Scanning Issues

Nessus est une plateforme de scan de vulnĂ©rabilitĂ©s largement reconnue et utilisĂ©e. Cependant, il est essentiel de respecter certaines bonnes pratiques avant de lancer un scan. Mal configurĂ©, un scan peut provoquer des faux positifs, une absence de rĂ©sultats, voire un impact nĂ©gatif sur le rĂ©seau ciblĂ©. Il convient donc de communiquer en amont avec le client ou les parties prenantes internes afin d’identifier les hĂŽtes sensibles ou critiques, qui pourraient nĂ©cessiter un traitement Ă  part (exclusion, horaire spĂ©cifique, configuration adaptĂ©e).

đŸ›Ąïž Mitigation des problĂšmes courants

Certains pare-feux peuvent gĂ©nĂ©rer des rĂ©sultats de scan incohĂ©rents, comme indiquer que tous les ports sont ouverts ou fermĂ©s. Une solution consiste Ă  utiliser un scan avancĂ© en dĂ©sactivant l’option "Ping the remote host". Cela Ă©vite Ă  Nessus de s’appuyer sur ICMP pour dĂ©terminer si un hĂŽte est actif, contournant ainsi certains pare-feux configurĂ©s pour rĂ©pondre par des messages ICMP trompeurs.

Dans les rĂ©seaux sensibles, l’ajustement des options de performance permet de rĂ©duire l’impact :

  • Limiter le nombre de tests simultanĂ©s par hĂŽte (option Max Concurrent Checks Per Host).

  • Diminuer le nombre d’hĂŽtes scannĂ©s en parallĂšle.

Des dispositifs anciens (legacy) doivent ĂȘtre exclus du pĂ©rimĂštre ou dĂ©sactivĂ©s via le fichier nessusd.rules. De plus, il est recommandĂ© de dĂ©sactiver le scan des imprimantes et autres Ă©quipements fragiles.

🔒 Ne jamais activer les plugins de type Denial of Service sauf si cela est explicitement demandĂ©. Il est conseillĂ© d’activer l’option "Safe Checks" pour limiter les risques d’impact.

Enfin, il est indispensable d’informer les Ă©quipes concernĂ©es avant un scan et de conserver des logs dĂ©taillĂ©s en cas d’incident.

🌐 Impact rĂ©seau

Le scan de vulnĂ©rabilitĂ©s peut fortement impacter un rĂ©seau, notamment en cas de bande passante limitĂ©e ou de congestion. Il est possible de mesurer cet impact avec l’outil vnstat.

🔍 Exemple sans scan :

sudo vnstat -l -i eth0
rx:       332 bit/s     0 p/s          tx:       332 bit/s     0 p/s

 eth0  /  traffic statistics
  bytes                        572 B  |           392 B
  packets                          8  |               5
  time                    40 seconds

🔍 Exemple pendant un scan Nessus :

sudo vnstat -l -i eth0
rx:   307.92 kbit/s   641 p/s          tx:   380.41 kbit/s   767 p/s

 eth0  /  traffic statistics
  bytes                     1.04 MiB  |        1.34 MiB
  packets                      18252  |           22733
  time                    38 seconds

📊 Ces rĂ©sultats montrent que le scan gĂ©nĂšre un trafic important en peu de temps. Il est donc crucial de bien paramĂ©trer les scans pour Ă©viter une surcharge du rĂ©seau ou des effets indĂ©sirables sur des systĂšmes en production.

✅ Recommandations clĂ©s

  • 🔕 DĂ©sactiver les scans agressifs sur les systĂšmes critiques.

  • 🔁 Informer les parties prenantes et planifier les scans hors heures de production si possible.

  • 🔧 Adapter les paramĂštres de performance en fonction de la robustesse du rĂ©seau.

  • 📋 Conserver une traçabilitĂ© complĂšte de toutes les activitĂ©s de scan.

PrécédentWorking with Nessus Scan OutputSuivantNessus Skills Assessment

Mis Ă  jour