Unter der Lupe

Installation

Wählen Sie auf der Downloadseite des Herstellers [7] aus dem Dropdown-Menü Select a Product to Download den Link Nessus for Linux und bestätigen Sie anschließend die Nutzungsvereinbarung mit einem Klick auf I accept. Das folgende Registrierungsformular können Sie fürs Erste mit einem Klick auf Click here to download Nessus directly überspringen. In der Liste finden Sie Pakete für diverse Distributionen, aus der Sie das für Ihr System passende auswählen. Anschließend wiederholen Sie den Prozess, und wählen im Dropdown-Menü NessusClient 4.0.2 for Linux. Die beiden heruntergeladenen Pakete installieren Sie nun wie gewohnt. Sowohl der Server als auch der Client verwenden als Installationsziel /opt/nessus/. Benötigen Sie den Scanner nur selten, entfernen Sie Nessus aus dem Runlevel, da er sonst bei jedem Booten des Rechners startet. Auf Debian-basierten Systemen erledigen Sie das mit dem Programm rcconf, Anwender von Opensuse verwenden das entsprechende YaST-Modul. Vor jedem Benutzen müssen Sie danach Nessus allerdings mit sudo /etc/init.d/nessusd start manuell starten.

Vor dem ersten Betrieb gilt es, einen Nessus-Benutzer anzulegen. Dazu rufen Sie sudo /opt/nessus/sbin/nessus-adduser auf und folgen den Anweisungen. Als Login geben Sie einen beliebigen Namen ein, der auch mit einem vorhandenen Linux-Account übereinstimmen darf. Die Frage nach Authentication beantworten Sie mit der Standard Antwort pass für Passwort, das Sie danach frei wählen. Anschließend fragt das Programm, ob Sie den neuen Benutzer einschränken möchten. Verneinen Sie das mit der Eingabe von [Strg]+[D].

Theoretisch wäre Nessus nun einsatzbereit. Um jedoch immer die neuesten Plugins zu erhalten, müssen Sie Nessus kostenlos registrieren. Rufen Sie dazu die Registrierungsseite [8] auf und geben Sie eine funktionierende E-Mail-Adresse an. An diese Adresse schickt Tenable dann binnen einiger Stunden einen Registrierungscode. Mit der Eingabe von /opt/nessus/bin/nessus-fetch --register Registrierungscode übertragen Sie die Informationen an das Programm. Läuft Nessus als Daemon permanent im Hintergrund, versorgt er sich nun selbständig alle 24 Stunden mit den neusten Plugins. Alternativ stoßen Sie mit sudo /opt/nessus/sbin/nessus-update-plugins die Aktualisierung manuell an.

Der Client

Starten Sie als normaler Benutzer den Nessus-Client mit dem Aufruf /opt/nessus/bin/NessusClient im Terminal. Klicken Sie im Client-Fenster auf den Schalter Connect in der linken unteren Ecke, und wählen Sie aus der Liste localhost aus. Bearbeiten Sie den Eintrag mit Edit. Hostnamen und Port belassen Sie in der Standardeinstellung (localhost und 1241), bei Login tragen Sie den Benutzernamen und das Passwort des zuvor angelegten Users ein. Ein abschließender Klick auf Save sichert die Einstellungen. Zurück im Menü, wählen Sie localhost und betätigen danach Connect. Das Programmfenster teilt sich nun in die Reiter Scan und Report. Im ersten geben Sie neue Scans in Auftrag, im zweiten sehen Sie die Ergebnisse ein.

Der Reiter Scan unterteilt sich in zwei Spalten. Auf der linken Seite konfigurieren Sie die zu scannenden Hosts, auf der rechten wählen Sie die Scan-Regeln aus. Klicken Sie auf den Schalter mit dem Plus-Zeichen unterhalb der linken Spalte. Im sich öffnenden Dialog tragen Sie bei Host name die IP-Adresse des zu scannenden Rechners ein (Abbildung 7). Für einen ersten Test nutzen Sie zum Beispiel Ihren Router oder einen beliebigen PC im eigenen Netzwerk. Soll es direkt das ganze Netzwerk sein, wählen Sie bei den vier Radio-Buttons Subnet aus, und tragen bei Network ihre Netzwerkadresse ein, beispielsweise 192.168.1.0, ein. Unter Netmask ergänzen Sie die entsprechende Netzmaske, in unserem Beispiel 255.255.255.0. Anschließend klicken Sie auf Save.

Abbildung 7: Auf der rechten Seite des Hauptfensters fügen Sie die zu scannenden Hosts hinzu und legen die Netzwerkparameter fest.

Durch wiederholtes Klicken auf den +-Schalter fügen Sie beliebig viele Host in der linken Spalte hinzu. Um einen normalen Scan zu starten, wählen Sie hier die gewünschten Hosts aus und legen auf der rechten Seite die Default Scan Policy fest. Mit Scan Now bestätigen Sie die Wahl. Der Client wechselt dann automatisch in den Reiter Report. In der zweigeteilten Ansicht finden Sie auf der linken Seite eine Liste der gescannten Hosts. Ein Klick auf das kleine Kreuz vor dem Eintrag öffnet eine Baumansicht, die alle offenen Ports darstellt. Wählen Sie einen Host beziehungsweise einen Port aus, um weitere Informationen zu erhalten.

Der Dienstname, den Nessus vor dem Port anzeigt, gibt keinen Aufschluss darüber, welches Programm tatsächlich hinter diesem Port lauscht. Nessus zeigt lediglich den Standarddienst für diesen Ports an. Welcher Service sich tatsächlich dahinter verbirgt, signalisiert Nessus in der detaillierten Darstellung auf der rechten Seite.

Bis zum vollständigen Abschluss eines Scan-Laufs können je nach Umfang und Netzgeschwindigkeit Minuten oder gar Stunden vergehen. Den laufenden Scan zeigt der Client in der rechten unteren Fensterecke an, wo Sie ihn bei Bedarf jederzeit pausieren oder stoppen. Die Ergebnisse verarbeitet Nessus in Echtzeit. Nach dem Bestimmen der Dienste macht Nessus sich an die Arbeit, den Host auf bekannte Sicherheitslücken hin zu untersuchen. Findet sich eine, zeigt der Daemon sie in der Detailansicht an. Schwere Sicherheitslücken markiert Nessus rot, mittelschwere gelb. Zu jeder entdeckten Lücke bietet das Fenster eine Kurzbeschreibung und verweist darüber hinaus auf weitere Quellen im Netz (Abbildung 8).

Abbildung 8: Im Reiter "Report" zeigt Nessus das Ergebnis der Sicherheitsüberprüfung an. Die Farben der Einträge geben Aufschluss über deren Gefahrenpotential.