Pyclas on Security

pyclas@xmpp.cm (OTR)

Nessus Vulnerability Scannerを有償版で利用する上での注意点

f:id:pyclas:20170219120252p:plain www.tenable.com

Qiitaとかでもどのような製品なのかについての解説はあっても、製品を利用する上での注意点があまり見当たらなかったので、記載する。
Tenable network securityのNessus Vulnerability Scannerの有償版を使う上での注意点を記載する。
主に診断ベンダーが診断する場合の注意点を記載する、情報システム部が管理ネットワークセグメントへの定期については記載しない。

購入方法とかライセンス体系

  • 代理店経由ではなく、直接、Tenable network securityから購入する場合は、1ライセンス(1年間)につき、$2100(24万円)
    チームに10人居たら、最低でも年間240万以上の予算が必要になる。

  • 有償版は東陽テクニカさんが国内の代理店をやってる。
    詳しくはテクニカさんの営業担当にでも。

  • 脆弱性スキャナというより、検知のためのシグネチャの配信に金払っている感じ、脆弱性スキャナそのものはFree版でも使えるため
    なにこの項目?って調べるとあまり知られてない新しい脆弱性があったことを知るようなパターンも多い。

事故りポイント

  • インストールした端末のMacアドレスは絶対変えるな。
    VMwareMacアドレスを変更すると、Macアドレスアクティベーション時にレスポンスコードのシードとして利用してるので、Nessusのアクティベーションが切れて、オンサイト診断だった場合、当日現場で診断できなくて積む

  • Windows版はネットワークから切り離してインストールせよ
    Windows版だと、インストール時に自動的にNessusのコアエンジンアップデートが走るので、チームでコアエンジンのVersionを統一してると、無限に有償版ライセンスを消費していくことになる。

  • ライセンスのパージは慎重に
    有償版ライセンスをパージして、再アクティベーション後、もう一度パージしようとすると10日間必要と言われ、10日間経つまでNessusを使えないことになる。(不正利用の関係で)
    1ライセンスが結構するので、無駄にライセンスの再パージをロックするのはやめよう。

  • IPアドレスの確認を
    IPアドレスを間違えると、攻撃コードがグローバルに飛んで行く、発射前にIPアドレスの確認を

  • NICはブリッジで診断せよ
    仮想アプライアンス上にNessusをインストールしてる場合は、ネットワーク設定がNATになっていた場合は、自分のパケットをキャプチャして、読むみたいなテクいことをNessusやってて、IPアドレスの変換をしてるNATだと診断漏れが発生する可能性がある。(nmapも)

  • 認証施行の有無でポリシーの変更
    SNMPのデフォルトコミュニティの調査でデフォルトコミニュティ、デフォルトパスワードで利用してる場合はSYN ScannerよりもSNMPの結果を優先する。SNMPのデフォルトコミニュティ名の調査が場合によっては認証施行に該当する場合もあるので、その場合はポリシーの設定から設定する。

ここだけ見ると微妙に聞こえるかもしれないけど、かなり賢いヤツ、マジ賢い、それに信頼性が高い。年間24万出すだけの価値はある。 人間ミスるし、ペネトレーションテスターなんか要らないんじゃね?俺らそのうち職にあぶれるんじゃないかって心配になる。

よく使うコマンド(Linux)

/opt/nessus/sbin/nessuscli fetch --register <serial>
/opt/nessus/sbin/nessuscli update --plugins-only
  • plugin feed numberの確認
cat /opt/nessus/var/pugin_feed_info.inc
  • パスワードの変更
/opt/nessus/sbin/nessuscli chpasswd <username>
  • ユーザーの追加
/opt/nessus/sbin/nessuscli adduser <username>

よく使うコマンド(windows)

C:\Program Files\Tenable\Nessus>nessuscli.exe fetch --challenge
C:\Program Files\Tenable\Nessus>nessuscli.exe --plugins-only
  • plugin feed numberの確認
notepad.exe C:\programdata\tenable\nessus\pugin_feed_info.inc
  • パスワードの変更
C:\Program Files\Tenable\Nessus>nessuscli.exe chpasswd <username>
  • ユーザーの追加
C:\Program Files\Tenable\Nessus>nessuscli.exe adduser <username>