Журнал LinuxFormat - перейти на главную

LXF79:Nessus 3.0

Материал из Linuxformat
Перейти к: навигация, поиск

Содержание

Nessus 3.0

Как ни старался Пол Хадсон, ему не удалось заставить Nessus назвать его Дэйвом. Ясно, что искусственный интеллект – не главное нововведение, но, может быть, все-таки есть смысл обновиться до версии 3.0?

Создатель, фирма Tenable, сообщила, что причиной закрытия стали конкуренты, которые перепаковывали исходный код Nessus и продавали его. Нам это кажется странноватым, поскольку мы всегда считали, что такая вещь в природе GPL, но в то же время известно, что Nessus не получал код от пользователей (или тех самых фирм), так что, возможно, мы сами во всем виноваты.


Сор в избе

Главное событие релиза – переписан движок сканирования, Tenable заявляет, что он быстрее, чем в версии 2.xx, и защищен лучше чем когда-либо. Система безопасности, хотя и не особо сложная, делает свое дело: дополнительные модули не могут открыть сокет или вообще подать голос, не будучи подписанными Tenable.

Насчет скорости, рады сообщить, что в этом релизе она значительно улучшена – сканирование нашей тестовой машины (Athlon 64 3400+, 1ГБ ОЗУ под управлением SUSE 10.0) Nessus 3.0 с использованием 9,736 дополнительных модулей заняло всего 29 секунд, это куда быстрее, чем 1:01 минуты, потребовавшиеся для Nessus 2.2 c 9,491 дополнительных модулей. С заданием просканировать все доступные порты Nessus 3.0 справился за 43 секунды, а Nessus 2.2 потратил на него 2:11 минуты.

(thumbnail)
NessusClient, бесплатный GUI, работает с версиями 2.2 и 3.0 – можно не учить все параметры командной строки.

Но скорость – это еще не все. При всех преимуществах Nessus 3.0 над предыдущей версией, есть и плохие новости. Долгое время при составлении отчетов Nessus полагался на номера версий, и 3.0 – не исключение. Например, если, сканируя ваш ПК, Nessus обнаружит, что в системе запущен Apache 2.0.48, то перечислит в отчете все известные проблемы этой или более ранней версии. Ну а если в вашем дистрибутиве дыры залатаны без изменения версии? Вообще-то это стандартная практика. А Nessus плачется о проблеме, которой нет.

Заявлено, что в Nessus можно отключить мягкую проверку, тогда он будет искать реальные уязвимости вместо сканирования номеров версий, но, похоже, большой разницы не наблюдается. Когда мы попытались попробовать, то получили сообщение: «Возможна остановка или перезагрузка Windows» – есть чему удивиться, тестирование-то идет под Linux! Анализ номеров версий – лучший способ приумножить ложные срабатывания, и весьма печально, что Nessus не отказался от него.

Огласите весь список!

Другая проблема – список портов, сканируемых по умолчанию: он включает лишь около 1/8 всех возможных портов. Скорость, что ли, оптимизировали? Выходит, если кто-то нелегально подключится к вашей машине через порт 50000, Nessus его не заметит. Правда, список сканируемых портов можно изменить, но это слабое утешение. Сканируя порты, Nessus не делает предположений о типе сервиса, так что при установке Apache на порт 5560 (если, конечно, указать этот порт для сканирования) Nessus догадается, что это Apache, и запустит соответствующую проверку. Зато если запустить демон Nessus на портах 6666 и 7777, Nessus 2.2 обнаружит их и сообщит, что они часто используются backdoor’ом NetBus, а Nessus 3.0 просто известит, что порты открыты, без всякой дополнительной справки. Обнаружив проблему, Nessus берется за дело. Прежде всего классифицируется тип проблемы (самое страшное – Дыра-Security Hole, затем идет Предупреждение-Security Warning, а наименьшая опасность – ЗамечаниеSecurity Note). По возможности, Nessus дает исчерпывающее описание проблемы и возможное решение, и даже ссылки на предупреждения CVE (Common Vulnerabilities and Exposures – Общие уязвимости и подверженности, для непосвященных), так что вы можете изучить свои проблемы самостоятельно.

При всем при том, Nessus 3.0 является важным обновлением программы, и похоже, что в будущем будет еще лучше. Tenable уже сулит учебные курсы и сертификацию по Nessus для администраторов, желающих упрочить свои знания и использовать больше продвинутых возможностей Nessus. Есть также изменения основной линии: Tenable обещает на будущее поддержку проверки на соответствие, которая позволит отсканировать один сервер и использовать его как образец для других, обеспечивая быстрое и простое отслеживание отклонений.

С открытым кодом или без, Nessus 3.0 все еще лидер в своей области, и, кажется, останется им и далее.


Самое главное

Популярный сканер уязвимостей, находит проблемы в сети и сообщает о них.

См. также: Sara, Nmap.

  • Разработчик: Tenable
  • Сайт: www.nessus.org
  • Цена: Бесплатно

Вердикт Linux Format

  • Функциональность - 8/10
  • Производительность - 9/10
  • Простота использования - 8/10
  • Документация - 6/10

Очень быстрый и мощный, но дважды проверьте, что тревога не ложная.

  • Рейтинг - 8/10
Персональные инструменты
купить
подписаться
Яндекс.Метрика