「宇宙には障害のないものはありません」、これは情報システムにも当てはまります。コンピューターシステム、モバイルアプリ、Webサイト、IOTデバイスのいずれであっても、すべて固有のリスクに囲まれています。脆弱性は、セキュリティスペシャリストが脆弱性の修正に従事し、ハッカーがそれらを悪用するために働いているため、毎日発生します。セキュリティスペシャリストは、セキュリティの欠陥や脆弱性についてシステムをスキャンする脆弱性スキャナーと呼ばれる特殊なソフトウェアを使用します。脆弱性スキャンのために市場で利用可能な多くのツールがあります。 Nessusはそのようなシステムの例です。
Nessusは何に使用されますか?
Nessusは、NmapSoftwareLLCのセキュリティツールチェックリストでかつて1位にランクされた最も人気のある脆弱性スキャナーツールの1つです。現在はリストの3番目の位置にドロップされていますが、それでも強力なリモートセキュリティスキャンツールです。主要なLinuxディストリビューション、Mac OSXおよびWindows7、8、および10で使用できます。また、NessusはDockerで使用できます。ここからDockerイメージをプルするだけです。
何をカバーしますか?
このガイドでは、KaliLinuxにNessusをインストールする方法を説明します。 Nessusのインストールと構成を始めましょう。
前提条件
- 管理者権限を持つユーザーアカウント。
- さまざまなファイルをダウンロードするためのインターネット接続。
KaliLinuxへのNessusのインストール
Nessusには、Nessus Essentials、Nessus Professional、およびTenable.ioの3つのバリエーションがあります。 Nessus Essentialsは無料で使用できますが、16個のIPのスキャンに制限されています。このガイドでは、このバリアントを使用します。インストールプロセスに入りましょう:
ステップ1. NessusのTenable製品ページに移動し、「NessusEssentials」の説明の下にあるダウンロードボタンをクリックします。
ステップ2.次に進む前に、まずビジネス用メールに登録する必要があります:
ステップ3.登録すると、アクティベーションコードのリンクがメールに表示されます。このアクティベーションコードは、インストールする製品をチェックします。今のところ、新しいページで[ダウンロード]をクリックして先に進みます:
注:上記のアクティベーションコードは1回限りのコードです。 Nessusをインストールするたびに、Nessusを入手する必要があります。
ステップ4.次のページで、システムに適したバージョンを選択します。この例では、KaliLinuxオプションを選択しています。
ステップ5.[同意する]をクリックして使用許諾契約に同意します ボタン。これにより、ファイルのダウンロードが開始されます:
ステップ6.次に、ダウンロードフォルダーに移動し、コマンドプロンプトで開きます。次に、以下のコマンドを使用して、ダウンロードした.debファイルをインストールします。この場合のファイル名は「Nessus-10.0.1-debian6_amd64.deb」です。 あなたの場合、それはわずかに異なるかもしれません。
$ sudo dpkg -i Nessus-10.0.1-debian6_amd64.deb
ステップ7.インストールしたら、Nessusサービスを開始する必要があります。これには、次のコマンドを実行するだけです。
$ sudo systemctl start nessusd.service
次回の起動からサービスを自動的に開始できるようにするには、次のコマンドを使用します。
$ sudo systemctl enable nessusd
以下を使用してサービスのステータスを確認します:
$ sudo systemctl status nessusd
ステップ8.これで、WebブラウザーからNessusを構成する準備が整いました。 Tenableから取得したアクティベーションコードが必要になるので、手元に置いておきます。次に、Webブラウザーを開いて、次のURLに移動します。
https:// kali:8834 /
Nessusのデフォルトのユーザーインターフェースポートは8834です。他のサービスで使用されていないことを確認してください。
次のような警告ウィンドウが表示された場合は、[詳細...]ボタンをクリックし、[リスクを受け入れて続行]をクリックしてください。この警告は、FirefoxがNessusによって提供された証明書を信頼していないために発生します。これは正常な動作です。このSSL警告を回避するには、ブラウザの設定を使用できます。
ステップ9.ウェルカムウィンドウで、Nessus Essentialsオプションを選択し、[続行]をクリックします。
ステップ10.次のウィンドウで、アクティベーションコードを取得するための詳細を入力するように求められます。すでに受け取っているので、この手順を安全にスキップできます。
次に、次のウィンドウでアクティベーションコードを入力します:
ステップ11.次に、以下に示すように、ユーザー名とパスワードを入力してユーザーアカウントを作成します。
ステップ12.ユーザーアカウント情報を送信すると、必要なさまざまなプラグインのダウンロードが開始されます。
これらのプラグインのダウンロードとインストールには時間がかかる場合がありますので、休憩してコーヒー。
うまくいけば、インストールは成功し、次に進むことができます。ログインウィンドウが表示されたら、ここにアカウントの詳細を入力します:
ログオンすると、ようこそ画面が表示されます。今のところ、このウィンドウを閉じます。うまくいけば、後でカスタム脆弱性スキャンポリシーを作成する方法がわかります。
結論
ネットワークセキュリティは、IT資産を保護するための組織の重要な部分です。 Nessusのようなツールを使用すると、攻撃者に悪用される前に脅威と脆弱性を特定できます。これは、攻撃対象領域を減らし、全体的なネットワークセキュリティを強化するのに役立ちます。これらのツールを効率的に使用するには、実際の環境で使用する前に適切なトレーニングを受けることをお勧めします。 Tenableは、製品を効果的に使用するためのオンデマンドトレーニングも提供しています。