参加しながら書いていたにも関わらず、未だ某人に補足されていない今日この頃(ヲ
第6回まっちゃ445勉強会参加の皆様、お疲れ様でした。
めざまし勉強会LTの資料は近日中にアップします(その際にはココ&まっちゃ445MLでアナウンスいたします)。
LT発表後、幾つか質問等を頂きましたので、補足情報として列記します。
-----
[Q1]検査にかかる時間って、以前のバージョンと比較して、どんな感じ?
[A1]ザッとしか触っていないのと、シッカリベンチマーキングしている訳じゃないので、ハッキリとしたデータは示せませんが、個人の体感としては、以前のバージョン(Ver.2~Ver.3系)に比較しても、そんなに変わらないかと思います。いずれにせよ、検査ポリシーの設定次第という事で(調査する脆弱性の数や、ポートスキャンの対象ポート数が多ければ、やはり時間がかかります)。
[Q2]UNIX/Linux版だと、出力する調査レポートにグラフが出力できたけど、Windows版でもグラフ出力できるの?
[A2]残念ながらグラフ出力はできないです。ただし出力結果としてNessus独自データ形式が指定できるので、もしかしたら出力したデータをUNIX/Linux版のNessusで読み込ませたら……できるのかなぁ???
(補記)Windows版の場合、HTML形式でレポートを出力してしまえば、OSを切り替える事なくレポート作成で使うツール(特にMS-Office)に、出力したデータを流し込めるので、グラフ作成が無いからと言って、そんなに困る事はないかと……(汗)。元々自分がWindows版を取り上げたのは、そういう理由だったりします。
[Q3]Metasploitはどうよ?
[A3]個人的には知っていますし、使う事もあるんですが……セキュリティ検査を生業としている人ならともかく、システム管理者(もしくはそれに相当する人)が、突貫試験(ペネトレーションテスト)をそう頻繁に行うとは考えにくく、またツールの性質上、今回紹介した「便利な使い方(キッティング作業の仕上げ)」にはそぐわないツールだと思います。
(補記)Metasploitの場合、脆弱性が残っていた場合には本当に侵入してしまうので、キッティング作業の仕上げとして使うにはよろしくない(侵入した際に、ゴミが残る可能性があり、結局それを除去するために余分な工数が発生する可能性がある)と想定しています。また色々なExploit/PoCが収録されていますが、複数の脆弱性を網羅的に検査しようとするには操作が面倒という事で、やはり今回想定している用途にはそぐわないものと考えています。
[Q4]今までお仕事にて「Registered Feed」で使っていたけど、Home Feedで(ry
[A4]前の記事でも泣きましたが、自分、そんな事一言も話していませんし、そんな事(ライセンス違反を)推奨しませんがな(なのでレポートでそんな事を書いている方は、修正お願いします)。
(補記)「Professional Feed($1,200/Year)」がペイできるなら、当然ライセンスを買うべきでしょうし、そうでない(予算が無い or 予算はあるけどより高度な検査がしたいなどの)方は、別のツールを検討すべきでしょう。もしNessusのように自動的・網羅的に検査でき、かつ無償のツールがあるなら、是非教えて欲しいです。
第6回まっちゃ445勉強会参加の皆様、お疲れ様でした。
めざまし勉強会LTの資料は近日中にアップします(その際にはココ&まっちゃ445MLでアナウンスいたします)。
LT発表後、幾つか質問等を頂きましたので、補足情報として列記します。
-----
[Q1]検査にかかる時間って、以前のバージョンと比較して、どんな感じ?
[A1]ザッとしか触っていないのと、シッカリベンチマーキングしている訳じゃないので、ハッキリとしたデータは示せませんが、個人の体感としては、以前のバージョン(Ver.2~Ver.3系)に比較しても、そんなに変わらないかと思います。いずれにせよ、検査ポリシーの設定次第という事で(調査する脆弱性の数や、ポートスキャンの対象ポート数が多ければ、やはり時間がかかります)。
[Q2]UNIX/Linux版だと、出力する調査レポートにグラフが出力できたけど、Windows版でもグラフ出力できるの?
[A2]残念ながらグラフ出力はできないです。ただし出力結果としてNessus独自データ形式が指定できるので、もしかしたら出力したデータをUNIX/Linux版のNessusで読み込ませたら……できるのかなぁ???
(補記)Windows版の場合、HTML形式でレポートを出力してしまえば、OSを切り替える事なくレポート作成で使うツール(特にMS-Office)に、出力したデータを流し込めるので、グラフ作成が無いからと言って、そんなに困る事はないかと……(汗)。元々自分がWindows版を取り上げたのは、そういう理由だったりします。
[Q3]Metasploitはどうよ?
[A3]個人的には知っていますし、使う事もあるんですが……セキュリティ検査を生業としている人ならともかく、システム管理者(もしくはそれに相当する人)が、突貫試験(ペネトレーションテスト)をそう頻繁に行うとは考えにくく、またツールの性質上、今回紹介した「便利な使い方(キッティング作業の仕上げ)」にはそぐわないツールだと思います。
(補記)Metasploitの場合、脆弱性が残っていた場合には本当に侵入してしまうので、キッティング作業の仕上げとして使うにはよろしくない(侵入した際に、ゴミが残る可能性があり、結局それを除去するために余分な工数が発生する可能性がある)と想定しています。また色々なExploit/PoCが収録されていますが、複数の脆弱性を網羅的に検査しようとするには操作が面倒という事で、やはり今回想定している用途にはそぐわないものと考えています。
[Q4]今までお仕事にて「Registered Feed」で使っていたけど、Home Feedで(ry
[A4]前の記事でも泣きましたが、自分、そんな事一言も話していませんし、そんな事(ライセンス違反を)推奨しませんがな(なのでレポートでそんな事を書いている方は、修正お願いします)。
(補記)「Professional Feed($1,200/Year)」がペイできるなら、当然ライセンスを買うべきでしょうし、そうでない(予算が無い or 予算はあるけどより高度な検査がしたいなどの)方は、別のツールを検討すべきでしょう。もしNessusのように自動的・網羅的に検査でき、かつ無償のツールがあるなら、是非教えて欲しいです。
