Gestão de Vulnerabilidades com o Nessus
O Nessus é um gestor de vulnerabilidades da Tenable que te permite escanear dispositivos a procura de ameaças. Ele possui diversas versões, porém a versão Essentials te permite analisar 16 endereços IP gratuitamente.
Download
Para fazer o download do Nessus apenas preencha o formulário do site e clique em Get Started:
Depois disso você será direcionado para uma outra página que basta que você clique em Download:
Por fim, selecione qual é sistema operacional que você deseja instalar o Nessus e clique em Download:
Instalação
Eu vou instalar o Nessus em um Linux Debian 11 e vou fazer o download do Nessus diretamente no servidor.
Sendo assim, com acesso no servidor Linux, baixe o pacote do Nessus com o seguinte comando:
curl --request GET \
--url 'https://www.tenable.com/downloads/api/v2/pages/nessus/files/Nessus-10.4.2-debian9_amd64.deb' \
--output 'Nessus-10.4.2-debian9_amd64.deb'
Depois disso você já pode instalar o pacote com o comando dpkg -i Nessus-10.4.2-debian9_amd64.deb
:
A instalação é super simples e rápida. Agora você já pode iniciar o serviço do Nessus no Linux:
systemctl start nessusd.service
Agora o Nessus já está pronto para uso e você pode acessar ele através do seu browser pelo seguinte endereço https://<endereco_ip>:8834:
Conforme já mencionou anteriormente, o Nessus Essentials é gratuito para o uso de até 16 dispositivos. Sendo assim, vou avançar com a configuração dessa versão, basta selecioná-la e clicar em Continuar.
No momento em que você preenche o formulário do Nessus Essentials, você já recebe no e-mail o código de ativação do produto. Dessa forma, aqui nessa tela basta você clicar em Skip:
Agora informe o código de ativação recebido e clique em Continue:
Por fim defina o nome do usuário administrador do sistema e também a sua senha e clique em Submit:
Com isso o Nessus vai inicializar a configuração do servidor:
No primeiro momento em que o Nessus finalizar o setup inicial você verá a seguinte mensagem:
Isso porque mesmo depois de finalizar a configuração o Nessus ainda tem um processo de compilação. Eu recomendo que você aguarde até que o processe termine de fato, já que não é possível criar nenhum scan enquanto isso.
Ao término você terá acesso ao Nessus já pode começar a criar os seus primeiros scans de vulnerabilidade:
Configuração
Ao finalizar todas as etapas você está apto a começar a avaliar as vulnerabilidades:
Para criar o seu primeiro scaner, bastas cliquei no botão Scan no canto superior direito:
Diversos tipos de scaners podem ser criados através do software. Nesse exemplo eu vou criar um scan em cima de um servidor Windows. Para isso vou selecionar a opção Advanced Scan:
Agora nós devemos definir o nome do nosso scan e também o endereço IP:
Esse aqui será um scaner pontual de um único servidor. Entretanto é possível criar scaners mais abrangentes para múltiplos servidores ou até mesmo para um range de endereço de IP.
Antes de salvar, na guia Credentials é necessário definir o usuário e senha que será utilizado na credencial de acesso ao servidor:
Depois disso você já pode executar o seu scaner ao clicar no botão de play. Também é possível configurar um agendamento para o scaner para que ele execute automaticamente em um período programado.
Ao concluir, já é possível ver as vulnerabilidades encontradas no servidor:
Conclusão e Resultados
Concluímos assim tanto a instalação do Nessus Essentials como a verificação do nosso primeiro servidor Windows. As vulnerabilidades são classificadas como Critical, High, Medin, Low e Info.
Dessa forma podemos ver a lista de todas vulnerabilidades com as suas devidas criticidades:
Ao clicar em cada uma das vulnerabilidades ainda é possível ver os detalhes de descrição e solução da ameaça bem como o código CVE dentro NIST:
Meu nome é Mateus Wolff e trabalho com TI desde 2009. Sou arquiteto de soluções de proteção de dados e tenho algumas certificações como VMCE, VCP-DCV e ITIL.
Participo do programa de reconhecimento Veeam Vanguard e sou ex membro do grupo Veeam Legends.
Também sou líder do grupo Veeam User Group Brasil.