Una de las características que ofrece la versión ProfessionalFeed (la de pago, vamos: $1200 al año cada licencia) de Nessus entre otras es la posibilidad de realizar auditorías de cumplimiento a sistemas Unix y Windows, aplicaciones o bases de datos SQL basadas en estándares ya predefinidos.
Así pues, podremos realizar auditorías de cumplimiento basándonos en las recomendaciones CERT, guías de buenas prácticas CIS o NSA, requerimientos de configuración PCI , e incluso Bandolier (proyecto de Digital Bond) proporciona políticas de cumplimiento (a través de ficheros .audit de los cuales hablaremos a continuación) para auditar sistemas SCADA, DCS y otras aplicaciones de sistemas de control industrial, entre otros.
El cumplimiento o no cumplimiento de dichas recomendaciones viene predefinido por los ya mencionados ficheros de extensión .audit que ofrece Tenable a través de su centro de soporte. Podemos descargarnos diversos ficheros .audit que nos definan por ejemplo políticas de auditorías desarrolladas por Tenable para auditar sistemas Windows, Linux, HP-UX, Solaris y AIX para comprobar el cumplimiento de unos requerimientos de configuración mínimos establecidos según el estándar PCI, políticas de cumplimiento basadas en las mejores prácticas según Cisco para la configuración de sus dispositivos o incluso políticas de auditoría que analizan la presencia de contenido “sensible” en los sistemas a auditar (contenido para adultos, información corporativa confidencial, números de tarjetas de crédito, etc.) por citar algunos ejemplos.
Por ejemplo si queremos auditar un dispositivo Cisco según las propias recomendaciones sobre buenas prácticas de Cisco usaríamos el fichero .audit correspondiente. Veamos una posible puesta en escena. El primer paso es crearnos nuestra política:
Descargamos el fichero .audit correspondiente del centro de soporte. En este caso a modo de ejemplo usaremos Cumplimiento_Cisco_Level_2.audit: fichero que implementa las recomendaciones de configuración de nivel 2 según el CIS Cisco IOS Benchmark v2.4.0. En la descripción del fichero .audit además indica que es necesario que toda la familia de plugins de Cisco esté habilitada, así que no debemos olvidarnos de habilitar el plugin correspondiente a Cisco dentro de la familia de plugins del cumplimiento de las políticas:
A continuación en Preferencias cargamos el fichero .audit que hemos descargado previamente seleccionando el plugin ‘Cisco IOS Compliance Checks’; como vemos permite incluir hasta cinco ficheros .audit de política de Cisco que permiten verificar si dispositivo con Cisco IOS está configurado conforme a los estándares de seguridad indicados en las políticas cargadas:
De este modo tan simple, ya tendríamos la política creada para auditar nuestro dispositivo y ver si cumple con las recomendaciones que el proveedor nos da.
Si nuestra empresa dispone de su propia política de seguridad en cuanto a configuraciones de servidores por ejemplo podemos editar nuestro propio fichero .audit para realizar la auditoría de cumplimiento de acuerdo a nuestra propia política. Asimismo, en el centro de soporte de Nessus se proporcionan también diversas Tools (i2a, c2a, p2a) para generar nuestros propios ficheros .audit a partir de otros ficheros. Así, por ejemplo podemos generar ficheros .audit a partir de ficheros .inf de Windows. por citar un ejemplo. Para aquellos interesados, Tenable proporciona información al respecto de la creación de ficheros .audit en su centro de soporte e invita a que los usuarios interesados visiten los foros de discusión del producto.
Por propia experiencia y para acabar, los ficheros .audit ayudan con el cumplimiento de estándares, o al menos dan una idea bastante aproximada de cuál es la situación al respecto, sin embargo creo que como con cualquier herramienta automatizada, es recomendable a posteriori realizar una verificación de los resultados.
Que interesante post. Vas a dar algún curso sobre Nessus?
Gracias Guillermo :)
Si estás interesado en el funcionamiento de Nessus estaré encantada de ayudarte. Cuando quieras preparamos algún tipo de formación.