Ein Scanner für alle Fälle

Nessus wacht
über das System

Mit Nessus 3.0.3 prüfen Sie ein lokales System, eine benutzerdefinierte IP-Range oder ein komplettes Netzwerk auf das Vorhandensein potenzieller Sicherheitslücken. Alles in allem umfasst Nessus inzwischen mehr als 11 000 Scans. Diese werden fortlaufend erweitert und gepflegt und dem Anwender ? nach der Registrierung ? in Form kostenloser Plug-ins zum Download angeboten. Der Scanner basiert auf einer Client- Server-Architektur. Dabei führt der Server die eigentlichen Tests durch, der GUI-Client dient zur Konfiguration, Berichtausgabe und Auswertung der erfassten Daten. Interessant: Auf der Hersteller-Webseite findet sich mit Nessus 3.0.3 Beta 6 auch eine Windows-Version, die unter den Betriebssystemen Windows 2000/XP und 2003 läuft.

Server-Daemon einrichten
Nessus 3.0.3 steht für die Linux-Distributionen Fedora Core 4 und 5, Red Hat Enterprise Server 3 und 4, Suse 9.3 und 10.x sowie Debian 3.1 bereit. In diesem Workshop gehen wir auf die Nutzung unter Fedora Core 5 ein. Nach dem Download und der Registrierung öffnen Sie eine Shell und melden sich als Superuser root an. Mit

rpm ?ivh Nessus-3.0.3-fc5. i386.rpm

leiten Sie die Konfiguration ein. Nach einer kurzenWartezeit zur Initialisierung der Plugins ist der Server-Daemon betriebsbereit. Ihre erste Aufgabe besteht darin, einen neuen User anzulegen und mit Administratorrechten auszustatten. Tippen Sie

/opt/nessus/sbin/nessus-addfirst- user

ein und geben Sie den Namen des neuen Users an. Bei der Frage nach der Authentifizierungsmethode entscheiden Sie sich für pass und tippen dann das entsprechende Passwort ein. Im folgenden Schritt teilt Ihnen Nessus mit, dass Sie die Zugriffsrechte des Users einschränken können. Beispielsweise können Sie festlegen, dass ein User nur einen bestimmten IP-Adressbereich scannen darf. In diesem Beispiel statten wir den User aber mit vollen Rechten aus, indem wir die Aktion mit [Strg]+[D] beenden und die nachfolgende Abfrage mit [y] bestätigen. Nun steht die Aktivierung der Plug-ins an. In der E-Mail, die der Hersteller an die bei der Registrierung angegebene Adresse geschickt hat, ist der Aktivierungscode enthalten. Am einfachsten ist es, die entsprechende Zeile zu kopieren und in die Shell einzufügen. Nach der erfolgreichen Aktivierung checkt Nessus, ob neue Plug-ins vorhanden sind.Wird das Tool fündig, lädt es die Erweiterungen automatisch nach. In der kostenlosen Nessus-Version sind neue Plug-ins erst sieben Tage nach dem Release verfügbar. Anwender mit einem Supportvertrag erhalten die Plug-ins sofort nach Erscheinen. Ratsam ist es, in der Datei nessusd.conf, die Sie im Verzeichnis /opt/nessus/etc/nessus finden, den Schalter auto_update auf yes zu stellen, damit Nessus in regelmäßigen Abständen nach neuen Plug-ins sucht und sie lädt, so dass der Scanner auch stets auf dem aktuellen Stand ist.