Nessus para Tecnologías Operacionales

2

Quiero escanear con Nessus una red que incluya dispositivos OT, pero no sé cómo puedo configurar Nessus para hacerlo.

Primero, deshabilito el escaneo de ping, antes del escaneo de Nessus, hago una enumeración de IP con Nmap y la opción Service Discovery . Además, cambio el valor de default de Port Scanning , configurando los puertos típicos OT, más o menos 25 puertos. Además, en Assessment I deshabilitó Request imformation about thre SMB domain .

Finalmente, en Avanzado establecí 1 en Network timeout (in seconds) , Max simultaneos checks per host y en Max simultaneous hots per scan . En Max number of concurrent TCP sessions per host y Max number of concurrent TCP sessions per scan establecí el valor 25.

En Plugins No sé qué cambio puedo hacer para realizar un escaneo correcto y efectivo con Nessus .

Estoy haciendo las exploraciones a través de VPN.

¿Es correcta mi configuración? ¿Cuál es la mejor configuración de plugin para dispositivos OT?

¡Gracias!

    
pregunta Iratzar Carrasson Bores 21.03.2018 - 17:24
fuente

2 respuestas

1

Creo que cualquier configuración que hayas hecho es correcta para los dispositivos OT. Con respecto a los complementos, creo que sería mejor buscar complementos en el sitio web de Nessus. Por ejemplo, consulte este sitio web de búsqueda de complementos de nessus: enlace

Los complementos enumerados (Primeros 4 en la página de complementos) son los genéricos. Debe esforzarse un poco para encontrar algo más de acuerdo con su dispositivo o los requisitos de escaneo.

    
respondido por el tech_enthusiast 22.03.2018 - 01:45
fuente
0

Lo más probable es que la razón por la que no está viendo nada es porque nessus y la mayoría de los escáneres están buscando "servidores", como en las aplicaciones en el dispositivo que tienen algo que "escuchar". Si intenta escanear su teléfono en la subred wifi con nessus, no encontrará nada más probable, ya que los teléfonos generalmente no tienen ningún "servidor" y tienen las respuestas icmp (ping) desactivadas.

Como referencia, soy el principal en una tecnología de OT / ICS "equipo rojo". Escaneamos estos dispositivos todo el tiempo con nessus (y nexpose, etc.). Por lo general, vemos "Servidor web", "Snmp", y tal vez algunos de los oyentes de protocolo propietario. Si escaneamos un sensor, nada. Si escaneamos un PLC antiguo, nada.

Aún más importante, y vale la pena preguntar al hablar de OT ... nessus no escaneará el bus serie (rs-232, rs-485, etc.), solo quiero asegurarnos de que esté al tanto de eso. Además, aunque es raro, ¿está su OT en el otro lado de un diodo de datos?

Podría hablar de esto durante días, pero necesito más información. Por favor, dame más información en los comentarios y también visita este sitio web: www.scadahacker.com

    
respondido por el bashCypher 22.03.2018 - 03:39
fuente

Lea otras preguntas en las etiquetas