Comparativa de Escaners de Vulnerabilidades
Buenas mi gente, en este apartado me gustaria que incuir una comparativa de los diferentes escaners de seguridad ya sea basado en documentos o experiencias propias, para determinar cual es el mejor escaner a la hora de realizar estos tipos de tests.
Las herramientas de análisis de vulnerabilidades permiten identificar muchos de los principales agujeros de seguridad seguridad que ponen en riesgo los sistemas de una red, pero a la hora de elegir muchas veces no elegimos el mas optimo.
Uno de los problemas principales que muestran muchos tipos de escaners es que reportan "Falsos Positivos" y cuando aciertan no siempre informan con la presicion necesaria. Otro de los motivos es la rapidez con que se manejan. Por eso muchas veces es necesario emplear varios scaners para obtener un mayor porcentaje de aciertos, comparando los resultados. Pero a la hora de un ataque real suponen un problema por el ruido que causan.
Unos de lo que mas me ha gustado y que lo empleo de primera mano por la calidad de sus reportes ejecutivos e intensidad de su escaneo es: SSS (Secure Shadow Scanner), el problema es que al efectuar el escaneo por defecto y el uso intensivo de test, se hace muy lento a la hora de escanear grandes redes.
Otro que utilizo baaastante es el Nessus y a pesar de que actualizo manualmente sus Plugins antes de cualquier escaneo, muchas veces he notado que no detecta ciertas cositas... que en otros si, entonces viene la pregunta que todos nos hacemos...
Tambien tenemos a Acunetix(excelente), nmap(Ufff), Retina ya lo tengo en descarga ya que nunca lo he usado, MsBaseline, PSI, TMVS, GFI NS, Canvas, NextPose que todavia lo he probado.
Lo descrito arriba son opiniones personales, por lo que no certifico que nada sea cierto, pero me gustaria que todos en grupos podamos aportar opiniones de cada uno y como no, tecnicas y certificadas, para sacarle el mejor partido a cada una de las herramientas.
Cualquier info sobre cualquier tipo de escaners(libre o pago): de Host, Red, Softwares/Servicios. Sera bienvenida.
Los escáneres basados en host identifican vulnerabilidades a nivel de sistema, como permisos de archivos, propiedades de cuenta de usuario y establecimiento de registros, y usualmente requieren la instalación de un agente en los sistemas a analizar. Estos agentes reportan a una base de datos centralizada, desde la que se pueden generar informes y realizar tareas de administración. Como los agentes se instalan en todos y cada uno de los sistemas, este tipo de herramientas aportan a los administradores un mayor control sobre dichos sistemas que las basadas en red. Además, se pueden combinar con políticas corporativas. Los principales productos dentro de esta categoría son Enterprise Security Manager de Symantec, bv-Control de BindView y System Scanner de ISS.
Ksanchez me parece una muy buena iniciativa, yo les voy a realizar algunos comentarios, que espero sirvan de algo para realizar la comparativa.
SSS, me parece uno de los más completos, actualizados y sencillos de utilizar, además que sus informes son de los más completos, solo comparable con el GFI LANguard.
OpenVAS se me hace bastante lento, aunque la posibilidad de exportar lo encontrado a otros frameworks, como metasploit aumentan sus puntos frente a otros scanners que no permiten esta funcionalidad.
Metasploit aunque no es un scanner como tal y hace un mejor trabajo con reportes entregados desde otras herramientas, no hay que olvidar que metasploit puede ser utilizado como un scanner de seguridad y que no solo detectara las vulnerabilidades de un sistema, sino que las intentará explotar y obtener control del sistema, cosa que no es posible con muchas herramientas.
En cuanto a la parte web, personalmente me parece mejor hacerlo manualmente, ya que por lo general, las herramientas automatizadas generan demasiados falsos positivos.... aunque, de las mejorcitas en seguridad web se encuentran:
acunetix, el scanner de vulnerabilidades web por excelencia, detecta fácilmente diferentes vulnerabilidades simples, pero algo más complejo pasa inadvertido para él.
Pangolin, no es un scanner como tal, pero no puedo dejar de nombrarlo ya que es la mejor herramienta para detectar y explotar inyecciones SQL en aplicaciones web.
w3af, "el metasploit para aplicaciones web", todo un framework para testear la seguridad en aplicaciones web, además open source y creado por un "latino".
Sería bueno que más personas aporten sus experiencias con los diferentes scanners, para poder sacar la comparativa, tabularla y ofrecerla a toda la comunidad.
En mi opinión tanto SSS como GFI LANGuard, los cuales ha comentado DragoN son excelentes.
Yo por mi parte casi siempre uso nessus desde la consola, o la versión de Tenable Nessus, que es la que posee la interfaz web. Además de que es un buen escaner, la posibilidad de (en la versión tenable, en consola no lo he intentado) definir políticas de actuación me parece muy versátil. Es decir, puedes definir si quieres que haga un escaneo con todo su potencia, lo cual puede provocar algún daño al sistema o la caída de este, o puedes definir que haga un escaneado no intrusivo de forma que no afectes al sistema. Además, se pueden configurar una gran cantidad de cosas sobre los plugins, la carga a la que se va a someter al sistema, etc...
"La curiosidad no es mas que la búsqueda del conocimiento"
-----------------------------------------------------------------------
"La curiosidad es el motor que mueve a la humanidad"
-----------------------------------------------------------------------
JabberID: [email protected]
Dragon totalmente de acuerdo con lo comentado. Aunque cuando utilizo metasploit para escanear siento que es el mas lento de todos, aunque cabe destacar la gran ventaja que mencionaste.
Otra cosa que me gustaria que me expliques, actualice la version de Nessus a la 4.2 Home Feed y no veo formato de exportacion .nbe para usarlo en MSF. Tampoco en esta version y no me permite scanear mas de 50 hosts a la vez, y he visto opciones de cambio en el .conf.
Tengo claro que es por el tipo de version HOME pero abria alguna forma de conseguir la profesional sin pago...o que trabaje sin estas limitantes.
Por suerte tengo instalada la version 3 profesional que me da todas estas opciones.
Estas son algunas de las cosas que me han desanimado un poco en Nessus,
No se si estoy en un error de capa 8 (Nivel usuario ) XD. Me corrigen cualquier cosa.
Una cosa es que el escaneo con Metasploit es muchooo mas lento que los demas, aunque tiene las ventajas que mencionaste.
En la version de Nessus 4.2 Home Feed la parte web no me exporta los .nbe para poder importarlos a la bdd de MSF y realizar ataques a traves de esos reportes. Ademas de que no permite el escaneo de mas de 50 Hosts. Como se podria adquirir la version profesional sin costo.
Escribi esto de nuevo porque el que postee hace unos minutos no aparecio :S
Escanner de vulnerabilidades
He trabajado con varios tipos de herramientas para verificacion de vulnerabilidades y he notado que una gran diferencia esta en la clasificacion de la criticidad de vulnerabilidades. Sin embargo, al utilizar GFI y Nessus he observado que el reporte es muy parecido y las vulnerabilidades son en su mayoria las mismas. Tambien hay que tener en cuenta como se ejecuta la verificacion. Por ejemplo, las plantillas por defecto de nessus no hacen un barrido muy completo. Para obviar este inconveniente solo se seleccionan todos los plugins que se van a verificar de acuerdo al sistema que se esta escaneando. Tambien, y un punto muy importante que he revisado, es si se esta escaneando con credenciales o no. Cuando se ejecuta el escaneo con credenciales de acceso, es posible detectar muchas mas falencias que sin las credenciales. Esto nos da una vision mas acertada de las fallas de seguridad que tiene el sistema y un mejor plan de remediacion.
He trabajando con herramientas como
Foundstone: Excelente pero muy cara, Tiene muy buenos reportes y hace analisis de riesgos y tendencias
ISS: a mi modo de ver no es tan buena ya que la utilice a la par de nessus y los reportes no son muy exactos.
Nessus: muy buena herramienta, pero los reportes no me parecen de lo mejor
GFI: Muy buena herramienta.
El NexPose anda muy bien, y pues la gente que lo hace adquirio a Metasploit... bien integral la vaina.
Yo he trabajado con el Nessuss, Nikto y desde hace unos meses he contratado el servicio de escaner de vulnerabilidades de security-guardian.com. Los primeros dos son muy válidos sobre todo para la parte de servidor Web. Security Guardian va muy bien tanto para escanear la parte de servidor Web que para escanear el aplicativo web. En particular puedo decir que he escaneado un oscommerce y entre otras nos encontró una vulnerabilidad crítica que los demás aplicativos no me encontraron; se trata de un File Disclosure And Admin ByPass. Esta vulnerabilidad aunque haya sido publicada hace uno meses, está siendo usada para comprometer muchos Websites. Así que a los que tengan un oscommerce 2.2 rs2a os invito a verificar que no tienen esta vulnerabilidad y a solucionarla si la tienen.
Por otra parte este tipo de servicio es lo ideal para monitorizar la seguridad del Website y es uno de las pocas soluciones que certifican la seguridad Web. Hay otras soluciones similares como trust-guard.com. En general, una certificación de seguridad es muy útil para trasmitir confianza al visitante y aumentar la tasa de conversión.
jeann (10-19-2010)
Permisos de publicación
LinkBack URL
About LinkBacks
Citar