Nessus スタートガイドRev 1.0 Nessus 6.4.x

Tenable Network Security Japan K.K.

Nessus とは？ネットワーク経由でターゲットホストの脆弱性、設定、マルウエアプロセスを含む様々な情報を収集しシステムの弱点を見つけることで、セキュリティの強化に備えることができる製品です。Windows 、 Linux 、 Mac など様々なプラットフォームに対応しています。スキャンできる対象も様々な OS 、ネットワーク機器、仮想環境プラットフォーム、データベースWeb アプリケーション、クラウドサービス、モバイルデバイスなど幅広く対応しています。機能概要 > http://www.tenable.com/products/nessus/features

ネットワークに接続できればどこからでもスキャンできるので、ノート PC にインストールすればコンパクトで持ち運び便利な脆弱性スキャナとなります。スキャンを実行するための各プラグインはインターネット経由で更新されます。（通常更新間隔＝２４時間）プラグインライブラリ > http://www.tenable.com/plugins/

※ 　モバイルデバイスは MDM と連携して情報を収集します。※プラグインのアップデートはクローズド環境にも対応しています。

Nessus Home

個人使用に限り無料で使える単体プロダクト。スキャン対象 IP アドレスの制限など Professional と比べて制限がある。詳細は以下の URL を参照。http://www.tenable.com/products/nessus-vulnerability-scanner

以下から名前や Email アドレスを登録するとライセンスが発行されます。※ ライセンスを登録した機器でのみ使用が可能となります。※ 別の機器にインストールしたい場合は別途ライセンスの発行処理をおこなってください。http://www.tenable.com/products/nessus-home

ソフトウエアのダウンロードはこちらから。※ インストールイメージは Home, Professional, Manager 共通で、インストール時にプロダクトを選択します。http://www.tenable.com/products/nessus/select-your-operating-system

Nessus Professional

商用で利用可能な有償版の単体プロダクト。ライセンスは 1 年更新のサブスクリプション方式。スキャン対象 IP アドレス数は無制限。ライセンスを購入するとサポートポータルのログインアカウントが発行されます。サポートポータルではライセンスやソフトウエアの更新、ナレッジベースやドキュメントなど様々なサービスが提供されます。※ ライセンス購入後の製品サポートは購入した正規販売代理店より日本語で受けられます。https://support.tenable.com/support-center/

Nessus Manager

商用で利用可能な有償版の集中管理型分散配置構成プロダクト。ライセンスは 1 年更新のサブスクリプション方式。スキャン対象 IP アドレス数によりライセンスが異なります。最小構成＝ 128 IP + 1 リモートスキャナー※ 追加ライセンスでリモートスキャナを増やすことができます。

複数箇所に配置した Nessus を単体の Nessus からネットワーク経由で集中管理できます。ユーザにロールやグループを割り当てることで、組織内での柔軟な運用が可能となります。コンポーネントリモートスキャナー（ヘッドレススキャナー）Nessus Manager の配下で管理されるスキャナーで、 Nessus Manager からの制御でのみスキャンをおこないます。スキャン結果は全て Nessus Manager に送られます。エージェントNessus Manager の配下で管理されるスキャナーで、ターゲットホストにインストールすることで内部からスキャンをおこないます。スキャン結果は全て Nessus Manager に送られます。

Nessus Cloud

商用で利用可能な有償版クラウドベースのプロダクト。ASV - PCI 認定スキャンベンダー（四半期に 2 回スキャン結果の認定が受けれます）ライセンスは 1 年更新のサブスクリプション方式。スキャン対象 IP アドレス数によりライセンスが異なります。最小構成＝ 128 IP

コンポーネントエージェントNessus Cloud の配下で管理されるスキャナーで、ターゲットホストにインストールすることで内部からスキャンをおこないます。スキャン結果は全て Nessus Cloud に送られます。

＞　インストレーションガイドに従いインストールが成功したら、初期設定をおこないます。管理者アカウント System Administrator を設定します。

＞　 Nessus のプロダクトを選択します。Nessus は単一バイナリーですが、ライセンスコードにより４つの異なるプロダクト形態で動作します。1. Nessus (Home, Professional or Manager)2. Nessus Scanner (Nessus Manager 用スキャナー )3. Managed by SecurityCenter (SecurityCenter 用スキャナー )4. Offline ( インターネットへの接続環境が無い場合に使用 )形態を選んで登録が完了したら利用開始です。（登録はインストールしてから２４時間以内に完了してください）

> Nessus (Home, Professional or Manager)メールで送られてきたアクティベーションコードを入力します。

> Nessus Scanner (Nessus Manager 用スキャナー )Nessus Manager の IP アドレスとNessus Manager で生成された Key を入力します。

SecurityCenter 配下で利用する場合。Nessus の登録は SecurityCenter 側から行います。この場合 SecurityCenter がインターネットに繋がれば Nessus 自体がインターネットに繋がる環境にいる必要はありません。

オフライン環境で Home, ProfessionalNessus Manager を使用する場合は、表示されているChallenge code と Activation code を click here で表示されるページ上で入力すると Authentication Key（ PEM形式）が発行されます。

https://plugins-customers.nessus.org/v2/offline.phpインターネットアクセスのある端末から上記の URL にアクセスすると Challenge code と Activation code を入力する画面が表示されます。Submit をクリックすると最新プラグインパッケージのリンクとライセンス（ PEM形式）が表示されます。

注意）プラグインパッケージ（ all-2.0.tar.gz ）をダウンロードした URL はコピーして保存してください。次回以降の更新ダウンロードで必要となります。ダウンロードしたパッケージは CLI から以下のコマンドで適用します。Windows の場合 C:\Program Files\Tenable\Nessus> nessuscli.exe update all-2.0.tar.gz Linux と Mac の場合 # /opt/nessus/sbin/nessuscli update all-2.0.tar.gz

＞　登録が完了したら設定した管理用アカウントでログインします。先ずはプラグインが最新の状態かを確認します。　更新は Nessus が２４時間に１回サーバに確認して差分をダウンロードしてきます。更新はほぼ毎日ありますので、 Plugin Set のフォーマット yyyymmddhhmm を確認して１日前か当日の日付になっていれば OK です。それより古い日付の場合は Last Updated の矢印マークをクリックし、手動で更新確認を行います。

＞　追加アカウントの作成Nessus には複数のアカウントを作成することが可能です。 Nessus Manager では更にグループでの管理やリソースの共有が可能になります。Account タブに移動し、 + New User をクリックすると追加ユーザの設定画面が表示されます。アカウントのタイプは System Administrator と Standard です。Nessus の構成設定ができるのは System Administrator のみです。

＞　追加フォルダーの作成スキャン結果を格納するためのフォルダーを複数作成することができます。デフォルトでは My Scans のみですが、スキャンの内容に沿ったフォルダを作成し格納することで後の検索が容易になります。以下では Audit Scan と Full Scan というフォルダを追加しています。New Folder をクリックすると追加フォルダーを設定する画面が表示されます。

＞　スキャンを開始するまでの簡単な流れ。先ずは、ターゲット（ Windows Server 2012 R2 ）を用意してスキャンをかけてみましょう。基本的なスキャンを行うのに必要な設定はスキャン設定の名前とターゲットホストの指定だけです。大まかなルールは Basic Network Scan テンプレートでカバーされています。チューニングはスキャンする環境と個々の設定パラメータの意味を理解した後に行います。Scans で + New Scans をクリックして設定を開始する方法と、 Policies で + New Policy をクリックしポリシーを作成した後に + New Scans で先に作成したポリシーを使ってスキャンする方法があります。今回は前者で設定をおこないますが、他のユーザとポリシーを共有したい場合は後者でおこないます。

＞　テンプレートの中から Basic Network Scan を選択します。

＞　 Basic Network Scan では殆どのプラグインが有効になっています。以下の２つのファミリーを除く７万以上のプラグイン全てが有効になっているため、様々なターゲットホストに対応した設定となります。Nessus はスキャンの初期過程でターゲットホストの OS種別を判断します。これにより必要なプラグインの種類が限定され、７万以上のプラグインが有効になっていても無駄な処理を省いた効率的なスキャンが実行されます。

KB （ Knowledge Base ）とは Nessus のプラグインがスキャン中に得られた結果を書き込むファイルです。あるプラグインが収集した結果を他のプラグインが参照することがあるために必要となります。例えば、プラグインによってはオープンポートや OS情報を KB から検索し、そこから必要な結果が得られない場合は動作しないものもあります。

＞　 Nessus のプラグインとは？プラグインはネットワーク経由でターゲットホストを検査するために書かれたシェルプログラムで、その用途毎に複数のプラグインが存在します。（２０１５年７月現在で７万３千個以上）プラグインはインタラクティブシェエルである NASL という言語で書かれており、 .nasl という拡張子が付いたプラグインファイルをテキストエディターで開くと、 NSAL の構文を参照することができます。シェルスクリプトが分かる人であれば実行内容を把握することができるため、動作に関する疑問の解消に役立ちます。　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 NASL の構文は現在正式には公開しておらず、サポートも　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　していませんが、ネット上に存在する古い資料を参考にし　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　て独自のプラグインを作成することは可能です。　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 http://michel.arboi.free.fr/nasl2ref/nasl2_reference.pdf

## The script code starts here#global_var debug_level;include("misc_func.inc");include("ssh_func.inc");

if ( get_kb_item("global_settings/supplied_logins_only") ) supplied_logins_only = 1;else supplied_logins_only = 0;

port = get_kb_item("Services/ssh");

if (!port) port = 22;if (get_port_state(port)){ version = NULL; if ( defined_func("bn_random") && !supplied_logins_only ) …..

＞　 Nessus のプラグイン数とサポート内容は以下のサイトで確認できます。http://www.tenable.com/plugins/index.php?view=all

＞　スキャン設定の開始： BASIC > General

スキャン設定の名称スキャン設定の説明

スキャン結果を格納するフォルダスキャンで使用するスキャナ（ Nessus Manager 用）

スキャンするターゲットホストの指定以下のタイプを混在指定できますIP アドレスIP アドレス範囲ホスト名

＞　スキャン設定の開始： DISCOVERY

ポートスキャン設定の確認Template を利用した場合、個々の設定項目は標準的な設定がプリセットされていますユーザは、幾つかの設定パターンから最適と思われるものを選んだり、個々の設定項目をカスタマイズするとも可能ですここではデフォルトのまま設定を進めます

＞　スキャン設定の開始： ASSESSMENT

検査内容に関する設定：デフォルトでは False Positive を避ける設定になっており、疑わしい要素が含まれる結果の表示や執拗なスキャンはおこなわない設定になっています。Web アプリケーションスキャンの設定も含みます。（デフォルトで Web アプリケーションスキャンは無効になっています）

＞　スキャン設定の開始： REPORT

スキャン結果のリポートに関する設定：　表示する内容について調整することができます。

＞　スキャン設定の開始： ADVANCED

スキャン時の挙動やパフォーマンスおよびデバッグに関する設定：パフォーマンスの設定は Default の他、帯域の狭い通信環境下でのスキャン用のプリ設定が用意されています。最後に Save をクリックすると設定が保存され、スキャンが開始されます。

今回は非認証スキャンをおこなうため設定はおこないません。

＞　スキャンの開始：スキャンが開始されると、丸い矢印が回転してスキャンジョブが実行されていることを知らせます。スキャンが完了するとチェックマークが表示されます。スキャン実行時に || マークをクリックして一時停止したり マークをクリックして強制終了させることもできます。◽️今回はスケジュールスキャンは設定せず On Demand で作成したので、スキャンが完了したら ▶ マークをクリックすることでいつでもスキャンを実行できます。実行中のスキャンをクリックするとスキャン結果の表示画面に移行し、リアルタイムでスキャン結果が表示されてゆきます。

＞　スキャン結果の表示： Scans > Hosts

スキャンが実行されたホストが一覧で表示されます。IP アドレスの右には脆弱性の検出結果が Severity毎に色分けされたバーで表示され、危険度を把握することができます。

脆弱性 Medium の総カウント数＝ 11

検査結果を出したプラグインの総数＝ 43

脆弱性 Low の総カウント数＝ 2

脆弱性 Info の総カウント数＝ 78

※ 　総カウント数とは同じ脆弱性が複数のポート上で見つかった場合など、それぞれのポートを １としてカウントした合計値です。

＞　スキャン結果の表示： Scans > Hosts > 選択したホストで検出された脆弱性のリスト選択したホストで検出された脆弱性情報が一覧で表示されます。KB の Download をクリックすると KB ファイルをダウンロードすることができます。

＞　スキャン結果の表示： KB

＞　スキャン結果の表示： プラグイン毎の詳細（前半）

＞　スキャン結果の表示： プラグイン毎の詳細（後半）

＞　スキャン結果の表示： プラグイン毎の詳細（見方）Description脆弱性の説明。どのような影響があり、どう対処するべきかが記載されています。Solution具体的な対処方法の説明。See Alsoこの脆弱性に関する外部情報へのリンク。Outputプラグインが検査の結果で出力した内容。

＞　スキャン結果の表示： プラグイン毎の詳細（見方）SeverityCritical, High, Medium, Low, Info の５段階で危険度を表示。ID個々のプラグインに付与されている識別番号。Versionプラグインのリリースバージョン。Typeプラグインのスキャンタイプ。remote はオープンポートからの検査をおこなうタイプ。local 認証スキャンまたは Agent により内部から検査をおこなうタイプ。今回は非認証スキャンなので全て remote になります。Familyプラグインが属するプラグインファミリーPublished / Modifiedプラグインが初めてリリースされた日付と更新された日付

＞　スキャン結果の表示： プラグイン毎の詳細（見方）Risk FactorCVSS を基にした 5段階の重要度（ CVSS値 Info=0, Low<4, Medium<7, High<10, Critical=10 ）CVSS Base Score脆弱性を評価するための基本数値（ 0-10 ） CVSS Vector脆弱性の技術的な特性を測定するための基準CVSS Temporal Score脆弱性の評価時点における深刻度を計るための数値（ 0-10 ）

CVSS に関する参考情報：https://www.ipa.go.jp/security/vuln/CVSS.html

※ 　重要度が High 以上の脆弱性は以下の特性を持っているため、基本的には早急な対応が必要です。※ 　機密性、完全性、可用性のいずれかが前面的に影響を受け、リモートから認証を必要とせずに中以下の難易度で攻撃が可能。

＞　スキャン結果の表示： プラグイン毎の詳細（見方）CPEhttp://www.ipa.go.jp/security/vuln/CPE.html

Exploit Availableエクスプロイトの有無により true / false と表示されます。Exploit Ease

Patch Pub Dateパッチがリリースされた日付Vulnerability Pub Date脆弱性が公開された日付CVE: http://www.ipa.go.jp/security/vuln/CVE.htmlOSVDB: http://osvdb.org/BIDCERT: http://www.kb.cert.org/vuls/

Audit Trail を利用すると、このホストに対して実行されなかったプラグインとその理由が表示されます。Audit Trail をクリックすると　 Plugin ID と Host を入力する画面が表示されます。全ての結果を表示したい場合は Plugin ID をブランクにして Search をクリックします。期待したプラグインの結果が得られなかった場合などに利用します。

＞　スキャン結果の表示： プラグイン毎の詳細（見方）

＞　スキャン結果の表示： フィルターとリポートの作成スキャン結果には詳細なフィルターをかけ、必要な情報のみを抽出して表示およびリポートしたい場合に活用できます。黄色の矢印部分をクリックすると詳細フィルタの設定画面が表示されます。Match [All or Any] of the following: All 全てまたは Any 一部に一致するものを表示。条件は + をクリックすると追加できます。最後に Apply をクリックして反映させます。

＞　スキャン結果の表示： フィルターとリポートの作成スキャン結果は様々なフォーマットでエクスポートできます。Nessus.nessus という拡張子で保存される XML ファイルで Nessus や SC/CV に検査結果をインポートできます。PDF / HTMLPDF または HTML フォーマットで検査結果をリポートします。Linux の場合、 PDF での出力は Java （ http://www.java.com/ja/download/）がインストールされている必要があります。Nessus DB.db という拡張子でパスワードが設定されて保存されます。Audit Trail の結果も含まれるためデバッグの際はこちらが有効です。

＞　スキャン結果の表示： History 複数履歴の活用同一のスキャン設定で複数回にわたりスキャンをおこなうと、 History にそれぞれのスキャン結果が履歴として保存されてゆきます。２つの結果を選択し、 Diff を使いうと２つの結果を比較して差分を表示することができます。Choose Primary Result で最新の履歴を選択すると、古い方の結果には無く最新の結果にあるものを表示します。逆にすると最新の結果には無く古い結果にあるものを表示します。これにより、新たに発見された脆弱性や修正された脆弱性のみを表示しリポートすることが可能になります。

＞　２つのスキャンタイプ： 非認証スキャンと認証スキャン非認証スキャン（ remote ）とは：SYN スキャナーで確認したオープンポートから帰ってくるバナー（ OS やアプリケーションのバージョン情報）など、ネットワーク上から得られる情報をもとに検査をおこないます。エージェントレスで最も簡単にスキャン対象のホストを検査できる手法ですが、取得できる情報や制度に制限があります。

認証スキャン（ local ）とは：Windows SMB や SSH プロトコルを使いスキャン対象のホストにログインし、内部からコマンドを使い検査をおこないます。ログインするために Administrator または Root権限を持つアカウントを設定する必要はありますが、エージェントレスで正確かつ多くの情報取得でき、設定監査やマルウエア検査もおこなうことが可能になります。アカウントの設定に問題がある場合はエージェントを使うことも可能です。ログイン

エージェント（ Windows, Linux, Mac ）

＞　認証スキャン設定： Windows の場合 Authentication method: CyberArk Vault, Kerberos, LM Hash, NTLM Hash, Password から選択。

Registry 検査を有効にします。ファイル共有検査を有効にします。

＞　認証スキャン設定： Linux の場合 Authentication method: Certificate, CyberArk Vault, Kerberos, Password, Public key から選択。

脆弱性 Critical の総カウント数＝ 2

脆弱性 High の総カウント数＝ 5

脆弱性 Info の総カウント数＝ 214検査結果を出したプラグインの総数＝ 114

脆弱性 Medium の総カウント数＝ 10

脆弱性 Low の総カウント数＝ 3

＞　認証スキャンの結果： remote では確認できなかった脆弱性や設定情報を多数取得。

＞　非認証スキャンと認証スキャン： 検出数の比較非認証スキャンの結果（ type: remote ）

認証スキャンまたはエージェントスキャンの結果（ type: local ）

＞　スキャン結果の表示： Remediations

Remediations に表示された脆弱性は

＞　スキャン時に確認された問題点： Notes

スキャン時に確認された問題点は Notes タブに記録されます。内容に従い設定を調整して問題を解決します。Nessus のデバッグには Audit Trail, KB, Plugin 84239 （ Debugging Log Report ） , Notes の情報が役に立ちます。その他にも、 Plugin 19506 （ Nessus Scan Information ）など問題を調査するために使えるプラグインが幾つか存在します。

＞　以上で Nessus スタートガイドは終了となります。更に細かい設定の説明やデバッグの方法は Nessus アドバンスガイド（ 2015 年 9月リリース予定）を参照ください。

プロキシやロードバランサが存在しても検知しません。Nessus に登録されている一般的なポートのみスキャンします。認証スキャンが可能なら netstat を使います。SYN スキャナーを実行します。

TCP ping を実行します。ARP ping を実行します。ICMP ping を実行します。（再送は２回まで）

Nessus がインストールされているローカルホストもスキャンします。

＞　 Settings/Discovery Port scan (common ports)

1-65535 の全てのポートをスキャンします。

＞　 Settings/Discovery Port scan (all ports)

＞　 Settings/Assessment Default

誤検知の可能性がある結果は表示しません。CGI のスキャンはおこないません。

Web アプリケーションスキャンはおこないません。

＞　 Settings/Assessment Scan for known web vulnerabilities

ルートディレクトリからスキャンを開始します。最大 1000ページまでスキャンします。最大６つのディレクトリまで移動できます。包括的なな Web アプリケーションテストは実施しません。

一般的な脆弱性検査を実施します。

＞　 Settings/Assessment Scan for all web vulnerabilities (quick)

包括的なな Web アプリケーションテストを最大５分間まで実施します。

＞　 Settings/Assessment Scan for all web vulnerabilities (complex)

包括的なな Web アプリケーションテストを最大 10 分間まで実施します。全ての HTTP メソッドを実行します。全ての HTTP メソッドを実行します。

＞　 Settings/Assessment Default

出力内容が大量になるようなスキャン結果を、リポートに含むか含まないかを選択できます。デフォルトは、リポートデータのサイズを小さくしてディスク容量を節約するよう設定されています。ホスト側で非表示にされている更新を表示します。特定のプラグインの結果を得るために副次的に行ったスキャンの結果は非表示にします。スキャン結果を編集できるようにします。ホストを DNS 名で表示します。（逆引きできない場合は IP アドレス）Ping に応答したホストは全てリポートに含めます。到達不能であったホストもリポートに含めます。

＞　 Settings/Assessment Default

同時に最大 30 のホストをスキャンします。単一ホストに対して最大 4種類のスキャンを同時に実行します。ネットワークタイムアウト値は 5秒です。

＞　 Settings/Assessment Default

同時に最大 2 ホストをスキャンします。単一ホストに対して最大 2種類のスキャンを同時に実行します。ネットワークタイムアウト値は 15秒です。ネットワークの輻輳を検知したらスキャン速度をスローダウンさせます。（ Linux プラットフォームのみ）

Tenable Description

Tenable Network Security provides continuous network monitoring to identify vulnerabilities, reduce risk and ensure compliance. Our family of products includes SecurityCenter Continuous View™, which provides the most comprehensive and integrated view of network health, and

Nessus®, the global standard in detecting and assessing network data.