miércoles, 2 de mayo de 2012

Nessus 5 Default Policies

Algunos tip´s sobre Nessus, que seguro todos habéis leído antes de instalar y lanzar vuestros ataques...

Políticas por defecto en Nessus.


Nombre de la directiva Descripción
External Network Scan Esta directiva está ajustada para analizar hosts con conexiones externas, que normalmente presentan menor cantidad de servicios para la red. En esta directiva se habilitan los plugins relacionados con vulnerabilidades de aplicaciones web conocidas (CGI Abuses y CGI Abuses: familias de plugins XSS). Además, para cada destino se analizan los 65.535 puertos.
Internal Network Scan Esta directiva está ajustada para ofrecer un mejor rendimiento, teniendo en cuenta que se puede usar para analizar redes internas grandes con muchos hosts, varios servicios expuestos y sistemas incrustados, como las impresoras. Los plugins "CGI Abuse" no están habilitados, y se analiza un conjunto estándar de puertos, no los 65.535.


Web App Tests Si desea analizar sus sistemas e indicar que Nessus detecte vulnerabilidades conocidas y desconocidas en sus aplicaciones web, esta es la directiva de análisis adecuada para usted. En esta directiva está habilitada la capacidad de "pruebas de exploración de vulnerabilidades mediante datos aleatorios" de Nessus, que hará que Nessus recorra todos los sitios web descubiertos y busque las vulnerabilidades que se encuentren en cada parámetro, incluidos XSS, SQL, inserción de comandos y varios más.
Prepare for PCI DSS audits Esta directiva habilita las comprobaciones de compatibilidad PCI DSS incorporadas que comparan los resultados de los análisis con los estándares de PCI, y genera un informe sobre su posición de compatibilidad. Es muy importante destacar que un análisis de compatibilidad de resultado correcto no garantiza la compatibilidad ni una infraestructura segura. Las organizaciones que se preparen para una evaluación de PCI DSS pueden usar esta directiva a fin de preparar su red y sus sistemas para tener compatibilidad.



Cuando creamos una política nueva, debemos tener en cuenta estos aspectos.


Save Knowledge Base El analizador Nessus puede guardar la información del análisis en la base de conocimiento del servidor Nessus para usarla posteriormente. Esto incluye los puertos abiertos, los plugins generados correctamente, los servicios descubiertos, etc.
Safe Checks Safe Checks deshabilitará todos los plugins que puedan producir efectos adversos en el host remoto.
Silent Dependencies Si esta opción está marcada, la lista de dependencias no se incluirá en el informe. Si desea incluirla, desmarque la casilla.
Log Scan Details to Server Guarda detalles adicionales del análisis en el registro del servidor Nessus (nessusd.messages), incluido el inicio de los plugins, el final de los plugins o si se elimina un plugin. El registro resultante se puede emplear para confirmar que se usaron plugins específicos y que se analizaron hosts específicos.
Stop Host Scan on Disconnect Si se marca la opción, Nessus dejará de realizar análisis si detecta que el host no responde. Esto puede producirse si los usuarios apagan su equipo durante un análisis, o si un host deja de responder después de que un plugin de denegación de servicio o un mecanismo de seguridad (por ejemplo, IDS) haya comenzado a bloquear el tráfico a un servidor. Continuar con los análisis en estos equipos producirá un tráfico innecesario en toda la red y demorará el análisis.
Avoid Sequential Scans De manera predeterminada, Nessus analiza una lista de direcciones IP en orden secuencial. Si la opción está marcada, Nessus analizará la lista de hosts en orden aleatorio. Normalmente, esto resulta de utilidad para ayudar a distribuir el tráfico de la red que se dirige a una subred en particular durante análisis extensos.
Consider Unscanned Ports as Closed Si no se analiza un puerto con un analizador de puertos seleccionado (por ejemplo, debido a que se encuentra fuera del intervalo especificado), Nessus considerará que está cerrado.


Tipos de escaneo:


TCP Scan Use el analizador TCP incorporado de Nessus para identificar los puertos TCP abiertos en los destinos. Este analizador está optimizado y posee algunas características de ajuste automático.

UDP Scan Esta opción activa el analizador UDP incorporado de Nessus para identificar los puertos UDP abiertos en los destinos.
SYN Scan Use el analizador SYN incorporado de Nessus para identificar los puertos TCP abiertos en los destinos. Los análisis SYN constituyen un método de análisis de puertos usado con frecuencia, y generalmente se consideran un poco menos intrusivos que los análisis TCP. El analizador envía un paquete SYN al puerto, espera la respuesta SYN-ACK y determina el estado del puerto de acuerdo con la respuesta o la ausencia de esta.
SNMP Scan Ordena a Nessus que analice los destinos en busca de un servicio SNMP. Nessus estimará la configuración SNMP correspondiente durante un análisis. Si el usuario proporciona la configuración en "Preferences", esto permitirá que Nessus pruebe mejor el host remoto y produzca resultados de auditoría más detallados. Por ejemplo, existen muchas comprobaciones para enrutadores de Cisco que determinan las vulnerabilidades existentes examinando la versión de la cadena SNMP devuelta. Esta información es necesaria para estas auditorías.
Netstat SSH Scan Esta opción usa netstat para comprobar la existencia de puertos abiertos desde el equipo local. Depende de la disponibilidad del comando netstat mediante una conexión SSH con el destino. Este análisis está destinado a sistemas basados en Unix y requiere credenciales de autenticación.
Netstat WMI Scan Esta opción usa netstat para comprobar la existencia de puertos abiertos desde el equipo local. Depende de la disponibilidad del comando netstat mediante una conexión WMI con el destino. Este análisis está destinado a sistemas basados en Windows y requiere credenciales de autenticación.
Ping Host Esta opción permite que se efectúen pings a hosts remotos en varios puertos para determinar si están activos.

Rendimiento:


Max Checks Per Host Esta opción limita la cantidad máxima de comprobaciones que realizará un analizador Nessus respecto de un único host en una sola vez.
Max Hosts Per Scan Esta opción limita la cantidad máxima de hosts que examinará un analizador Nessus al mismo tiempo.
Network Receive Timeout (seconds) Se encuentra establecido en cinco segundos de forma predeterminada. Es el tiempo que esperará Nessus para obtener una respuesta del host, a menos que se especifique lo contrario en un plugin. Si realiza un análisis con una conexión lenta, es recomendable que ajuste esta opción en una cantidad de segundos mayor.
Max Simultaneous TCP Sessions Per Host Esta opción limita la cantidad máxima de sesiones TCP establecidas para un único host.
Max Simultaneous TCP Sessions Per Scan Esta opción limita la cantidad máxima de sesiones TCP establecidas para todo el análisis, independientemente de la cantidad de hosts que se analicen.