Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Materia: Seguridad en Redes Tema: Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 2015-‐2
1
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus Antecedentes Una vulnerabilidad es una debilidad que puede explotarse para causar perdida o daño a un sistema de información. El Análisis de Vulnerabilidades es un proceso que permite la detección proactiva y mitigación de vulnerabilidades de seguridad. El proceso de análisis de vulnerabilidades típicamente consiste en los siguientes pasos1:
1. Descubrimiento: Descubrimiento de todos los activos e identificación de los detalles de cada elemento.
2. Priorización de los activos: Clasificación de los activos en grupos o unidades de negocio. Asignación de un valor de negocio a los grupos de activos en función de su criticidad para la operación de la empresa.
3. Evaluación: Determinación de un perfil de riesgo que permita enfocarse en la eliminación de los riesgos con base en la criticidad de los activos.
4. Informe: Medición del nivel de riesgo en el negocio, asociado con los activos de acuerdo a las políticas de seguridad
Nessus es un programa de escaneo de vulnerabilidades multiplataforma desarrollado por Renaud Deraison en 1998 y liberado inicialmente bajo la licencia de software libre2. Hoy en día es el esquema de licenciamiento a cambiado, solo esta disponible la versión para el hogar como freeware. Objetivo Instalar el escáner de vulnerabilidades Nesuss y realizar un escaneo de vulnerabilidades con Nessus desde el sistema operativo Kali Linux.
1 http://infosec.aragon.unam.mx/tematicas/view/6 2 http://www.tenable.com/products/nessus-‐vulnerability-‐scanner 2 http://www.tenable.com/products/nessus-‐vulnerability-‐scanner
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Materia: Seguridad en Redes Tema: Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 2015-‐2
2
Instrucciones Instala el escáner de vulnerabilidades Nessus en el sistema operativo Kali Linux siguiendo los pasos indicados a continuación:
1. Iniciar una sesión con el usuario root en Kali Linux.
Figura No. 1: Inicio de sesión en Kali Linux
2. Desde un navegador web, descargar el programa del url:
http://www.tenable.com/products/nessus/select-‐your-‐operating-‐system
Figura No. 2: Selección del sistema operativo
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Materia: Seguridad en Redes Tema: Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 2015-‐2
3
3. Normalmente los archivos descargados se almacenan en el directorio Downloads. Para acceder al directorio utilizar el comando:
cd Downloads
4. Instalar en Kali el paquete descargado, al momento de la elaboración de este documento el archivo es Nessus-‐6.3.4-‐debian6_amd64.deb. Instalar el paquete con el siguiente comando:
dpkg -‐i Nessus-‐6.3.4-‐debian6_amd64.deb
Figura No. 3: Instalación de Nessus en Kali Linux
5. Usando un navegador web, registrarse en el sitio
http://www.tenable.com/products/nessus/nessus-‐plugins/obtain-‐an-‐activation-‐code para obtener un número de licencia de uso. El número será enviado por correo electrónico.
6. Inicia el servicio de Nessus con el comando: /etc/init.d/nessusd start
7. Abrir un navegador web y entrar a la url: https://127.0.0.1:8834
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Materia: Seguridad en Redes Tema: Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 2015-‐2
4
Figura No. 4: Entrando a Nessus
8. Añadir una excepción de seguridad.
Figura No. 5: Añadiendo un certificado
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Materia: Seguridad en Redes Tema: Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 2015-‐2
5
9. Una pantalla de bienvenida es mostrada, dar clic en el botón ‘Continuar’
Figura No. 6: Pantalla de bienvenida de Nessus.
10. Crear un usuario para uso dentro de Nessus y dar clic en el botón ‘Continuar’
Figura No. 7: Creación de un usuario en Nessus.
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Materia: Seguridad en Redes Tema: Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 2015-‐2
6
11. Registrar Nessus introduciendo el código obtenido en el paso 5 y da clic en
‘Continuar’
12. Después de unos minutos se completa el proceso de instalación.
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Materia: Seguridad en Redes Tema: Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 2015-‐2
7
Realiza el escaneo de vulnerabilidades con Nesuss: Para este ejemplos vamos a realizar un escaneo de vulnerabilidades al servidor con dirección ip 10.4.27.239. Recuerda cambiar e el dato por el que indique el profesor.
1. En un navegador web, abre la url: https://127.0.0.1:8834/ e introduce los datos de inicio de sesión creados en el punto 10 de esta documento.
Figura No. 8: Inicio de sesión en Nessus.
2. Da clic en la opción ‘New Scan’ , posteriormente selecciona la opción ‘Web Application Test’.
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Materia: Seguridad en Redes Tema: Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 2015-‐2
8
Figura No. 9: Tipos de escaneos disponibles en Nessus.
3. Introducir los siguientes datos para el escaneo de vulnerabilidades:
a. Name: 10.4.27.239 b. Targets: 10.4.27.239
4. Dar clic en el botón ‘Save’ para iniciar con el escaneo de vulnerabilidades.
Figura No. 10: Escaneo de vulnerabilidades en curso.
5. Da clic en el nombre del escaneo para ver los resultados del mismo.
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Materia: Seguridad en Redes Tema: Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 2015-‐2
9
Figura No. 11: Reporte web de un escaneo de vulnerabilidades.
6. Exporta un reporte en formato pdf dando clic en el botón: Export -‐> PDF.
7. Introduce los siguientes datos y da clic en el botón Export:
a. Report: Custom b. Data: Vulnerabilities c. Group by
Figura No. 12: Exportar el reporte de vulnerabilidades en formato PDF.
8. Guarda el reporte dando clic en el botón ‘Save File’
Figura No. 13: Reporte de vulnerabilidades en formato PDF.