Je n'aime pas répondre aux trolls, mais là c'est plus du FUD, donc je me sens obligé d'intervenir.
Je me permet de reformuler tes affirmations :
- "Interet d'un tel outil ?"
-> Scanner des dizaines, des centaines, voir des milliers de machines qui sont sous ta "juridiction" (quand tu es admin système d'un vrai réseau, avec des vrais utilisateurs qui se moquent de la sécurité).
- "Nessus teste des failles Unix sur un Windows et vice et versa, ca pue"
-> Nessus doit s'adapter au réseau, et pas l'inverse. Si on fait face à un unix qui fait un nat inverse sur le port 80 vers un IIS, on a pas envie de le rater juste parceque la pile IP de la machine ressemble à du linux.
De plus, certaines failles sont génériques (ex: envoyer un login trop long qui fait planter un serveur POP) - ca permet de valider certains serveurs inconnus contre des failles connues (et c'est comme ça que l'overflow dans qpopper 4.0 a été trouvé).
De plus, Nessus 1.2 _fait_ des optimisations, mais c'est une option. Celles-ci permettent de faire des tests plus malins (failles apache testées seulement contre un apache), mais c'est une approche plus risquée pour un ensemble de raisons (cf les archives de la liste Nessus pour explications plus détaillées. En gros, tu augment es les risques de rater une vulnérabilité).
- "Il est très lent"
-> Tu peux parametrer le nombre de tests et de machines à scanner en parallèle. Il y a encore des choses à améliorer, mais c'est pas "très lent".
- "Il est pas discret"
-> Tant mieux. Mon objectif n'est pas d'aider une nouvelle génération de Jean-Kevin. Même les techniques d'évasion d'IDS rendent Nessus bruyant (car il envoye plus de paquets, donc plus de logs dans le firewall, et contre un bon IDS il génère encore plus de messages d'alerte).
Si tu fais des scans réguliers, il y a des options permettant d'éviter de relancer toute la batterie de tests contre la machine distante (juste les nouveaux), ce qui limite le bruit dans le cas d'un réseau d'entreprise.
- "Les mises à jour sont lentes à venir"
-> Pour les failles critiques (ex: le dernier overflow htr dans iis), elles sont publiées dans les 8 heures. Le moteur n'est pas mis à jour, mais l'utilitaire nessus-update-plugins va chercher les derniers tests pour toi sur www.nessus.org. Donc Nessus _peut_ être utilisé pour tester la faille "du jour" sur bugtraq.
Maintenant, il est certain que si tu es dans le cas où tu administres _une_ machine configurée aux petits oignons et que tu lis bugtraq tous les matins, Nessus n'a que peu d'interet pour toi.
[^] # Re: un outil pour djeunz rebelz ?
Posté par Deraison Renaud . En réponse à la dépêche Introduction à Nessus. Évalué à 10.