Nessus 3.0

Hoy he estado probando Nessus en su versión 3.0. Nessus es un IDS, siendo el primero existente en código fuente abierto hasta la versión 2.x. La empresa que llevaba Nessus ofrece un feed de firmas de las diferentes vulnerabilidades que van saliendo. Nessus, escanea las máquinas aplicando los diferentes patrones y buscando las posibles vulnerabilidades en las máquinas que se están probando. La versión 2.x puede instalarse desde fuentes, mientras que para la versión 3.0 sólo tenemos binarios - por cierto, debido a esto ha surgido un fork de Nessus denominado OpenVAS - aunque ahora mismo no me funciona la página web y no puedo probarlo. Este fork es desde la versión 2.25 incluida en Debian. Hacer notar que la propia gente de Nessus ha siguido manteniendo la versión 2.x, disponible en código fuente.

Nessus está formado por varios componentes. En primer lugar un daemon, encargado de cargar la información de firmas suministradas desde varios servidores, y que será comandado por un GUI para hacer las pruebas que se consideren necesarias. Las firmas de Nessus se escriben en un lenguaje de script denominado Nessus Attack Scripting Language (puede encontrarse una referencia a este lenguaje aqui, y para los curiosos está implementado en la libreria libnasl). Estas firmas nos las podemos bajar de la web de los creadores de Nessus (eso sí, con una semana de retraso) o bien crear nuestras propias firmas.

Una vez arrancado el deamon principal, podemos usar el cliente GUI incluido (en la versión 3.0 lo he usado para MacOS X) para controlarlo. Podemos definir que objetos escanear (redes, subredes, dominios) y cual va a ser el comportamiento de los cientos de plugins que por defecto tiene el sistema. Esto nos generará un informe con las vulnerabilidades de las máquinas que podamos detectar.

Podéis encontrar una introducción a su uso (eso sí en inglés) en los siguientes enlaces de SecurityFocus: parte 1, parte 2 y parte 3.

Technorati Tags: seguridad