Introduction à Nessus

Posté par  (site web personnel) . Modéré par Benoît Sibaud.
Étiquettes : aucune
0
15
juin
2002
Sécurité
Nessus est un scanner de vulnérabilités qui recherche sur une cible les failles dans le réseau tels les bogues des logiciels, les portes dérobées etc... Ce programme est developpé par Renaud Deraison.

Dans cet article de LinuxSecurity, on y décrit les bases de l'installation et de l'utilisation de Nessus. Nessus a deux composantes, un client et un serveur. Le serveur peut tourner sur des plateformes UNIX, dont Linux et OpenBSD (et bien d'autres), tandis que le client peut fonctionner sur des systèmes d'exploitation variés dont... Windows. Dans cet article, Banchong Harangsri nous décrit l'installation et l'utilisation du serveur mais aussi du client.

NdR : Les captures d'écran sont pratiques et simplifient la compréhension. Cette nouvelle est une libre adaptation du début de l'article de LinuxSecurity.

Aller plus loin

  • # un outil pour djeunz rebelz ?

    Posté par  . Évalué à -10.

    J'avoue n'avoir jamais vraiment compris l'intérêt d'un tel outil.

    Ca ressemble à un truc dans la droite ligne des troyens que les jeunes windowsiens s'envoyent en pensant être sur les pas de mitnick.

    Nessus teste des dizaines et des dizaines de trous, sans faire aucune optimisation (si la machine est sous windows, pourquoi tester si bind ou openssh sont vulnérables ?) Il est très lent (forcément, vu le nombre de tests), et est pas très discret dans les logs de la machine testée.
    Bien sûr, on peut le configurer pour le limiter aux failles qui nous intéressent, mais c'est très fastidieux.

    En plus, il me semble que les mises à jour pour détecter les nouveaux trous sont très lentes à venir. Du coup, c'est aussi inutile pour vérifier ses machines contre le trou du jour de bugtraq...

    > /dev/null
    • [^] # Re: un outil pour djeunz rebelz ?

      Posté par  (site web personnel) . Évalué à 10.

      C'est un troll ?

      D'abord les djeun'z ne s'envoient pas des troyens mais des chevaux de Troie (trojan en anglais).

      D'autre part, openssh existe sous Windows (dans Cygwin et aussi à part, cf openssh.org), et on peut donc trouver un sshd même sous Windows.

      Concernant les mises à jour, c'est un logiciel libre, qui dépend de la bonne volonté des gens. Le problème est à mon avis plus dans les boîtes de sécu qui gardent leurs nouvelles failles sous le coude, plutôt que de les fournir.

      Pour le reste, voir les explications sur nessus.org
      • [^] # Re: un outil pour djeunz rebelz ?

        Posté par  . Évalué à -6.

        D'abord les djeun'z ne s'envoient pas des troyens mais des chevaux de Troie (trojan en anglais).

        C'est un peu réducteur. Pourquoi certains jeunes ne s'enverraient-ils pas des Troyens ?

        C'est un troll ?

        Non, c'est un cheval.
    • [^] # Re: un outil pour djeunz rebelz ?

      Posté par  (site web personnel) . Évalué à 10.

      et est pas très discret dans les logs de la machine testée.

      Evidement ce n'est pas sont role, il sert a detecter les failles de securité sur un poste/reseau dont le propiétaire serait consentant. Pas a être utiliser par des rebelz (ou alors des rebelz trés con).

      D'ailleur il paraitrait qu'il puisse faire tomber un service sur certaines configurations ce qui est encore moins discret (un peu agressif les tests des fois )
    • [^] # Re: un outil pour djeunz rebelz ?

      Posté par  . Évalué à 10.

      Gni ?
      C'est un outil ... On peut se servir d'un marteau pour démolir, voire tuer. Mais on peut aussi s'en servir pour fabriquer et construire.

      Nessus, un script-kiddy pourra s'en servir pour ennuyer ses voisins de réseau au bahut, pour scanner une plage IP sur le net.

      Mais un administrateur pourra tout aussi bien utiliser Nessus pour vérifier que ses serveurs sont bien protégés.

      Personnellement j'ai utilisé Nessus au boulot pour vérifier que je n'avais pas laissé de services ouverts inutile et/ou potentiellement dangereux (j'en avais oublié un !) et que les services ouverts ne présentaient pas de faille.
    • [^] # Re: un outil pour djeunz rebelz ?

      Posté par  . Évalué à 10.

      Je n'aime pas répondre aux trolls, mais là c'est plus du FUD, donc je me sens obligé d'intervenir. Je me permet de reformuler tes affirmations : - "Interet d'un tel outil ?" -> Scanner des dizaines, des centaines, voir des milliers de machines qui sont sous ta "juridiction" (quand tu es admin système d'un vrai réseau, avec des vrais utilisateurs qui se moquent de la sécurité). - "Nessus teste des failles Unix sur un Windows et vice et versa, ca pue" -> Nessus doit s'adapter au réseau, et pas l'inverse. Si on fait face à un unix qui fait un nat inverse sur le port 80 vers un IIS, on a pas envie de le rater juste parceque la pile IP de la machine ressemble à du linux. De plus, certaines failles sont génériques (ex: envoyer un login trop long qui fait planter un serveur POP) - ca permet de valider certains serveurs inconnus contre des failles connues (et c'est comme ça que l'overflow dans qpopper 4.0 a été trouvé). De plus, Nessus 1.2 _fait_ des optimisations, mais c'est une option. Celles-ci permettent de faire des tests plus malins (failles apache testées seulement contre un apache), mais c'est une approche plus risquée pour un ensemble de raisons (cf les archives de la liste Nessus pour explications plus détaillées. En gros, tu augment es les risques de rater une vulnérabilité). - "Il est très lent" -> Tu peux parametrer le nombre de tests et de machines à scanner en parallèle. Il y a encore des choses à améliorer, mais c'est pas "très lent". - "Il est pas discret" -> Tant mieux. Mon objectif n'est pas d'aider une nouvelle génération de Jean-Kevin. Même les techniques d'évasion d'IDS rendent Nessus bruyant (car il envoye plus de paquets, donc plus de logs dans le firewall, et contre un bon IDS il génère encore plus de messages d'alerte). Si tu fais des scans réguliers, il y a des options permettant d'éviter de relancer toute la batterie de tests contre la machine distante (juste les nouveaux), ce qui limite le bruit dans le cas d'un réseau d'entreprise. - "Les mises à jour sont lentes à venir" -> Pour les failles critiques (ex: le dernier overflow htr dans iis), elles sont publiées dans les 8 heures. Le moteur n'est pas mis à jour, mais l'utilitaire nessus-update-plugins va chercher les derniers tests pour toi sur www.nessus.org. Donc Nessus _peut_ être utilisé pour tester la faille "du jour" sur bugtraq. Maintenant, il est certain que si tu es dans le cas où tu administres _une_ machine configurée aux petits oignons et que tu lis bugtraq tous les matins, Nessus n'a que peu d'interet pour toi.
      • [^] # Re: un outil pour djeunz rebelz ?

        Posté par  . Évalué à 10.

        Ca fait pas mal de temps que je n'ai plus essayé Nessus. Je suis dans le cas que tu décris "une seule machine sensible, et bugtraq tous les matins". Donc il est vrai que Nessus a peu d'utilité pour moi, ce qui a peut-être rendu mes commentaires un peu excessifs. :( "Nessus teste des failles Unix sur un Windows et vice et versa, ca pue" Ce qui aurait été intéressant, c'est de pouvoir tester sur des batteries de test prédéfinies (par ex, tous les failles pouvant concerner un Apache). Il ne me semble pas que le client que j'avais essayé à l'époque le permettait, et il ne permettait pas non plus de sauvegarder les listes de tests pour ne pas avoir à tout re(de)sélectionner à chaque fois. "Il est très lent" Si tu scannes une machine, et qu'au premier test sur le port 80 du serveur web, la connexion est refusée, Nessus va-t-il essayer les autres attaques concernant un serveur web, et donc réessayer de se connecter ? Il me semble que c'était le cas à l'époque. "Les mises à jour sont lentes à venir" C'était le cas à l'époque, je me suis rendu compte après avoir posté que ce ne l'était plus le cas sur http://www.nessus.org/scripts.html . Tant mieux. Mon objectif n'est pas d'aider une nouvelle génération de Jean-Kevin. As-tu une idée sur l'utilisation de Nessus par M. Leboulet ? (D'après les questions posées sur les mailing list). D'après ma petite expérience personnelle, j'ai l'impression que : - pas mal de Jean-Kevin l'utilisent (je me fais souvent scanner avec des scans qui ressemblent fortement à Nessus) - beaucoup d'entreprises (et pas seulement des PME) se moquent totalement de la sécurité à l'interieur de leur réseau, et considèrent que leur firewall les protège suffisamment pour ne pas avoir à s'occuper des trous sur les postes clients. Désolé si je t'ai vexé : c'est vrai que critiquer un logiciel libre, c'est toujours très mal. Souvent les gens ne se rendent pas compte qu'il y a un développeur derrière totalement bénévole qui prend sur son temps libre derrière. Et c'est ptet un peu ce qui m'est arrivé dans mon dernier post :)
        • [^] # Re: un outil pour djeunz rebelz ?

          Posté par  . Évalué à 10.

          Rapidement : Si tu scannes une machine, et qu'au premier test sur le port 80 du serveur web, la connexion est refusée, Nessus va-t-il essayer les autres attaques concernant un serveur web, et donc réessayer de se connecter ? Il me semble que c'était le cas à l'époque. Non, ça n'a jamais été le cas. As-tu une idée sur l'utilisation de Nessus par M. Leboulet ? Pas tellement. J'ai juste reçu 5 plaintes en quatre ans (parceque "nessus" apparaissait dans les logs). On m'a dit qu'il était utilisé plus que je ne le pensait, mais je n'ai aucun moyen de vérifier. Pour ce qui est de l'évolution de l'utilisation de Nessus, je ne suis pas d'accord avec toi. En termes de sécurité, d'abord il n'y a rien eut, puis il y a eut les firewalls, puis les IDS (pour voir si les firewalls servent à quelque chose). Maintenant, les entreprises commencent à dire "bon, voyons quel est l'état du réseau interne". Ce n'est pas le cas partout (et encore moins en france), mais c'est une approche que je vois se développer de plus en plus et qui, je pense, prendra une très grande importance d'ici deux ou trois ans.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.