Archivio » 2004 » marzo » martedì 30 »

Renaud Deraison - Nessus

Scritto da Matthew D. Sarrel

Ecco un prodotto dal prezzo imbattibile: può essere scaricato e usato senza pagare nulla. L’obiettivo del progetto open source Nessus, nelle parole del suo creatore Renaud Deraison, è di “mettere a disposizione della comunità Internet uno scanner remoto di sicurezza potente, aggiornato e facile da usare”.

Nessus offre una varietà persino travolgente di opzioni di configurazione e scansione. Un amministratore potrebbe aver bisogno di parecchio tempo per riuscire a padroneggiare la ricchezza funzionale di questa applicazione ed utilizzarla in modo davvero efficace.

		Nessus visualizza sottoreti, host e vulnerabilità, assieme a informazioni dettagliate su come risolvere i problemi rilevati.

Basato su un’architettura client/server, Nessus mette a disposizione degli utenti una console di amministrazione che esegue le scansioni e mantiene i database di appoggio. La console è accessibile da qualunque sistema, tranne il server stesso. I front-end per l’utilizzo della console sono disponibili per Java, Windows e X11, il che rende Nessus un tool realmente cross-platform. Il prodotto può scandire host di tipo Unix, Linux e Windows. Nessus fornisce una quantità soprendente di test personalizzati, che chiama plug-in. Tra i tanti, citiamo quelli per l’esame degli script Cgi, la rilevazione di buffer overrun, di connessioni di accesso remoto o di backdoor, e il controllo dei servizi Rpc e Snmp. Molto interessante è poi il plug-in che controlla le vulnerabilità presenti nei router di Cisco e altri produttori.

Abbiamo installato Nessus su una workstation con Red Hat Linux 9 e siamo rimasti favorevolmente colpiti dalla facilità con cui lo script di installazione ha completato il suo lavoro (evento non comune nel mondo dell’open source). Dopo l’installazione, abbiamo usato i tool a linea di comando di Nessus per aggiungere l’utente iniziale e per generare il certificato necessario per il client. A questo punto siamo stati in grado di lanciare il file eseguibile di Nessus e di effettuare il logon all’interfaccia utente (con il front-end) X11 senza alcun problema.

Al momento di definire le scansioni si possono accettare le opzioni di default o personalizzare a piacere ciascuna operazione. Questa seconda strada rischia di richiedere parecchio tempo persino a un amministratore di media esperienza; molto naturalmente dipende dalla complessità della rete da verificare.

È possibile impostare a vari livelli la scansione delle porte, in considerazione della presenza di firewall e sistemi di intrusion detection. Per ottenere informazioni più accurate e dettagliate dagli host Windows appartenenti a un dominio è consigliabile creare un gruppo e un account con privilegi di accesso remoto al registro. In questo modo diventa possibile accedere non solo alle impostazioni delle chiavi del registro, ma anche ai livelli di service pack, alle vulnerabilità di Internet Explorer e ai servizi in esecuzione sull’host. I risultati di una scansione vengono formattati con un raggruppamento per dominio, per host e per vulnerabilità. Oltre a segnalare le falle, Nessus fornisce una varietà di consigli utili spiegando la natura di ciascun problema ed elencandone le possibili soluzioni. Il programma fornisce anche i link opportuni a Cve (Common Vulnerability Exposures), un dizionario reperibile al sito www.mitre.org che elenca le vulnerabilità conosciute, e a Microsoft TechNet (www.microsoft.com/technet), un’importante risorsa on-line per chi segue la sicurezza dei sistemi Windows. In questo modo Nessus facilita agli amministratori l’accesso a ulteriori informazioni e alle patch disponibili.

Nei test tuttavia abbiamo scoperto che il prodotto a volte manca di flessibilità; ad esempio, non è in grado di raggruppare i risultati secondo i criteri forniti dall’utente - ad esempio per tipologia delle vulnerabilità, per categoria degli host o per severità dei problemi riscontrati - come consentono invece SAINT e NetIQ Security Analyzer.

Per quanto riguarda i report, indispensabili per ottenere una vista ad alto livello, Nessus offre sei diversi formati che comprendono anche grafici a torta ed elenchi tabellari. La scarsa flessibilità appena citata ne riduce però l’utilità.

Per concludere, Nessus è un prodotto sicuramente interessante per gli amministratori in cerca di uno scanner di sicurezza completo, a patto che possano accettare report relativamente poco versatili e una difficoltà di configurazione e d’uso inevitabilmente superiori a quelle dei migliori prodotti commerciali.


Nessus
Gratuito

Produttore: Renaud Deraison.