Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Cloudflare komt met aangepaste open source-versie van Nmap-scanner

Cloudflare heeft een eigen scanner voor kwetsbaarheden uitgebracht. De Flan Scan is een open source Nmap-scanner met een aantal extra functionaliteiten. De tool kan worden gebruikt om bekende kwetsbaarheden in software of servers op te sporen.

De code van Cloudflares scanner staat op GitHub. Cloudflare schrijft in een blogpost dat het bedrijf altijd veel geld betaalde voor een scanner om zijn toepassingen compliant te maken, maar dat het veel van de dure functies daarvan amper gebruikte. Dergelijke beveiligingsscanners worden gebruikt om applicaties op het netwerk van Cloudflare te scannen op kwetsbaarheden, zodat het bedrijf sneller kan optreden tegen zulke kwetsbaarheden. In de praktijk lijkt het erop dat de tool voornamelijk kwetsbaarheden vergelijkt met een database met CVE's erin.

De Flan Scan is een vrij eenvoudige wrapper van de Nmap-scanner. Cloudflare zegt dat Nmap de beste tool was om de scanner te bouwen, omdat Nmap nauwkeuriger is en meer kwetsbaarheden opspoort. Het bedrijf heeft er bovendien nog de mogelijkheid aan toegevoegd om de resultaten direct op te slaan in een Google Cloud of AWS S3-bucket. Ook draait Flan Scan in een Docker-container. Een ander groot verschil met Nmap is dat de scanner via Python een resultaat naar LaTeX-rapportages kan wegschrijven. Gebruikers lijken vooralsnog niet erg onder de indruk: op Reddit schrijven gebruikers dat de tool voornamelijk nog oude resultaten vindt.

Door Tijs Hofmans

Redacteur privacy & security

22-11-2019 • 19:13

20 Linkedin Google+

Reacties (20)

Wijzig sortering
De titel wekt door de schrijf wijze sterk de indruk dan Nmap zelf niet open-source is. Hierom maak ik graag even duidelijk dat dat zeker niet het geval is en Nmap zelf ook een open-source programma is. De source is hier te vinden: https://github.com/nmap/nmap en het programma is beschikbaar gemaakt onder de GPLv2 licentie.
Ja, daar heb je wel gelijk in. Ik dacht dat 'eigen' dat wel duidelijk zou maken, maar daar heb ik nu 'aangepaste' van gemaakt.
Het lijkt nu nog steeds wat verwarrend. Ik zou iets als "Cloudflare komt met aangepaste versie van open-source scanner Nmap." Immers dat de aangepaste versie ook open source is, is al evident vanwege de GPL-licentie die aan het project hangt.
Inderdaad die aanpassing heeft niet veel geholpen.
Zou het niet moeten zijn: "CloudFlare forked Nmap en voegt eigen truukjes toe"
Inderdaad. Ik lees de titel nog steeds alsof Nmap niet open source is
Tja, het blijft lastig om goed te verwoorden:
"De Flan Scan is een open source Nmap-scanner " kan impliceren dat NMap een type scanner is, en dat een van de verschillen is dat deze versie opensource is (in tegenstelling tot ander Nmap scanners). Ik zou zelf ook niet direct weten hoe dit kort en duidelijk te verwoorden, schrijver zijn is blijkbaar echt een vak. :*)

Overigens wist ik het zelf wel, en ben ik vooral benieuwd waarom ze hebben gekozen voor een eigen fork in plaats van een bijdrage upstream.
"op Reddit schrijven gebruikers dat de tool voornamelijk nog oude resultaten vindt." is niet helemaal helder omschreven, leest een beetje alsof de scans niet real-time zouden zijn of stale/oude resultaten zou geven; echter wat men zegt is:

"I got a large number of reports for a Debian system running Apache. These were all old vulnerabilities where fixes were backported to Debian's packages, so these are false positives. Also got a warning for another server about the recent XMSS issue in OpenSSH, which is code that is disabled by default (and disabled on the scanned server)."
Dit soort false-positives zijn niet ongewoon als er alleen op versienummers gelet is. Dan ga je bij backports natuurlijk geen goede resultaten krijgen als de ontwikkelaar van de originele software het in een nieuwere versie heeft opgelost. Ook zegt een versienummer ook weinig over wat er echt is geconfigueerd. Daarom is het ook belangrijk om zowel te weten waarop een scantool wel en niet test om tot een resultaat te komen en wat je op je gescande systeem in gebruik hebt en wat daarin is opgelost.
Lijkt me gewoon wat OpenVAS doet alleen wat simpeler en minimaler?
De tool nmap richt zich meer op netwerken in kaart brengen. Er zijn wat scripts om te testen voor kwetsbaarheden, maar dit is vaak wat oppervlakkig.

Een tool als OpenVAS richt zich wat minder op het in kaart brengen van netwerken en juist meer op het vinden van kwetsbaarheden.

Beide tools hebben dus wat overlap, maar zijn elk op hun eigen gebied gespecialiseerd.

[Reactie gewijzigd door The Zep Man op 22 november 2019 20:55]

Ik heb het over de tool van cloudflare, dat is nmap maar dan met vulnerability scanner. Wat dus eigenlijk basically OpenVAS is :)
Nmap heeft ook standaard een vulnerability scanner: nmap --script vuln
Openvas gebruikt nmap.
Dit lijkt me pure marketing.

Die functionaliteit krijg je met een bash script van 5 lijntjes...
Welke 5 bash lijntjes dan?
Het is wachten op de eerste S3 bucket die niet goed beveiligd is waar de lijst aan kwetsbaarheden automatisch in worden gezet door de tool :+ .

Ben wel benieuwd, mogelijk dus een vervanger voor Nessus en OpenVas, als het een beetje gebruiksvriendelijk is.
Doet er niet zo veel toe. Iedereen kan de scanner zelf draaien en die lijst zelf genereren. En als het servers zijn waar je niet bij kunt om zelf te scannen kun je er ook niet bij om de lekken te misbruiken.
Zou wel heel stom wezen, nieuwe buckets staan standaard dicht en je krijgt meldingen als ze open gezet worden én je kunt automatisch rapportages krijgen m.b.t. die state (en in de S3 console zie je het ook direct).

Dus bewust zo'n bucket open zetten én open laten... why?
Kortom, een script dat wat (beschreven) basic commando's uitvoert om te testen of je vatbaar bent voor gekende vulnerabilities. Handig.

De buzzwords en overige bloat hadden verder niet gemoeten :)


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True