openVas

Started by berghem, January 28, 2012, 04:53:39 PM

Previous topic - Next topic

berghem

Generalmente come scanner uso Nessus, tuttavia volevo testare OpenVas, ho pprovato a cercare le vulnerabilità di una macchina XP SENZA nessuna patch.
Il parametro di Scan è impostato su "Full and very deep ultimate" (tuttavia di default tutti usano  lo stesso numero di NVT's 24225 e mi domando se è corretto), a fine scansione mi dice che ho una sola vulnerabilità alta, poi se clicco sul dettaglio mi dice che sono 2....
Mi rileva solo una vulnerabilità seppur alta CVE : CVE-2012-0207 e CVE-2010-0020
Sono perplesso... Nessus ne rileva molte di più, e sappiamo che XP senza SP è pieno di bachi.....

Sbaglio qualcosa io nell'uso?

weVeg

#1
Concittadino, buona sera.... Sai che avevo letto a proposito che OpenVas tra falsi positivi e vulnerabilità non riportate era da considerarsi poco attendibile?!!?! Può essere che tu non stia sbagliando nulla, però, giusto per la cronaca, ora vado a cercarti l'articolo che avevo letto, così valuti pure te la situazione....
An sà et!


edit: eccomi, allora, scusami ma l'articolo originale che avevo letto ora non riesco a trovarlo, ma facendo una semplice googolata del tipo:
"nessus vs openvas" ho trovato qualcosa a proposito, se vuoi ti linko le pagine, se invece preferisci farti tu una ricerca più dettagliata procedi pure! Comunque si, OV non è del tutto affidabile!
una voce libera è sempre liberatrice
under_r00t

berghem

Avevo letto pure io alcuini articoli, ma alcuni sono datati e speravo che col tempo OpenVas fosse migliorato. Io sono alla ricerca di una alternativa a Nessus (free o a basso costo). Vorrei avere 2 scanner, questo per permettermi di gestire meglio eventuali falsi positivi. Per questo motivo pensavo ad openVas....

weVeg

Quote from: berghem on January 28, 2012, 09:06:40 PM
Avevo letto pure io alcuini articoli, ma alcuni sono datati e speravo che col tempo OpenVas fosse migliorato. Io sono alla ricerca di una alternativa a Nessus (free o a basso costo). Vorrei avere 2 scanner, questo per permettermi di gestire meglio eventuali falsi positivi. Per questo motivo pensavo ad openVas....
Bè sicuramente OV è la miglior alternativa a nessus, anche perchè non so se ne esistano molti altri di scanner simili (mi viene in mente autoscan, anche se moooooolto distante dai 2, e bisogna essere nella stessa rete, quindi nulla in remoto), mi spiace ma purtroppo non riesco ad essere molto d' aiuto! sorry!!
ciaoz
una voce libera è sempre liberatrice
under_r00t

berghem

beh, ce ne sono altri, ma costosi...
IBM Enterprise scanner è uno....

ostendali

Quote from: berghem on January 28, 2012, 09:43:45 PM
beh, ce ne sono altri, ma costosi...
IBM Enterprise scanner è uno....
Se e' per questo Nessus professional feeds e' il migliore sul mercato...

drego85

Ah vorrei vedere a 1200$ l'anno se non va bene :)
Andrea Draghetti
Personal Blog

berghem

Proseguo su questo 3D ma cambio un po il discorso, gli amministratori se vogliono spostano il 3D

PREMESSA
Seppur ho 40 anni ho iniziato l'universita dopo i 30, mi sono laureato alla triennale in informatica, ora mi sto laurenado alla specialistica in Sicurezza informatica a Crema. La mia tesi, per la seconda laurea, è basata sui VA/PENTEST, l'azienda per la quale lavoro, visto il mio percorso di studi e l'argomento di tesi, mi ha catapultato in questo bellissimo mondo (forse un po troppo velocemente...).

ANDIAMO AL DUNQUE
fin'ora ho usato Nessus (Home edition) e fatto sperimentazioni anche importanti, ma non  conosco Nessus professional feeds, e sono fuori (grazie a Dio) al mondo licenze.
Voglio però capire, a fine professionale, quale scanner usare. La mia intenzione era quella di usarne 2 (OpenVas perchè è gratuito), questo perche, sono convinto, che 2 scanner, mi fanno capire meglio quali sono i falsi positivi (esempio banale, se entrambi mi rilevano una determinata vulnerabilità, allora è vera).

Secondo voi ha senso?, come determinate i falsi positivi?

ostendali

#8
Quote from: berghem on January 29, 2012, 02:03:21 PM
Proseguo su questo 3D ma cambio un po il discorso, gli amministratori se vogliono spostano il 3D

PREMESSA
Seppur ho 40 anni ho iniziato l'universita dopo i 30, mi sono laureato alla triennale in informatica, ora mi sto laurenado alla specialistica in Sicurezza informatica a Crema. La mia tesi, per la seconda laurea, è basata sui VA/PENTEST, l'azienda per la quale lavoro, visto il mio percorso di studi e l'argomento di tesi, mi ha catapultato in questo bellissimo mondo (forse un po troppo velocemente...).

ANDIAMO AL DUNQUE
fin'ora ho usato Nessus (Home edition) e fatto sperimentazioni anche importanti, ma non  conosco Nessus professional feeds, e sono fuori (grazie a Dio) al mondo licenze.
Voglio però capire, a fine professionale, quale scanner usare. La mia intenzione era quella di usarne 2 (OpenVas perchè è gratuito), questo perche, sono convinto, che 2 scanner, mi fanno capire meglio quali sono i falsi positivi (esempio banale, se entrambi mi rilevano una determinata vulnerabilità, allora è vera).

Secondo voi ha senso?, come determinate i falsi positivi?

Ciao berghem,
Nessus home a pro feeds sono totalente identiche come apps ma si differiscono soltanto quando si tratta dei plugin. La versione free ha piu' o meno gli stessi plugin di OpenVAS mentre la pro ha una suite di plugin abbastanza completo. Potrei dire che non ci sono proprio i falsi positivi in quest'ultima in quanto appena se ne rivela uno viene immediatamente risolto dal team di tenable. La cifra che chiedono e' abbastanza accettabile per essere usato in termini professional.

Ora, se uno non vuole pagare tale cira e ovvio che se si cimenta sul caso potra ottenere simili risultati lavorando sia con la versione free di nessus che con OpenVAS. E' proprio questo il senso della comunita' free open source, altrimenti che chiamiamo a fare open.

Giusto per dare un chiarimento piu' esplicito, alla fine gli CSV sono sempre quelli sono, non e' che nessus o qualcun'altro abbia il proprio db di CSV.....quello che perfezionano e' il plugin implementato in modo efficiente per essere piu' preciso possbile su una scanzione target.

Facendo un esempio pratico, una scansione con OpenVAS e Nesus Home Feeds non distingue un sistema operativo windoz 2000 dalle versioni successive....quindi gia' partendo da questo principio si vede plaesemente che non ha molto senso andare avanti con analisi...

D'altro canto, si puo' configurare OpenVAS e Nessus Homee Feeds da poter identificare perfettamente l'OS cosi riducendo falsi positivi. Questo richiede una serie di configurazione sia sul lato server che ogni client dove vai a fare la scanzione....

Spero di averti dato un buon input...

Non esitare a chiedere ulteriori dettagli...

cheers

PS> sugerisco di aprire un nuovo topic se vuoi che coninuiamo la discussione in qaunto non ci possibile separare il topic....