RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

Nessus ha sido, al menos para mi, la primera herramienta de análisis de vulnerabilidades que he usado, además,  no sólo fue la primera sino también la herramienta más fácil y práctica que he conocido. Como todo y como todos nosotros durante el tiempo Nessus ha pasado por un proceso evolutivo y  ha ido cambiando de interfaces, de licenciamiento y sobre todo de versiones; la última versión de Nessus fue lanzada en los primeros meses de este año y trajo consigo nuevas características y también nuevas restricciones. Mientras escribo este post seré victima de un flashback mortal para comparar la nueva versión Nessus contra las anteriores y además poner sobre la mesa alternativas al que hasta ahora fue (para mi todavía lo es) la mejor herramienta de análisis de vulnerabilidades.

Nessus v4 – Nessus v5

Comparativo:

  • La última versión, Nessus v5, mantiene el mismo espíritu para la interfaz de cliente, es decir, utilizar cualquier browser para lanzar un análisis de vulnerabilidad.
  • Nessus v5, trae consigo una nueva escala de categorías para las vulnerabilidades encontradas, atrás quedo la sencilla clasificación: ALTA, MEDIA y BAJA; ahora las clasificaciones de vulnerabilidades son: CRÍTICA, ALTA, MEDIA, BAJA e INFORMATIVA. Esta clasificación me parece mucho más justa e idónea, por ejemplo, abajo podemos ver que han sido clasificados como CRÍTICAS aquellas vulnerabilidades que tienen un exploit altamente conocido y que otorgan privilegios de usuario tipo SYSTEM, mientras que las vulnerabilidades tipificadas como ALTAS muestran vulnerabilidades que no necesariamente te podrían permitir tomar el control total del servidor.

nessusv5

  • No todo es color rosa, todo cambio no siempre trae consigo algo bueno. Todos saben que Nessus tiene dos versiones: Professional (de pago) y Home (gratis), en esta nueva versión la versión Home trae consigo una limitante sobresaliente y que a mi opinión es un cambio que incita o da motivos para preocuparnos sobre el futuro de la versión Home que ofrece Tenable. En la versión 5 de Nessus, la versión Home sólo puede hacer un escaneo de máximo 16 direcciones IP de manera concurrente, es decir, si ustedes están apurados y quieren hacer un análisis sobre 20 direcciones IP no podrán hacerlo.

nessusv5limi

OPENVAS vs NESSUS v5

OPENVAS es una interesante alternativa pero vamos a ser imparciales y analizarla de manera objetiva.

  • La primera diferencia entre NESSUS y OPENVAS es la cantidad de plugins con los que cuentan, NESSUS tiene hasta hoy, 13 de Mayo de 2012, 48268 plugins para el análisis de vulnerabilidades mientras que OPENVAS por el momento tiene 25505. Hay una diferencia de casi el doble de plugins, esto le da una mayúscula ventaja a NESSUS.
  • La segunda diferencia es que OPENVAS es más complejo en cuanto a instalación y configuración inicial, esto debido a que tiene una arquitectura de funcionamiento distinta la cual puede complicar la instalación y configuración inicial.

openvasarch

 

  • El tiempo es otra variable importante en esta comparación, para efectos de esta prueba se realizó un escaneo a un servidor Windows 2003 SP1, los tiempos fueron:
    • NESSUS: 10 minutos aproximadamente
    • OPENVAS: 18 minutos aproximadamente
  • OPENVAS sólo tiene una versión, la cual es libre y gratis para usarse; este es el principal motorcito que debe impulsar el apoyo hacia esta herramienta; además por ser gratuito esta herramienta no tiene un limitante de direcciones IP que pueden ser escaneados.
  • La principal diferencia y por la cual aún OPENVAS no es altamente usado está relacionado a la cantidad de plugins, OPENVAS aun no detecta vulnerabilidades CRITICAS y que ya deberían estar implementadas sobre la misma. A continuación les muestro una imagen que habla por si sola.

nessus_openvas

Lo que llama la atención de sobremanera es que OPENVAS encuentra menos vulnerabilidades que NESSUS pero lo que preocupa es que no haya encontrado la vulnerabilidad altamente conocido MS08-067, la misma que es clasificada por NESSUS como CRÍTICA y que inclusive hemos explotado en el videotutorial que realicé: CREACIÓN DE BACKDOORS CON METASPLOIT.

Además, NESSUS encontró en total 08 vulnerabilidades entre críticas y altas, mientras que OPENVAS sólo encontró sólo 05 vulnerabilidades altas. Finalmente, y a favor de OPENVAS, es que encontró una vulnerabilidad que NESSUS no lo hizo, sólo deben comparar las imágenes.

 

RETINA vs NESSUS

RETINA es la alternativa más interesante de esta comparación, vamos a realizar la comparación con los mismos vectores que OPENVAS:

  • Número de plugins: Lamentablemente no he encontrado cuantos plugins o pruebas de vulnerabilidades utiliza OPENVAS durante su escaneo. Sin embargo, NESSUS y OPENVAS realizan escaneo de vulnerabilidades a aplicaciones web, mientras que RETINA en su versión COMMUNITY (gratuita) no ofrece esta característica.
  • Su instalación es extremadamente sencilla, basta dar unos clicks y la tendremos instalada, por el momento sólo hay una versión para Windows de esta herramienta y es una aplicación de ESCRITORIO, es decir, no se puede instalar en un servidor y usar a través de red.

retinaclient

  • Tiempo de escaneo al mismo servidor que fue escaneado con NESSUS y OPENVAS:
    • NESSUS: 10 minutos aproximadamente
    • OPENVAS: 18 minutos aproximadamente
    • RETINA: 12 minutos aproximadamente
  • Respecto a las versiones, RETINA tiene sus respectivas versiones de pago y versión gratuita (COMMUNITY), aquí pueden leer más sobre todas las versiones que tiene: AQUÍ, la versión COMMUNITY que es gratuita no tiene un limitante de numero de escaneo para direcciones IP.
  • Lo más importante de esta comparación es el resultado final del escaneo, a continuación el resumen del resultado comparado contra NESSUS:

nessus_retina

La imagen superior muestra en la parte lateral izquierda, el resultado de NESSUS y en la parte lateral derecha el resultado de RETINA, como notaran RETINA ha encontrado 04 vulnerabilidades ALTAS que también encontró NESSUS, RETINA no encontró la misma cantidad que NESSUS pero si encontró las que tienen exploits conocidos en METASPLOIT: MS08-067, MS09-001, MS06-035 y MS12-020. Sin embargo ninguna vulnerabilidad en Microsoft SQL SERVER ni siquiera el uso de credenciales por defecto que si encontró OPENVAS.

 

CONCLUSIONES

  • Nessus encontró la mayor cantidad de vulnerabilidades en comparación de OPENVAS y RETINA.
  • RETINA sólo encontró aquellas vulnerabilidades que tienen un exploit público conocido.
  • OPENVAS es una alternativa interesante que es totalmente OPEN SOURCE pero aún carece de un número importante de plugins pero esperamos prontas mejoras.
  • NINGUNA de las 03 herramientas es mejor que otra, por lo menos dos de las tres herramientas arriba descritas deben ser usadas en el proceso de descubrimiento y análisis de vulnerabilidades para garantizar un adecuado análisis libre de falsos positivos.

Popularity: 11% [?]

Si te gusto este post, asegurate de suscribirte a mi RSS feed!

Omar Palomino

Hola mi nombre es Omar Palomino. Si te gustan las noticias de mi blog, no olvides suscribirte a la página. Puedes leer más en Acerca de MI, o bien ponerte en contacto conmigo al correo: omarc320@gmail.com

More Posts - Website

Post Relacionados

SI TE GUSTO ESTE ARTICULO, COMPARTELO!


Comments

There are 5 comments for this post.

  1. Oscar on Reply to this comment Mayo 19, 2012 4:32 am

    Buen post Omar.
    Como tu comentas, cada vez las versiones community se estan volviendo mas restrictivas. Personalmente no conocia Retina, voy a echarle un vistazo.
    Echale un vistazo al reporte de Gartner, lo puedes descargar de “http://information.rapid7.com/AnalystReports_GartnerMarketscope2011.html”. Una de las cosas interesantes de Nexpose es que puedes guardar reportes en momentos diferentes para luego poder compararlos. Aunque como tu dices, siempre se debe utilizar por lo menos 2 scanners. Saludos.

  2. Omar Palomino on Reply to this comment Mayo 20, 2012 10:57 am

    @Oscar: Hola Oscar, gracias por comentar. Interesante el cuadro el de Gartner, sin embargo, yo siempre tomo esos cuadritos como referencia, algunas veces estoy de acuerdo con el cuadro y otras no. Por ejemplo, en el cuadro que estoy adjuntando como imagen, dejan muy bien ubicado a QUALYS y debo reconocer que es un buen producto (yo lo he usado en varias ocasiones) pero eventualmente he encontrado vulnerabilidades con Nessus que ninguna otra herramienta ha encontrado.

    Lo último es lo mas cierto, es mejor usar más de una herramienta siempre.

    Saludos,

  3. Daniel on Reply to this comment Marzo 7, 2013 8:36 pm

    Estimado.. hay algina forma de ejecutar retina atraves de un polipo o tor para no ser detectado.

  4. Eze on Reply to this comment Noviembre 2, 2013 6:24 pm

    Muy interesante análisis. Justo andaba interesado acerca del funcionamiento de OPENVAS.

    Saludos!

  5. Oscar on Reply to this comment Noviembre 14, 2013 7:59 pm

    Exelente post… Exitos..!

Write a Comment

*

Comment Spam Protection by WP-SpamFree