedad de opciones de configuracin para ofrecer un control ms pormenorizado de cmo
funciona el analizador. En la ficha Advanced de la opcin Configuration, un usuario administrador puede modificar
estos parmetros.

ADVERTENCIA: Cualquier cambio en la configuracin del analizador Nessus afectar a TODOS los usuarios
de Nessus. Modifique estas opciones con cuidado.

40

Puede configurar cada opcin modificando el campo correspondiente y haciendo clic en el botn Save (Guardar) que
est en la base de la pantalla. Adems, puede quitar por completo la opcin haciendo clic en el botn .
De manera predeterminada, la GUI de Nessus opera en el puerto 8834. Para cambiar este puerto, modifique
xmlrpc_listen_port para escoger el puerto deseado. El servidor Nessus procesar el cambio en unos minutos.
Si requiere preferencias adicionales, haga clic en el botn Add Preference Item (Agregar elemento de preferencia),
escriba el nombre y el valor, y presione Save (Guardar). Una vez que la preferencia se actualiz y se guard, Nessus
procesar los cambios en unos minutos.
Para obtener ms detalles acerca de cada opcin de configuracin, consulte la seccin Configuracin del demonio de
Nessus (usuarios avanzados) de este documento.
Creacin y administracin de usuarios de Nessus
Durante la configuracin inicial, se crea un usuario administrador. Utilizando las credenciales especificadas durante la
configuracin, inicie sesin en la GUI de Nessus. Una vez obtenida la autenticacin, haga clic en el encabezado Users
de la parte superior:

41

Para crear un nuevo usuario, Haga clic en New User (Nuevo usuario), en la esquina superior derecha. Esto abrir un
dilogo que le pide que ingrese los siguientes detalles obligatorios:

Escriba el nombre de usuario y la contrasea, repita la contrasea y decida si el usuario tendr privilegios de administrador.
Si necesita modificar una cuenta de usuario, escoja la cuenta en la lista y haga clic en Edit:

42

No puede cambiar el nombre de los usuarios. Si desea cambiar el nombre de un usuario, debe eliminar al
usuario y crear un nuevo usuario con el nombre de inicio de sesin correspondiente.

Para eliminar un usuario, seleccione el cuadro de verificacin junto a la cuenta en la lista, seleccione Options
(Opciones) en la esquina superior derecha, haga clic en Delete User (Eliminar usuario) y confirme:

Un usuario que no sea administrador no puede subir plugins a Nessus, no puede reiniciarlo remotamente
(esto es necesario despus de subir un plugin), ni puede anular el parmetro max_hosts/max_checks en
la seccin de configuracin. Si el usuario va a ser utilizado por SecurityCenter, debe ser un usuario
administrador. SecurityCenter mantiene su propia lista de usuarios y establece los permisos para ellos.

Si necesita que una cuenta de usuario de Nessus tenga limitaciones, puede hacerlo utilizando la interfaz de la lnea de
comandos (CLI); esto se trata ms adelante en el documento, en la seccin Uso y administracin de Nessus desde la
lnea de comandos.
Configuracin del demonio de Nessus (usuarios avanzados)
El men de configuracin de la GUI de Nessus contiene varias opciones configurables. Por ejemplo, es aqu donde se
especifican la cantidad mxima de comprobaciones y de hosts que se analizarn por vez, los recursos que desea que

43
nessusd use y la velocidad a la que se deben leer los datos, as como muchas otras opciones. Se recomienda revisar y
modificar estos parmetros segn su entorno de anlisis. Al final de esta seccin se explica la lista completa de opciones
de configuracin.
En particular, los valores max_hosts y max_checks pueden afectar en gran medida la capacidad de su sistema de
Nessus para realizar anlisis, as como la de aquellos sistemas que se analizan en busca de vulnerabilidades en su red.
Preste especial atencin a estos dos parmetros de configuracin.
Estos son los dos parmetros y sus valores predeterminados segn se ven en el men de configuracin:
Opcin Valor
max_hosts 40
max_checks 5

Tenga en cuenta que esta configuracin ser reemplazada en cada anlisis al usar SecurityCenter de Tenable o en la
directiva personalizada de la interfaz de usuario de Nessus. Para ver o modificar estas opciones para una plantilla de
anlisis en SecurityCenter, modifique Scan Options (Opciones de anlisis) en Scan Template (Plantilla de anlisis). En
la Nessus User Interface (Interfaz de usuario de Nessus), modifique la directiva de anlisis, y luego haga clic en la ficha
Options (Opciones).

Tenga en cuenta que el parmetro max_checks posee un lmite, codificado de forma rgida, de 15. Cualquier
valor mayor de 5 producir normalmente efectos adversos, ya que la mayora de los servidores no pueden
procesar tantas solicitudes intrusivas al mismo tiempo.

Notas sobre max_hosts:
Como el nombre lo indica, representa la cantidad mxima de sistemas de destino que se examinarn en un momento
dado. Mientras mayor sea la cantidad de sistemas analizados de forma simultnea por un analizador Nessus individual,
mayor exigencia se aplicar a la memoria RAM, el procesador y el ancho de banda de la red del sistema de ese
analizador. Al establecer el valor max_hosts, tenga en cuenta la configuracin del hardware del sistema del analizador y
de otras aplicaciones que se ejecuten en este.
Dado que tambin afectar a los anlisis de Nessus una cantidad de otros factores que son exclusivos de su entorno de
anlisis (por ejemplo, la directiva de su organizacin respecto de los anlisis, otro trfico presente en la red, el efecto que
un tipo de anlisis en particular tenga en los hosts de destino de su anlisis), la experimentacin le proporcionar el valor
ptimo para max_hosts.
Un punto de partida conservador para determinar el mejor valor de max_hosts en un entorno empresarial sera
establecerlo en 20 en sistemas Nessus basados en Unix, y en 10 en analizadores Nessus para Windows.
Notas sobre max_checks:
Es la cantidad de comprobaciones o plugins que se ejecutarn de forma simultnea en un nico host de destino durante
un anlisis. Tenga en cuenta que establecer esta cantidad en un valor demasiado elevado podra saturar los sistemas
que est analizando, segn qu plugins use en el anlisis.
Multiplique max_checks por max_hosts para encontrar la cantidad de comprobaciones simultneas que se podran
ejecutar en un momento dado durante un anlisis. Debido a que max_checks y max_hosts se usan en conjunto,
establecer max_checks en un valor demasiado elevado tambin puede provocar restricciones de recursos en el sistema
del analizador Nessus. Al igual que con max_hosts, la experimentacin le proporcionar el valor ptimo para
max_checks, pero se recomienda que siempre est establecido en un valor relativamente bajo.

44
Opciones de configuracin
En la siguiente tabla se incluye una breve explicacin de cada opcin de configuracin disponible en el men de
configuracin. Muchas de estas opciones son configurables a travs de la interfaz del usuario al crear una directiva de
anlisis.
Opcin Descripcin
auto_enable_dependencies Activa de manera automtica los plugins de los que depende. Si se encuentra
deshabilitada, no todos los plugins se pueden ejecutar, a pesar de haber sido
seleccionados en una directiva de anlisis.
auto_update Actualizaciones automticas de plugins. Si se encuentra habilitada y Nessus est
registrado, obtenga los plugins ms recientes de plugins.nessus.org automticamente.
Deshabilite la opcin si el analizador se encuentra en una red aislada que no puede
conectarse con Internet.
auto_update_delay Cantidad de horas que se deben esperar entre una actualizacin y otra. El intervalo
mnimo permitido es cuatro (4) horas.
cgi_path Durante la prueba de los servidores web, use esta lista de rutas de acceso CGI
delimitada por dos puntos.
checks_read_timeout Lee el tiempo de espera para los sockets de las pruebas.
disable_ntp Deshabilita el protocolo heredado NTP anterior.
disable_xmlrpc Deshabilita la nueva interfaz de XMLRPC (servidor web).
dumpfile Ubicacin de un archivo de descarga correspondiente a los resultados de la
depuracin, en caso de que se genere.
enable_listen_ipv4 Indica a Nessus que escuche en IPv4.
enable_listen_ipv6 Indica a Nessus que escuche en IPv6, si el sistema admite las direcciones IPv6.
global.max_scans Si est establecida en un nmero distinto de cero, define la cantidad mxima de
anlisis que pueden producirse de forma paralela.
Nota: si esta opcin no se usa, no se aplicar ningn lmite.
global.max_simult_tcp_
sessions
Cantidad mxima de sesiones TCP simultneas entre todos los anlisis.
global.max_web_users Si est establecida en un nmero distinto de cero, define la cantidad mxima de
usuarios (web) que se pueden conectar de forma paralela.
host.max_simult_tcp_
sessions
Cantidad mxima de sesiones TCP simultneas por host analizado.
listen_address La direccin IPv4 a la que escuchar para las conexiones entrantes. Si est establecida
en 127.0.0.1, se limitar el acceso a conexiones locales nicamente.
listen_port Puerto que se escuchar (protocolo NTP anterior). Usado para conexiones de
NessusClient anteriores a 4.2.

45
log_whole_attack Desea registrar todos los detalles del ataque? Resulta til para depurar problemas
con el anlisis, pero puede usar el disco duro de forma intensiva.
logfile Lugar en el que se almacena el archivo de registro de Nessus.
max_hosts Cantidad mxima de hosts comprobados al mismo tiempo durante un anlisis.
max_checks Cantidad mxima de comprobaciones simultneas en cada host probado.
max_simult_tcp_sessions Cantidad mxima de sesiones TCP simultneas por anlisis.
nasl_log_type Indica el tipo de resultados del motor NASL en nessusd.dump.
nasl_no_signature_check Nessus debe considerar todas las secuencias de comandos NASL como firmadas?
Seleccionar yes es poco seguro y no recomendado.
nessus_syn_scanner.
global_throughput.max
Establece la cantidad mxima de paquetes SYN que Nessus enviar por segundo
durante su anlisis de puertos (independientemente de la cantidad de hosts que se
analicen de forma paralela). Ajuste esta opcin en funcin de la sensibilidad del
dispositivo remoto ante grandes cantidades de paquetes SYN.
non_simult_ports Puertos en los cuales no se deben ejecutar dos plugins de manera simultnea.
optimize_test Optimiza el procedimiento de prueba. Si cambia la opcin a no, har que los anlisis
demoren ms y normalmente producir ms falsos positivos.
paused_scan_timeout Elimina un anlisis pausado despus de cierta cantidad de minutos (0 indica que no
haya tiempo de espera).
plugin_upload Indica si los usuarios administradores pueden cargar plugins.
plugin_upload_suffixes Sufijos de los plugins que puede cargar el usuario administrador.
plugins_timeout Duracin mxima de la actividad de un plugin (en segundos).
port_range Intervalo de los puertos que sern analizados por los analizadores de puertos. Se
pueden usar las palabras clave all o default, as como tambin una lista de puertos
o intervalos de puertos delimitados por comas.
purge_plugin_db Nessus debe purgar la base de datos de los plugins en cada actualizacin? Esto
indica a Nessus que quite, vuelva a descargar y vuelva a compilar la base de datos de
plugins para cada actualizacin. Elegir Yes (S) har que cada actualizacin sea
considerablemente ms lenta.
qdb_mem_usage Indica a Nessus que use ms o menos memoria al estar inactivo. Si Nessus se
ejecuta en un servidor dedicado, establecer esta opcin en high (alta) usar ms
memoria para aumentar el rendimiento. Si Nessus se ejecuta en un equipo
compartido, establecer esta opcin en low (baja) usar considerablemente menos
memoria, pero a expensas de un efecto moderado en el rendimiento.
reduce_connections_on_
congestion
Reduce la cantidad de sesiones TCP paralelas cuando la red parece congestionada.

46
report_crashes Desea crear informes annimos sobre bloqueos para Tenable?
rules Ubicacin del archivo de reglas de Nessus (nessusd.rules).
safe_checks Las comprobaciones seguras se basan en la captacin de banners en lugar de
pruebas activas en busca de vulnerabilidades.
save_knowledge_base Guarda la base de conocimiento en el disco para usar posteriormente.
silent_dependencies Si est habilitada la opcin, la lista de dependencias de los plugins y sus resultados
no se incluyen en el informe. Se puede escoger un plugin como parte de una directiva
que dependa de otros plugins para ejecutarse. De manera predeterminada, Nessus
ejecutar esas dependencias de plugins, pero no incluir su resultado en el informe.
Si configura esta opcin en no har que tanto el plugin seleccionado como cualquier
dependencia de plugin aparezcan en el informe.
slice_network_addresses Si esta opcin est establecida, Nessus no analizar una red incrementalmente
(10.0.0.1, luego 10.0.0.2, luego 10.0.0.3 y sucesivamente) sino que intentar dividir la
carga de trabajo por toda la red (por ejemplo, analizar 10.0.0.1, luego 10.0.0.127,
luego 10.0.0.2, luego 10.0.0.128 y sucesivamente).
source_ip En el caso de un sistema con mltiples hosts y diferentes direcciones IP en la misma
subred, esta opcin indica al analizador Nessus qu NIC/IP usar para las pruebas. Si
se proporcionan varias IP, Nessus las recorrer toda vez que realice una conexin.
ssl_cipher_list Asegura que solo se empleen cifrados SSL strong" (slidos) al conectarse con el
puerto 1241. Admite la palabra clave strong (slido) o las designaciones generales
de OpenSSL, segn se enumeran en http://www.openssl.org/docs/apps/ciphers.html.
stop_scan_on_disconnect Detiene el anlisis de un host que parece haberse desconectado durante el anlisis.
stop_scan_on_hang Detiene un anlisis que parece estar suspendido.
throttle_scan Acelera el anlisis cuando la CPU est sobrecargada.
use_kernel_congestion_
detection
Usa los mensajes de congestin TCP de Linux para reducir la actividad de anlisis
segn sea necesario.
www_logfile Lugar en el que se almacena el registro de Nessus Web Server (interfaz de usuario).
xmlrpc_idle_session_timeo
ut
Tiempo de espera de sesin inactiva XMLRPC (en minutos).
xmlrpc_import_feed_
policies
Si esta opcin est establecida en no, Nessus no incluir directivas de anlisis
predeterminadas proporcionadas por Tenable.
xmlrpc_listen_port Puerto para que escuche Nessus Web Server (nuevo protocolo XMLRPC).
xmlrpc_min_password_len Ordena a Nessus que aplique una directiva para la longitud de una contrasea de los
usuarios de un analizador.

47
De manera predeterminada report_crashes est establecido en yes (s). La informacin relacionada con los
bloqueos de Nessus se enviar a Tenable para ayudar a depurar problemas y brindar un software de la mayor calidad
posible. No se enviar a Tenable ningn tipo de informacin de identificacin personal ni del sistema. Un usuario
administrador de Nessus puede establecer esta configuracin como no (no).
Configuracin de Nessus con un certificado SSL personalizado
La instalacin predeterminada de Nessus usa un certificado SSL autofirmado. Al usar la interfaz web por primera vez
para obtener acceso al analizador Nessus, su explorador web mostrar un error en el que se indica que el certificado no
es confiable:

Para evitar advertencias por parte del explorador, se puede usar un certificado SSL personalizado que sea especfico
para su organizacin. Durante la instalacin, Nessus crea dos archivos que conforman el certificado: servercert.pem
y serverkey.pem. Estos archivos deben ser reemplazados con archivos de certificado generados por su organizacin o
por una Entidad de certificacin (CA) confiable.
Antes de reemplazar los archivos de certificado, detenga el servidor Nessus. Reemplace los dos archivos y reinicie el
servidor Nessus. Las conexiones al analizador posteriores no deberan mostrar un error si el certificado fue generado por
una CA de confianza.
La siguiente tabla enumera la ubicacin de los archivos de certificado de acuerdo con el sistema operativo:
Sistema operativo Ubicaciones de los archivos de certificado
Linux y Solaris /opt/nessus/com/nessus/CA/servercert.pem
/opt/nessus/var/nessus/CA/serverkey.pem
FreeBSD /usr/local/nessus/com/nessus/CA/servercert.pem
/usr/local/nessus/var/nessus/CA/serverkey.pem

48
Windows C:\Program Files\Tenable\Nessus\nessus\CA\
Mac OS X /Library/Nessus/run/com/nessus/CA/servercert.pem
/Library/Nessus/run/var/nessus/CA/serverkey.pem

Nessus 5 admite cadenas de certificados SSL.

Tambin puede visitar https://[IP address]:8834/getcert para instalar la CA raz en su explorador,
lo que quitar la advertencia.

Para implementar una cadena de certificados intermedia, se debe colocar un archivo llamado serverchain.pem en el
mismo directorio que el archivo servercert.pem. Debe contener los certificados intermedios 1-n (certificados pblicos
concatenados) necesarios para construir la cadena de certificados completa del servidor Nessus, para su certificado raz
definitivo (que sea confiable para el explorador del usuario).
Autenticacin de Nessus con certificado SSL
Autenticacin del certificado SSL de cliente
Nessus permite a los usuarios utilizar la autenticacin de certificados SSL de cliente. Esto permite el uso de certificados
SSL de clientes, tarjetas inteligentes y autenticacin CAC cuando el explorador est configurado para este mtodo.
Nessus permite mtodos de autenticacin con contrasea o certificado SSL para cuentas de usuarios. Al crear un
usuario para una autenticacin con certificado SSL, la utilidad nessus-mkcert-client se usa a travs de la
lnea de comandos en el servidor Nessus.
Configuracin de Nessus para certificados
El primer paso para permitir la autenticacin de certificados SSL es configurar el servidor web de Nessus con un
certificado de servidor y un CA. Este proceso permite que el servidor web confe en certificados creados por la Entidad de
certificados (CA) con fines de autenticacin. Los archivos generados relacionados con los certificados deben ser
propiedad de root:root y los permisos predeterminados son buenos.
1. (Opcional) Cree un nuevo CA personalizado y un certificado de servidor para el servidor Nessus utilizando el
comando nessus-mkcert en la lnea de comandos. Esto colocar los certificados en sus directorios correctos.

Cuando se le pida el nombre de host, escriba el nombre de DNS o la direccin IP del servidor en el
explorador, como https://hostname:8834/ o https://ipaddress:8834/. El certificado predeterminado utiliza el
nombre de host.

2. Si se utilizar un certificado CA en lugar del certificado generado por Nessus, haga una copia del certificado CA
autofirmado con el comando correspondiente de su sistema operativo:
Linux/Unix:
# cp /opt/nessus/com/nessus/CA/cacert.pem /opt/nessus/com/nessus/CA/ORIGcacert.pem
Windows:
C:\> copy \Program Files\Tenable\Nessus\Nessus\CA\cacert.pem C:\Program
Files\Tenable\Nessus\nessus\CA\ORIGcacert.pem
3. Si los certificados que se utilizarn para autenticacin son creados por una CA que no sea el servidor Nessus, el
certificado CA debe instalarse en el servidor Nessus:
Linux/Unix:
Copie el certificado CA de la organizacin en /opt/nessus/com/nessus/CA/cacert.pem

49
Windows:
Copie el certificado CA de la organizacin en C:\Program
Files\Tenable\Nessus\Nessus\CA\cacert.pem
4. Configure el servidor Nessus para la autenticacin de certificados. Cuando la autenticacin de certificados est
habilitada, el inicio de sesin con nombre de usuario y contrasea est deshabilitado.
Linux/Unix:
# /opt/nessus/sbin/nessus-fix -set force_pubkey_auth=yes
Windows:
C:\> \program files\Tenable\Nessus\nessus-fix -set force_pubkey_auth=yes
5. Una vez que el CA est instalado y el parmetro force_pubkey_auth est habilitado, reinicie los servicios de
Nessus con el comando service nessusd restart.
Despus de configurar Nessus con el/los certificado/s CA adecuado/s, los usuarios pueden iniciar sesin en Nessus con
SSL client certificates (certificados SSL de cliente), Smart Cards (tarjetas inteligentes) y CAC (Tarjetas de acceso comn).
Creacin de certificados SSL de Nessus para inicio de sesin
Para iniciar sesin en un servidor Nessus con certificados SSL, los certificados deben crearse con el programa
adecuado. Para este proceso se usa la utilidad de lnea de comandos nessus-mkcert-client en el sistema. Las seis
preguntas que se hacen deben establecer valores predeterminados para la creacin de usuarios durante la sesin actual.
Estas son: lifetime, country, state, location, organization y organizational unit. Los valores predeterminados para estas
opciones pueden cambiarse durante la creacin de usuarios real si as lo desea. El/Los usuario/s se crear/n uno por vez
segn lo indicado. Al finalizar el proceso, los certificados se copian adecuadamente y se utilizan para iniciar sesin en el
servidor Nessus.
1. En el servidor Nessus, ejecute el comando nessus-mkcert-client.
Linux/Unix:
# /opt/nessus/sbin/nessus-mkcert-client
Windows (ejecutar como usuario administrador local):
C:\> \Program Files\Tenable\Nessus\nessus-mkcert-client
2. Complete los campos como se indica. El proceso, en un servidor de Linux/Unix o Windows, es idntico.
Do you want to register the users in the Nessus server as soon as you create their
certificates ? [n]: y

-------------------------------------------------------------------------------
Creation Nessus SSL client Certificate
-------------------------------------------------------------------------------

This script will now ask you the relevant information to create the SSL
client certificates for Nessus.
Client certificate life time in days [365]:
Your country (two letter code) [US]:
Your state or province name [NY]: MD
Your location (e.g. town) [New York]: Columbia
Your organization []: Content
Your organizational unit []: Tenable
**********
We are going to ask you some question for each client certificate
If some question have a default answer, you can force an empty answer by entering a
single dot '.'

50
*********
User #1 name (e.g. Nessus username) []: squirrel
Should this user be administrator? [n]: y
Country (two letter code) [US]:
State or province name [MD]:
Location (e.g. town) [Columbia]:
Organization [Content]:
Organizational unit [Tenable]:
e-mail []:

User rules
----------
nessusd has a rules system which allows you to restrict the hosts that firstuser has
the right to test. For instance, you may want him to be able to scan his own
host only.
Please see the nessus-adduser(8) man page for the rules syntax

Enter the rules for this user, and enter a BLANK LINE once you are done:
(the user can have an empty rules set)

User added to Nessus.
Another client certificate? [n]:
Your client certificates are in C:\Users\admin\AppData\Local\Temp\nessus-0000040e
You will have to copy them by hand

Los certificados de cliente se crearn en un directorio temporal aleatorio adecuado segn el sistema. El
directorio temporal se identificar en la lnea que comience con Your client certificates are in (Sus
certificados de cliente estn en).

3. Habr dos archivos creados en el directorio temporal, cert_squirrel.pem y key_squirrel.pem. Estos
archivos deben combinarse y exportarse en un formato que pueda importarse al explorador web, como .pfx.
Esto se puede realizar con el programa openssl y el siguiente comando:
# openssl pkcs12 -export -out combined_squirrel.pfx inkey
key_squirrel.pem -in cert_squirrel.pem -chain -CAfile
/opt/nessus/com/nessus/CA/cacert.pem -passout pass:'SecretWord' -name 'Nessus User
Certificate for: squirrel'
El archivo de resultado combined_squirrel.pfx se crear en el directorio desde el cual se lanz el comando.
Luego, este archivo debe importarse al almacenamiento de certificados personales del explorador web.
Habilitacin de conexiones con smart cards (tarjetas inteligentes) o CAC
(tarjetas de acceso comn)
Una vez que se implement la certificacin CA para smart cards (tarjetas inteligentes), CAC (Tarjetas de acceso comn)
o de dispositivos similares, deben crearse los usuarios que correspondan para coincidir en Nessus. En este proceso, los
usuarios creados deben coincidir con los CN utilizados en la tarjeta con la que cada usuario se conectar.
1. En el servidor Nessus, ejecute el comando nessus-mkcert-client.
Linux/Unix:
# /opt/nessus/sbin/nessus-mkcert-client
Windows (ejecutar como usuario administrador local):
C:\> \Program Files\Tenable\Nessus\nessus-mkcert-client.exe

51
2. Complete los campos como se indica. El proceso, en un servidor de Linux/Unix o Windows, es idntico. El
nombre de usuario debe coincidir con el CN suministrado por el certificado en la tarjeta.
Do you want to register the users in the Nessus server as soon as you create their
certificates ? [n]: y

-------------------------------------------------------------------------------
Creation Nessus SSL client Certificate
-------------------------------------------------------------------------------

This script will now ask you the relevant information to create the SSL
client certificates for Nessus.
Client certificate life time in days [365]:
Your country (two letter code) [US]:
Your state or province name [NY]: MD
Your location (e.g. town) [New York]: Columbia
Your organization []: Content
Your organizational unit []: Tenable
**********
We are going to ask you some question for each client certificate
If some question have a default answer, you can force an empty answer by entering a
single dot '.'
*********
User #1 name (e.g. Nessus username) []: squirrel
Should this user be administrator? [n]: y
Country (two letter code) [US]:
State or province name [MD]:
Location (e.g. town) [Columbia]:
Organization [Content]:
Organizational unit [Tenable]:
e-mail []:

User rules
----------
nessusd has a rules system which allows you to restrict the hosts that firstuser has
the right to test. For instance, you may want him to be able to scan his own
host only.
Please see the nessus-adduser(8) man page for the rules syntax

Enter the rules for this user, and enter a BLANK LINE once you are done:

User added to Nessus.
Another client certificate? [n]:
Your client certificates are in C:\Users\admin\AppData\Local\Temp\nessus-0000040e
You will have to copy them by hand

Los certificados de cliente se crearn en un directorio temporal aleatorio adecuado segn el sistema. El
directorio temporal se identificar en la lnea que comience con Your client certificates are in (Sus
certificados de cliente estn en). Para el uso de la autenticacin con tarjeta, no necesita estos certificados y
puede eliminarlos.

3. Una vez creado, un usuario con la tarjeta adecuada puede acceder al servidor Nessus y autenticarse
automticamente ingresando su PIN o una contrasea similar.

52
Conexin con explorador habilitado para certificados o tarjetas

Esta informacin se suministra suponiendo que su explorador est configurado para la autenticacin con
certificados SSL. Esto implica que el explorador web confa adecuadamente en la CA. Consulte los archivos
de ayuda u otra documentacin de su explorador para configurar esta funcin.

El proceso de inicio de sesin de certificado comienza cuando un usuario se conecta a Nessus.
1. Inicie un explorador y dirjase al servidor Nessus.
2. El explorador presentar una lista de las identidades de certificados disponibles entre las que puede escoger:

3. Una vez que haya seleccionado un certificado, se le solicitar que ingrese el PIN o contrasea del certificado (si
corresponde) para acceder a su certificado. Una vez que ingrese el PIN o la contrasea correctamente, el
certificado estar disponible para la sesin actual con Nessus.

4. Al navegar la interfaz web de Nessus, el usuario puede ver brevemente la pantalla de nombre de usuario y
contrasea seguida de un inicio de sesin automtico como el usuario designado. La interfaz de usuario de
Nessus puede usarse normalmente.

53

Si cierra sesin, ver la pantalla de inicio de sesin estndar de Nessus. Si desea volver a iniciar sesin con
el mismo certificado, actualice su explorador. Si necesita utilizar otro certificado, debe reiniciar la sesin de su
explorador.

Nessus sin acceso a Internet
Esta seccin describe los pasos necesarios para registrar el analizador Nessus, instalar el cdigo de activacin y recibir
los plugins ms recientes cuando su sistema Nessus no cuenta con acceso directo a Internet.

Los cdigos de activacin obtenidos durante el proceso sin conexin descrito a continuacin estn vinculados
con el analizador Nessus usado durante el proceso de actualizacin sin conexin. Usted no podr usar el
paquete descargado de plugins con otro analizador Nessus.

Comience siguiendo las instrucciones proporcionadas por Nessus. Cuando se le pida un cdigo de activacin, ingrese
Offline (Sin conexin) como se le indica.
Generacin de un Challenge Code
Usted debe obtener el Activation Code (cdigo de activacin) para la Suscripcin de Nessus desde su cuenta de Tenable
Support Portal (Portal de soporte de Tenable)-en el caso de ProfessionalFeed- o en el mensaje de correo electrnico de
registro a HomeFeed.
Tenga en cuenta que solo podr usar un nico Activation Code (cdigo de activacin) por analizador, a menos que los
analizadores sean administrados por SecurityCenter.
Una vez que posea el Activation Code (cdigo de activacin), ejecute el siguiente comando en el sistema en el que se
ejecute Nessus:
Windows:
C:\Program Files\Tenable\Nessus>nessus-fetch.exe --challenge
Linux y Solaris:
# /opt/nessus/bin/nessus-fetch --challenge
FreeBSD:
# /usr/local/nessus/bin/nessus-fetch --challenge
Mac OS X:
# /Library/Nessus/run/bin/nessus-fetch --challenge
De esta forma se producir una cadena denominada challenge code (cdigo de desafo) que tiene el siguiente aspecto:
569ccd9ac72ab3a62a3115a945ef8e710c0d73b8

54
Obtencin e instalacin de plugins actualizados
Luego visite https://plugins.nessus.org/offline.php y copie y pegue la cadena challenge (desafo), as como el cdigo de
activacin que recibi anteriormente, en los cuadros de texto correspondientes:

Esta accin mostrar una direccin URL que ser similar a la captura de pantalla que se muestra a continuacin:

55
Esta pantalla le brinda acceso para descargar las fuentes de plugins de Nessus ms recientes (all-2.0.tar.gz), junto
con un enlace al archivo nessus-fetch.rc que est en la parte inferior de la pantalla.

Guarde esta direccin URL, ya que la usar cada vez que actualice sus plugins, como se describe a
continuacin.

No se puede emplear un cdigo de registro usado para actualizaciones sin conexin en el mismo servidor del
analizador Nessus a travs de Nessus Server Manager.

Si, en cualquier momento, necesita verificar el cdigo de registro para un analizador especfico, puede usar la opcin --
code-in-use del programa nessus-fetch.
Copie el archivo nessus-fetch.rc en el host en que se ejecuta Nessus, en el siguiente directorio:
Windows:
C:\Program Files\Tenable\Nessus\conf
Linux y Solaris:
/opt/nessus/etc/nessus/
FreeBSD:
/usr/local/nessus/etc/nessus/
Mac OS X:
/Library/Nessus/run/etc/nessus/

El archivo nessus-fetch-rc solo debe copiarse una vez. Las descargas posteriores de los plugins de
Nessus debern copiarse en el directorio correspondiente en cada ocasin, como se describe a continuacin.

Tenga en cuenta que, de forma predeterminada, Nessus intentar actualizar sus plugins cada 24 horas despus de que
usted lo haya registrado. Si no quiere intentar esta actualizacin en lnea, cambie el parmetro auto_update a no en
el men Configuration -> Advanced (Configuracin - > Opciones avanzadas).

Efecte este paso cada vez que realice una actualizacin sin conexin de sus plugins.

Una vez descargado, mueva el archivo all-2.0.tar.gz al directorio de Nessus. A continuacin, ordnele a Nessus
que procese el archivo de plugins:
Windows:
C:\Program Files\Tenable\Nessus>nessus-update-plugins.exe all-2.0.tar.gz
Unix (modifique la ruta para su instalacin):
# /opt/nessus/sbin/nessus-update-plugins all-2.0.tar.gz
Una vez procesado, debe reiniciar Nessus para que los cambios entren en vigencia. Consulte las secciones
Manipulacin del servicio Nessus por medio de la interfaz de la lnea de comandos (CLI) de Windows o
Arranque/Parada del demonio de Nessus (Unix) para ver los detalles sobre cmo realizar un reinicio.
Una vez instalados los plugins, no es necesario que conserve el archivo all-2.0.tar.gz. Sin embargo, Tenable
recomienda que conserve la versin ms reciente del archivo de plugins descargado, en caso de que lo necesite
nuevamente.

56
Usted contar ahora con los plugins ms recientes que estn disponibles. Cada vez que desee actualizar sus plugins sin
conexin a Internet, debe visitar la direccin URL proporcionada, obtener el archivo tar/gz, copiarlo en el sistema en el
que se ejecute Nessus, y repetir el proceso anterior.
Uso y administracin de Nessus desde la lnea de comandos
Directorios principales de Nessus
La siguiente tabla enumera la ubicacin de la instalacin y los directorios principales usados por Nessus en *nix/Linux:
Directorio principal de
Nessus
Subdirectorios de Nessus Objetivo
Distribuciones de Unix
Red Hat, SuSE, Debian,
Ubuntu, Solaris:
/opt/nessus
./etc/nessus/ Archivos de configuracin
./var/nessus/users/<username>/kbs/ Base de conocimiento del usuario
guardada en el disco
FreeBSD:
/usr/local/nessus
./lib/nessus/plugins/ Plugins de Nessus
Mac OS X:
/Library/Nessus/run
./var/nessus/logs/ Archivos de registro de Nessus

La siguiente tabla enumera la ubicacin de la instalacin y los directorios principales usados por Nessus en Windows:
Directorio principal de Nessus Subdirectorios de Nessus Objetivo
Windows
\Program Files\Tenable\Nessus \conf Archivos de configuracin
\data Plantillas de hojas de estilo
\nessus\plugins Plugins de Nessus
\nessus\users\<username>\kbs Base de conocimiento del usuario
guardada en el disco
\nessus\logs Archivos de registro de Nessus

Creacin y administracin de usuarios de Nessus con limitaciones de cuenta
Un nico analizador Nessus puede admitir una organizacin compleja de varios usuarios. Por ejemplo, es posible que
una organizacin necesite que varios miembros del personal tengan acceso al mismo analizador Nessus pero tengan la
capacidad de analizar diferentes intervalos IP, y permitir que solo algunos miembros del personal tengan acceso a
intervalos IP restringidos.
El siguiente ejemplo destaca la creacin de un segundo usuario de Nessus mediante reglas de usuario y autenticacin de
contrasea que lo restringen a analizar una subred clase B, 172.20.0.0/16. Para obtener ms ejemplos y la sintaxis de las
reglas de usuario, consulte las man pages (pginas de manual) correspondientes a nessus-adduser.

57
# /opt/nessus/sbin/nessus-adduser
Login : tater-nessus
Login password :
Login password (again) :
Do you want this user to be a Nessus 'admin' user ? (can upload plugins, etc...) (y/n)
[n]: y
User rules
----------
nessusd has a rules system which allows you to restrict the hosts
that tater-nessus has the right to test. For instance, you may want
him to be able to scan his own host only.

Please see the nessus-adduser manual for the rules syntax

Enter the rules for this user, and enter a BLANK LINE once you are done :
accept 172.20.0.0/16
deny 0.0.0.0/0

Login : tater-nessus
Password : ***********
This user will have 'admin' privileges within the Nessus server
Rules :
accept 172.20.0.0/16
deny 0.0.0.0/0
Is that ok ? (y/n) [y] y
User added

Para ver la man page (pgina de manual) de nessus-adduser(8), en algunos sistemas operativos es posible
que deba ejecutar los siguientes comandos:

# export MANPATH=/opt/nessus/man
# man nessus-adduser

Opciones de lneas de comandos de Nessusd
Adems de ejecutar el servidor nessusd, existen varias opciones de lneas de comandos que se pueden usar segn
resulte necesario. La siguiente tabla contiene informacin sobre los distintos comandos opcionales.
Opcin Descripcin
-c <config-file>
Al iniciar el servidor nessusd, esta opcin se emplea para especificar el archivo de
configuracin nessusd del servidor que se usar. Posibilita el uso de un archivo de
configuracin alternativo en lugar del /opt/nessus/etc/nessus/nessusd.db
estndar (o /usr/local/nessus/etc/nessus/nessusd.db para FreeBSD).
-a <address>
Al iniciar el servidor nessusd, esta opcin se emplea para indicar al servidor que solo
escuche las conexiones en la direccin <address> que sea una IP, no un nombre de
equipo. Esta opcin resulta til si usted ejecuta nessusd en una puerta de enlace, y si
no desea que personas ajenas se conecten con su nessusd.
-S <ip[,ip2,...]>
Al iniciar el servidor nessusd, fuerza la IP de origen de las conexiones establecidas
por Nessus durante el anlisis a <ip>. Esta opcin solo es de utilidad si usted tiene un

58
equipo de mltiples hosts con varias direcciones IP pblicas que desea usar en lugar
de la direccin predeterminada. Para que funcione esta configuracin, el host en el
que se ejecute nessusd debe contar con varias NIC en las que estn establecidas
estas direcciones IP.
-p <port-number>
Al iniciar el servidor nessusd, esta opcin le indicar al servidor que escuche las
conexiones con el cliente en el puerto <port-number> en lugar de escucharlas en el
puerto 1241, que es el predeterminado.
-D
Al iniciar el servidor nessusd, esta opcin har que el servidor se ejecute en segundo
plano (modo demonio).
-v Muestra el nmero de la versin y cierra.
-l Muestra la informacin de licencia de la fuente de los plugins y cierra.
-h Muestra un resumen de los comandos y cierra.
--ipv4-only Solo escucha en el socket IPv4.
--ipv6-only Solo escucha en el socket IPv6.
-q
Funciona en modo silencioso, con lo cual se suprimen todos los mensajes a stdout.
-R Fuerza el reprocesamiento de los plugins.
-t Comprueba la marca de tiempo de cada plugin al iniciarse para solo compilar los
plugins recientemente actualizados.
-K Establece la contrasea maestra para el analizador.

Si se establece una contrasea maestra, Nessus cifrar todas las directivas y toda credencial contenida en ellas con la
clave suministrada por el usuario (considerablemente ms segura que la clave predeterminada). Si se establece una
contrasea, la interfaz web se la solicitar durante el inicio.

ADVERTENCIA: si se estableci la contrasea maestra y se extravi, ni su administrador ni la Asistencia
tcnica de Tenable podrn recuperarla.

A continuacin se indica un ejemplo de uso:
Linux:
# /opt/nessus/sbin/nessus-service [-vhD] [-c <config-file>] [-p <port-number>] [-a
<address>] [-S <ip[,ip,...]>]
FreeBSD:
# /usr/local/nessus/sbin/nessus-service [-vhD] [-c <config-file>] [-p <port-number>] [-a
<address>] [-S <ip[,ip,...]>]
Manipulacin del servicio Nessus por medio de la interfaz de la lnea de comandos (CLI) de
Windows
Nessus tambin puede iniciarse o detenerse desde la lnea de comandos. Tenga en cuenta que la ventana de comandos
debe abrirse con privilegios de administrador:

59
C:\Windows\system32>net stop "Tenable Nessus"
The Tenable Nessus service is stopping.
The Tenable Nessus service was stopped successfully.

C:\Windows\system32>net start "Tenable Nessus"
The Tenable Nessus service is starting.
The Tenable Nessus service was started successfully.

C:\Windows\system32>

Trabajo con SecurityCenter
Descripcin general de SecurityCenter
Tenable SecurityCenter es una consola de administracin web que unifica el proceso de deteccin y administracin de
vulnerabilidades, la administracin de eventos y registros, la supervisin de compatibilidades y la generacin de informes
sobre todo lo anterior. SecurityCenter permite la comunicacin eficaz de eventos de seguridad a los equipos de TI,
administracin y auditora.
SecurityCenter admite el uso de varios analizadores Nessus en conjunto para analizar redes de prcticamente cualquier
tamao, en forma peridica. Mediante Nessus API (una implementacin personalizada del protocolo XML-RPC),
SecurityCenter se comunica con los analizadores Nessus relacionados para enviar instrucciones de anlisis y recibir
resultados.
SecurityCenter habilita a varios usuarios y administradores, con distintos niveles de seguridad, a compartir informacin
sobre vulnerabilidades, establecer prioridades entre ellas, mostrar qu recursos de red sufren problemas de seguridad
crticos, ofrecer recomendaciones a los administradores del sistema para resolver estos problemas de seguridad, y observar
cundo se mitigan las vulnerabilidades. SecurityCenter tambin recibe datos provenientes de muchos sistemas lderes para
la deteccin de intrusos, tales como Snort e ISS, a travs del Log Correlation Engine (Motor de correlacin de registro).
SecurityCenter tambin puede recibir informacin pasiva sobre vulnerabilidades desde el Passive Vulnerability Scanner
(Analizador de vulnerabilidades pasivo) de Tenable, de modo que los usuarios finales puedan descubrir nuevos hosts,
aplicaciones, vulnerabilidades e intrusos sin la necesidad de realizar anlisis activos mediante Nessus.
Configuracin de SecurityCenter 4.0-4.2 para trabajar con Nessus
Se puede aadir un servidor Nessus Server mediante la interfaz de administracin de SecurityCenter. Con ella,
SecurityCenter se puede configurar para obtener acceso y controlar prcticamente cualquier analizador Nessus. Haga
clic en la ficha Resources (Recursos), y luego en Nessus Scanners (Analizadores Nessus). Haga clic en Add
(Agregar) para abrir el cuadro de dilogo Add Scanner (Agregar analizador). Se requiere la direccin IP del analizador
Nessus, el puerto de Nessus (predeterminado: 1241), la identificacin de inicio de sesin administrativo, el tipo de
autenticacin y la contrasea (creada mientras configuraba Nessus). Los campos de contrasea no se encuentran
disponibles si se seleccion la autenticacin SSL Certificate (Certificado SSL). Adems, se pueden seleccionar las
Zonas a las que se asignar el analizador Nessus.

60
A continuacin se muestra una captura de pantalla de un ejemplo de la pgina Add Scanner (Agregar analizador) de
SecurityCenter:

Despus de aadir correctamente el analizador, aparecer la siguiente pgina tras la seleccin del analizador:

Para obtener ms informacin, consulte la Gua de administracin de SecurityCenter.
Configuracin de SecurityCenter 4.4 para trabajar con Nessus
La interfaz de administracin SecurityCenter se utiliza para configurar el acceso y el control de cualquier analizador
Nessus de versiones 4.2.x o superiores. Haga clic en la ficha Resources (Recursos), y luego en Nessus Scanners
(Analizadores Nessus). Haga clic en Add (Agregar) para abrir el cuadro de dilogo Add Scanner (Agregar
analizador). Se requiere la direccin IP del analizador Nessus o nombre de host, el puerto de Nessus (predeterminado:
8834), el tipo de autenticacin (creada mientras configuraba Nessus), la identificacin de inicio de sesin administrativo y
la contrasea o informacin de certificados. Los campos de contrasea no se encuentran disponibles si se seleccion la
autenticacin SSL Certificate (Certificado SSL). La capacidad de verificar el nombre de host se incluye para comprobar
el CommonName (CN) (Nombre comn) del certificado SSL presentado por el servidor Nessus. El estado del analizador
Nessus puede configurarse como Enabled (Habilitado) o Disabled (Deshabilitado) segn sea necesario, pero el
predeterminado es Enabled (Habilitado). Se pueden seleccionar Zonas a las que puede asignarse el analizador Nessus.
A continuacin se muestra una captura de pantalla de un ejemplo de la pgina Add Scanner de SecurityCenter 4.4:

61

Despus de agregar correctamente el analizador, se mostrar el siguiente banner:

Para obtener ms informacin acerca de cmo integrar Nessus y SecurityCenter, consulte la Gua de administracin de
SecurityCenter.
Firewalls basados en hosts
Si su servidor Nessus est configurado con un firewall local como ZoneAlarm, Sygate, BlackICE, el firewall de Windows
XP o cualquier otro software de firewall, es necesario que se abran las conexiones desde la direccin IP del
SecurityCenter.
De manera predeterminada se utiliza el puerto 8834. En los sistemas Microsoft XP Service Pack 2 (SP2) y posteriores,
hacer clic en el icono Security Center (Security Center) que se encuentra en Control Panel (Panel de control), le
da al usuario la oportunidad de administrar la configuracin del Windows Firewall (Cortafuegos de Windows). Para abrir
el puerto 8834, seleccione la ficha Exceptions (Excepciones) y luego aada el puerto 8834 a la lista.

Si SecurityCenter est utilizando el protocolo NTP desactualizado en lugar del puerto 1241, los comandos
anteriores utilizarn 1241 en lugar de 8834.

62
Solucin de problemas de Nessus Windows
Problemas de instalacin/actualizacin
Problema: el registro nessusd.messages indica que se inici nessusd, pero no es as.
Solucin: el mensaje nessusd <version> started (nessusd <versin> se inici) solo indica que se ejecut el programa
nessusd. El mensaje nessusd is ready (nessusd est listo) indica que el servidor Nessus se encuentra en ejecucin y
listo para aceptar conexiones.

Problema: recibo el siguiente error al intentar instalar Nessus Windows:
1607: Unable to install InstallShield Scripting Runtime
Solucin: este cdigo de error se puede producir si el servicio Windows Management Instrumentation (Instrumental de
administracin de Windows) (WMI) fue deshabilitado por algn motivo. Verifique que el servicio se encuentre en
ejecucin.
Si el servicio WMI est ejecutndose, puede tratarse de un problema entre la configuracin del sistema operativo
Microsoft Windows y el producto InstallShield que se usa para instalar y quitar Nessus Windows. Existen artculos de la
base de conocimiento, tanto de Microsoft como de InstallShield, que describen en detalle las posibles causas y
soluciones del problema.
Artculo de la base de conocimiento de Microsoft, identificacin 910816:
http://support.microsoft.com/?scid=kb;en-us;910816
Artculo de la base de conocimiento de InstallShield, identificacin Q108340:
http://consumer.installshield.com/kb.asp?id=Q108340
Problemas de Anlisis
Problema: no puedo analizar a travs de mi conexin PPP o PPTP.
Solucin: actualmente no se admite esta opcin. En futuras versiones de Nessus Windows se incluir esta
funcionalidad.

Problema: un anlisis de virus de mi sistema informa una gran cantidad de virus en Nessus Windows.
Solucin: algunas aplicaciones antivirus pueden indicar que algunos de los plugins de Nessus son virus. Excluya el
directorio de plugins de los anlisis de virus, ya que en este directorio no hay programas ejecutables.

Problema: cuando analizo un dispositivo inusual, como una controladora RAID, el anlisis se anula porque
Nessus la detecta como impresora.
Solucin: deshabilite la opcin Safe Checks (Comprobaciones seguras) en la directiva de anlisis antes de analizar el
dispositivo. El anlisis de una impresora normalmente requerir que esta se reinicie; por lo tanto, cuando est establecida la
opcin Safe Checks (Comprobaciones seguras), los dispositivos que se identifiquen como impresoras no se analizarn.

Problema: aparentemente, los anlisis SYN no esperan a que se establezca la conexin con los puertos en
Nessus Windows.
Solucin: esto es correcto en lo que respecta al hecho de que el anlisis SYN no establece una conexin TCP total. Sin
embargo, no cambia los resultados del anlisis.

63

Problema: al realizar un anlisis qu factores afectan el rendimiento al ejecutar Nessus Windows en un sistema
Windows XP?
Solucin: Microsoft ha incorporado cambios a Windows XP Service Pack 2 y 3 (Home y Pro) que pueden afectar el
rendimiento de Nessus Windows y producir falsos negativos. La pila de TCP/IP ahora limita la cantidad de intentos
incompletos simultneos de conexin TCP saliente. Una vez alcanzado el lmite, los intentos de conexin subsiguientes
se colocan en una cola y se resuelven a una velocidad fija (10 por segundo). Si ingresan demasiados en la cola, es
posible que se eliminen. Para obtener ms informacin, consulte la siguiente pgina de Microsoft TechNet:
http://technet.microsoft.com/en-us/library/bb457156.aspx
El efecto que produce en los anlisis de Nessus en Windows XP son los posibles falsos negativos, ya que XP solo
permite 10 conexiones nuevas incompletas por segundo (en un estado SYN). Para lograr mayor precisin se recomienda
que, en un sistema Windows XP, la opcin de aceleracin de anlisis de puertos de Nessus est establecida en los
siguientes valores, los cuales se encuentran en la configuracin de anlisis individual para cada directiva de anlisis:
Max number of hosts: 10
Max number of security checks: 4
Para lograr un mayor rendimiento y confiabilidad de anlisis, se recomienda muy especialmente que Nessus Windows se
instale en un servidor que pertenezca a la familia de Microsoft Windows, como Windows Server 2003 o Windows Server
2008.

64
Para obtener ms informacin
Tenable ha confeccionado una variedad de otros documentos que detallan la implementacin, configuracin, operacin
del usuario y pruebas generales de Nessus. Estos se incluyen aqu:
Nessus User Guide (Gua del usuario de Nessus): instrucciones sobre cmo configurar y operar la interfaz de
usuario de Nessus.
Nessus Credential Checks for Unix and Windows (Comprobaciones con credenciales de Nessus para
Unix y Windows): informacin sobre cmo llevar a cabo anlisis de red autenticados mediante el analizador de
vulnerabilidades Nessus.
Nessus Compliance Checks (Comprobaciones de compatibilidad con Nessus): gua de alto nivel para
comprender y ejecutar las comprobaciones de compatibilidad con Nessus y SecurityCenter.
Nessus Compliance Checks Reference (Referencia para comprobaciones de compatibilidad con Nessus):
gua completa de la sintaxis de las comprobaciones de compatibilidad con Nessus.
Nessus v2 File Format (Formato de archivo de Nessus v2): describe la estructura del formato de archivo
.nessus, que se present con Nessus 3.2 y NessusClient 3.2.
Nessus XML-RPC Protocol Specification (Especificacin del protocolo XML-RPC en Nessus): describe la
interfaz y el protocolo XML-RPC en Nessus.
Real-Time Compliance Monitoring (Supervisin de compatibilidad en tiempo real): describe el modo en que
pueden usarse las soluciones de Tenable para colaborar con el cumplimiento de distintos tipos de normas
gubernamentales y financieras.
Gua de administracin de SecurityCenter
Estos son otros recursos en lnea:
Foro de debate de Nessus: https://discussions.nessus.org/
Blog de Tenable: http://blog.tenable.com/
Podcast de Tenable: http://blog.tenablesecurity.com/podcast/
Videos de ejemplos de uso: http://www.youtube.com/user/tenablesecurity
Canal de Twitter de Tenable: http://twitter.com/tenablesecurity
No dude en comunicarse con Tenable a travs de support@tenable.com o sales@tenable.com, o bien visite nuestro sitio
web http://www.tenable.com/.

65
Declaraciones sobre licencias que no pertenecen a Tenable
A continuacin encontrar paquetes de software de terceros que Tenable proporciona para que sean usados con
Nessus. Todo componente de terceros que no posea la marca de derechos de autor de Tenable se encuentra sujeto a
otras condiciones de licencia que se especifican en la documentacin.
Los complementos de terceros se consideran Complementos de deteccin de vulnerabilidades y se abordan de la
siguiente forma:
La Seccin 1 (a) del Acuerdo de licencia de Nessus indica:
Todos aquellos complementos o componentes que no posean la marca de derechos de autor de Tenable no se
considerarn Complementos segn lo definido en el presente Acuerdo de suscripcin, y se encuentran sujetos a otras
condiciones de licencia.
La Seccin 1 (b) (i) del Acuerdo de licencia de Nessus indica:
La Suscripcin incluye programas de deteccin de vulnerabilidades no desarrollados por Tenable ni sus licenciantes, a
cuya licencia usted tendr acceso en virtud de acuerdos independientes. Los trminos y condiciones del presente
Acuerdo de suscripcin no rigen los mencionados programas de deteccin de vulnerabilidades.
Existen porciones de este software de seguridad de redes de Tenable que pueden emplear el siguiente material
protegido por derechos de autor, el uso del cual se reconoce mediante el presente:

Partes - Copyright (c) 1997-2008 University of Cambridge (libpcre)
La redistribucin y el uso en formas binarias o de cdigos fuente, con o sin modificaciones, se encuentran permitidas
siempre que se satisfagan las siguientes condiciones:
Las redistribuciones del cdigo fuente deben conservar el aviso de derechos de autor indicado, esta lista de
condiciones, y la siguiente exencin de responsabilidad.
Las redistribuciones en forma binaria deben reproducir el aviso de derechos de autor indicado, esta lista de
condiciones y la siguiente exencin de responsabilidad en la documentacin o dems materiales que se brinden
con la distribucin.
No podrn usarse el nombre de la University of Cambridge (Universidad de Cambridge) ni el nombre de Google
Inc., y tampoco los nombres de sus colaboradores, para respaldar o promover productos derivados del presente
software sin que medie previamente un permiso especfico por escrito.
LOS TITULARES DE LOS DERECHOS DE AUTOR Y SUS COLABORADORES PROPORCIONAN EL PRESENTE
SOFTWARE EN SU ESTADO ACTUAL Y NO SE OFRECE NINGN TIPO DE GARANTAS, NI EXPLCITAS NI
IMPLCITAS, ENTRE LAS QUE SE INCLUYEN, SIN LIMITACIN, LAS GARANTAS IMPLCITAS DE
COMERCIABILIDAD Y APTITUD PARA UN FIN DETERMINADO. EN NINGUNA CIRCUNSTANCIA, NI EL
PROPIETARIO DE LOS DERECHOS DE AUTOR NI SUS COLABORADORES SERN RESPONSABLES EN CASO DE
DAOS DIRECTOS, INDIRECTOS, INCIDENTALES, ESPECIALES, PUNITIVOS O EMERGENTES (ENTRE LOS QUE
SE INCLUYEN, SIN LIMITACIN, LA ADQUISICIN DE BIENES O SERVICIOS SUBSTITUTOS, LA PRDIDA DE LA
CAPACIDAD DE USO, DATOS O GANANCIAS, O LA INTERRUPCIN DE LAS ACTIVIDADES COMERCIALES)
INDEPENDIENTEMENTE DE SUS CAUSAS Y EN FUNCIN DE CUALQUIER TEORA DE RESPONSABILIDAD, YA
SEA POR CONTRATO, RESPONSABILIDAD OBJETIVA O PERJUICIO (ENTRE LOS QUE SE INCLUYE LA
NEGLIGENCIA U OTROS) QUE SURJAN POR CUALQUIER MOTIVO DEL USO DEL PRESENTE SOFTWARE, AUN SI
SE INFORMASE DE LA POSIBILIDAD DE DICHOS DAOS.

Partes - Copyright (c) 2000 The NetBSD Foundation, Inc. Todos los derechos reservados.

66
NETBSD FOUNDATION, INC. Y SUS COLABORADORES PROPORCIONAN EL PRESENTE SOFTWARE EN SU
ESTADO ACTUAL Y NO SE OFRECE NINGN TIPO DE GARANTAS, NI EXPLCITAS NI IMPLCITAS, ENTRE LAS
QUE SE INCLUYEN, SIN LIMITACIN, LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y APTITUD PARA UN
FIN DETERMINADO. EN NINGUNA CIRCUNSTANCIA, NI LA FUNDACIN NI SUS COLABORADORES SERN
RESPONSABLES EN CASO DE DAOS DIRECTOS, INDIRECTOS, INCIDENTALES, ESPECIALES, PUNITIVOS O
EMERGENTES (ENTRE LOS QUE SE INCLUYEN, SIN LIMITACIN, LA ADQUISICIN DE BIENES O SERVICIOS
SUBSTITUTOS, LA PRDIDA DE LA CAPACIDAD DE USO, DATOS O GANANCIAS, O LA INTERRUPCIN DE LAS
ACTIVIDADES COMERCIALES) INDEPENDIENTEMENTE DE SUS CAUSAS Y EN FUNCIN DE CUALQUIER
TEORA DE RESPONSABILIDAD, YA SEA POR CONTRATO, RESPONSABILIDAD OBJETIVA O PERJUICIO (ENTRE
LOS QUE SE INCLUYE LA NEGLIGENCIA U OTROS) QUE SURJAN POR CUALQUIER MOTIVO DEL USO DEL
PRESENTE SOFTWARE, AUN SI SE INFORMASE DE LA POSIBILIDAD DE DICHOS DAOS.

Partes - Copyright (c) 1995-1999 Kungliga Tekniska Hogskolan (Instituto Real de Tecnologa, Estocolmo, Suecia). Todos
los derechos reservados.
EL INSTITUTO Y SUS COLABORADORES PROPORCIONAN EL PRESENTE SOFTWARE EN SU ESTADO ACTUAL
Y NO SE OFRECE NINGN TIPO DE GARANTAS, NI EXPLCITAS NI IMPLCITAS, ENTRE LAS QUE SE INCLUYEN,
SIN LIMITACIN, LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y APTITUD PARA UN FIN DETERMINADO.
EN NINGUNA CIRCUNSTANCIA, NI EL INSTITUTO NI SUS COLABORADORES SERN RESPONSABLES EN CASO
DE DAOS DIRECTOS, INDIRECTOS, INCIDENTALES, ESPECIALES, PUNITIVOS O EMERGENTES (ENTRE LOS
QUE SE INCLUYEN, SIN LIMITACIN, LA ADQUISICIN DE BIENES O SERVICIOS SUBSTITUTOS, LA PRDIDA DE
LA CAPACIDAD DE USO, DATOS O GANANCIAS O LA INTERRUPCIN DE LAS ACTIVIDADES COMERCIALES),

Partes - Copyright (c) 1998, 1999, 2000 Thai Open Source Software Center Ltd and Clark Cooper
Partes - Copyright (c) 2001, 2002, 2003, 2004, 2005, 2006 Expat maintainers.
EL PRESENTE SOFTWARE SE PROPORCIONA EN SU ESTADO ACTUAL Y NO SE OFRECE NINGN TIPO DE
GARANTAS, NI EXPLCITAS NI IMPLCITAS, ENTRE LAS QUE SE INCLUYEN, SIN LIMITACIN, LAS GARANTAS
DE COMERCIABILIDAD, APTITUD PARA UN FIN DETERMINADO Y NO INFRACCIN. EN NINGUNA
CIRCUNSTANCIA, NI LOS AUTORES NI LOS TITULARES DE LOS DERECHOS DE AUTOR SE CONSIDERARN
RESPONSABLES EN CASO DE RECLAMOS, DAOS U OTRO TIPO DE RESPONSABILIDAD, POR UNA ACCIN
CONTRACTUAL, UN PERJUICIO O ALGN OTRO MOTIVO, YA SEA QUE SURJAN DEL SOFTWARE O DEL USO DE
ESTE U OTRAS ACTIVIDADES REALIZADAS CON ESTE, O BIEN SE ENCUENTREN RELACIONADOS CON ESTE.

Este producto incluye software desarrollado por el OpenSSL Project (Proyecto OpenSSL) para que se use en el Kit de
herramientas OpenSSL. (http://www.openssl.org/) Copyright (c) 1998-2007 The OpenSSL Project. Todos los derechos
reservados.
THE OpenSSL PROJECT PROPORCIONA EL PRESENTE SOFTWARE EN SU ESTADO ACTUAL Y NO SE OFRECE
NINGN TIPO DE GARANTAS, NI EXPLCITAS NI IMPLCITAS, ENTRE LAS QUE SE INCLUYEN, SIN LIMITACIN,
LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y APTITUD PARA UN FIN DETERMINADO. EN NINGUNA
CIRCUNSTANCIA, NI THE OpenSSL PROJECT NI SUS COLABORADORES SERN RESPONSABLES EN CASO DE
DAOS DIRECTOS, INDIRECTOS, INCIDENTALES, ESPECIALES, PUNITIVOS O EMERGENTES (ENTRE LOS QUE
SE INCLUYEN, SIN LIMITACIN, LA ADQUISICIN DE BIENES O SERVICIOS SUBSTITUTOS, LA PRDIDA DE LA
CAPACIDAD DE USO, DATOS O GANANCIAS, O LA INTERRUPCIN DE LAS ACTIVIDADES COMERCIALES),

67

Partes - Copyright (C) 1998-2003 Daniel Veillard. Todos los derechos reservados.
Por el presente se concede autorizacin, de forma gratuita, a cualquier persona que obtenga una copia de este software
y archivos de documentacin relacionados (el "Software") a realizar actividades con el Software sin restriccin alguna, lo
cual incluye, sin limitacin, los derechos de usar, copiar, modificar, fusionar, publicar, distribuir, sublicenciar o vender
copias del Software, y a permitir a las personas a las que se les proporcione el software realizar dichas acciones, con las
siguientes condiciones:
El aviso de derechos de autor indicado y el presente aviso de autorizacin se incluirn en todas las copias o partes
considerables del Software.
CIRCUNSTANCIA DANIEL VEILLARD SE CONSIDERAR RESPONSABLE EN CASO DE RECLAMOS, DAOS U
OTRO TIPO DE RESPONSABILIDAD, POR UNA ACCIN CONTRACTUAL, UN PERJUICIO O ALGN OTRO
MOTIVO, YA SEA QUE SURJAN DEL SOFTWARE O DEL USO DE ESTE U OTRAS ACTIVIDADES REALIZADAS CON
L, O BIEN SE ENCUENTREN RELACIONADOS CON ESTE.

Partes - Copyright (C) 2001-2002 Thomas Broyer, Charlie Bozeman y Daniel Veillard.
Todos los derechos reservados.
Por el presente se concede autorizacin, de forma gratuita, a cualquier persona que obtenga una copia de este software
y archivos de documentacin relacionados (el "Software") a realizar actividades con el Software sin restriccin alguna, lo
cual incluye, sin limitacin, los derechos de usar, copiar, modificar, fusionar, publicar, distribuir, sublicenciar o vender
copias del Software, y a permitir a las personas a las que se les proporcione el software realizar dichas acciones, con las
siguientes condiciones:
El aviso de derechos de autor indicado y el presente aviso de autorizacin se incluirn en todas las copias o partes
considerables del Software.
CIRCUNSTANCIA LOS AUTORES SE CONSIDERARN RESPONSABLES EN CASO DE RECLAMOS, DAOS U
OTRO TIPO DE RESPONSABILIDAD, POR UNA ACCIN CONTRACTUAL, UN PERJUICIO O ALGN OTRO
MOTIVO, YA SEA QUE SURJAN DEL SOFTWARE O DEL USO DE ESTE U OTRAS ACTIVIDADES REALIZADAS CON
L, O BIEN SE ENCUENTREN RELACIONADOS CON ESTE.

68
Acerca de Tenable Network Security
Tenable Network Security, lder en Supervisin de seguridad unificada, es el proveedor del analizador de
vulnerabilidades Nessus, y ha creado soluciones de clase empresarial sin agente para la supervisin continua de
vulnerabilidades, puntos dbiles de configuracin, filtracin de datos, administracin de registros y deteccin de
compromisos para ayudar a garantizar la seguridad de redes y la compatibilidad con FDCC, FISMA, SANS CSIS y PCI.
Los galardonados productos de Tenable son utilizados por muchas organizaciones de la lista Forbes Global 2000 y
organismos gubernamentales con el fin de minimizar de forma proactiva el riesgo de las redes. Para obtener ms
informacin, visite www.tenable.com.
Copyright 2013. Tenable Network Security, Inc. Todos los derechos reservados. Tenable Network Security y Nessus son marcas registradas de Tenable Network Security, Inc.

GLOBAL HEADQUARTERS
Tenable Network Security
7021 Columbia Gateway Drive
Suite 500
Columbia, MD 21046
410.872.0555
www.tenable.com

Nessus 5.0 Installation Guide ESN

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Nessus 5.0 Installation Guide ESN

Uploaded by

Copyright:

Available Formats

Gua de instalacin y configuracin

You might also like