23 Apr 2021

Previos

Esto no se trata de una guía oficial, es algo que nos ha funcionado y esperamos que sea de utilidad. Run it at your own risk

Luego de instalar y configurar nuestro Tenable Nessus, parte de las configuraciones de seguridad que debemos realizar es habilitar de manera segura el acceso vía la plataforma web, esto lo conseguimos configurando nuestros certificados confiables y Tenable Nessus no muestre el error de Certificados ya conocido.

Estamos asumiendo que Nessus Professional está instalado sobre un Sistema Operativo Linux, sin embargo sería una lógica similar para un Sistema Operativo basado en Windows. Tambien se asume que ya tienes configurado el dominio o subdominio para que resuelva a la dirección IP donde se tiene instalado Tenable Nessus.

Instalar Script de GitHub

En este caso, descargaremos el siguiente repositorio de GitHub Link del Repositorio y seguimos las instruccion de la instalacion.

Generamos las API Key de Nessus

En caso no contemos con la API Key en Nessus, las volvemos a generar y las guardamos para utilizarlas luego. Recordar que si ya se encuentra usando esta API Key en otra aplicacion y volvemos a generarla, deberas importar esta nueva API Key en tu aplicacion

Configurando nuestro MySQL

Primero debemos levantar nuestro servicio de MySQL

sudo service mysql start

Ingresaremos a nuestro MySQL y luego configuraremos la contraseña a nuestro usuario, en este caso usaremos el mismo root.

mysql -u root -p
ALTER USER 'root'@'localhost' IDENTIFIED BY 'NuevaPassword';
FLUSH PRIVILEGES;

Configuracion del Script de Github

Cambiaremos la configuracion del config.ini.example a config.ini y lo editaremos hasta que tenga el siguiente formato:

Colocamos nuestra Access Key y nuestra Secret Key generados en Nessus, tambien colocamos muestro usuario de MySQL y la contraseña configurada previamente.

Ademas ingresamos al MySQL y generamos las base de datos necesaria. El archivo schema.sql se encuentra en la carpeta del repositorio, en caso MySQL no lo encuentre es porque no se encuentra en la misma carpeta del archivo, en ese caso colocar la ruta absoluta del archivo.

mysql -u root -p
source schema.sql;

Ejecutamos el Script

Ejecutaremos el script, lo que hara sera ejecutar cada uno de nuestros scans que se encuentran en nuestros folders.

El script EJECUTARÁ TODOS los escaneos que encuentre en las carpetas, tomar las previciones del caso antes de ejecutarlo.

Luego de finalizado el script, se podra revisar los resultados de todos los escaneos en nuestro MySQL

Verificamos la base de datos

Ingresaremos a MySQL con nuestro usuario y haremos unas consultas para verificar que esten nuestros escaneos.

Verificamos que esten nuestros reportes.

SELECT * FROM nessusdb.scan;

Hacemos un conteo rapido para saber que si se logro la ejecucion del script correctamente y se obtuvieron varias vulnerabilidades

SELECT COUNT(host_vuln_id) FROM nessusdb.vuln_output;
* * *

Si se desea se podria exportar la base de datos con el siguiente comando:

mysqldump -u [username] -p [database name] > [database name].sql

Con la base de datos exportada ya se puede trabajar en nuestra maquina personal si asi se desea, o compartirla entre los miembros de la empresa

think outside the box

Esto no se trata de una guía oficial, es algo que nos ha funcionado y esperamos que sea de utilidad. Run it at your own risk

Luego de instalar y configurar nuestro Burp Suite Enterprise, es recomendable configurar el acceso vía la consola web con certificados de una CA válida y Burp Suite Enterprise no muestre el error de Certificados ya conocido.

Instalar Certbot

En este caso, dependerá de la distribución sobre la que se quiera instalar el Certbot, por lo cual les recomendamos revisar la web oficial para tener las especificaciones por cada caso:

Link a la Web de Certbot.

Generar nuestro certificado

Vamos a generar los certificados de la misma forma que hicimos en el Post de Tenable Nessus. (En modo standalone).

Lo primero en hacer es lo siguiente:

certbot certonly --standalone --preferred-challenges http -d demo.foo.bar

En este comando le indicamos a certbot que solo nos genere los certificados necesarios y que haga las validaciones levantando un servidor http sobre el dominio/subdominio al cual le queremos generar los certificados.

Como salida a dicho comando tendremos algo como esto :

Si todo nos fue bien con el comando ya tenemos casi todo listo.

Generando el PKCS#12

Ahora que ya tenemos los certificados generados vamos a ejecutar el siguiente comando para convertir los .PEM a un PKCS#12 :

openssl pkcs12 -export -out certificate.p12 -inkey /etc/letsencrypt/live/demo.foo.bar/privkey.pem -in /etc/letsencrypt/live/demo.foo.bar/cert.pem -certfile /etc/letsencrypt/live/demo.foo.bar/chain.pem

Luego de ejecutarlo nos pedirá que ingresemos una contraseña, acto seguido nos pide volver a ingresarla para verificar que todo funciona correctamente.

Configurando Burp Suite Enterprise

Luego de esto seguimos el proceso usual para subir nuestro PKCS#12: **RECORDAR QUE ESTE PROCESO REINICIA EL SERVICIO WEB**

Listo!

Renovando Certificados

Con eso ya tenemos todo ok con el certificado. No olvidemos que los certificados emitidos por Let’s Encrypt tienen una caducidad bastante corta. Con lo cual tenemos dos opciones:

• Hacer este procedimiento cada 30 días de manera manual.
• Activar el autorenew.

Vamos por esa última opción :

certbot renew --dry-run

Luego de eso veran que en /etc/letsencrypt/renewal/ se ha creado un archivo con detalles sobre la generación del certificado

Nosotros debemos generar 1 archivos en las siguiente carpeta : /etc/letsencrypt/renewal-hooks/post como el nombre nos da a entender, ahí se pueden agregar scripts para que sean ejecutados “post” la generación de los certificados.

En POST pondremos:

CUIDADO!! Estamos hardcodeando la clave para "automatizarlo (No recomendado)"

sudo sh -c 'printf "#!/bin/sh" >> /etc/letsencrypt/renewal-hooks/post/burp_enterprise.sh'
sudo sh -c 'printf "openssl pkcs12 -export -out certificate.p12 -inkey /etc/letsencrypt/live/demo.foo.bar/privkey.pem -in /etc/letsencrypt/live/demo.foo.bar/cert.pem -certfile /etc/letsencrypt/live/demo.foo.bar/chain.pem -password pass:TuClaveSuperSegura\n" >> /etc/letsencrypt/renewal-hooks/post/burp_enterprise.sh'
sudo sh -c 'printf "mail -s \"Certificado PKCS#12 Generado\" -t john@layer8.pe \n" >> /etc/letsencrypt/renewal-hooks/post/burp_enterprise.sh'

Basicamente creamos un PKCS12 y luego enviamos un correo para que nos avise y podamos hacer la parte manual.

Luego le damos permisos a los archivos:

sudo chmod 755 /etc/letsencrypt/renewal-hooks/post/burp_enterprise.sh

Otras opciones!

Actualmente el archivo p12 se aloja aquí: /var/lib/BurpSuiteEnterpriseEdition/sslCertificates/certificate.p12. En teoria sería generar directamente el pkcs12 cada 30 dias en esta carpeta, hemos realizado pruebas generando archivos p12 y todo funciona bien, sin embargo hasta que no renovemos el cert no podemos asegurarlo, en todo caso el script quedaría así:

sudo sh -c 'printf "#!/bin/sh" >> /etc/letsencrypt/renewal-hooks/post/burp_enterprise.sh'
sudo sh -c 'printf "openssl pkcs12 -export -out /var/lib/BurpSuiteEnterpriseEdition/sslCertificates/certificate.p12 -inkey /etc/letsencrypt/live/demo.foo.bar/privkey.pem -in /etc/letsencrypt/live/demo.foo.bar/cert.pem -certfile /etc/letsencrypt/live/demo.foo.bar/chain.pem -password pass:TuClaveSuperSegura\n" >> /etc/letsencrypt/renewal-hooks/post/burp_enterprise.sh'

Luego le damos permisos a los archivos:

sudo chmod 755 /etc/letsencrypt/renewal-hooks/post/burp_enterprise.sh

Nuevamente: CUIDADO!! Estamos hardcodeando la clave para "automatizarlo (No recomendado)"

Keep Hacking!