Manual

Comentarios

Transcripción

Manual
GFI LANguard Network Security Scanner 7
Manual
Por GFI Software Ltd.
http://www.gfi.com
Email: [email protected]
La información de este documento esta sujeta a cambios sin previo
aviso. Las empresas, nombres, y datos utilizados en los ejemplos son
ficticios si no se hace mención de lo contrario. Ninguna parte del
documento puede ser reproducida o transmitida bajo ninguna forma o
medio, electrónico o mecánico, para ningún propósito, sin la expresa
autorización escrita de GFI SOFTWARE Ltd.
LANguard es copyright de GFI SOFTWARE Ltd. 2000-2006 GFI
SOFTWARE Ltd. Todos los derechos reservados.
Versión 7,0 – Ultima actualización 17.05.06
Contenido
Introducción
1
Introducción a GFI LANguard Network Security Scanner ............................................. 1
Importancia de la seguridad interna de la red ............................................................... 2
Características clave...................................................................................................... 3
Componentes de GFI LANguard N.S.S. ........................................................................ 4
Esquema de licenciamiento ........................................................................................... 7
Instalar GFI LANguard Network Security Scanner
9
Requerimientos del sistema........................................................................................... 9
Consideraciones del Firewall ............................................................................ 9
Procedimiento de instalación ......................................................................................... 9
Introducir su clave de licencia después de la instalación ............................................ 13
Empezar: Realizar una auditoría
15
Introducción.................................................................................................................. 15
Sobre los perfiles de escaneo (lista de
comprobaciones/pruebas de vulnerabilidades) .............................................. 15
Credenciales de acceso para acceder al ordenador(es)
objetivo............................................................................................................ 16
Consideraciones importantes ......................................................................... 16
Realizar un análisis de seguridad usando los ajustes por defecto.............................. 17
Realizar un análisis usando diferentes (por defecto) perfiles de
análisis ......................................................................................................................... 19
Realizar un análisis usando credenciales de inicio alternativas.................................. 20
Iniciar análisis de seguridad directamente desde la barra de
herramientas ................................................................................................................ 21
Empezar: Analizar los resultados del análisis de seguridad
23
Introducción.................................................................................................................. 23
Analizar los resultados del análisis .............................................................................. 24
Vulnerabilidades ............................................................................................. 25
Vulnerabilidades potenciales .......................................................................... 29
Recursos compartidos abiertos ...................................................................... 30
Ajustes de directiva de contraseñas ............................................................... 31
Ajustes del Registro ........................................................................................ 32
Ajustes de la directiva de auditoría de seguridad ........................................... 32
Puertos abiertos .............................................................................................. 35
Usuarios y grupos ........................................................................................... 36
Usuarios logados ............................................................................................ 37
Servicios en marcha ....................................................................................... 37
Procesos remotos en marcha ......................................................................... 38
Aplicaciones instaladas................................................................................... 39
Dispositivos de red.......................................................................................... 40
Dispositivos USB............................................................................................. 41
Información de los dispositivos no autorizados como
vulnerabilidades de alta seguridad. ................................................................ 42
Estado de parcheo de errores del sistema. .................................................... 42
Nombres NETBIOS......................................................................................... 42
GFI LANguard Network Security Scanner
Contenido • i
Detalles del ordenador objetivo analizado...................................................... 43
Sesiones activas ............................................................................................. 44
Hora del día remota ........................................................................................ 45
Unidades locales............................................................................................. 45
Guardar y cargar resultados de análisis
47
Introducción.................................................................................................................. 47
Guardar resultados de análisis en un archivo externo (XML) ..................................... 47
Cargar resultados de análisis guardados .................................................................... 48
Cargar análisis guardados desde base de datos de respaldo ....................... 48
Cargar resultados de análisis guardados desde un archivo
externo (XML) ................................................................................................. 49
Filtrar los resultados del análisis
51
Introducción.................................................................................................................. 51
Aplicar un filtro en un análisis ...................................................................................... 52
Crear un filtro de análisis a medida ............................................................................. 53
Configurar GFI LANguard N.S.S.
59
Introducción.................................................................................................................. 59
Perfiles de Análisis....................................................................................................... 59
Análisis Programados .................................................................................................. 60
Crear un análisis programado........................................................................ 61
Configurar las opciones de notificación de resultados ................................... 63
Perfiles de Equipo ........................................................................................................ 64
Sobre el fichero de autenticación de Clave Privada SSH .............................. 64
Crear un nuevo perfil de equipo...................................................................... 65
Cambiar las propiedades de un perfil de equipo ............................................ 66
Utilizar los perfiles de equipos en un análisis ................................................. 66
Archivos de Parámetros............................................................................................... 67
Opciones de Mantenimiento de Base de Datos .......................................................... 68
Introducción..................................................................................................... 68
Configurar su base de datos de respaldo....................................................... 69
Almacenar los resultados del análisis en una base de datos
de respaldo Microsoft Access ......................................................................... 70
Mantenimiento de base de datos – administrar los resultados
de análisis guardados ..................................................................................... 72
Mantenimiento de la base de datos – opciones avanzadas........................... 73
Perfiles de Análisis
75
Introducción.................................................................................................................. 75
Perfiles de análisis en acción....................................................................................... 77
Analizar su equipo local usando el ‘Perfil de Análisis Default'........................ 77
Analizar su equipo local usando el ‘Perfil de Análisis
Applications' .................................................................................................... 77
Crear un nuevo perfil de análisis ................................................................................. 78
Personalizar un perfil de análisis ................................................................................. 80
Configurar las opciones de análisis de puertos TCP/UDP ..........................................80
Habilitar/deshabilitar el análisis de Puertos TCP............................................ 80
Habilitar/deshabilitar el análisis de Puertos UDP ........................................... 81
Personalizar la lista de puertos TCP/UDP a analizar ..................................... 81
Agregar un Nuevo puerto TCP/UDP a la lista ................................................ 81
Cómo editar o eliminar un puerto.................................................................... 82
Configurar las opciones de recogida de datos del SO ................................................ 83
Personalizar los parámetros de Recogida de Datos del SO .......................... 83
Configurar las opciones de análisis de vulnerabilidades ............................................. 84
Habilitar/deshabilitar el análisis de vulnerabilidad .......................................... 84
Personalizar la lista de vulnerabilidades a analizar ........................................ 85
ii • Contenido
GFI LANguard Network Security Scanner
Personalizar las propiedades de las comprobaciones de
vulnerabilidad .................................................................................................. 85
Comprobaciones de vulnerabilidad - opciones avanzadas ............................ 87
Configurar las opciones de análisis de parches .......................................................... 88
Habilitar/deshabilitar las comprobaciones de detección de
parches ausentes............................................................................................ 88
Personalizar la lista de parches de software a analizar ................................. 89
Utilizar la facilidad de búsqueda del boletín de información........................... 89
Configurar las opciones del análisis de seguridad ...................................................... 90
Configurar las opciones de análisis de dispositivos conectados................................. 91
Habilitar/deshabilitar comprobaciones de dispositivos de red
instalados ........................................................................................................ 93
Componer una lista de dispositivos de red no autorizados ............................ 94
Componer una lista de dispositivos de red seguros ....................................... 94
Configurar las opciones avanzadas de análisis de
dispositivos de red .......................................................................................... 95
Habilitar/deshabilitar comprobaciones por dispositivos USB
conectados...................................................................................................... 96
Componer una lista de dispositivos USB no autorizados............................... 96
Componer una lista de dispositivos USB seguros.......................................... 97
Configurar las opciones de análisis de aplicaciones ................................................... 97
Habilitar/deshabilitar comprobaciones de aplicaciones
instaladas ........................................................................................................ 98
Componer una lista de aplicaciones no autorizadas ...................................... 99
Componer una lista de aplicaciones seguras ...............................................100
Habilitar/deshabilitar comprobaciones de aplicaciones de
seguridad ......................................................................................................100
Personalizar la lista de aplicaciones de seguridad para el
análisis ..........................................................................................................101
Configurar las aplicaciones de seguridad – opciones
avanzadas.....................................................................................................102
Actualizaciones de programa GFI LANguard N.S.S.
103
Introducción................................................................................................................103
Comprobar la versión de las actualizaciones actualmente instaladas ......................104
Descargar actualizaciones de software desde Microsoft en diferentes
idiomas.......................................................................................................................105
Iniciar las actualizaciones de programa manualmente..............................................106
Comprobar la disponibilidad de actualizaciones de software al inicio
del programa ..............................................................................................................107
Configurar que actualizaciones a comprobar al inicio del programa.........................108
Administración de parches: Implementar Actualizaciones de Microsoft109
Introducción................................................................................................................109
Sobre el agente de implementación de parches ..........................................109
Sobre los parches revisados.........................................................................110
Administración de parches multilingüe .........................................................111
Seleccionar los equipos objetivo donde se implementarán los
parches ......................................................................................................................111
Implementar actualizaciones ausentes en un equipo...................................112
Implementar actualizaciones en un rango de equipos .................................112
Implementar actualizaciones ausentes en todos los equipos ......................112
Seleccionar qué parches implantar............................................................................113
Descargar los archivos de actualizaciones y service pack........................................114
Parar las descargas activas..........................................................................115
(Opcional) Configurar parámetros de implementación del fichero de
parche alternativos.....................................................................................................116
Implantar las actualizaciones.....................................................................................117
Iniciar el proceso de implementación de parches.........................................117
GFI LANguard Network Security Scanner
Contenido • iii
Administración de parches: Implantar software a medida
119
Introducción................................................................................................................119
Seleccionar los objetivos para la implementación de
software/parches a medida........................................................................................120
Enumerar el software a implementar .........................................................................121
Iniciar el proceso de implantación..............................................................................122
Programar la implementación de software ...................................................122
Opciones de implantación..........................................................................................123
Opciones de antes de la implementación.....................................................123
Opciones de después de la implementación ................................................124
Opciones de implementación avanzadas .....................................................125
Comparación de resultados
127
Introducción................................................................................................................127
Comparar resultados del análisis interactivamente ...................................................127
Configurar que información será reportada ..................................................128
Generar un Informe de Comparación de Resultados ...................................129
Monitor de Estado de GFI LANguard N.S.S.
131
Ver operaciones programadas...................................................................................131
Visualizar el progreso de análisis programados ...........................................131
Visualizar el progreso de implementaciones programadas..........................132
Herramientas
133
Introducción................................................................................................................133
DNS lookup ................................................................................................................133
Trace Route ...............................................................................................................135
Whois Client ...............................................................................................................136
SNMP Walk................................................................................................................137
Herramienta de auditoría SNMP................................................................................138
Herramienta Microsoft SQL Server Audit...................................................................138
Herramienta Enumerar Equipos ................................................................................139
Iniciar un análisis de seguridad.....................................................................140
Implantar actualizaciones a medida .............................................................140
Habilitar las directivas de auditoria ...............................................................140
Herramienta enumerara usuarios ..............................................................................141
Utilizar GFI LANguard N.S.S. desde la línea de comandos
143
Utilizar ‘lnsscmd.exe’ – la herramienta de análisis en línea de
comandos...................................................................................................................143
Ejemplo: Cómo lanzar un análisis de un equipo objetivo
desde la herramienta en línea de comandos................................................144
Utilizar ‘deploycmd.exe’ – la herramienta de línea de comandos de
implementación de parches .......................................................................................145
Ejemplo: Cómo lanzar un proceso de implementación de
parches desde la herramienta en línea de comandos..................................146
Agregar comprobaciones de vulnerabilidad mediante condiciones o
scripts a medida
147
Introducción................................................................................................................147
Lenguaje VBscript de GFI LANguard N.S.S. .............................................................147
Módulo SSH de GFI LANguard N.S.S. ......................................................................148
Palabras clave:..............................................................................................148
Agregar una comprobación de vulnerabilidad que utiliza un script VB
(.vbs) a medida ..........................................................................................................149
Paso 1: Cree el script....................................................................................149
iv • Contenido
GFI LANguard Network Security Scanner
Paso 2: Agregue la nueva comprobación de vulnerabilidad: .......................150
Agregar una comprobación de vulnerabilidad que utiliza un script
shell a medida ............................................................................................................151
Paso 1: Cree el script....................................................................................152
Paso 2: Agregue la nueva comprobación de vulnerabilidad: .......................152
Agregar una comprobación de vulnerabilidad CGI....................................................153
Agregar otras comprobaciones de vulnerabilidad .....................................................156
Miscelánea
161
Habilitar NetBIOS en un equipo de red .....................................................................161
Instalar el componente Cliente para redes Microsoft en Windows
2000 o superior ..........................................................................................................162
Configurar los Ajustes de la Directiva de Contraseñas en un Dominio
Basado en Directorio Activo.......................................................................................163
Ver los Ajustes de la Directiva de Contraseñas de un Dominio
Basado en Directorio Activo.......................................................................................167
Resolución de problemas
169
Introducción................................................................................................................169
Base de Conocimientos .............................................................................................169
Solicitar soporte mediante correo electrónico............................................................169
Solicitud de soporte vía conversación web................................................................170
Solicitudes de soporte telefónicas .............................................................................170
Foro Web ...................................................................................................................170
Notificaciones de versiones revisadas.......................................................................170
Indice
GFI LANguard Network Security Scanner
171
Contenido • v
Introducción
Introducción a GFI LANguard Network Security Scanner
GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) es
una herramienta de auditoría de seguridad, la cual proactivamente
informa, y soporta la reparación de las vulnerabilidades de red
puntualmente.
Durante una auditoria de seguridad, GFI LANguard N.S.S. escanea
toda su red, IP por IP, y le alerta sobre debilidades descubiertas en su
red(es). Utilizando una combinación de las funciones del sistema
operativo con las características que ofrece GFI LANguard N.S.S.,
usted puede proactivamente encargarse de los incidentes de
seguridad detectados. Por ejemplo, los casos de seguridad se pueden
detectar proactivamente cerrando puertos innecesarios, cerrando
recursos compartidos, así como instalando service packs y parches
de seguridad antes de que personas malintencionadas puedan
explotarlos.
Por defecto, GFI LANguard N.S.S. le permite realizar auditorias de
seguridad en ordenadores basados tanto en Windows como en Linux.
Durante una auditoría, el motor de escaneo recopila varias
informaciones hardware y software de los equipos escaneados. Esto
incluye el nivel de service pack de cada equipo objetivo, dispositivos
potencialmente vulnerables tales como puntos de acceso
inalámbricos y dispositivos USB, aplicaciones instaladas, así como
recursos compartidos abiertos y puertos abiertos. El escáner también
enumera ajustes de configuración específicos del SO tales como los
ajustes del registro y los detalles de configuración de la política de
contraseñas que ayudan en la identificación de los problemas de
seguridad comunes relacionados con un sistema operativo
configurado inadecuadamente (tal como un SO funcionando con los
ajustes por defecto)
GFI LANguard N.S.S. también está equipado con algoritmos que
comprueban la presencia de software de seguridad particular (es
decir, aplicaciones antivirus y antispyware) así como también
asegurarse que están funcionando con los últimos archivos de
definiciones lanzados por sus compañías. Donde sea aplicable, el
motor de escaneo también chequeará para que las características
importantes de seguridad tal como el análisis en tiempo real están
habilitadas en las aplicaciones antivirus y antispyware permitiéndole
asegurarse que las soluciones de seguridad implementadas en su red
están funcionando eficazmente.
Con una simple instalación, GFI LANguard N.S.S. también soporta la
administración de parches para sistemas operativos que no están en
inglés. Esto significa que puede descargar automáticamente
actualizaciones de Microsoft ausentes en una variedad de idiomas e
implementarlos en toda la red. Usted también puede utilizar el motor
GFI LANguard Network Security Scanner
Introducción • 1
de implementación de parches para instalar remotamente software
personalizado así como también parches de terceras partes (no
Microsoft) en toda la red (por ejemplo actualizaciones de definiciones
de antivirus).
Importancia de la seguridad interna de la red
La seguridad interna de la red es con mucha frecuencia subestimada
por sus administradores. De hecho, en ciertos entornos dicha
seguridad incluso no existe, permitiendo a un usuario acceder
fácilmente al equipo de otro usuario utilizando debilidades bien
conocidas, relaciones de confianza y opciones predeterminadas. La
mayor parte de estos ataques necesitan poca o ninguna habilidad,
poniendo la integridad de una red en riesgo.
Debido a la cantidad de flexibilidad necesaria para la función normal,
las redes internas no pueden permitirse una seguridad máxima. Por
otro lado, sin ninguna seguridad, los usuarios internos pueden ser una
importante amenaza para muchas redes corporativas.
Según el Centro de Coordinación CERT de la Universidad Carnegie
Mellon en USA:
“Una ‘intrusión de un miembro’ es un compromiso de una red,
sistema o base de datos que es cometido por una persona
que tiene (o tenía) acceso legitimo a la red, sistema o datos.
Estos ‘miembros’ pueden incluir empleados actuales o
anteriores, empleados a tiempo parcial, socios de negocio,
consultores y contratistas.” - Computer Weekly.
Un usuario dentro de la compañía ya tiene acceso a muchos recursos
internos sin necesidad de saltarse firewalls u otros mecanismos de
seguridad. De hecho, estas medidas de seguridad son generalmente
utilizadas para prevenir a fuentes externas no confiables, tales como
usuarios de Internet, del acceso a la red interna. Sin embargo, las
mayores amenazas vienen desde usuarios internos. Un usuario
interno, equipados con habilidades de hacking, pueden penetrar
satisfactoriamente y conseguir derechos de administración de red
mientras que asegura que su abuso sea difícil de identificar o incluso
de detectar. La Encuesta de Seguridad y Crimen Informático
recopilada en 2003 por el Computer Security Institute y el FBI
descubrió que aproximadamente el 65% de los encuestados reportó
al menos un incidente de seguridad involucrando a una persona de
confianza.
Una seguridad de red pobre puede también permitir a usuarios
malintencionados penetrar en un sistema de la red para acceder al
resto de la red interna más fácilmente. Esto habilitaría a un atacante
sofisticado leer y posiblemente filtrar correo y documentos
confidenciales; borrar datos y dañar ordenadores – llevando a
pérdidas de información importante y más. Intrusos rencorosos
pueden también utilizar su red y recursos de red para dar un rodeo y
atacar (o espiar) otros sitios (es decir retransmisión del ataque). De
esta forma, todas las evidencias del ataque conducirán de vuelta a
usted y su compañía, sin exponer la propia identidad del hacker.
La mayoría de las vulnerabilidades se pueden parchear fácilmente y
los ataques frente abusos conocidos se pueden parar fácilmente por
los administradores si tienen conocimiento de ellos a tiempo. ¡GFI
2 • Introducción
GFI LANguard Network Security Scanner
LANguard N.S.S. asiste a los administradores en la identificación de
esas vulnerabilidades!
Características clave
•
Encuentra servicios rufianes y puertos TCP y UDP abiertos.
•
Detecta vulnerabilidades conocidas CGI, DNS, FTP, Correo, RPC
y otras.
•
Detecta usuarios pícaros o en “puertas traseras” (backdoors)
•
Detecta recursos compartidos abiertos y lista quién tiene acceso a
estos recursos incluyendo sus respectivos permisos.
•
Enumera grupos, incluyendo los miembros del grupo durante el
análisis del equipo objetivo.
•
Enumera dispositivos USB conectados a los equipos objetivo (por
ejemplo, Apple iPod, y otros dispositivos de almacenamiento
portátil).
•
Enumera dispositivos de red e identifica si esos dispositivos son
con Cable, Inalámbricos o Virtuales.
•
Enumera servicios y su respectivo estado.
•
Enumera procesos remotos en marcha.
•
Enumera aplicaciones instaladas.
•
Comprueba que los ficheros de firmas de las aplicaciones de
seguridad (antivirus y antispyware) soportadas están actualizados.
Cuando sea aplicable el escáner de seguridad también examinará
los ajustes configuración del software de seguridad (por ejemplo,
al antivirus BitDefender) en marcha para verificar si las
características clave tales como el análisis en tiempo real está
habilitado.
•
Programación de análisis de seguridad de red y presentación de
informes por correo a la finalización.
•
Análisis de seguridad y recogida de datos del SO para sistemas
operativos Windows.
•
Análisis de seguridad y recogida de datos del SO para sistemas
operativos Linux mediante SSH.
•
Inicio de sesión a objetivos remotos Linux mediante cadenas de
credenciales de inicio de sesión convencionales así como
mediante autenticación de Clave Pública (es decir, utilizando
ficheros SSH de Clave Pública/Privada).
•
Auto actualización – Se descarga automáticamente los archivos
de definición de las últimas comprobaciones de seguridad,
información de parches ausentes en el indicio del programa.
•
Soporta la administración de parches para sistemas operativos
Windows 2000/XP/2003, Microsoft Office XP o superior, Microsoft
Exchange 2000 y Microsoft SQL Server 2000 o superior.
•
Soporta la administración de parches para sistemas operativos
multilingües
GFI LANguard Network Security Scanner
Introducción • 3
•
Le permite guardar los resultados del análisis de seguridad en
base de datos de respaldo Microsoft Access o Microsoft SQL
Server y ficheros XML.
•
Manda un informe al administrador cuando termina un análisis
programado con un detalle completo del resultado del análisis y/o
los cambios detectados identificados entre análisis sucesivos.
•
Detección de equipos activos e identificación del Sistema
Operativo.
•
Auditoria SNMP.
•
Auditoría Microsoft SQL.
•
Depurador de scripts que puede utilizar para crear y depurar
comprobaciones
de
seguridad
personalizadas.
Las
comprobaciones se han creado utilizando un lenguaje de script
compatible con VBscript.
•
Soporta multihilo (es decir, permite el análisis de múltiples equipos
a la vez).
•
Incluye herramientas en línea de comando que le permiten
analizar e implementar actualizaciones/parches de software y
aplicaciones de terceros sin lanzar el interfaz de usuario de GFI
LANguard N.S.S. Estas herramientas en línea de comando se
pueden utilizar directamente desde la línea de comandos, a través
de aplicaciones de terceros así como también scrips
personalizados y archivos de procesamiento por lotes.
Componentes de GFI LANguard N.S.S.
GFI LANguard N.S.S. está construido en una arquitectura que permite
con gran fiabilidad y escalabilidad dar servicio a medias y grandes
redes.
GFI LANguard N.S.S. consiste en cinco componentes principales que
son:
4 • Introducción
•
Interfaz de usuario/configuración de GFI LANguard N.S.S.
•
GFI LANguard N.S.S. Servicio Asistente
•
Monitor de Estado de GFI LANguard N.S.S.
•
GFI LANguard N.S.S. Servicio Agente de actualizaciones
•
GFI LANguard N.S.S. Depurador de Scripts.
GFI LANguard Network Security Scanner
Interfaz de usuario/configuración de GFI LANguard N.S.S.
Imagen 1 – Interfaz de configuración de GFI LANguard N.S.S.
Inicie GFI LANguard N.S.S. desde Inicio ` Programas ` GFI
LANguard Network Security Scanner 7.0 ` LANguard Network
Security Scanner.
Utilice esta aplicación para:
•
Lanzar análisis de seguridad de red y sesiones de implementación
de parches.
•
Ver los resultados del análisis de seguridad guardados y en
tiempo real.
•
Configurar las opciones de análisis, perfiles de análisis y filtros de
informes.
•
Utilizar las herramientas de administración de seguridad de red
especializadas.
GFI LANguard N.S.S. servicio asistente
Este es el servicio en segundo plano que arranca las operaciones
programadas. Estas incluyen análisis de seguridad de red
programados y operaciones de implementación de parches
programadas.
GFI LANguard N.S.S. servicio agente de actualizaciones
Este es el servicio en segundo plano que maneja la implementación
de parches, service packs y actualizaciones de software en los
equipos objetivo.
GFI LANguard Network Security Scanner
Introducción • 5
GFI LANguard N.S.S. Depurador de Scripts
Imagen 2 - GFI LANguard N.S.S. Depurador de Scripts
Este módulo le permite escribir y depurar scripts personalizados
utilizando un lenguaje compatible con VBScript. Utilice este módulo
para crear scripts para comprobaciones de vulnerabilidades
personalizadas. Estas comprobaciones se pueden incluir en GFI
LANguard N.S.S. para análisis personalizados de objetivos de red.
Lance el Depurador de Scripts de GFI LANguard N.S.S. desde Inicio
` Programas ` GFI LANguard Network Security Scanner 7.0 `
LNSS Script Debugger
6 • Introducción
GFI LANguard Network Security Scanner
Monitor de Estado de GFI LANguard N.S.S.
Imagen 3 - Monitor de GFI LANguard N.S.S.
Utilice este módulo para supervisar el estado de los análisis
programados y las sesiones de implantación de actualización de
software programadas. Además, desde este módulo puede detener
operaciones programadas que todavía no se hayan ejecutado.
Lance el Monitor de Estado de GFI LANguard N.S.S. desde Inicio `
Programas ` GFI LANguard Network Security Scanner 7.0 ` LNSS
Status Monitor.
Esquema de licenciamiento
El esquema de licenciamiento de GFI LANguard N.S.S. se basa en el
número de equipos y dispositivos que desea analizar. Por ejemplo, la
licencia de 100 IP le permite analizar hasta 100 equipos o dispositivos
desde una única estación de trabajo/servidor de su red.
Para más información sobre el licenciamiento de GFI LANguard
N.S.S.
visite:
http://www.gfi.com/pricing/pricelist.aspx?product=LANSS.
GFI LANguard Network Security Scanner
Introducción • 7
Instalar GFI LANguard Network
Security Scanner
Requerimientos del sistema
Instale GFI LANguard Network Security Scanner en un equipo que
cumpla los siguientes requerimientos:
•
Sistema operativo Windows 2000 (SP4) / XP (SP2) / 2003.
•
Internet Explorer 5.1 o superior.
•
Componente Cliente para Redes Microsoft - (incluido por defecto
en
Windows
95
o
superior)
NOTA: Para más información sobre como instalar el componente
Cliente para Redes de Microsoft refiérase a la sección ‘Instalar el
componente Cliente para Redes de Microsoft en Windows 2000 o
superior’ en el capítulo ‘Miscelánea’.
•
Secure Shell (SSH) - (incluido por defecto en cada distribución del
SO Linux).
Consideraciones del Firewall
Los firewalls instalados en el servidor u ordenador(es) objetivo
interferirán con las operaciones de GFI LANguard N.S.S.
Usted debe:
•
Deshabilita el software firewall en el servidor/equipo(s) objetivo.
•
Utilizar las políticas de dominio de Windows Internet Connection
Firewall para configurar los puertos y servicios necesarios
requeridos por GFI LANguard N.S.S. para operar correctamente.
Para más información sobre como configurar las políticas del
Directorio Activo para soportar el análisis de/desde equipos que
funcionan bajo el Firewall de conexión a Internet de Windows (XP
SP2
o
2003
SP1)
visite:
http://kbase.gfi.com/showarticle.asp?id=KBID002177.
Procedimiento de instalación
1. Lance el asistente de instalación de GFI LANguard Network
Security Scanner haciendo doble clic en languardnss7.exe. Tan
pronto como se muestre el dialogo de bienvenida, haga clic en Next
para iniciar la instalación.
2. En el diálogo de licencia, lea el acuerdo de licencia atentamente.
Seleccione la opción ‘Accept the Licensing agreement’ y haga clic en
Next para continuar.
3. Especifique el nombre de usuario completo, el nombre de la
empresa y la clave de licencia. Si esta evaluando el producto, deje el
GFI LANguard Network Security Scanner
Instalar GFI LANguard Network Security Scanner • 9
la clave de licencia por defecto (es decir “Evaluation”). Haga clic en
Next para continuar.
Imagen 4 Especifique las credenciales del administrador del dominio o utilice la cuenta local del
sistema
4. Especifique la cuenta de servicio bajo la cual correrá GFI LANguard
N.S.S. Haga clic en Next para continuar.
IMPORTANTE: GFI LANguard N.S.S. debe funcionar con
credenciales administrativas. Es recomendable proveer los detalles
de una cuenta de Administrador del Dominio o Administrador de la
Empresa. Esto se requiere porque GFI LANguard N.S.S. muy
probablemente necesitará derechos administrativos para acceder a
los equipos objetivo en su red. No obstante, no es obligatorio proveer
detalles de cuenta de Administrador del Dominio/Empresa para todos
los equipos objetivo, puesto que se pueden proveer credenciales
separadas desde el interfaz e configuración después de la instalación
(nodo Configuration ` Computer Profiles ).
10 • Instalar GFI LANguard Network Security Scanner
GFI LANguard Network Security Scanner
Imagen 5 – Elegir la base de datos de respaldo
5. Especifique que base de datos de respaldo se usará para
almacenar los resultados/información del análisis. Puede elegir entre
Microsoft Access, Microsoft SQL Server 7/2000 o MSDE. Haga clic en
Next para continuar.
NOTA 1: El uso de la base de datos de respaldo Microsoft Access se
recomienda para redes pequeñas. Para redes medianas y grandes,
se recomienda el uso de Microsoft SQL Server 7/2000 como base de
datos de respaldo.
NOTA 2: MSDE puede manejar hasta 2 GB de datos mientras que
Microsoft SQL Server es capaz de manejar grandes volúmenes de
datos eficientemente y sin limitaciones.
GFI LANguard Network Security Scanner
Instalar GFI LANguard Network Security Scanner • 11
Imagen 6 – Especificar los detalles del servidor SQL
6. Si se selecciona Microsoft SQL Server como base de datos de
respaldo, especifique las credenciales de inicio que se usarán para
logarse en la base de datos. Puede utilizar tanto cuentas de usuario
de SQL Server así como autenticación Windows NT para acceder a la
base de datos. Haga clic en Next para continuar.
NOTA: Cuando utilice autenticación Windows NT, asegúrese que los
servicios de GFI LANguard N.S.S. están funcionando bajo cuentas de
usuario que tengan los derechos administrativos de acceso
necesarios y privilegios para logarse y manejar las bases de datos de
SQL Server.
12 • Instalar GFI LANguard Network Security Scanner
GFI LANguard Network Security Scanner
Imagen 7 – Especificar la dirección de correo de alertas y los detalles del servidor de correo
7. Especifique los datos del servidor SMTP/correo (Nombre/IP y
Puerto) así como la dirección de correo genérica para el envío de
notificaciones administrativas. Haga clic en Next para continuar.
8. Especifique la ruta de instalación de GFI LANguard N.S.S. y haga
clic en Next. La instalación necesitará aproximadamente 40 MB de
espacio libre en disco.
9. Haga clic en Finish para finalizar la instalación.
Introducir su clave de licencia después de la instalación
Si ha comprado GFI LANguard N.S.S., introduzca su clave de licencia
en
el
nodo
General
`
Licensing
(no
se
requiere
reinstalción/reconfiguración)
NOTA 1: Por defecto, GFI LANguard N.S.S. tiene un periodo de
evaluación sin restricción y completamente funcional de 10 días. Si
los datos provistos en el formulario de descarga son correctos,
recibirá por correo electrónico un clave de licencia que le permite
evaluar GFI LANguard N.S.S. durante 30 días.
NOTA 2: La licencia de GFI LANguard N.S.S. se basa en:
•
Número de ordenadores/IPs en los que correrá GFI LANguard
Network Security Scanner.
•
Número de ordenadores/IPs que desee analizar.
Por ejemplo, si quiere instalar GFI LANguard N.S.S. en un servidor, y
va a analizar una red de 20 equipos objetivo, usted debe comprar una
licencia de 25 IP.
NOTA 3: Introducir la Clave de Licencia no debe ser confundido con
el proceso de registrar los detalles de su empresa en nuestro sitio
web. Esto es importante ya que nos permite darle soporte y avisarle
sobre noticias importantes sobre los productos. Puede registrarse y
GFI LANguard Network Security Scanner
Instalar GFI LANguard Network Security Scanner • 13
obtener
su
cuenta
de
http://www.gfi.com/pages/regfrm.htm
cliente
de
GFI
en:
NOTA 4: Para descubrir cómo comprar GFI LANguard N.S.S., siga el
nodo General ` How to puchase.
14 • Instalar GFI LANguard Network Security Scanner
GFI LANguard Network Security Scanner
Empezar: Realizar una auditoría
Introducción
Una auditoría de recursos de red permite al administrador identificar y
evaluar posibles riesgos dentro de la red. Hacer esto manualmente
implica una tediosa serie de repetitivas y lentas tareas que deben ser
realizadas concienzudamente en cada uno y todos los equipos de la
red. GFI LANguard automatiza el proceso de auditoria de seguridad y
analiza remotamente ordenadores en busca de vulnerabilidades
conocidas, desconfiguraciones comunes y otros potenciales
problemas de seguridad en un relativamente corto periodo de de
tiempo. La información recogida durante el proceso de análisis se
utiliza posteriormente para ayudar al rastreo y mitigación de los
problemas de seguridad que se han identificado. La información típica
que se enumera durante el proceso del análisis de seguridad incluye:
•
EL nivel de service packs del ordenador.
•
Parches de seguridad ausentes
•
Puntos de acceso inalámbrico
•
Dispositivos USB
•
Recursos compartidos abiertos
•
Puertos abiertos
•
Servicio/aplicaciones activas en equipo(s) objetivo.
•
Entradas clave del registro
•
Contraseñas débiles
•
Usuarios y grupos
Para realizar una auditoria de seguridad el motor de análisis requiere
que le especifique tres parámetros primarios:
1. Ordenador(es) objetivo para analizar de problemas de seguridad
2.
Perfil
de
Escaneo
a
utilizar
(especifique
que
comprobaciones/pruebas de vulnerabilidad se harán contra los
objetivos especificados).
3. Los detalles de autenticación a utilizar para logarse en el
ordenador(es) objetivo.
Sobre los perfiles de escaneo (lista de
comprobaciones/pruebas de vulnerabilidades)
Antes
de
empezar
un
análisis
debe
especificar
que
comprobaciones/pruebas de vulnerabilidades van a correr contra el
objetivo(s) seleccionado.
Esto se requiere porque GFI LANguard N.S.S. contiene multitud de
comprobaciones de vulnerabilidades que se pueden lanzar en su
GFI LANguard Network Security Scanner
Empezar: Realizar una auditoría • 15
infraestructura de red. Aunque muchas de estas comprobaciones de
vulnerabilidad se pueden lanzar sobre todos los ordenadores de la
red, hay algunas comprobaciones 'especializadas' las cuales tienen
un rol específico y por lo tanto sus resultados dependen de los
servicios que están en marcha en ese ordenador(es) objetivo
particular así como también del tipo de análisis de seguridad deseado
que necesita realizar. Por ejemplo, las comprobaciones de
vulnerabilidades CGI necesitan ser lanzadas solo cuando se analicen
servidores Web.
En GFI LANguard N.S.S. las comprobaciones de vulnerabilidad que
se lanzarán contra un objetivo en un análisis de seguridad están
especificadas en plantillas llamadas ‘Scanning Profiles’. Estos perfiles
de análisis mantienen los 'parámetros/instrucciones del análisis' que
el motor de análisis seguirá durante una auditoria de seguridad, es
decir, las comprobaciones de vulnerabilidad que deberán ser
ejecutadas contra los objetivos así como la información que se
recogerá de de esos objetivos. Para más información acerca de los
perfiles de análisis, refiérase al capítulo ‘Perfiles de Análisis' en este
manual.
Para análisis de seguridad bien balanceado utilice la opción ‘Default
Scanning Profile’.
Credenciales de acceso para acceder al ordenador(es)
objetivo
Durante un análisis de seguridad, para algunos tipos de recogida de
información/pruebas de vulnerabilidad, GFI LANguard N.S.S. necesita
iniciarse remotamente en cada ordenador objetivo. Por defecto GFI
LANguard N.S.S. utiliza el contexto de seguridad del usuario bajo el
que está funcionando. También puede especificar credenciales de
inicio alternativas para lanzar un análisis bajo un contexto de
seguridad diferente del usuario actualmente iniciado.
Aunque lo citado anteriormente debería ajustarse a la mayoría de
necesidades de análisis usted puede encontrarse situaciones que se
inicia en algunos ordenadores objetivo con una cuenta administrativa
particular y sobre otros ordenadores objetivos con una cuenta
administrativa totalmente diferente.
Para satisfacer esta situación GFI LANguard N.S.S. le permite
configurar perfiles de ordenador para objetivos diferentes que están
localizados en su red. Utilice los perfiles de ordenador para indicar las
credenciales de inicio usar cuando se inicie en un ordenador objetivo
aun cuando un análisis de seguridad está corriendo bajo un contexto
de seguridad diferente. Por ejemplo, puede usar los perfiles de
ordenador para asegurarse que el ordenador FILESERVER se
analiza siempre con la cuenta EMPRESA\fileserveradmin y que el
ordenador WEBSERVER se analiza siempre con la cuenta
EMPRESA\webserveradmin.
Para más información sobre los perfiles de ordenador refiérase a la
sección ‘Perfiles de Equipo’ el en capítulo ‘Configurar GFI LANguard
N.S.S.’ en este manual.
Consideraciones importantes
1. Por favor tenga en cuenta que si su empresa lanza algún tipo de
Software de Detección de Intrusos (IDS) durante el análisis, GFI
16 • Empezar: Realizar una auditoría
GFI LANguard Network Security Scanner
LANguard N.S.S. saltará una multitud de alertas IDS y alertas de
intrusión en esas aplicaciones. Si usted no es el responsable del
sistema IDS, asegúrese de informar a la persona al cargo sobre
cualquier análisis de seguridad planeado.
2. Junto con las alertas del software IDS, debe ser consciente de que
muchos de los análisis se mostrarán en los archivos de registro a
todos los niveles. Registros UNIX, servidores web, etc. mostrarán los
intentos de intrusión realizados por el del equipo LANguard Network
Security Scanner. Si no es el único administrador de su sitio
asegúrese que los otros administradores sean conscientes de los
análisis que va a realizar.
Realizar un análisis de seguridad usando los ajustes por defecto
Con una simple instalación, GFI LANguard N.S.S. incluye unos
ajustes de configuración por defecto los cuales le permiten lanzar un
análisis (básico) inmediato justo después de que termine la
instalación.
Para un análisis por defecto usted solo debe indicar que
ordenador(es) objetivo desea auditar. Por defecto, GFI LANguard
N.S.S.:
•
Se autenticará en los objetivos utilizando las credenciales de la
cuenta de usuario actualmente logado (es decir, las credenciales
bajo las cuales está corriendo GFI LANguard N.S.S.).
•
Utilizará una lista de comprobaciones de seguridad por defecto las
cuales está preconfiguradas en el perfil de análisis 'Default'. Este
es uno de los perfiles de análisis por defecto que se venden junto
GFI LANguard N.S.S.
Para realizar su primer análisis, por favor hágalo como sigue:
1. Haga clic en File ` New.
Imagen 8 – Seleccionando el tipo de análisis de seguridad
2. Seleccione el tipo de análisis que desea realizar seleccionando una
de las siguientes opciones:
•
Scan single computer… - Seleccione esta opción para analizar
un solo ordenador.
•
Scan range of Computers… – Seleccione esta opción para
analizar un rango de ordenadores específico.
•
Scan list of Computers… – Seleccione esta opción para analizar
una lista de ordenadores personalizada.
•
Scan a Domain… – Seleccione esta opción para analizar un
dominio Windows completo.
NOTA: Por ahora, usted puede ignorar la opción Scheduled Scan.
Esta opción se utiliza para configurar análisis de vulnerabilidad los
GFI LANguard Network Security Scanner
Empezar: Realizar una auditoría • 17
cuales se ejecutarán automáticamente en un día/hora específica. Los
análisis programados se describen con más detalles en el capítulo
‘Configurar GFI LANguard N.S.S.’ en este manual.
Imagen 9 – Diálogos de opciones de Nuevo Análisis.
3. Especifique los detalles de los objetivos solicitados (es decir,
nombre, IP, rango de IPs o nombre de dominio).
4. Haga clic en el botón OK para iniciar su análisis por defecto.
Sobre el proceso de análisis
GFI LANguard Network Security iniciará el proceso de análisis
primero identificando los objetivos que están disponibles para el
análisis (es decir, los ordenadores objetivo que están encendidos y
accesibles de la red). Esto se hace enviando automáticamente
peticiones a los objetivos objetivo utilizando consultas NETBIOS, ping
ICMP y consultas SNMP.
Si un equipo objetivo no responde a esas consultas, GFI LANguard
N.S.S. asumirá que ese dispositivo está actualmente apagado o que
no existe en la dirección IP especificada. Por defecto, GFI LANguard
N.S.S. NO analizará ordenadores objetivo que no respondan a las
peticiones del análisis.
Después que se establezca la conexión al ordenador objetivo, el
motor de análisis ejecutará las comprobaciones de vulnerabilidad
específicas o por defecto. Durante un análisis por defecto el motor de
análisis ejecutará automáticamente una lista de comprobaciones de
vulnerabilidad preconfiguradas y genéricas las cuales evaluarán
múltiples áreas de su red por debilidades específicas. Más adelante
aprenderá como lanzar comprobaciones más específicas
18 • Empezar: Realizar una auditoría
GFI LANguard Network Security Scanner
seleccionando, personalizando o creando diferentes perfiles de
análisis.
Realizar un análisis usando diferentes (por defecto) perfiles de
análisis
Aparte del perfil de análisis por defecto, GFI LANguard N.S.S. se
entrega con una amplia lista de perfiles de análisis diferentes cada
uno de los cuales está preconfigurado para realizar comprobaciones
de vulnerabilidad específicas o más especializadas. La posibilidad de
tener diferentes perfiles de análisis es para minimizar los cambios de
configuración requeridos antes de todos los análisis utilizando
plantillas de análisis de vulnerabilidad ya configuradas.
Es este análisis de vulnerabilidad, especificará dos parámetros
primarios:
•
Los objetivos que desea analizar.
•
El perfil de análisis (es decir, las comprobaciones/pruebas de
vulnerabilidad) que se lanzarán contra sus objetivos.
Por defecto, GFI LANguard N.S.S. se autenticará en los objetivos
utilizando las credenciales de la cuenta de usuario actualmente
logado (es decir, las credenciales bajo las cuales está corriendo GFI
LANguard N.S.S.).
Para lanzar una auditoria de red usando un perfil de análisis diferente:
1. Haga clic en File ` New.
2. Seleccione el tipo de análisis que desea realizar (por ejemplo, Scan
single computer).
3. Especifique los detalles de los objetivos solicitados (es decir,
nombre, IP, rango de IPs o nombre de dominio).
Imagen 10 – Diálogo de Nuevo Análisis. Seleccionando un perfil de análisis diferente
GFI LANguard Network Security Scanner
Empezar: Realizar una auditoría • 19
4. Desde la lista desplegable 'Scan Profile' en la parte de abajo del
diálogo, seleccione el perfil de análisis que se utilizará para este
análisis de seguridad de red.
Por ejemplo, seleccione ‘Missing Patches’ para realizar un análisis de
red que compruebe y enumere los parches de Microsoft ausentes así
como también los objetivos en los cuales faltan esos parches.
5. Haga clic en el botón OK para iniciar su análisis.
Realizar un análisis usando credenciales de inicio alternativas
Cuando se realiza un análisis de seguridad GFI LANguard N.S.S.
debe autenticarse en el equipo(s) objetivo. Esto se requiere para que
el motor de análisis tenga habilitados los permisos para ejecutar las
comprobaciones de vulnerabilidad configuradas contra el objetivo y
obtener la información del sistema requerida.
GFI LANguard N.S.S. se autentica en los objetivos logándose
‘físicamente’ en el ordenador(es) utilizando las credenciales de una
cuenta con derechos administrativos. Esta no necesita ser
obligatoriamente una cuenta de Administrador del Dominio o
Administrador de la Empresa, sin embargo esta cuenta de usuario
necesita tener privilegios administrativos en el equipo(s) objetivo.
Sistemas diferentes a menudo requieren diferentes métodos de
autenticación. Por ejemplo, los sistemas Linux a menudo piden un
fichero de clave privada en lugar de la contraseña convencional. GFI
LANguard N.S.S soporta ambos métodos.
Para más información sobre los métodos de autenticación refiérase a
la sección ‘Perfiles de Equipo’’ el en capítulo ‘Configurar GFI
LANguard N.S.S.’ en este manual.
Para lanzar una auditoría de seguridad usando credenciales de inicio
específicas:
Imagen 11 – Barra de herramientas de nuevo análisis de GFI LANguard N.S.S.: Lista
desplegable de métodos de autenticación
1. Desde la lista desplegable de credenciales en la barra de
herramientas de GFI LANguard N.S.S., especifique el método de
autenticación a usar en esta auditoría de seguridad seleccionando
una de las siguientes opciones:
•
‘Currently Logged-On User’ – Seleccione esta opción para
autenticarse en los equipos objetivo utilizando las credenciales de
cuenta Windows NT (es decir, usando la cuenta bajo la que esta
corriendo GFI LANguard N.S.S.).
•
‘Null Session’ – Seleccione esta opción intentar conectar a los
equipos objetivo sin autenticación. Des esta forma, puede
20 • Empezar: Realizar una auditoría
GFI LANguard Network Security Scanner
identificar a que información pueden acceder usuarios no
autenticados (internos/externos).
•
‘Alternative credentials’ – Seleccione esta opción para
autenticarse a los equipos objetivo utilizando credenciales
específicas. Especifique esas credenciales en los campos
provistos ‘Username' y ‘Password’ al lado de esta lista
desplegable.
•
‘SSH Private Key’ – Seleccione esta opción para autenticarse en
equipos basados en Linux utilizando un nombre de usuario y un
fichero de clave privada en lugar de la contraseña (es decir, a
través de autenticación de Clave Pública).
NOTA: Para más información sobre autenticación de Clave
Pública refiérase a la sección ‘Sobre el fichero SSH de Clave
Privada’ el en capítulo ‘Configurar GFI LANguard N.S.S.’ en este
manual.
2. Haga clic en File ` New.
3. Seleccione el tipo de análisis que desea realizar (por ejemplo, Scan
single computer).
4. Especifique los detalles de los objetivos solicitados (es decir,
nombre, IP, rango de IPs o nombre de dominio).
5. Desde la lista desplegable 'Scan Profile' en la parte de abajo del
diálogo, seleccione el perfil de análisis que se utilizará para este
análisis de seguridad de red.
6. Haga clic en el botón OK para iniciar su análisis.
Iniciar análisis de seguridad directamente desde la barra de
herramientas
Para lanzar una auditoría de seguridad de res desde la barra de
herramientas:
Imagen 12 – Barra de herramientas de nuevo análisis de GFI LANguard N.S.S.
1. Desde la lista desplegable de credenciales en la barra de
herramientas de GFI LANguard N.S.S., seleccione el método de
autenticación a usar y si es necesario especifique las credenciales
respectivas en los campos adyacentes.
Imagen 13 – Barra de herramientas de detalles de objetivo de GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Empezar: Realizar una auditoría • 21
2. En la lista desplegable 'Scan Target' de abajo, especifique los
objetivos que se analizarán (por ejemplo, TMJason, 130.12.1.20130.12.1.30, etc.).
3. Desde la lista desplegable ‘Profile’ seleccione el perfil de análisis
que se utilizará para este análisis de seguridad de red.
4. Haga clic en el botón Scan para iniciar su análisis de vulnerabilidad
de red.
22 • Empezar: Realizar una auditoría
GFI LANguard Network Security Scanner
Empezar: Analizar los resultados del
análisis de seguridad
Introducción
Después de que se complete un análisis de seguridad, GFI LANguard
N.S.S. genera y muestra los resultados del análisis en una ventana
dedicada dentro del interfaz de configuración.
Los resultados del análisis están organizados por tipo en diferentes
categorías. La cantidad de categorías de resultados y el tipo de
información recogida durante un análisis de seguridad depende
enteramente del tipo de comprobaciones que han sido lanzadas
contra los objetivos así como también de los parámetros que han sido
configurados en el perfil de análisis que se ha usado durante la
auditoría. Por lo tanto, usted obtendrá por supuesto diferentes
categorías de resultados del análisis por cada perfil de análisis
diferente que utilice para auditar su red. Para más información acerca
de los perfiles de análisis refiérase a la sección ‘Perfiles de Análisis'
más adelante en este manual.
También puede lanzar filtros en sus resultados del análisis y mostrar
solo los detalles del resultado del análisis específicos. Esto se
consigue aplicando ‘Scan Filtres' a esta información. Para más
información acerca de los filtros de análisis, refiérase al capítulo
‘Filtrar los resultados del análisis’ en este manual.
GFI LANguard Network Security Scanner
Empezar: Analizar los resultados del análisis de seguridad • 23
Analizar los resultados del análisis
Imagen 14 – Interfaz de configuración de GFI LANguard N.S.S.: Analizando los resultados del
análisis
Utilice la información presentada en la sección ‘Scanned computers’
(panel del medio) para navegar por los resultados de los ordenadores
analizados. Los resultados del análisis de seguridad están
organizados en un número de sub-nodos de categoría. Estoa pueden
ser fácilmente usados para investigar e identificar los problemas de
seguridad en los objetivos analizados.
Los resultados del análisis están organizados en las siguientes
categorías:
•
Vulnerabilidades
•
Vulnerabilidades potenciales
•
Shares
•
Aplicaicones
•
Dispositvos de red
•
Dispositivos USB
•
Directiva de contraseñas
•
Directiva de auditoría de seguridad
•
Registro
•
Puertos TCP abiertos
•
System patching status
•
Nombres NETBIOS
•
Equipo
•
Grupos
•
Usuarios
•
Usuarios logados
24 • Empezar: Analizar los resultados del análisis de seguridad
GFI LANguard Network Security Scanner
•
Sesiones
•
Servicios
•
Procesos
•
Time of day remoto (TOD)
•
Unidades locales
Para ver los datos de los resultados del análisis recogidos durante un
análisis de seguridad, haga clic en la categoría de interés. La
información se muestra en el panel ‘Scan Results’ (a la derecha).
Vulnerabilidades
Imagen 15 – El nodo de Vulnerabilidades
Haga clic en el sub-nodo
Vulnerabilities para ver las
vulnerabilidades de seguridad identificadas en el equipo objetivo. Las
vulnerabilidades se agrupan por tipo y gravedad en cinco categorías
principales:
•
Service packs ausentes
•
Parches ausentes
•
Vulnerabilidades de seguridad altas
•
Vulnerabilidades de seguridad medias
•
Vulnerabilidades de seguridad bajas
Vulnerabilidades ` Service packs ausentes
Un Service Pack (SP) es un programa de software que corrige un
conjunto de defectos conocidos o añade nuevas características a
sistemas operativos y aplicaciones
GFI LANguard N.S.S. comprueba por actualizaciones de software de
Microsoft ausentes comparando la versión actualmente instalada de
los service packs en los ordenadores objetivo con los mismos
realizados actualmente disponibles por el fabricante.
GFI LANguard Network Security Scanner
Empezar: Analizar los resultados del análisis de seguridad • 25
Imagen 16 – Árbol de resudados de Service Packs Ausentes
NOTA: GFI LANguard N.S.S. es capaz de comprobar las
actualizaciones de software ausentes y service packs en varios
productos Microsoft. Para una lista completa de productos soportados
vaya a http://kbase.gfi.com/showarticle.asp?id=KBID002573.
Los detalles mostrados en el árbol de resultados de esta categoría
incluyen:
•
‘Product name’ y ‘Service Pack Number'.
•
‘URL:’ El enlace URL al artículo de la Base de Conocimiento
o a otra documentación de soporte relacionada con el service
pack ausente detectado.
•
‘Release date:’
reportado.
La fecha de liberación del service pack
Para acceder a información más detallada del service pack ausente,
haga clic derecho sobre el service pack en particular y seleccione
More details ….
Imagen 17 – Service pack ausente: Diálogo de información del boletín
Esto levantará el diálogo 'Bulletin Info' del respectivo service pack. La
información mostrada en este boletín incluye:
•
El QNumber. Este es un número ID único que se asigna por
Microsoft a cada actualización de software para propósitos de
identificación.
•
La fecha de liberación del boletín/service pack.
•
Una descripción larga del service pack y sus contenidos.
•
La lista de SO/Aplicaciones a los que se aplica el service pack.
26 • Empezar: Analizar los resultados del análisis de seguridad
GFI LANguard Network Security Scanner
•
El enlace URL a más información acerca del service pack
respectivo.
•
El nombre del archivo del service pack y el tamaño del archivo
relativo.
•
La URL desde donde puede descargar manualmente ese service
pack.
Vulnerabilidades ` Parches ausentes
Un parche es una actualización que se ha liberado por una compañía
de software para contrarrestar un problema técnico/de seguridad. Es
muy común por los atacantes explotar estas vulnerabilidades
conocidas para obtener acceso a la red. Dejar de parchear los
sistemas objetivos le hace vulnerable a un ataque con un resultado de
pérdida de tiempo de negocio y/o datos.
GFI LANguard N.S.S. analiza los ordenadores objetivo para
asegurarse que todas las actualizaciones de seguridad relevantes
liberadas por Microsoft están instaladas.
Imagen 18 – Parches ausentes detectados durante el análisis del objetivo
Los parches ausentes descubiertos durante el análisis de un objetivo
se listan bajo la categoría 'Missing Patches'.
Los detalles mostrados en el árbol de resultados de esta categoría
incluyen:
•
‘Patch ID’ y ‘Product name’.
•
‘Bugtraq ID/URL:’ El ID y la URL del artículo de la Base de
Conocimiento de Microsoft respectivo.
•
‘Severity:’ – El efecto que el parche tiene sobre el nivel de
seguridad de un dispositivo de red.
•
‘Date Posted:’ – La fecha de liberación del parche ausente.
Para acceder a información más detallada, haga clic derecho sobre
parche particular y seleccione More details....Esto levantará el
GFI LANguard Network Security Scanner
Empezar: Analizar los resultados del análisis de seguridad • 27
diálogo 'Bulletin Info' que contiene detalles adicionales del parche de
software respectivo.
NOTA: GFI LANguard N.S.S. es capaz de comprobar las
actualizaciones de software ausentes y service packs en varios
productos Microsoft. Para una lista completa de productos soportados
vaya a http://kbase.gfi.com/showarticle.asp?id=KBID002573.
Vulnerabilidades ` Vulnerabilidades seguridad alta, media y
baja
Imagen 19 -Error! No sequence specified. Vulnerabilidades seguridad alta, media y baja
Los sub-nodos 'High', 'Medium' y ‘Low security vulnerabilities’
contienen información acerca de debilidades descubiertas durante la
prueba de un dispositivo de red. Estas vulnerabilidades se organizan
en 8 grupos:
•
Abusos CGI.
•
Vulnerabilidades.FTP.
•
Vulnerabilidades DNS.
•
Vulnerabilidades de correo.
•
Vulnerabilidades RCP.
•
Vulnerabilidades de Servicio.
•
Vulnerabilidades de Registro.
•
Vulnerabilidades Misc/Linux/UNIX.
El contenido de cada grupo se describa abajo:
•
Abusos CGI
Este grupo contiene detalles de vulnerabilidades de seguridad
(tales como problemas de desconfiguración) descubiertos en
servidores web analizados. Los servidores web soportados
incluyen Apache, Netscape, y Microsoft I.I.S. La información
listada en esta sección incluye:
o
‘Vulnerability check name’ (por ejemplo, Imported_IIS:
FrontPage Check)
28 • Empezar: Analizar los resultados del análisis de seguridad
GFI LANguard Network Security Scanner
•
o
‘Description:’ – Una descripción corta de la vulnerabilidad
respectiva.
o
‘Bugtraq ID/URL:’ – El ID del artículo(s) de la Base de
Conocimiento de Microsoft relevante y la URL para más
información sobre la vulnerabilidad.
Vulnerabilidades FTP, DNS, Correo, RPC y
Misc/Linux/UNIX
Estos grupos incluyen detalles de la debilidades de seguridad
descubiertas durante el análisis de objetivos de red particulares
tales como servidores FTP, servidores DNS, y servidores de
correo SMTP/POP3/IMAP. La información mostrada en estas
secciones incluyen los enlaces a los artículos de la Base de
Conocimiento de Microsoft u otra documentación de soporte
relacionada con la vulnerabilidad.
•
Vulnerabilidades de servicio
Este grupo incluye detalles de vulnerabilidades de seguridad
asociadas a servicios que están funcionando en los dispositivos
de red analizados. Otros detalles enumerados en esta sección
incluyen cuentas no utilizadas que siguen estando activas y
accesibles en los ordenadores objetivo analizados.
•
Vulnerabilidades de Registro.
Este grupo incluye detalles de las vulnerabilidades descubiertas
en los ajustes del registro de un dispositivo de red analizado. Los
detalles mostrados en esta categoría incluyen enlaces a
documentación de soporte así como una descripción corta de la
vulnerabilidad respectiva.
Vulnerabilidades potenciales
Imagen 20 – El nodo de vulnerabilidades potenciales
GFI LANguard Network Security Scanner
Empezar: Analizar los resultados del análisis de seguridad • 29
Haga clic en el sub-nodo
Potential vulnerabilities para ver los
elementos del análisis de resultados que son clasificados como
posibles debilidades de red. Estos elementos del resultado del
análisis, a pesar de que no están clasificados como
vulnerabilidades, requieren su meticulosa atención dado que
pueden ser explotados durante un ataque por usuarios
malintencionados.
Por ejemplo, durante un análisis de seguridad GFI LANguard N.S.S.
enumerará todos los módems que están instalados y configurados en
el ordenador objetivo. Si estos módems no están en uso o conectados
a la línea de teléfono, no son una amenaza para su red (es decir, no
es una vulnerabilidad). Por otro lado, si estos módems están en uso y
conectados se pueden usar por sus usuarios de red para obtener
acceso no autorizado y no monitorizado a Internet.
Esto podría mas adelante permitirles saltarse su firewall y otros
cualesquiera ajustes de seguridad de Internet implementados (por
ejemplo, análisis de virus, clasificación de sitios y bloqueo de
contenido) así como también generar altas facturas telefónicas a la
compañía. En adición a lo de arriba, los hackers podrían detectar
tales conexiones y sacar provecho de ellas para obtener acceso no
controlado a su sistema de la red a través de esta ruta no
monitorizada. Como resultado, GFI LANguard N.S.S. considera a los
módems instalados como potenciales amenazas y los enumera en
una categoría dedicada (es decir, el sub-nodo 'Potential Vulnerability')
para su atención y análisis.
Recursos compartidos abiertos
Haga clic en el sub-nodo
Shares para ver todos los recursos
compartidos en un ordenador objetivo.
Imagen 21 – Nodo Shares
En libertad hay varios gusanos y virus (por ejemplo, Klez, Bugbear,
Elkern y Lovgate) que se dispersan utilizando recursos compartidos
abiertos detectados en los ordenadores de la red.
30 • Empezar: Analizar los resultados del análisis de seguridad
GFI LANguard Network Security Scanner
GFI LANguard N.S.S. enumera las propiedades de todos los recursos
compartidos descubiertos en su red. Utilice estos datos para
asegurarse que:
1. Ningún usuario está compartiendo todos sus discos duros con otros
usuarios.
2. No está permitido el acceso anónimo/sin autenticar a los recursos y
que están establecidos los permisos de acceso apropiados.
3. Las carpetas de inicio del sistema o archivos del sistema similares
no están compartidos ya que estas podrían permitir a usuarios con
pocos privilegios ejecutar código en ordenadores objetivo.
4. Ningún usuario tiene recursos compartidos innecesarios o sin uso.
Por cada recurso compartido abierto detectado la
información se recoge del ordenador objetivo:
•
El nombre del recurso compartido
•
El directorio que es compartido en el ordenador objetivo
•
Permisos del recurso compartido y derechos de acceso
•
Permisos y derechos de acceso NTFS
siguiente
NOTA: Todos los ordenadores Windows tiene recursos compartidos
administrativos (C$, D$, E$ etc) los cuales GFI LANguard N.S.S. por
defecto enumerará durante el análisis del ordenador objetivo. Como
estos pueden ser irrelevantes para su auditoría de seguridad usted
puede configurar GFI LANguard N.S.S. para que no reporte tales
recursos administrativos. Para más información sobre como realizar
esto refiérase a la sección ‘Personalizar los parámetros de Obtención
de Datos del SO' en el capítulo 'Perfiles de Análisis’ en este manual.
Ajustes de directiva de contraseñas
Imagen 22 – El nodo Password policy
Haga clic en el sub-nodo
Password Policy para ver los ajustes de
la directiva de contraseñas del ordenador(es) objetivo analizado.
Las políticas de seguridad de Windows 2000/XP/2003 proveen un
conjunto de reglas que se pueden configurar para todas las cuentas
GFI LANguard Network Security Scanner
Empezar: Analizar los resultados del análisis de seguridad • 31
de usuario para protegerle contra ataques de adivinación de
contraseñas por fuerza bruta. Tales políticas incluyen las políticas de
control de bloqueo así como políticas de aplicación de dureza de
contraseñas. Estas son esenciales para la aplicación de una red
segura tal y como hacen muy difícil para un atacante localizar un
enlace débil en base a su usuario. Las vulnerabilidades típicas en una
infraestructura de TI incluyen contraseñas débiles las cuales se hacen
con pocos caracteres por ejemplo, contraseñas en blanco o por
defecto, o contraseñas iguales al nombre de usuario.
Utilice la directiva de contraseñas que obtiene GFI LANguard N.S.S.
de los ordenadores objetivo analizados para identificar
vulnerabilidades de configuración en su red.
Ajustes del Registro
Haga clic en el sub-nodo
Registry para ver los valores de
importantes claves del registro configurado en su ordenador objetivo.
Imagen 23 – Nodo Registry
Examinando los valores en el nodo Run, puede comprobar que
programas están configurados para iniciarse automáticamente al
inicio del sistema.
Esta información le permite identificar Troyanos, aplicaciones
autorizadas o no autorizadas así como también aplicaciones válidas
que pueden proveer acceso remoto a su red. Cualquier tipo de
software que esté funcionando sin su orden expresa desde el menú
inicio debe ser anotado y comprobado por su validez.
No hacerlo puede proveer una oportunidad de entrada a su sistema.
Ajustes de la directiva de auditoría de seguridad
Haga clic en el sub-nodo
Security Audit Policy para ver los
ajustes de la directiva de auditoría de seguridad configurada en un
ordenador objetivo analizado.
32 • Empezar: Analizar los resultados del análisis de seguridad
GFI LANguard Network Security Scanner
Una parte importante de cualquier plan de seguridad es la posibilidad
de monitorizar y auditar los sucesos que ocurren en su red. Estos
registros de sucesos están frecuentemente indicados para identificar
agujeros o brechas de seguridad. Identificando los intentos e
impidiéndoles convertirse en brechas de su sistema de seguridad es
crítico En Windows, puede utilizar las ‘Políticas de Grupo’ para
establecer una directiva de auditoría que pueda rastrear las
actividades del usuario o los eventos del sistema en registros
específicos.
Mientras analiza, GFI LANguard N.S.S. extrae los ajustes de la
directiva de auditoría de seguridad actualmente configurada del
equipo(s) objetivo. Utilice esta información para identificar si las
políticas de auditoría están configuradas correctamente en sus
equipos de red.
GFI recomienda que configure los ajustes de la política de auditoría
de sus equipos de la red como sigue:
Directiva de Auditoría
Correcto
Error
Auditar sucesos de inicio de
sesión
Si
Si
Administración de cuentas
Si
Si
Si
Si
Sucesos de inicio de sesión
de cuenta
Si
Si
Acceso a objetos
Si
Si
Acceso del
directorio
servicio
de
Cambio de directivas
Si
Si
Uso de privilegios
No
No
Seguimiento de procesos
No
No
Sucesos del sistema
Si
Si
También puede configurar remotamente los ajustes de la política de
auditoría de los equipos objetivo directamente desde el interfaz de
configuración de GFI LANguard N.S.S. Esto se hace como sigue:
1. Desde el panel ’Scanned Computers’ (en el centro), haga clic
derecho sobre el equipo objetivo respectivo y seleccione Enable
auditing on ` This computer. Esto lanzará el ‘Asistente de
Administración de la Política de Auditoría’. Haga clic en Next para
proceder con la configuración.
NOTA 1: Para configurar remotamente las políticas de auditoría en
una selección de equipos objetivo, haga clic derecho sobre cualquier
ordenador objetivo (que está listado en panel del medio) y seleccione
Enable auditing on ` Selected computers.
NOTA 2: Para configurar las políticas de auditoría en todos los
equipos de listados en el panel 'Scanned Computers' (en el medio),
haga clic derecho sobre cualquier equipo objetivo y seleccione
Enable auditing on ` All computers.
GFI LANguard Network Security Scanner
Empezar: Analizar los resultados del análisis de seguridad • 33
Imagen 24 – El asistente de Administración de la Política de Auditoría
2. Seleccione/deseleccione las casillas de verificación de las políticas
de auditoría que desee ajustar en los equipos objetivo seleccionados.
Por ejemplo, para registrar los sucesos correctos, seleccione la casilla
de verificación ‘Successful’ de la política de auditoría correspondiente.
Haga clic en Next para iniciar el proceso de configuración de la
política de auditoría en el equipo(s) objetivo remoto.
Imagen 25 - Diálogo de resultados del asistente de directiva de auditoría
34 • Empezar: Analizar los resultados del análisis de seguridad
GFI LANguard Network Security Scanner
3. Se mostrará ahora un diálogo que muestra los resultados de la
configuración de la política de auditoría. Haga clic en Next para
proceder con la última etapa del procedo de configuración.
4. Haga clic en Finish para cerrar el 'Asistente de Administración de
la Política de Auditoría'.
Puertos abiertos
Haga clic en el sub-nodo
Open Ports para ver una lista de puertos
que son detectados como abiertos para escuchar en un ordenador
objetivo analizado.
Imagen 26 – El nodo Open TCP ports
Los puertos abiertos representan servicios activos y aplicaciones que
pueden ser explotados por usuarios malintencionados para obtener
acceso al ordenador. Es muy importante dejar sólo los puertos que
usted sabe que son necesarios par alas funciones centrales/básicas
de sus servicios de red. Todos los demás puertos se deben cerrar.
Por defecto GFI LANguard N.S.S. está configurado para usar el 'Perfil
de Análisis por Defecto'. A través del uso de ese perfil de análisis, no
se comprueban los 65535 puertos TCP y UDP ya que esto podría
tardar mucho tiempo en completarse por cada ordenador objetivo.
Cuando utilice el ‘Perfil de Análisis Default', GFI LANguard N.S.S.
realiza comprobaciones en los puertos más comúnmente explotados
por los hackers, virus, spyware y malware. Use el perfil de análisis
'Full TCP y UDP Port Scan’ para lanzar un comprobación íntegra de
los puertos abiertos en todos los objetivos.
Para más información sobre como lanzar auditorías de seguridad
utilizando diferentes perfiles de análisis refiérase a la sección ‘Perfiles
de análisis en acción' del capítulo 'Perfiles de Análisis' en este
manual.
Para más información sobre como personalizar un perfil de análisis
refiérase a la sección ‘Crear un nuevo perfil de análisis’ en el capítulo
‘Perfiles de Análisis’ en este manual.
GFI LANguard Network Security Scanner
Empezar: Analizar los resultados del análisis de seguridad • 35
Impresión digital de los servicios
Además de detectar si el puerto está o no abierto, GFI LANguard
N.S.S. utiliza tecnología de reconocimiento de la impresión digital de
los servicios para analizar los servicios que están funcionando tras los
puertos abiertos detectados. Mediante el reconocimiento de los
servicios puede asegurar que no tiene lugar un secuestro del puerto.
Por ejemplo, puede verificar que tras el puerto 21 de un equipo
concreto hay un servidor FTP funcionando y no un servidor HTTP.
Información de puerto peligroso
Imagen 27 – Resultados del Análisis: Los puertos peligrosos están marcados en ROJO
Cuando un puerto comúnmente explotado es encontrado abierto, GFI
LANguard N.S.S., le marcará en rojo. Hay que tener cuidado si un
puertos es mostrado en rojo, esto no significa que es al 100% un
backdoor. Actualmente con la variedad de software lanzado es muy
común que un programa válido utilice los mismo puertos que algunos
Troyanos conocidos.
Usuarios y grupos
Haga clic en el sub-nodo
Users para ver todas las cuentas de
usuario locales en el ordenador objetivo(s). Haga clic en el sub-nodo
Groups para ver todos los grupos locales en el ordenador
objetivo(s) analizado.
¡Utilice esta información para identificar usuarios y grupos granujas o
inutilizados que pueden permitir el acceso a visitantes
desautorizados! Estos incluyen la cuenta 'Invitado' y otros usuarios y
grupos en desuso u obsoletos. Algunos backdoors re-habilitan la
cuenta 'Invitado' y la conceden derechos administrativos. Utilice los
detalles enumerados en el sub-nodo Users de los resultados del
análisis para inspeccionar los privilegios de acceso asignados a cada
cuenta de usuario.
NOTA: Los usuarios no deberían utilizar cuentas locales para iniciar
sesión en un ordenador de red. Para mejor seguridad, los usuarios
deberían iniciar sesión en los ordenadores de red utilizando una
cuenta de ‘Dominio’ o 'Directorio Activo’.
36 • Empezar: Analizar los resultados del análisis de seguridad
GFI LANguard Network Security Scanner
Usuarios logados
Haga clic en el sub-nodo
Logged on Users para acceder a la lista
de usuarios que están logados localmente (vía inicio de sesión
interactivo) o remotamente (vía conexión remota de red) en el
ordenador objetivo analizado.
Imagen 28 – Nodo usuarios logados
Por cada usuario logado detectado, se recoge la siguiente
información (dependiendo de la aplicabilidad).
•
Nombre de usuario logado
•
‘Time and Date of the Logon’ – La hora y fecha cuando el
usuario se ha logado en el ordenador objetivo.
•
‘Time elapsed since their logon’ – Cuanto tiempo el usuario a
estado logado en este ordenador.
•
‘Number of programs running’ – El número de programas que el
usuario logado interactivamente ha lanzado a la hora del análisis.
•
‘Idle time’ – Cuanto tiempo ha estado inactiva la conexión
remota del usuario (es decir, completamente inactiva).
•
‘Client type’ – La plataforma/sistema operativo que el usuario
remoto utilizó para conectar al equipo objetivo.
•
‘Transport’ – El nombre del servicio que se ha usado para
iniciar la conexión remota entre el ordenador remoto y el
ordenador objetivo (por ejemplo, NetBios.Smb, Terminal Service,
Escritorio Remoto).
Servicios en marcha
Haga clic en el sub-nodo
Services para acceder a la lista de
servicios que están en marcha en el equipo(s) objetivo durante el
análisis de seguridad. Utilice esta información para identificar los
procesos en marcha desconocidos/innecesarios es su equipo(s) de
red.
GFI LANguard Network Security Scanner
Empezar: Analizar los resultados del análisis de seguridad • 37
NOTA: Cada servicio en marcha puede ser un potencial punto flaco
de la seguridad en su sistema de red. Por esta razón, nosotros
recomendamos que cierre/deshabilite todas las aplicaciones y
servicios que estén funcionando en su red. Este ejercicio endurece
automáticamente su red reduciendo los puntos de entrada a través de
los cuales un atacante puede penetrar en su sistema.
Procesos remotos en marcha
Haga clic en el sub-nodo Remote Proceses para acceder a la lista
de procesos que están en marcha en el equipo objetivo durante un
análisis.
Imagen 29 – Lista de procesos en marcha enumerados durante un análisis.
Durante el análisis de seguridad, GFI LANguard N.S.S. recoge
información varia en los procesos que están en marcha en los
equipos objetivo analizados. Los detalles enumerados durante el
análisis de seguridad incluyen:
•
Nombre del Proceso
•
ID del Proceso
•
Ruta
•
Usuario
•
PPID
•
Dominio
•
Línea de Comando
•
Handle Count
•
Thread Count
•
Prioridad.
38 • Empezar: Analizar los resultados del análisis de seguridad
GFI LANguard Network Security Scanner
Aplicaciones instaladas
Imagen 30 – Lista de aplicaciones instaladas enumerados durante un análisis de ordenador.
Haga clic sobre el sub-nodo
Applications para acceder a la lista
completa de aplicaciones que están instaladas en un ordenador
objetivo analizado. Las aplicaciones descubiertas están organizadas
en tres grupos:
•
Aplicaciones antivirus
•
Aplicaciones antispyware
•
Aplicaciones generales.
Los grupos de aplicaciones antivirus y aplicaciones antispyware
contienen la lista de aplicaciones de seguridad instaladas en un
ordenador objetivo analizado. Los detalles enumerados en estos
grupos incluyen:
•
Nombre de la aplicación.
•
‘Real time protection:’ – Indica si la protección en tiempo real
esta habilitada o deshabilitadas en una aplicación antivirus.
•
‘Up to date:’ – Indica si los archivos de firmas del
antivirus/antispyware de una aplicación de seguridad están
actualizados. Esto se logra comprobando (donde sea aplicable) el
indicador de estado de fichero de firmas en una aplicación.
•
‘Last update:’ – Muestra la fecha y la hora de la última
actualización de firmas de antivirus/antispyware.
•
‘Version:’ – Muestra el número de versión de la aplicación de
seguridad.
•
‘Publisher:’ – Muestra los detalles del fabricante.
El grupo de Aplicaciones generales contiene la lista de aplicaciones
de propósito general instaladas en un ordenador objetivo analizado.
Estas incluyen todos los programas de software que no están
clasificados como productos antivirus o antispyware tales como
Adobe Acrobat Reader y GFI LANguard Network Security Scanner.
GFI LANguard Network Security Scanner
Empezar: Analizar los resultados del análisis de seguridad • 39
Los detalles enumerados en el grupo de Aplicaciones Generales
incluyen:
•
Nombre de la aplicación.
•
‘Version:’ – Muestra el número de versión de la aplicación.
•
‘Publisher:’ – Muestra los detalles del fabricante.
Dispositivos de red
Haga clic en el sub-nodo
Network Devices para acceder a la lista
de dispositivos/componentes de red (por ejemplo, tarjetas de red
cableadas e inalámbricas) que están instaladas en un ordenador
objetivo analizado. Utilice esta información para analizar e identificar
dispositivos no autorizados conectados en su red.
Los dispositivos de red, especialmente los inalámbricos, se convierten
en una fuente principal de fuga de información en las organizaciones.
¡Se debe tener especial cuidado para asegurar que solo están
conectados
dispositivos
inalámbricos
autorizados
en
su
infraestructura de red!
Imagen 31 – Dispositivos de red enumerados durante una sesión de análisis de seguridad
GFI LANguard N.S.S. identifica todos los dispositivos de su red
incluyendo los físicos e inalámbricos. La información enumerada en el
sub-nodo Network Devices está organizada en cuatro grupos
principales:
•
Dispositivos físicos (Con cable)
•
Dispositivos inalámbricos
•
Dispositivos virtuales
•
Dispositivos Software
Cada grupo incluye varios detalles sobre el dispositivo detectado
incluyendo:
•
Dirección MAC
40 • Empezar: Analizar los resultados del análisis de seguridad
GFI LANguard Network Security Scanner
•
Dirección(es) IP Asignadas
•
Anfitrión (Host)
•
Dominio
•
Datos DHCP
•
WEP (donde esté disponible)
•
SSID (donde esté disponible)
•
Gateway
•
Estado.
Dispositivos USB
Imagen 32 - Lista de dispositivos USB detectados en un objetivo analizado
Haga clic en el sub-nodo
USB Devices para acceder a la lista de
dispositivos USB conectados al ordenador(es) objetivo. Use la
información recogida en este sub-nodo para identificar dispositivos
USB no autorizados conectados actualmente al ordenador(es)
objetivo analizado. Estos dispositivos no autorizados pueden incluir
dispositivos de almacenamiento portátil tales como el Apple iPod, o
Creative Zen así como también dispositivos inalámbricos USB y llaves
Bluetooth.
GFI LANguard Network Security Scanner
Empezar: Analizar los resultados del análisis de seguridad • 41
Información de los dispositivos no autorizados como
vulnerabilidades de alta seguridad.
Imagen 33 - Dispositivo USB peligroso clasificado como una Vulnerabilidad de Alta Seguridad
GFI LANguard N.S.S se puede configurar para distinguir entre
dispositivos USB autorizados y no autorizados. Para más información,
refiérase a la sección ‘Hacer una lista de dispositivos de red no
autorizados' en el capítulo 'Perfiles de Análisis' en este manual.
Estado de parcheo de errores del sistema.
Imagen 34 – La lista de parches ausentes e instalados enumerados durante el análisis de un
ordenador objetivo
System patching status para una visión
Haga clic sobre el nodo
general del estado de parcheo de un ordenador objetivo.
Nombres NETBIOS
Haga clic en el sub-nodo
NETBIOS names para acceder a la lista
de nombres NetBIOS enumerados durante un análisis de un
ordenador objetivo.
42 • Empezar: Analizar los resultados del análisis de seguridad
GFI LANguard Network Security Scanner
Cada ordenador en una red tiene un único nombre NetBIOS. El
nombre NetBIOS es una dirección de 16 bytes que permite identificar
los recursos NetBIOS en la red. Los nombres NETBIOS se mapean
satisfactoriamente a una dirección IP utilizando resolución de nombre
NetBIOS.
Durante el proceso de detección, GFI LANguard N.S.S. consulta la
identidad y disponibilidad de un ordenador de red objetivo usando
NetBIOS. Si esta disponible, el ordenador objetivo responderá a la
petición enviando el nombre NetBIOS respectivo.
Detalles del ordenador objetivo analizado
Imagen 35 – El nodo Computer
Haga clic en el sub-nodo
Computer para acceder a detalles
particulares sobre el ordenador objetivo analizado. Los detalles
enumerados en este nodo incluyen:
•
‘MAC:’ – Muestra la dirección MAC de la tarjeta de red que el
ordenador objetivo está usando para conectarse a la red.
•
‘Time To Live (TTL):’ – Muestra el máximo número de saltos de
red permitidos antes que un paquete de datos expire/se descarte.
En base a este valor, puede identificar la distancia (es decir, el
número de saltos del enrutador) entre el ordenador corriendo GFI
LANguard N.S.S. y el ordenador objetivo recientemente analizado.
Los valores TTL típicos abarcan 32, 64, 128 y 255.
•
‘Network Role:’ – Denota si el ordenador objetivo analizado es
una Estación de trabajo o un Servidor.
•
‘Domain:’ – Indica los detalles del dominio/grupo de trabajo.
Cuando se analizan objetivos que son parte de un dominio, este
campo muestra la lista de dominios de confianza. Si el ordenador
objetivo analizado no es parte de un dominio, este campo
mostrará el nombre del respectivo Grupo de Trabajo.
GFI LANguard Network Security Scanner
Empezar: Analizar los resultados del análisis de seguridad • 43
•
‘LAN Manager:’ – Muestra el tipo de sistema operativo y LAN
Manager en uso (por ejemplo, Windows 2000 LAN Manager).
•
‘Language:’ – Muestra el idioma configurado en el ordenador
objetivo analizado (por ejemplo, Inglés).
Sesiones activas
Imagen 36 – El nodo Sessions
Haga clic en el sub-nodo
Sessions para acceder a la lista de
sistemas que están conectados remotamente al ordenador objetivo
durante el análisis. Los detalles mostrados en este sub-nodo incluyen:
•
•
‘Computer:’ – La Dirección IP del sistema que está conectado
remotamente al ordenador objetivo analizado.
‘Username:’ – El usuario logado.
•
‘Open files:’ – El número de archivos accedidos durante la
sesión.
•
‘Connection time:’ – La duración de la sesión, es decir, el
tiempo (en segundos) que el usuario ha estado conectado
remotamente al ordenador objetivo analizado.
•
‘Idle Time:’ – El tiempo total (en segundos) durante el cual la
conexión ha estado inactiva.
•
‘Client type’ – La plataforma/sistema operativo que el ordenador
logado remotamente (es decir, el ordenador cliente) está
corriendo.
•
‘Transport’ – El nombre del servicio que se ha usado para
iniciar la conexión remota entre el ordenador cliente y el
ordenador objetivo (por ejemplo, NetBios.Smb).
NOTA: LA información enumerada en este sub-nodo también incluye
los detalles de la conexión remota de la sesión de análisis recién
realizada por GFI LANguard N.S.S., es decir, la IP del ordenador
44 • Empezar: Analizar los resultados del análisis de seguridad
GFI LANguard Network Security Scanner
donde está funcionando GFI LANguard N.S.S., las credenciales de
inicio, etc.
Hora del día remota
Haga clic en el sub-nodo
Remote TOD (time of the day) para ver
la hora de la red que se ha leído del ordenador objetivo durante en
análisis. Esta hora se establece generalmente en los equipos de red
por el controlador de dominio respectivo.
Unidades locales
Haga clic sobre el sub-nodo Local Drives para ver la lista completa
de unidades físicas que están accesibles en el ordenador objetivo
analizado. La información enumerada en este sub-nodo incluye la
letra de unidad, el espacio en disco total y el espacio en disco
disponible.
GFI LANguard Network Security Scanner
Empezar: Analizar los resultados del análisis de seguridad • 45
Guardar y cargar resultados de análisis
Introducción
Por defecto, GFI LANguard N.S.S. guarda automáticamente los
resultados del análisis en una base de datos de respaldo Microsoft
Access o Microsoft SQL Server. Sin embargo, a través de una
configuración posterior también puede guardar los resultados del
análisis en un archivo XML externo.
Los resultados de análisis guardados se pueden re-cargar desde
ficheros XML y la base de datos de respaldo en el interfaz de usuario
de GFI LANguard N.S.S. para un procesamiento posterior. Por
ejemplo, puede recargar los resultados del análisis para comparar o
para implementar parches ausentes ya descubiertos en objetivos
particulares sin re-analizar el sistema de la red.
Guardar resultados de análisis en un archivo externo (XML)
Una vez GFI LANguard N.S.S. completa un análisis de seguridad, los
resultados se guardan automáticamente en la base de datos de
respaldo. Para guardar estos resultados en un archivo XML externo:
1. Vaya a File ` Save scan results…
2. Indique el nombre del fichero XML donde se almacenarán los
resultados (por ejemplo, ScanResult_11052006.xml).
3. Haga clic en Save.
GFI LANguard Network Security Scanner
Guardar y cargar resultados de análisis • 47
Cargar resultados de análisis guardados
Cargar análisis guardados desde base de datos de respaldo
Imagen 37 – Resultados de análisis recargados
GFI LANguard N.S.S. puede almacenar los resultados de análisis en
una base de datos de respaldo Microsoft Access o Microsoft SQL
Server. En el mismo fichero de base de datos, por defecto, GFI
LANguard N.S.S. guardará los resultados de análisis de los 10 últimos
análisis realizados al mismo objetivo con el mismo perfil de análisis.
NOTA: Puede cambiar el número de resultados de análisis guardados
desde el nodo Database Maintenance a través de la pestaña
Manage Saved Scan Results. Para más información refiérase a la
sección ‘Administrar los resultados de análisis guardados' en el
capítulo 'Opciones de Mantenimiento de la Base de Datos’.
Para cargar resultados del análisis guardados desde la base de datos
de respaldo:
1. Haga clic derecho sobre el nodo Security Scanner (default) y
seleccione Load saved scan results from… ` Database. Esto abrirá
el diálogo de resultados de análisis guardados.
48 • Guardar y cargar resultados de análisis
GFI LANguard Network Security Scanner
Imagen 38 – Diálogo Resultados de Análisis Guardados
2. Seleccione los resultados de análisis que desee cargar.
3. Haga clic en OK.
Cargar resultados de análisis guardados desde un archivo
externo (XML)
Para cargar resultados de análisis guardados desde un archivo XML
externo:
1. Haga clic derecho sobre el nodo Security Scanner (default) y
seleccione Load saved scan results from… ` XML…. Esto abrirá el
diálogo de resultados de análisis XML guardados.
2. Seleccione los resultados de análisis que desee cargar.
3. Haga clic en OK.
GFI LANguard Network Security Scanner
Guardar y cargar resultados de análisis • 49
Filtrar los resultados del análisis
Introducción
Después de un análisis de seguridad, usted puede filtrar los
resultados del análisis y solo mostrar la información que desee
analizar. Por ejemplo, puede filtrar la información recogida durante un
análisis y solo mostrar los detalles relativos a equipos con
vulnerabilidades de seguridad altas.
Imagen 39 – Nodos de filtros de análisis
Para filtrar los resultados del análisis, debe aplicar un 'Filtro de
Análisis' sobre los datos recogidos en el análisis de seguridad. Los
filtros de análisis son consultas que extraen y muestran detalles
específicos de los resultados del análisis. GFI LANguard N.S.S. se
entrega con varios filtros predefinidos. Estos incluyen:
•
Informe completo: Muestra todos los datos recogidos en un
análisis relativos a la seguridad.
•
Vulnerabilidades [Alta Seguridad]: Muestra problemas
críticos que necesitan atención inmediata tales como service pack
y parches ausentes, vulnerabilidades de seguridad alta y puertos
abiertos.
•
Vulnerabilidades [Media Seguridad]: Muestra problemas que
podrían necesitar ser atendidas por el administrador tales como
amenazas medianas o parches de vulnerabilidad media.
GFI LANguard Network Security Scanner
Filtrar los resultados del análisis • 51
•
Vulnerabilidades [Todas]: Muestra todas las vulnerabilidades
Altas y Medias descubiertas durante un análisis de seguridad tales
como parches y service packs ausentes.
•
Actualizaciones de seguridad y service packs ausentes:
Muestra todos los service packs y parches ausentes descubiertos
en el equipo(s) analizado(s).
•
Dispositivos importantes - USB: Muestra todos los
dispositivos USB conectados al ordenador(es) objetivo analizado.
•
Important devices – Wireless: Muestra todos las tarjetas de
red inalámbricas, (PCI y USB) conectadas al ordenador(es)
objetivo analizado.
•
Puertos abiertos: Muestra todos los puertos TCP y UDP
abiertos descubiertos en el ordenador(es) objetivo.
•
Puertos abiertos: Muestra todos los puertos abiertos y los
derechos de acceso respectivos.
•
Directiva de Auditoría: Muestra los ajustes de la política de
auditoría del ordenador(es) objetivo analizado.
•
Directiva de Contraseñas: Muestra los ajustes de la directiva
de contraseñas activa en el ordenador(es) objetivo analizado.
•
Grupos y usuarios: Muestra los usuarios y grupos detectados
en el ordenador(es) objetivo analizado.
•
Propiedades del equipo: Muestra las propiedades de cada
equipo.
•
Aplicaciones instaladas: Muestra todas las aplicaciones
instaladas (incluyendo software de seguridad) descubiertas
durante el análisis de un equipo objetivo.
•
Non-updated security Software: Muestra solo las
aplicaciones de seguridad instaladas (es decir, software anti- que
tengan actualizaciones pendientes y archivos de definición de
firmas desactualizados.
NOTA: También puede crear nuevos filtros de análisis o personalizar
los filtros de análisis por defecto de encima.
Aplicar un filtro en un análisis
Para aplicar un filtro de resultados de análisis en los resultados del
análisis de seguridad:
1. Lance y complete un análisis de seguridad en su red o cargue los
resultados de análisis de escaneos previos desde su base de datos o
fichero XML.
52 • Filtrar los resultados del análisis
GFI LANguard Network Security Scanner
Imagen 40 – Filtros de análisis: Full report
2. Expanda los nodos Security Scanner ` Scan filter.
3. Seleccione el filtro que quiera activar (por ejemplo, Vulnerabilities
all).
Crear un filtro de análisis a medida
Para crear un filtro de análisis a medida:
1. Haga clic derecho sobre el nodo Security Scanner ` Scan filter y
seleccione New ` Filter… . Esto abrirá el diálogo de propiedades de
nuevo filtro de análisis.
GFI LANguard Network Security Scanner
Filtrar los resultados del análisis • 53
Imagen 41 – El diálogo de propiedades de nuevo Filtro de análisis: Pestaña General
2. En la pestaña General que se abre por defecto, especifique el
nombre del nuevo filtro de análisis.
Imagen 42 – Dialogo de propiedades del filtro
3. Haga clic en Add y seleccione la propiedad del filtro requerida
desde la lista provista (por ejemplo, Operating System). La propiedad
54 • Filtrar los resultados del análisis
GFI LANguard Network Security Scanner
del filtro define que tipo de información se extraerá de los resultados
del análisis (es decir, el área de interés del filtro de análisis).
4. Haga clic en Next para continuar.
Imagen 43 – Diálogo de propiedades de la condición del filtro
5. Seleccione la condición del filtro requerida desde la lista
desplegable ‘Conditions’ y especifique el valor del filtro. El valor del
filtro es la cadena de referencia que utilizará este filtro conforme a la
condición especificada para extraer información desde los resultados
del análisis.
6. Haga clic en Add para continuar.
NOTA: Puede crear múltiples condiciones de filtro para cada filtro de
análisis. Esto le permite crear poderosos filtros que aíslan más
exactamente la información de los resultados del análisis que podría
querer analizar.
GFI LANguard Network Security Scanner
Filtrar los resultados del análisis • 55
Imagen 44 – El diálogo de propiedades del nuevo Filtro de Análisis: Pestaña de elementos de
informe
7. Haga clic en la pestaña Report Items:
8. Seleccione los sub-nodos/categorías de información que se
mostrarán en el interfaz de configuración al final del proceso de
filtrado.
9. Haga clic en OK para crear el filtro.
El nuevo filtro se añadirá como nuevo sub-nodo permanente bajo el
nodo Security Scanner ` Scan filtres.
NOTA: Para borrar o personalizar un filtro de análisis, haga clic
derecho en el filtro objetivo y seleccione Delete… o Properties
respectivamente.
Ejemplo 1 – Crear un filtro que muestre todos los ordenadores
que les falte un determinado parche
En este ejemplo, crearemos un filtro que liste todos los ordenadores
basados en Windows que les falte el parche MS03-026 (es decir, el
parche del virus blaster).
1. Haga clic derecho sobre el nodo Security Scanner ` Scan filter y
seleccione New ` Filter…. Esto abrirá el diálogo de propiedades de
nuevo filtro de análisis.
2. En el campo del nombre del filtro escriba ‘Parche Blaster Ausente’.
3. Haga clic en el botón Add.
4. Seleccione la opción ‘Operating System’ y después haga clic en
Next.
56 • Filtrar los resultados del análisis
GFI LANguard Network Security Scanner
Imagen 45 – Dialogo de condiciones del filtro
5. Desde la lista desplegable de condiciones seleccione 'Includes' y
en el campo valor escriba 'Windows'.
6. Haga clic en el botón Add para agregar la condición al filtro.
Imagen 46 – El diálogo de propiedades del nuevo Filtro de Análisis: Pestaña General
7. Desde el diálogo de propiedades de nuevo filtro de análisis, haga
clic en Add para crear otra condición de filtro en la cual
GFI LANguard Network Security Scanner
Filtrar los resultados del análisis • 57
especificaremos el nombre del parche requerido (es decir, MS03026).
8. Desde la lista de propiedades del filtro, seleccione ‘Patch’ y
después haga clic en Next.
9. Desde la lista desplegable de condiciones seleccione 'is not
installed' y en el campo valor escriba 'MS03-026’.
10. Haga clic en el botón Add para incluir esta condición al filtro de
análisis.
11. Haga clic en OK para finalizar la configuración y crear el filtro. El
nuevo filtro se agrega como un nuevo sub-nodo permanente.
(Security Scanner ` Scan filter ` Missing Blaster Patch).
Ejemplo 2 – Crear un filtro que liste todas las estaciones Sun con
servidor web
Para crear un filtro que liste todas las estaciones Sun que ejecuten un
servidor web en el puerto 80, realice los siguientes pasos:
1. Haga clic derecho sobre el nodo Security Scanner ` Scan filter y
seleccione New ` Filter…. Esto abrirá el diálogo de propiedades de
nuevo filtro de análisis.
2. En el campo nombre del filtro escriba 'Servidores web en WS Sun
en el puerto 80'
3. Haga clic en el botón Add.
4. Desde la lista de propiedades del filtro seleccione ‘Operating
System’ y después haga clic en Next.
5. Desde la lista desplegable de condiciones seleccione 'Includes' y
en el campo valor escriba 'Sun OS'.
6. Haga clic en el botón Add.
7. Desde el diálogo de propiedades, haga clic en el botón Add para
agregar otra condición del filtro.
8. Seleccione ‘TCP Port’ y haga clic en Next. Esto mostrará de nuevo
el diálogo de condiciones del filtro.
9. Desde la lista desplegable de condiciones seleccione 'is open' y en
el campo valor escriba '80'.
10. Haga clic en el botón Add para incluir esta condición al filtro de
análisis.
11. Haga clic en OK para finalizar la configuración y crear el filtro. El
nuevo filtro se agrega como un nuevo sub-nodo permanente.
(Security Scanner ` Scan filter ` Sun WS web servers on port 80).
58 • Filtrar los resultados del análisis
GFI LANguard Network Security Scanner
Configurar GFI LANguard N.S.S.
Introducción
Todas las opciones de configuración de GFI LANguard N.S.S. son
accesibles a través de un conjunto de sub-nodos incluidos bajo el
nodo Configuration. Estas son:
•
El nodo Scanning profiles
•
El nodo Scheduled scans
•
El nodo Computer profiles
•
El nodo Alerting options
•
El nodo Parameter files
•
El nodo Database maintenance options
Use los nodos mencionados arriba para:
•
Personalizar los perfiles de análisis de seguridad por defecto.
•
Agregar nuevos perfiles de análisis con diferentes opciones de
análisis.
•
Configurar los análisis de seguridad programados
•
Configurar las opciones de avisos por correo de GFI LANguard
N.S.S.
•
Configurar la base de datos de respaldo a usar.
Perfiles de Análisis
Los Perfiles de Análisis son plantillas preconfiguradas las cuales
definen la manera de llevar a cabo el análisis de vulnerabilidades (por
ejemplo, qué comprobaciones de vulnerabilidad se ejecutarán durante
un análisis de un ordenador objetivo). Estos perfiles proveen de las
pruebas de vulnerabilidad y los parámetros que el motor de análisis
requiere para realizar una auditoría de seguridad contra los objetivos
seleccionados.
GFI LANguard N.S.S. soporta múltiples perfiles de análisis. De hecho
se vende con un número de perfiles de análisis por defecto que puede
usar para realizar análisis de vulnerabilidad generales o
especializados a objetivos. Además, puede personalizar esos perfiles
de análisis por defecto añadiendo o eliminando comprobaciones de
vulnerabilidad así como también personalizar los parámetros
operacionales respectivos. También puede crear nuevos perfiles de
análisis personalizados los cuales cubran su infraestructura de red y
necesidades de análisis,
Para más información sobre como crear, configurar y personalizar los
perfiles de análisis, refiérase al capítulo ‘Perfiles de Análisis' en este
manual.
GFI LANguard Network Security Scanner
Configurar GFI LANguard N.S.S. • 59
Análisis Programados
Utilice el sub-nodo Configuration ` Scheduled Scans para
configurar
análisis
que
automáticamente
son
ejecutados
periódicamente o en un día/hora específico. Esto le permite ejecutar
automáticamente análisis particulares por la noche o por la mañana
temprano en bases regulares. Las opciones de configuración de
'Scheduled Scan' están organizadas en 2 pestañas; la pestaña Result
Saving y la pestaña Results Notifications. Para acceder a esas
pestañas haga clic derecho sobre Configuration ` Scheduled Scans
y seleccione Properties. Esto abrirá el diálogo de configuración de
Análisis Programados.
Imagen 47 – El diálogo de configuración de Análisis Programados
Por defecto, todos los resultados de los análisis programados se
almacenan en la base de datos de respaldo. Utilice la pestaña Result
Saving para configurar las propiedades de los análisis programados y
almacenar los resultados de los análisis programados a un fichero
XML o HTML específico (un archivo por análisis programado).
GFI LANguard N.S.S. también se puede configurar para que envíe
automáticamente informes del análisis programado a un
dirección/destinatario de correo (por ejemplo, al Administrador) al final
de un análisis programado. Utilice la pestaña Results notifications
para especificar que informes enviar y la dirección de correo de
destino. GFI LANguard N.S.S. puede enviar por correo
automáticamente 2 tipos de informes; el informe ‘Full Scan’ y el
informe ‘Results Comparison’.
60 • Configurar GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Crear un análisis programado
Imagen 48 – Lista de Análisis Programados configurados
Para crear un análisis programado:
1. Haga clic derecho en el sub-nodo Configuration ` Scheduled
Scans y seleccione New ` Scheduled scan… Esto abrirá el diálogo
de configuración de ‘Nuevo Análisis Programado’.
Imagen 49 – Diálogo de Nuevo Análisis Programado
2. En la pestaña General la cuál se abre por defecto, especifique los
equipos objetivo (nombre del host, IP y rango de IPs).
3. Seleccione el perfil de análisis que se usará para este análisis
programado y especifique una descripción del análisis programado.
4. Si este análisis programado se ejecutará periódicamente,
especifique la frecuencia a la cuál se lanzará el análisis.
5. Especifique la fecha y la hora a la que comenzará el análisis
programado.
GFI LANguard Network Security Scanner
Configurar GFI LANguard N.S.S. • 61
6. Si se requieren credenciales de inicio alternativas, haga clic en la
pestaña Logon Credentials.
7. Desde la lista desplegable provista, seleccione una de las
siguientes opciones:
•
‘Alternative Credentials’ – Seleccione esta opción para
autenticarse a los equipos objetivo utilizando un nombre de
usuario y contraseña específicos.
•
‘SSH Private Key’ – Seleccione esta opción para autenticarse a
equipos objetivos basados en Linux utilizando la autenticación de
Clave Privada. Especifique el nombre de usuario y el fichero de
‘Clave Privada’ en los campos provistos.
NOTA: Alternativamente, puede configurar los análisis programados
para que cojan los detalles de autenticación directamente desde los
Perfiles de Ordenador. Para habilitar esta característica seleccione la
opción ‘Use data from computer profiles’. Para más información
acerca de los perfiles de ordenador, refiérase a la sección ‘Perfiles de
Ordenador' más adelante en este capítulo.
8. Haga clic en OK para salvar sus ajustes.
Configurar las opciones de guardado de los resultados del
análisis
Imagen 50 – Diálogo de propiedades de Análisis Programados
Por defecto, los resultados de los análisis programados se almacenan
en la Base de Datos de Respaldo Microsoft Access o Microsoft SQL.
Sin embargo, también puede enviar los resultados del análisis a un
archivo de informe XML o HTML. Estos archivos se pueden usar mas
adelante para operaciones de comparación de informes. Para
almacenar los resultados del análisis en un archivo XML/HTML:
62 • Configurar GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
1. Haga clic derecho sobre el sub-nodo Configuration ` Scheduled
Scans y seleccione Properties. Esto abrirá el diálogo de propiedades
de análisis programados.
2. Para guardar los resultados del análisis en un fichero XML,
seleccione la opción ‘Save scheduled scan results to XML file’ y
especifique el nombre y la ruta del fichero XML.
3. Para guardar los resultados del análisis en un fichero HTML,
seleccione la opción ‘Generate and save scan result HTML reports to:’
y especifique el nombre y la ruta del fichero HTML.
4. Haga clic en OK para guardar los ajustes.
Configurar las opciones de notificación de resultados
Imagen 51 – Propiedades de Análisis Programado: Pestaña de Notificación de resultados
GFI LANguard N.S.S. se puede configurar para enviar informes de los
análisis programados a un destinatario particular a través de correo.
Los informes que pueden ser enviados incluyen el informe ‘Full Scan
Results’ y el informe ‘Results comparison report’. El informe ‘Full Scan
Results’ contiene los resultados del análisis programado que acaba
de ser completado. El informe ‘Result Comparison’ incluye los
cambios/diferencias identificadas entre los resultados del último
análisis y los resultados del análisis anterior.
NOTA: El informe ‘Results Comparison' no se enviará por correo al
administrador si no existen diferencias entre los resultados del
análisis comparados o si está lanzando su primer análisis
programado.
Para especificar que informes se enviarán por correo después de un
análisis programado:
GFI LANguard Network Security Scanner
Configurar GFI LANguard N.S.S. • 63
1. Haga clic derecho sobre el sub-nodo Configuration ` Scheduled
Scans y seleccione Properties. Esto abrirá el diálogo de propiedades
de análisis programados.
2. Haga clic en la pestaña Results Notifications.
3. Seleccione el informe(s) que será enviado por correo cuando se
complete el análisis de correo.
4. Haga clic en OK para guardar sus ajustes.
NOTA: Utilice en nodo Configuration ` Alerting Options para
realizar cambios en los ajustes del servidor de correo o la dirección de
correo del administrador.
Perfiles de Equipo
Utilice el sub-nodo Configuration ` Computer Profiles para
especificar y almacenar las credenciales de inicio de sus equipos de
red.
Cuando se trabaja en redes de ambos tamaños grandes y pequeñas,
siempre encontrará que para algunos equipos, tiene que logarse con
un conjunto de credenciales y para otros equipos debe iniciar sesión
con un conjunto de credenciales diferente. Sistemas particulares tales
como sistemas basados en Linux a menudo hacen uso de métodos
de autenticación especiales tales como autenticación de clave
Pública. Tales métodos de autenticación requieren generalmente
credenciales de inicio especiales/personalizadas tales como archivos
de clave privada en lugar de las cadenas de contraseñas
convencionales.
A través de los perfiles de equipo, puede especificar un conjunto de
credenciales de inicio diferente por cada equipo objetivo. El motor de
análisis puede entonces referirse a las credenciales de inicio
almacenadas en esos perfiles de equipo cuando se autentique en los
equipos objetivo. Esto a su vez deja anticuada la necesidad de indicar
un conjunto de credenciales de inicio por defecto antes de comenzar
un análisis así como hace posible analizar en la misma sesión (única)
equipos objetivo que requieren credenciales de inicio y métodos de
autenticación diferentes.
Por ejemplo, puede ejecutar comprobaciones de vulnerabilidad en
objetivos Windows que requieren cadenas de credenciales
nombre/contraseña y objetivos basados en Linux que requieren
nombre/archivos SSH de clave privada, en una sola sesión de
análisis.
Sobre el fichero de autenticación de Clave Privada SSH
GFI LANguard N.S.S. se conecta a los equipos objetivo basados en
Linux a través de conexiones SSH. En la criptografía de Clave
Pública, se usan 2 claves (en forma de ficheros de texto) para
verificar la autenticidad de una petición de conexión SSH. Estas
claves se identifican como 'Clave Privada SSH' y 'Clave Pública SSH'.
La Clave Privada SSH es la mitad del par de claves que el motor de
análisis utilizará para autenticarse a un objetivo basado en Linux
remoto. Esto significa que se usa la Clave Privada SSH en lugar de la
cadena de contraseña convencional y por lo tanto se debe almacenar
en el equipo en el que está funcionando GFI LANguard N.S.S.
64 • Configurar GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
La Clave Pública SSH es la parte que el equipo remoto objetivo
utilizará para enfrentarse a la autenticación de GFI LANguard N.S.S y
se almacena en los equipos objetivo remotos.
El par de Claves SSH (es decir, las Claves Pública y Privada) son
generadas manualmente usando una herramienta de terceros tal
como SSH-KeyGen (incluida generalmente por defecto en el paquete
Linux SSH).
Crear un nuevo perfil de equipo
Imagen 52 – Dialogo de propiedades del Perfil de Equipo
Para crear un nuevo perfil de equipo
1. Haga clic derecho sobre el sub-nodo Configuration ` Computer
Profiles y seleccione New ` Computer(s) Profile… Esto abrirá el
diálogo de propiedades del Perfil de Equipo.
2. En la pestaña General que se abre por defecto, especifique el
nombre de equipo objetivo.
3. Haga clic sobre la pestaña Logon Credentials.
4. Seleccione el método de autenticación requerido y especifique las
credenciales de inicio respectivas.
5. Haga clic en OK para guardar sus ajustes.
GFI LANguard Network Security Scanner
Configurar GFI LANguard N.S.S. • 65
Cambiar las propiedades de un perfil de equipo
Imagen 53 – Lista de los perfiles de equipo existentes
Para cambiar las propiedades de un perfil de equipo existente:
1. Haga clic en el sub-nodo Configuration ` Computer Profiles
2. Haga clic derecho sobre el perfil de equipo que desee configurar y
seleccione Properties.
3. Realice los cambios requeridos y haga clic en OK para guardar sus
ajustes.
Utilizar los perfiles de equipos en un análisis
Imagen 54 – El botón 'Use data from computer profiles'
Para usar las credenciales especificadas en el nodo Computer
(‘Use data from
Profiles en un análisis, haga clic en el botón
computer profiles’) incluido en la barra de herramientas de GFI
LANguard N.S.S.
66 • Configurar GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Archivos de Parámetros
Imagen 55 – Lista de Archivos de Parámetros
Utilice el sub-nodo Configuration ` Parameter Files para acceder y
editar los varios ficheros de parámetros de texto que usa GFI
LANguard N.S.S. para analizar un equipo objetivo.
NOTA: Sólo los usuarios avanzados deberían modificar estos
archivos. Si estos archivos se modifican de una forma incorrecta,
afectará a la funcionalidad y fiabilidad del proceso de descubrimiento
de objetivos de GFI LANguard N.S.S.
La siguiente es una lista de ficheros de parámetros que se pueden
acceder y modificar a través del nodo Parameter Files:
•
Enterprise_numbers.txt – Este archivo contiene una lista de
OIDs (Identificadores de Objeto) los códigos de relación de
empresa (proveedor/universidad) asociados. Durante el análisis
del objetivo, GFI LANguard N.S.S. consultará primero el archivo
'object_ids.txt' para información sobre el dispositivo de red
descubierto. Si esta información no está disponible, GFI LANguard
N.S.S. se referenciará entonces al fichero ‘Enterprise_numbers.txt’
e intentará identificar el fabricante del producto a través de la
información específica del proveedor (recogida del dispositivo
objetivo). La información del proveedor está basada en Códigos
Empresariales Privados de Administración de Red SMI, que
pueden
ser
encontrados
en:
http://www.iana.org/assignments/enterprise-numbers
•
Ethercodes.txt – Este archivo contiene una lista de direcciones
Mac junto con su proveedor(es) asociado.
•
Ftp.txt – Este archivo contiene una lista de encabezados de
servidores FTP a través de los cuales GFI LANguard N.S.S.
puede identificar el SO de un equipo objetivo, es decir, GFI
LANguard N.S.S. puede identificar el tipo de SO que esta
funcionando en un equipo objetivo analizando el servidor FTP
instalado.
•
Identd.txt – Este archivo contiene los encabezados del protocolo
'identd' a través de los cuales GFI LANguard N.S.S. puede
identificar el SO en que esta funcionando en un equipo objetivo,
GFI LANguard Network Security Scanner
Configurar GFI LANguard N.S.S. • 67
es decir, GFI LANguard N.S.S. puede identificar un SO a través
de la información del encabezado.
•
Object_ids.txt – Este archivo contiene los object_ids SNMP así
como el distribuidor(es) y el producto(s) asociado. Cuando un
dispositivo responde a una consulta SNMP, GFI LANguard N.S.S.
comparará la información del ID de Objeto (enviado por el equipo
objetivo) con la información OID almacenada en este archivo.
•
Passwords.txt – Este archivo tiene una lista de contraseñas que
se usan para comprobar los equipos objetivo por contraseñas
débiles (es decir, para realizar ataques de diccionario).
•
Rpc.txt – Este archivo contiene los números de servicio del
protocolo RPC junto con la identificación del nombre de servicio
asociado. Cunado se encuentran funcionando servicios RPC en
un equipo objetivo basado en UNIX/Linux, GFI LANguard compara
la información RPC recibida con la información listada en este
archivo. De esta forma puede identificar y verificar la información
del nombre de servicio asociado.
•
Smtp.txt – Este archivo contiene una lista de encabezados SMTP
con los Sistemas Operativos asociados. Como con los archivos
‘FTP’ y de ‘identidad’, estos encabezados son utilizados por GFI
LANguard N.S.S. para identificar el SO que corre en el equipo
objetivo.
•
Snmp-pass.txt – Este archivo contiene una lista de cadenas
populares de la comunidad. GFI LANguard N.S.S. usa estas
cadenas d la comunidad para asegurar e identificar debilidades
SNMP en un equipo objetivo. Durante el análisis del objetivo, el
motor de análisis comprobará si alguna de las cadenas de
comunidad listadas en este archivo esta siendo usada por el
servidor SNMP objetivo. De ser el caso, estas cadenas de
comunidad se reportarán por la herramienta de análisis SNMP en
los resultados del análisis.
•
Telnet.txt – Este archivo contiene una lista de diferentes
encabezados de servidores telnet. GFI LANguard N.S.S. usará
estos encabezados telnet para identificar que SO está
funcionando en un equipo objetivo.
•
Www.txt – Este archivo contiene una lista de diferentes
encabezados de servidores web. GFI LANguard N.S.S. usará
estos encabezados de servidores web para identificar que SO
está funcionando en un equipo objetivo.
Opciones de Mantenimiento de Base de Datos
Introducción
Use el nodo Configuration ` Database Maintenance Options para
seleccionar y configurar la base de datos de respaldo de GFI
LANguard N.S.S. La base de datos de respaldo se utiliza para
almacenar los resultados de los análisis de seguridad de red.
Desde el nodo Database Maintenance Options, también puede
configurar las características de mantenimiento de la base de datos
de respaldo. Por ejemplo, puede configurar GFI LANguard N.S.S.
68 • Configurar GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
para que borre automáticamente los resultados del análisis que sean
más viejos de un determinado periodo.
Si está utilizando una base de datos de respaldo Microsoft Access,
también puede programar compactaciones de la base de datos. La
compactación le permite reparar cualquier dato corrupto y borrar
registros de la base de datos marcadas para borrado en su base de
datos de respaldo.
Configurar su base de datos de respaldo
Para configurar las opciones de mantenimiento de la base de datos,
haga clic derecho sobre el nodo Configuration ` Database
Maintenance Options y seleccione Properties. Esto abrirá el diálogo
propiedades de mantenimiento de la base de datos.
Imagen 56 – El diálogo de propiedades de mantenimiento de la base de datos
Las opciones incluidas en este diálogo son accesibles a través de tres
pestañas. Estas son:
•
La pestaña Change Database
•
La pestaña Manage Saved Scan Results
•
La pestaña Advanced.
Seleccionar su base de datos de respaldo
Utilice la pestaña Change Database para especificar que base de
datos de respaldo se usará para almacenar los resultados del análisis
guardados. Las bases de datos de respaldo soportadas incluyen
Microsoft Access y Microsoft SQL Server 2000 o superior.
GFI LANguard Network Security Scanner
Configurar GFI LANguard N.S.S. • 69
Almacenar los resultados del análisis en una base de datos
de respaldo Microsoft Access
Para almacenar los resultados del análisis en una base de datos
Microsoft Access:
1. Haga clic derecho sobre el nodo Configuration ` Database
Maintenance Options y seleccione Properties.
2. Seleccione la opción ‘Microsoft Access’.
3. Especifique la ruta completa (incluyendo el nombre de archivo) de
su base de datos de respaldo Microsoft Access.
NOTA 1: Si el archivo de base de datos especificado no existe será
creado.
NOTA 2: Si el archivo de base de datos especificado ya existe y
pertenece a una versión previa de GFI LANguard N.S.S. se mostrará
el siguiente mensaje.
Imagen 57 – Diálogo de actualización de la base de datos de respaldo
Haga clic en Yes para actualizar la base de datos de los resultados
del análisis a GFI LANguard N.S.S. 7.0.
Haga clic en No para sobrescribir la base de datos de respaldo.
4. Haga clic en el botón OK para guardar su configuración.
70 • Configurar GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Almacenar los resultados del análisis en una base de datos
de respaldo Microsoft SQL Server
Imagen Error! No sequence specified. – Opciones de base de datos de respaldo Microsoft
SQL Server
Para almacenar los resultados del análisis en una base de datos
Microsoft SQL Server:
1. Haga clic derecho sobre el nodo Configuration ` Database
Maintenance Options y seleccione Properties.
2. Seleccione la opción 'Microsoft SQL Server’.
3. Seleccione el Servidor SQL que alojará la base de datos desde la
lista de servidores descubiertos en su red provista.
4. Especifique las credenciales SQL o seleccione la opción ‘Use NT
authority credentials’ para autenticarse en el servidor SQL usando los
detalles de cuenta de windows.
5. Haga clic en OK para guardar sus ajustes.
NOTA 1: Si el servidor y las credenciales especificadas son correctas,
GFI LANguard N.S.S. iniciará sesión automáticamente en SQL Server
y creará las tablas de base de datos necesarias. Si las tablas de la
base de datos ya existen las reutilizará.
NOTA 2: Cuando utilice las credenciales de autoridad NT, asegúrese
que los servicios de GFI LANguard N.S.S. están corriendo bajo una
cuenta que tenga privilegios administrativos y de acceso a las bases
de datos SQL Server.
GFI LANguard Network Security Scanner
Configurar GFI LANguard N.S.S. • 71
Mantenimiento de base de datos – administrar los
resultados de análisis guardados
Imagen 58 – Propiedades de mantenimiento de la base de datos: Pestaña Managed saved scan
results
Use la pestaña Manage Saved Scan Results para mantener su base
de datos de respaldo y borrar los resultados del análisis que no serán
necesarios por más tiempo. El borrado de resultados del análisis
guardados no necesarios se puede lograr manualmente así como
también automáticamente a través del mantenimiento de la base de
datos programado.
Durante un mantenimiento de la base de datos programado GFI
LANguard N.S.S. borra automáticamente resultados del análisis
guardados que son más viejos de un número de días/semanas o
meses específico. También puede configurar mantenimientos de la
base de datos automáticos que mantengan solo un número específico
de resultados del análisis recientes por cada objetivo del análisis y
perfil de análisis.
Para borrar manualmente resultados del análisis guardados,
seleccione el resultado(s) particular y haga clic en el botón Delete
Scan(s).
Para dejar que GFI LANguard N.S.S. se encargue del mantenimiento
de la base de datos por usted, seleccione una de las siguientes
opciones:
•
‘Scans which are less than’ – Seleccione esta opción para borrar
automáticamente resultados del análisis que son mas viejos de un
determinado número de días/semanas o meses.
•
‘Only last’ – Seleccione esta opción para conservar solo un
número específico de resultados del análisis recientes.
72 • Configurar GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Mantenimiento de la base de datos – opciones avanzadas
Imagen 59 – Propiedades de Mantenimiento de la base de datos: La pestaña Advanced
Use la pestaña Advanced para compactar y reparar una base de
datos de respaldo basada es Microsoft Access.
Una de las cosas más importantes que puede hacer para mejorar el
rendimiento de su base de datos es repararla y compactarla
regularmente. Durante la compactación los archivos de la base datos
se reorganizan y los registros que están marcados para borrar se
borran. De este modo puede recuperar un espacio en disco precioso.
Durante el proceso de compactación, GFI LANguard N.S.S. también
repara los archivos de la base de datos de respaldo corruptos. La
corrupción puede ocurrir por varias razones. En la mayoría de los
casos, una base de datos Microsoft Access se vuelve corrupta
cuando la base de datos se cierra inesperadamente después de que
los registros se han guardado (por ejemplo, debido a un fallo de
corriente, procesos colgados, reinicios forzados, etc.).
A través de la pestaña Advanced, puede:
•
Reparar y compactar manualmente una base de datos de
respaldo Microsoft Access y haciendo clic en el botón Compact
Now.
•
Automatizar y programar la compactación de la base de datos de
respaldo Microsoft Access. En este sentido, el servicio asistente
de GFI LANguard N.S.S. atenderá automáticamente el proceso de
compactación por usted.
A través de las opciones provistas en la pestaña Advanced, puede
especificar la frecuencia a la que tendrá lugar la compactación de la
base de datos programada.
GFI LANguard Network Security Scanner
Configurar GFI LANguard N.S.S. • 73
Para compactar su base de datos de respaldo Microsoft Access una
vez, seleccione la opción ‘One time only’.
Para compactar su base de datos de respaldo regularmente (es decir,
periódicamente), seleccione la opción 'Every' y especifique:
1. La frecuencia en días/semanas o meses a la que se ejecutarán las
operaciones de compactación y reparación en su base de datos de
respaldo.
2. La fecha y la hora a la que tendrá lugar la primera/siguiente sesión
de compactación.
74 • Configurar GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Perfiles de Análisis
Introducción
Los perfiles de análisis son plantillas configurables que determinan
que comprobaciones de vulnerabilidad va a ejecutarse contra los
equipos objetivo así como los datos que se recogerán de los objetivos
analizados durante una auditoría de seguridad.
GFI LANguard N.S.S. se vende con una lista por defecto de perfiles
de análisis los cuales puede usar para realizar diferentes análisis de
su red y obtener varias informaciones sin tener que realizar cambios
de configuración. El número de comprobaciones realizadas por cada
perfil de análisis varía de acuerdo al área de vulnerabilidad de la red
que debe ser comprobada por debilidades.
Por ejemplo, usted tiene perfiles de análisis que lanzan un número de
comprobaciones de vulnerabilidad que cubren varias/amplias áreas
de su red (por ejemplo, el perfil de análisis 'Default') así como también
perfiles de análisis 'especializados' los cuales ejecutan
comprobaciones de vulnerabilidad e informan solo de debilidades
relacionadas con un área específica de su red (por ejemplo, tal como
el perfil de análisis 'Trojan Ports' el cual analiza sólo por puertos
abiertos que son explotados comúnmente por hackers y Toyanos).
La lista de perfiles de análisis es accesible expandiendo el nodo
Configuration ` Scanning profiles. Con una simple instalación, GFI
LANguard N.S.S. incluye una amplia lista de diferentes perfiles de
análisis, alguna de las cales se detalla a continuación:
•
Default: Utilice este perfil de análisis para recoger varios
segmentos de información así como también realizar un
balanceado y variado conjunto de comprobaciones de
vulnerabilidad en su equipo(s) objetivo. La información recogida
de los objetivos incluye: Los puertos abiertos explotados
comúnmente, aplicaciones instaladas, aplicaciones de seguridad
instaladas y el estado de los archivos de firmas, datos del SO,
usuarios y grupos, dispositivos de red, parches y service packs
ausentes, dispositivos USB, recursos compartidos, hora del día,
sesiones, directivas de auditoría y procesos iniciados.
•
CGI scanning: Use este perfil de análisis para recoger
información del SO y realizar comprobaciones de seguridad que
están directamente relacionadas con Servidores Web.
•
Full TCP and UDP port scan: Use este perfil de análisis para
realizar un análisis de todos los puertos TCP y UDP abiertos en el
objetivo(s). Todos los puertos desde 0-65535 son comprobados y
consultados durante el proceso de análisis.
•
Missing patches: Use este perfil de análisis para comprobar los
objetivos por actualizaciones de seguridad y service packs
ausentes.
GFI LANguard Network Security Scanner
Perfiles de Análisis • 75
•
Ping them all: Use este perfil de análisis para comprobar que
objetivos en un rango específico están encendidos.
•
Share finder: Use este perfil de análisis para comprobar que
recursos compartidos están abiertos en el objetivo(s) así como
también recoger las propiedades relacionadas con esos recursos
compartidos.
•
Removable media protection: Use este perfil de análisis para
comprobar que dispositivos de medios extraíbles están
conectados al equipo(s) objetivo.
•
Applications: Use este perfil de análisis para comprobar que
aplicaciones están instaladas en el equipo(s) objetivo.
•
Otras opciones están también disponibles.
La elección de un perfil de análisis para un análisis de seguridad esté
generalmente dictada por el:
1. Tipo de comprobaciones a realizar y las operaciones de recogida
de datos que quiera ejecutar contra su objetivo(s).
2. Tiempo que tenga para generar esos informes.
AVISO: Cuantas más comprobaciones de vulnerabilidad quiera
ejecutar, mas tiempo consumirá completar el análisis de auditoría de
seguridad.
Imagen Error! No sequence specified.Error! No sequence specified. – El nodo Scanning
Profiles
El conjunto por perfiles de análisis por defecto es totalmente
personalizable. También puede crear nuevos perfiles de análisis
personalizados los cuales cubran su diseño de red así como sus
necesidades de análisis. Por ejemplo, usted puede querer crear un
perfil de análisis que esté ajustado para usarse cuando se analicen
los equipos en su DMZ a diferencia de su red interna.
Mediante el uso de múltiples perfiles de análisis puede realizar varias
auditorías de seguridad de red sin tener que pasar un proceso de
reconfiguración para cada tipo de análisis de seguridad requerido.
76 • Perfiles de Análisis
GFI LANguard Network Security Scanner
Esto es posible creando diferentes perfiles de análisis
preconfigurados los cuales cubren específicamente las necesidades
de análisis de seguridad de su infraestructura IT y los que pueden ser
utilizados individualmente en diferentes sesiones de análisis de red.
Utilice los perfiles de análisis para su beneficio cuando le permiten
realizar comprobaciones especializadas y consultas (por ejemplo,
enumerar sólo las aplicaciones instaladas) en sus redes ahorrando
tiempo cuando se necesita información mas o menos especializada
mientras al mismo tiempo permitiéndole realizar comprobaciones que
requieren mucho tiempo bajo diferentes condiciones (por ejemplo, los
análisis de todos los puertos TCP/UDP).
Perfiles de análisis en acción
Analizar su equipo local usando el ‘Perfil de Análisis
Default'
1. Vaya a File ` New ` Scan single computer…
2. Seleccione la opción ‘This computer’
Imagen 60 – Diálogo de Nuevo Análisis.
3. Ponga el valor del cuadro combinado ‘Scan Profile’ a ‘Default’.
4. Haga clic en OK para iniciar en análisis.
CONSEJO: Tome nota del tiempo que toma terminar el análisis así
como el rango de información que devuelve.
Analizar su equipo local usando el ‘Perfil de Análisis
Applications'
1. Vaya a File ` New ` Scan single computer…
2. Seleccione la opción ‘This computer’
GFI LANguard Network Security Scanner
Perfiles de Análisis • 77
Imagen 61 – Diálogo de Nuevo Análisis. Seleccionando el perfil de análisis de vulnerabilidad
'Applications'
3. Ponga el valor del cuadro combinado ‘Scan Profile’ a ‘Applications’.
4. Haga clic en OK para iniciar en análisis.
Como puede ver el tiempo que lleva completar un análisis de
vulnerabilidad usando el perfil de análisis 'Applications’ es
considerablemente menor que el del perfil de análisis 'Default’
realizado anteriormente. Esto es porque el perfil de análisis
‘Applications’ solo realiza comprobaciones de vulnerabilidad
específicas que analiza e informa de las aplicaciones instaladas en
los equipos objetivo analizados. Por lo tanto no se ejecutan otras
comprobaciones de vulnerabilidad contra el objetivo(s) y no se
recogen datos extra del equipo(s) objetivo.
Por otro lado, el perfil de análisis ‘Default’ es más genérico y realiza
comprobaciones de vulnerabilidad en casi todas las áreas vulnerables
de su red. Por lo tanto necesita más tiempo para completar el análisis
así como también se recoge más información de los objetivos
analizados y se reporta en los resultados del análisis.
Crear un nuevo perfil de análisis
Para crear un nuevo perfil de análisis:
1. Haga clic derecho sobre el nodo Configuration ` Scanning
profiles y seleccione New ` Scan Profile…
2. Especifique el nombre del nuevo perfil en el diálogo de la pantalla.
78 • Perfiles de Análisis
GFI LANguard Network Security Scanner
Imagen Error! No sequence specified.Error! No sequence specified.Error! No sequence
specified. – La página de configuración de los Perfiles de Análisis
3. Haga clic en el botón OK.
En el panel derecho del interfaz de configuración, se le presentará un
interfaz con pestañas a través del cual puede configurar los
parámetros operacionales para este perfil de análisis nuevo. Las
pestañas mostradas en la parte de arriba de la página de
configuración del perfil de análisis están listadas abajo:
•
Pestaña TCP ports - Use las opciones en esta pestaña para
habilitar el análisis de puertos TCP y especificar que puertos TCP
se van a comprobar.
•
Pestaña UDP ports - Use las opciones en esta pestaña para
habilitar el análisis de puertos UDP y especificar que puertos UDP
se van a comprobar.
•
Pestaña OS data - Use las opciones en esta pestaña para
especificar qué datos del sistema operativo se van a recoger del
objetivo(s).
•
Pestaña Vulnerabilities - Use las opciones en esta pestaña para
habilitar el análisis de vulnerabilidades y especificar qué
comprobaciones de vulnerabilidad se ejecutarán en el objetivo(s).
•
Pestaña Patches - Use las opciones en esta pestaña para
habilitar el análisis parche ausentes y especificar qué
actualizaciones de seguridad ausentes se comprobarán en el
objetivo(s).
•
Pestaña Scanner properties - Use las opciones en esta pestaña
para configurar los parámetros operacionales del motor de análisis
y el descubrimiento de objetivos (por ejemplo, valores de
vencimiento de tiempo, métodos de consulta, etc.).
•
Devices – Use las opciones en esta pestaña para habilitar el
análisis de dispositivos conectados y especificar que dispositivos
de red y USB son autorizados/no autorizados.
GFI LANguard Network Security Scanner
Perfiles de Análisis • 79
•
Applications - Use las opciones en esta pestaña para habilitar el
análisis de aplicaciones instaladas y especificar que aplicaciones
instaladas son autorizadas/no autorizadas.
Personalizar un perfil de análisis
Para personalizar un perfil de análisis:
1. Expanda el nodo Configuration ` Scanning Profiles.
2. Seleccione el perfil de análisis a editar.
3. Desde el panel de la derecha, utilice las pestañas en la parte de
arriba de la página para acceder a la página(s) de configuración
requerida y realice los cambios de parámetros necesarios. Los
cambios se harán efectivos en el siguiente nuevo análisis.
Configurar las opciones de análisis de puertos TCP/UDP
Imagen Error! No sequence specified. Error! No sequence specified.Error! No sequence
specified.– Propiedades de los Perfiles de Análisis: Opciones de la pestaña TCP Ports
Habilitar/deshabilitar el análisis de Puertos TCP
Para habilitar el análisis de Puertos TCP en un perfil de análisis
particular:
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña TCP Ports.
3. Marque la casilla de verificación al lado de la opción ‘Enable TCP
Port Scanning’.
NOTA: El análisis de Puertos TCP es configurable en un perfil de
análisis en base al perfil de análisis. Si en un perfil particular esta
opción no está seleccionada, no se realizará ninguna prueba de
comprobación de puerto TCP abierto en las auditorias de seguridad
llevadas a cabo por este perfil de análisis.
80 • Perfiles de Análisis
GFI LANguard Network Security Scanner
Habilitar/deshabilitar el análisis de Puertos UDP
Para habilitar el análisis de Puertos UDP en un perfil de análisis
particular:
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Haga clic en la pestaña UDP Ports.
3. Marque la casilla de verificación al lado de la opción ‘Enable UDP
Port Scanning’.
NOTA: El análisis de Puertos UDP es configurable en un perfil de
análisis en base al perfil de análisis. Si en un perfil particular esta
opción no está seleccionada, no se realizará ninguna prueba de
comprobación de puerto UDP abierto en las auditorias de seguridad
llevadas a cabo por este perfil de análisis.
Personalizar la lista de puertos TCP/UDP a analizar
Para especificar qué puertos TCP/UDP serán enumerados y
procesados por un perfil de análisis durante una auditoría de
seguridad:
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña TCP Ports o UPP
Ports según el caso.
3. Seleccione la casilla de verificación de puertos TCP/UDP que serán
comprobador por este perfil de análisis.
Agregar un Nuevo puerto TCP/UDP a la lista
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña TCP Ports.o UDP
Ports según el caso.
3. Haga clic en el botón Add. Esto abrirá el diálogo de Agregar
Puerto.
GFI LANguard Network Security Scanner
Perfiles de Análisis • 81
Imagen 62 - Diálogo de Añadir Puerto
4. Especifique el número de puerto y un rango de puertos (por
ejemplo ’80-200’) y una descripción adecuada del puerto.
NOTA: Siempre incluya los rangos de puertos dentro de comillas
simples (') (por ejemplo, '80-200').
5. Si la aplicación asociada a este puerto es un Troyano, haga clic en
la casilla de verificación ‘Is a Trojan port'.
Cómo editar o eliminar un puerto
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña TCP Ports.o UPP
Ports según el caso.
3. Seleccione el puerto que desee editar o eliminar.
4. Haga clic en el botón Edit o Remove según el caso.
NOTA: Cuando se elimina un puerto, se eliminará de TODOS los
perfiles de análisis. Si desea que GFI LANguard N.S.S. sólo de
analizar su presencia, desmarque la casilla de verificación del al lado.
82 • Perfiles de Análisis
GFI LANguard Network Security Scanner
Configurar las opciones de recogida de datos del SO
Imagen 63 Error! No sequence specified.Error! No sequence specified.– Propiedades de los
Perfiles de Análisis: Pestaña de opciones OS Data
Utilice la pestaña OS Data para especificar que información del SO
será recogida de un equipo objetivo durante un análisis de seguridad.
GFI LANguard N.S.S. puede recoger datos del sistema operativo de
equipos objetivo basados en Windows y Linux.
Personalizar los parámetros de Recogida de Datos del SO
Para especificar qué datos del SO serán enumerados y procesados
por un perfil de análisis durante una auditoría de seguridad:
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña OS Data.
3. Expanda el grupo ‘Windows OS Data’ o ‘Linux OS Data’ según el
caso.
4. Especifique que información el SO Windows/Linux es recogida por
el escáner de seguridad de los sistemas operativos objeivos.
Por ejemplo, si quiere excluir los recursos administrativos de los
resultados del análisis, expanda la opción ‘Enunmerate shares’ y
establezca la opción 'Display admin shares' a ‘No’.
GFI LANguard Network Security Scanner
Perfiles de Análisis • 83
Configurar las opciones de análisis de vulnerabilidades
Imagen 64 Error! No sequence specified.Error! No sequence specified.– Propiedades de los
Perfiles de Análisis: Pestaña de opciones Vulnerabilities
Use la pestaña Vulnerabilities para especificar qué vulnerabilidades
serán investigadas durante el análisis de un equipo objetivo. Por
defecto, GFI LANguard N.S.S. se vende con una lista predefinida de
comprobaciones de vulnerabilidad. Puede personalizar y seleccionar
que comprobaciones se van realizar durante una auditoría de
seguridad en un perfil de análisis en base al perfil de análisis.
También puede agregar sus propias comprobaciones de
vulnerabilidad personales para ajustarse a sus requerimientos de
análisis de seguridad de su red.
Habilitar/deshabilitar el análisis de vulnerabilidad
Para habilitar el análisis de vulnerabilidad en un perfil de análisis
particular,
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña Vulnerabilities.
3. Marque la casilla de verificación al lado de la opción ‘Enable
Vulnerability Scanning’.
NOTA: El análisis de vulnerabilidad es configurable en un perfil de
análisis en base al perfil de análisis. Si en un perfil particular esta
opción no está seleccionada, no se realizará ninguna prueba
vulnerabilidad en las auditorias de seguridad llevadas a cabo por este
perfil de análisis.
84 • Perfiles de Análisis
GFI LANguard Network Security Scanner
Personalizar la lista de vulnerabilidades a analizar
Para especificar qué vulnerabilidades serán enumeradas y
procesadas por un perfil de análisis durante una auditoría de
seguridad:
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña Vulnerabilities.
Imagen 65 – Seleccionar las comprobaciones de seguridad a ejecutar por este perfil de análisis
3. Seleccionar la casilla de verificación al lado de las comprobaciones
de vulnerabilidad que desee ejecutar a través de este perfil de
análisis.
Personalizar las propiedades de las comprobaciones de
vulnerabilidad
Todas las comprobaciones listadas en la pestaña Vulnerabilities
tienen propiedades específicas las cuales determinan cuando se
dispara la comprobación y qué detalles se enumerarán durante un
análisis.
GFI LANguard Network Security Scanner
Perfiles de Análisis • 85
Imagen 66 – Dialogo de propiedades de vulnerabilidad. Pestaña General
Las propiedades de la comprobación de vulnerabilidad incluyen:
•
Nombre de la vulnerabilidad y descripción corta.
•
Nivel de Seguridad asociado con la vulnerabilidad.
•
BugtraqID/URL a información relevante.
•
Tiempo consumido por la comprobación de vulnerabilidad
respectiva durante el análisis.
•
Condiciones de desencadenamiento de la comprobación de
vulnerabilidad (por ejemplo, método http, la cadena de Salida).
Para cambiar
vulnerabilidad:
las
propiedades
de
una
comprobación
de
1. Haga clic derecho sobre la vulnerabilidad a personalizar y
seleccione Properties.
2. Haga los cambios
comprobación.
requeridos
a
las
propiedades
de
la
3. Haga clic en OK para guardar sus ajustes.
86 • Perfiles de Análisis
GFI LANguard Network Security Scanner
Comprobaciones de vulnerabilidad - opciones avanzadas
Imagen 67 – Diálogos avanzados del análisis de vulnerabilidad
Utilice el botón Advanced incluido en la pestaña Vulnerabilities para
levantar las opciones avanzadas del análisis de vulnerabilidad. Desde
estas opciones puede:
1. Configurar características extendidas del análisis de vulnerabilidad
que comprueban sus equipos objetivo por contraseñas débiles,
acceso anónimo FTP, y cuentas de usuario no utilizadas.
2. Configurar como maneja GFI LANguard N.S.S. las comprobaciones
de vulnerabilidad recientemente creadas que usted hace. Especifique
si incluir o excluir automáticamente las comprobaciones de
vulnerabilidad recientemente añadidas en los otros perfiles de
análisis.
3. Configurar GFI LANguard N.S.S. para enviar las peticiones CGI a
través de un servidor proxy específico. Esto es obligatorio cuando las
peticiones CGI se envían desde un equipo que está detrás de un
firewall a un servidor web objetivo que está 'fuera' del firewall (por
ejemplo, servidores Web que están en la DMZ). El firewall
generalmente bloqueará todas las peticiones CGI que se envían
directamente por GFI LANguard N.S.S. hacia un equipo objetivo que
está frente al firewall. Para evitar esto, establezca al opción ‘Send
CGI requests through proxy’ a ‘Yes’ y especifique el nombre/dirección
IP de su servidor proxy y el puerto de comunicaciones que se va a
usar para transmitir las peticiones CGI al objetivo.
GFI LANguard Network Security Scanner
Perfiles de Análisis • 87
Configurar las opciones de análisis de parches
Personalizar las opciones del análisis de parches ausentes
del perfil
Imagen 68 Error! No sequence specified.Error! No sequence specified.– Propiedades de los
Perfiles de Análisis: Opciones de la pestaña Patches
Use la pestaña Patches para especificar que actualizaciones de
seguridad se van a comprobar cuando se analiza un equipo objetivo.
Los parches a comprobar están seleccionados de la lista completa de
actualizaciones de software disponibles que están incluidas en esta
pestaña. Esta lista se actualiza automáticamente cuando GFI lanza
una nueva actualización del fichero de definición de parches ausentes
para GFI LANguard N.S.S.
Desde esta pestaña también puede ver el Boletín de información de
cada actualización de software de la lista. Para acceder a esta
información, haga clic derecho sobre el parche respectivo y
seleccione Properties.
Habilitar/deshabilitar las comprobaciones de detección de
parches ausentes
Para habilitar las comprobaciones de detección de de parches
ausentes en un perfil de análisis particular,
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña Patches.
3. Seleccione la casilla de verificación al lado de la opción ‘Detect
installed and missing service packs/patches’.
NOTA: Las comprobaciones de detección de parches ausentes son
configurables en un perfil de análisis en base al perfil de análisis. Si
en un perfil particular esta opción no está seleccionada, no se
88 • Perfiles de Análisis
GFI LANguard Network Security Scanner
realizará ninguna comprobación de detección de parches ausentes en
las auditorias de seguridad llevadas a cabo por este perfil de análisis.
Personalizar la lista de parches de software a analizar
Para especificar qué parches de software ausentes serán
enumerados y procesados por un perfil de análisis durante una
auditoría de seguridad:
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña Patches.
Imagen 69 - Seleccionando los parches ausentes a enumerar
3. Seleccione/deseleccione la casilla de verificación al lado de las
comprobaciones de parches ausentes que desee ejecutar a través de
este perfil de análisis.
Utilizar la facilidad de búsqueda del boletín de información
Imagen 70 – Boletín de información extendida
Para buscar un boletín particular:
GFI LANguard Network Security Scanner
Perfiles de Análisis • 89
1. Especifique el nombre del boletín (por ejemplo, MS02-017) o el
QNumber (por ejemplo, Q311987) en la cuadro de entrada de la
herramienta de búsqueda en la parte de abajo del panel de la
derecha.
2. Haga clic en Find para comenzar la búsqueda de su entrada.
Configurar las opciones del análisis de seguridad
Imagen 71 Error! No sequence specified.Error! No sequence specified.– Propiedades de los
Perfiles de Análisis: Pestaña Scanner Options
Use la pestaña Scanner Options para configurar los parámetros
operacionales del motor de análisis de seguridad. Estos parámetros
son configurables en un perfil de análisis en base al perfil de análisis y
definen cómo el motor de análisis realizará el descubrimiento de
objetivos y consulta de Datos del SO.
Las opciones configurables incluyen tiempos de vencimiento, tipos de
consultas a ejecutar durante un descubrimiento de objetivo, ámbito
SNMP para consultas y más.
NOTA: ¡Configure estos parámetros con extremo cuidado! Una
configuración incorrecta puede afectar al rendimiento del análisis de
seguridad de GFI LANguard N.S.S.
90 • Perfiles de Análisis
GFI LANguard Network Security Scanner
Configurar las opciones de análisis de dispositivos conectados
Imagen 72 – La página de configuración Devices: Pestaña de opciones Network Devices
Use la pestaña Devices para habilitar el análisis e información de
dispositivos de red y USB instalados en sus equipos objetivo.
Imagen 73 – Los dispositivos de red peligrosos se listan como Vulnerabilidades de Seguridad
Alta
Junto con la enumeración de dispositivos, puede adicionalmente
configurar GFI LANguard N.S.S. para generar alertas de
vulnerabilidad de seguridad alta cuando se detecta hardware USB y
de red particular. Esto se logra componiendo una listas de
dispositivos de red y USB no autorizados/en lista negra de los cuales
desea ser alertado.
GFI LANguard Network Security Scanner
Perfiles de Análisis • 91
También puede configurar GFI LANguard N.S.S. para excluir de los
resultados del análisis dispositivos particulares los cuales son
considerados con 'seguros' tales como teclados USB. Esto se logra
componiendo una lista de dispositivos seguros/en lista blanca los
cueles usted desea que el motor de análisis ignore durante una
auditoría de seguridad.
Imagen 74 – Lista de dispositivos de red no autorizados/en lista negra
El análisis de de dispositivos de red y USB es configurable en un
perfil de análisis en base al perfil de análisis. Por lo tanto puede
personalizar sus auditorías de dispositivos creando múltiples perfiles
de análisis con diferentes listas de dispositivos no autorizados o
seguros.
Por ejemplo, puede crear un perfil de análisis de dispositivos genérico
que compruebe y enumere todos los dispositivos de red y USB
encontrados conectados en sus objetivos. En ese caso, no necesita
especificar ningún dispositivo en las listas de no autorizados e
ignorados de su perfil de análisis. Similarmente puede crear un perfil
de análisis aparte que enumere sólo llaves Bluetooth y tarjetas NIC
inalámbricas conectadas en sus equipos objetivo.
Imagen 75 – Lista de dispositivos de red no autorizados/en lista negra
Sin embargo, en este caso debe especificar ‘Bluetooth’ y ‘Wireless’ o
‘Wifi’ en las listas de red y USB de no autorizados en su perfil de
análisis.
Todas las opciones de configuración de análisis de dispositivos son
accesibles a través de 2 sub-pestañas contenidas en la página de
configuración de dispositivos. Estas son la pestaña Network Devices
y la pestaña USB Devices.
Use la sub-pestaña Network Devices para configurar las opciones de
análisis de dispositivos de red y las listas de dispositivos no
autorizados/seguros.
Use la sub-pestaña USB Devices para configurar las opciones de
análisis de dispositivos USB y las listas de dispositivos no
autorizados/seguros.
92 • Perfiles de Análisis
GFI LANguard Network Security Scanner
Analizar por dispositivos de red conectados
Imagen 76 – La página de configuración Device: Pestaña de opciones Network Devices
Habilitar/deshabilitar comprobaciones de dispositivos de
red instalados
Para habilitar los análisis de dispositivos de red conectados en un
perfil de análisis:
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña Devices.
3. Seleccione la casilla de verificación al lado de la opción ‘Enable
Scanning for installed Network Devices on the target computer(s)’.
NOTA: El análisis de dispositivos de red es configurable en un perfil
de análisis en base al perfil de análisis. Si en un perfil particular esta
opción no está seleccionada, no se realizará ninguna comprobación
de dispositivos de red instalados en las auditorias de seguridad
llevadas a cabo por este perfil de análisis.
GFI LANguard Network Security Scanner
Perfiles de Análisis • 93
Imagen 77 – La página de configuración Devices: Listas de dispositivos no autorizados e
Ignorados
Componer una lista de dispositivos de red no autorizados
Para componer una lista de dispositivos de red peligrosos:
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña Devices.
3. Haga clic en la sub-pestaña Network Devices.
Imagen 78 – Lista de dispositivos de red no autorizados/en lista negra
4. En la lista debajo de ‘Create a high security vulnerability for network
devices whose name contains:’ especifique los nombres de los
dispositivos de red que desea clasificar como vulnerabilidades de
seguridad alta.
Pro ejemplo, si usted introduce la palabra "wireless" será notificado a
través de una alerta de vulnerabilidad de seguridad alta cuando se
detecte un dispositivo cuyo nombre contiene la palabra “wireless".
Componer una lista de dispositivos de red seguros
Para componer una lista de dispositivos de red seguros:
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña Devices.
3. Haga clic en la sub-pestaña Network Devices.
94 • Perfiles de Análisis
GFI LANguard Network Security Scanner
4. En la lista debajo de ‘Ignore devices (Do not list/save to db) whose
name contains:’ especifique los nombres de los dispositivos de red
seguros que quiera excluir de los resultados del análisis.
NOTA: Incluya solo un nombre de dispositivo de red por línea.
Configurar las opciones avanzadas de análisis de
dispositivos de red
Imagen 79 – Diálogo de configuración avanzada de dispositivos de red
Desde la pestaña Devices, también puede especificar el tipo de
dispositivos de red que serán comprobados por este perfil de análisis
e informados en los resultados del análisis. Estos incluyen: ‘wired
network devices’, ‘wireless network devices’, ‘software enumerated
network devices’ y ‘virtual network devices’.
Para especificar que dispositivos de red a enumerar en los resultados
del análisis:
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña Devices.
3. Haga clic en la sub-pestaña Network Devices.
4. Haga clic en el botón Advanced en la parte de debajo de la página.
5. Establezca las opciones requeridas a ‘Yes’.
6. Haga clic en el botón OK.
GFI LANguard Network Security Scanner
Perfiles de Análisis • 95
Analizar por dispositivos USB
Imagen 80 Error! No sequence specified.– Los dispositivos USB peligrosos se listan como
Vulnerabilidades de Seguridad Alta
Habilitar/deshabilitar comprobaciones por dispositivos USB
conectados
Para habilitar los análisis de dispositivos USB conectados en un perfil
de análisis:
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña Devices.
3. Seleccione la casilla de verificación al lado de la opción ‘Enable
scanning for USB Devices installed on the target computer(s)’.
NOTA: El análisis de dispositivos USB es configurable en un perfil de
análisis en base al perfil de análisis. Si en un perfil particular esta
opción no está seleccionada, no se realizará ninguna comprobación
de dispositivos USB conectados en las auditorias de seguridad
llevadas a cabo por este perfil de análisis.
Componer una lista de dispositivos USB no autorizados
Para
componer
una
autorizados/peligrosos:
lista
de
dispositivos
USB
no
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña Devices.
3. Haga clic en la sub-pestaña USB Devices.
4. En la lista debajo de ‘Create a high security vulnerability for USB
devices whose name contains:’ especifique los nombres de los
96 • Perfiles de Análisis
GFI LANguard Network Security Scanner
dispositivos USB que desea clasificar como vulnerabilidades de
seguridad alta.
Imagen 81 – Lista de dispositivos USB no autorizados/en lista negra
Pro ejemplo, si usted introduce la palabra "iPod" será notificado a
través de una alerta de vulnerabilidad de seguridad alta cuando se
detecte un dispositivo cuyo nombre contiene la palabra “iPod".
Componer una lista de dispositivos USB seguros
Para componer una lista de dispositivos USB seguros:
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña Devices.
3. Haga clic en la sub-pestaña USB Devices.
4. En la lista debajo de ‘Ignore (Do not list/save to db) devices whose
name contains:’ especifique los nombres de los dispositivos USB
seguros (por ejemplo, ratón USB) que quiera excluir de los resultados
del análisis.
NOTA: Incluya solo un nombre de dispositivo USB por línea.
Configurar las opciones de análisis de aplicaciones
Utilice la pestaña Applications para especificar que aplicaciones
instaladas serán investigadas por este perfil de análisis durante un
análisis de un equipo objetivo.
Imagen 82 – La página de configuración de aplicaciones
GFI LANguard Network Security Scanner
Perfiles de Análisis • 97
A través de esta pestaña, también puede configurar GFI LANguard
N.S.S. para detectar e informar de software 'no autorizado' o 'caliente'
instalado en objetivos analizados y para generar alertas de
vulnerabilidad de seguridad alta cuando tal software es descubierto.
Imagen 83 – Lista de aplicaciones antivirus y antispyware soportadas
Por defecto, GFI LANguard N.S.S. también soporta la integración con
aplicaciones de seguridad particulares. Estas incluyen varios
programas antivirus y antispyware. Durante un análisis de seguridad,
GFI LANguard N.S.S. comprobará si los programas antivirus o
antispyware soportados están correctamente configurados y que los
respectivos archivos de definiciones están al día.
El análisis de aplicación es configurable en un perfil de análisis en
base al perfil de análisis y todas las opciones de configuración son
accesibles a través de dos sub-pestañas dentro de la página de
configuración de aplicaciones. Esas son la sub-pestaña Installed
Applications y la sub-pestaña Security Applications.
Habilitar/deshabilitar comprobaciones de aplicaciones
instaladas
Para habilitar los análisis de aplicaciones instaladas en un perfil de
análisis particular:
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña Applications.
3. Seleccione la casilla de verificación al lado de la opción ‘Enable
Scanning for installed applications on target computers’.
NOTA: El análisis de aplicaciones instaladas es configurable en un
perfil de análisis en base al perfil de análisis. Si en un perfil particular
esta opción no está seleccionada, no se realizará ninguna
comprobación aplicaciones instaladas en las auditorias de seguridad
llevadas a cabo por este perfil de análisis.
98 • Perfiles de Análisis
GFI LANguard Network Security Scanner
Analizar por aplicaciones instaladas
Imagen 84 – La pestaña Applications La pestaña de opciones Installed Applications
Componer una lista de aplicaciones no autorizadas
Para componer una lista de aplicaciones peligrosas:
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña Applications.
3. Haga clic en la sub-pestaña Installed Applications.
4. Seleccione la opción ‘All applications except the ones whose name
contains:’
Imagen 85 - Lista de aplicaciones no autorizadas
5. En la lista de debajo de la opción previamente seleccionada,
especifique los nombre de las aplicaciones instaladas que quiera
clasificar como vulnerabilidades de seguridad alta.
Pro ejemplo, si usted introduce la palabra "Kazaa" será notificado a
través de una alerta de vulnerabilidad de seguridad alta cuando se
detecte una aplicación cuyo nombre contiene la palabra “Kazaa".
GFI LANguard Network Security Scanner
Perfiles de Análisis • 99
Componer una lista de aplicaciones seguras
Para componer una lista de aplicaciones seguras:
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña Applications.
3. Haga clic en la sub-pestaña Installed Applications.
4. En la lista debajo de ‘Ignore (Do not list/save to db) applications
whose name contains:’ especifique los nombres de las aplicaciones
seguras que quiera excluir de los resultados del análisis.
NOTA: Incluya solo un nombre de aplicación por línea.
Analizar por aplicaciones de seguridad
Imagen 86 – La página de configuración de aplicaciones La pestaña de opciones Security
Applications
GFI LANguard N.S.S. se vende con una lista por defecto de
aplicaciones antivirus y antispyware las cuales pueden ser
comprobadas durante un análisis de seguridad.
Habilitar/deshabilitar comprobaciones de aplicaciones de
seguridad
Para habilitar las comprobaciones de aplicaciones de seguridad
instaladas en un perfil de análisis particular:
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña Applications.
100 • Perfiles de Análisis
GFI LANguard Network Security Scanner
3. Seleccione la casilla de verificación al lado de la opción ‘Detect and
process installed anti-virus/anti-spyware software on target
computers’.
NOTA: El análisis de aplicaciones de seguridad instaladas es
configurable en un perfil de análisis en base al perfil de análisis. Si en
un perfil particular esta opción no está seleccionada, no se realizará
ninguna comprobación aplicaciones de seguridad instaladas en las
auditorias de seguridad llevadas a cabo por este perfil de análisis.
Personalizar la lista de aplicaciones de seguridad para el
análisis
Para especificar que aplicaciones de seguridad serán analizadas
durante una auditoría:
1. Expanda el nodo Configuration `Scanning Profiles y seleccione
el perfil de análisis que desee personalizar.
2. Del panel de la derecha, haga clic en la pestaña Applications.
3. Haga clic en la pestaña Security Applications.
Imagen 87 - Seleccionando las aplicaciones de seguridada a ser investigadas
4. Seleccione las casillas de verificación de las aplicaciones de
seguridad que desee investigar cuando realice auditorías de
seguridad con este perfil de análisis.
GFI LANguard Network Security Scanner
Perfiles de Análisis • 101
Configurar las aplicaciones de seguridad – opciones
avanzadas
Imagen 71 – Diálogo de configuración de opciones avanzadas
Use el botón Advanced incluido en la página de configuración de
Security Applications para configurar las comprobaciones
extendidas de los productos de seguridad las cuales generan alertas
de vulnerabilidad de seguridad alta cuando:
•
Los archivos de definición del producto antivirus o antispyware
están desactualizados.
•
La característica ‘Protección en Tiempo Real’ de una aplicación
antivirus o antispyware particular se encuentra deshabilitada.
•
Ninguno de los programas antivirus o antispyware seleccionado
está actualmente instalado en el equipo objetivo analizado.
102 • Perfiles de Análisis
GFI LANguard Network Security Scanner
Actualizaciones de programa GFI
LANguard N.S.S.
Introducción
GFI LANguard N.S.S. utiliza un número de archivos de parámetros los
cuales sirven para diferentes propósitos en el proceso de análisis de
seguridad de su red. Estas bases de datos se actualizan
periódicamente por GFI ofreciendo las últimas actualizaciones de la
administración de parches de Microsoft, comprobaciones de
vulnerabilidad y datos de identificación de dispositivos.
Periódicamente GFI también provee nuevas revisiones de GFI
LANguard N.S.S. que contienen nuevas características así como
parches y mejoras del motor que mejoran el rendimiento de sus
herramientas de análisis de seguridad de red.
Utilice la herramienta ‘Program Updates’ para descargar los últimos
archivos de referencia y revisiones del programa. Por defecto, GFI
LANguard N.S.S. está configurado para comprobar automáticamente
las actualizaciones de programa en cada inicio. Las actualizaciones
de programa también se pueden iniciar ejecutando el ‘Asistente de
Actualización de Programa' desde Help ` Check for updates.
GFI LANguard Network Security Scanner
Actualizaciones de programa GFI LANguard N.S.S. • 103
Comprobar la versión de las actualizaciones actualmente
instaladas
Imagen 88 – Detalles sobre las actualizaciones actualmente instaladas
Haga clic en el nodo General ` Program Updates para ver el estado
de actualización de su GFI LANguard N.S.S.
Los detalles de actualización del programa están organizados en
categorías y se muestran en el panel derecho de su interfaz de
configuración. Cada categoría incluye la fecha de la última
actualización realizada, la fecha de la descarga más reciente así
como la versión de la actualización actual de la base de datos
instalada.
104 • Actualizaciones de programa GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Descargar actualizaciones de software desde Microsoft en
diferentes idiomas
Imagen 89 - Seleccionando los archivos de actualización de Microsoft
Con una simple instalación, GFI LANguard N.S.S. soporta la
administración de parches en muchos idiomas. A través de la
actualización de parches multi-idioma usted puede descargar e
implementar actualizaciones de productos Microsoft ausentes,
descubiertas durante un análisis de seguridad, en una variedad de
diferentes idiomas.
El motor de análisis de seguridad identifica parches y service packs
de Microsoft ausentes referenciando a los ‘ficheros de Actualización
de Software de Microsoft'. Estos archivos contienen la última
(completa) lista de actualizaciones de producto actualmente provistas
por Microsoft y están disponibles en todos los idiomas soportados por
los productos Microsoft.
Use la herramienta ‘Actualización de Programa’ de GFI LANguard
N.S.S. para descargar los últimos ‘ficheros de Actualización de
Software de Microsoft' en todos los idiomas que use actualmente en
su red. Esto permitiría al motor de análisis de seguridad descubrir e
informar de parches y service packs ausentes en Inglés así como
también los que no son en Inglés. Basado en esta información, usted
puede después utilizar el motor de implementación de parches para
descargar e instalar los ficheros de actualizaciones ausentes en sus
respectivos idiomas a lo largo de la red.
Los idiomas soportados incluyen: Inglés, Alemán, Francés, Italiano,
Español, Árabe, Danés, Checo, Finés, Hebreo, Húngaro, Japonés,
Coreano,
Holandés,
Noruego,
Polaco,
Portugués,
Portugués_Brasileño, Ruso, Sueco, Chino, Chino_Taiwanés, Griego,
y Turco.
GFI LANguard Network Security Scanner
Actualizaciones de programa GFI LANguard N.S.S. • 105
La información sobre como descargar en varios idiomas los ‘Ficheros
de Actualización de Microsoft’ se provee mas adelante en este
capítulo.
Iniciar las actualizaciones de programa manualmente
Para iniciar manualmente las actualizaciones de programa de GFI
LANguard N.S.S.:
1. Haga clic derecho sobre el nodo General ` Program Updates y
seleccione Check for Updates…. Esto levantará el ‘Asistente de
comprobación de actualizaciones'.
Imagen 90 – El Asistente de Comprobación de Actualizaciones: Etapa 1
2. Especifique el lugar desde donde se descargarán los ficheros de
actualización requeridos.
3. Para cambiar la ruta por defecto de descarga de actualizaciones,
seleccione la opción ‘Download all update files……to this path’.
4. Haga clic en Next para proceder con la actualización.
106 • Actualizaciones de programa GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Imagen 91 – El Asistente de Comprobación de Actualizaciones: Etapa 2
5. Seleccione las actualizaciones que desee descargar. Las
actualizaciones disponibles incluyen:
•
GFI LANguard N.S.S. Vulnerabilities Update: Seleccione esta
opción para descargar nuevas comprobaciones de vulnerabilidad
y parches.
•
GFI LANguard N.S.S. Dictionaries Update: - Seleccione esta
opción para descargar actualizaciones del fichero de diccionario
(por ejemplo, actualizaciones del diccionario de cadenas débiles
de la comunidad, actualizaciones del diccionario de contraseñas,
etc).
•
Microsoft Software Updates: - Seleccione los archivos de
'Actualización de Software de Microsoft' de todos los idiomas
actualmente usados en su red. Para mas información refiérase a
la sección ‘Descargar Actualizaciones de Microsoft en diferentes
idiomas’ al comienzo de este capítulo.
NOTA: Seleccione la opción ‘Update ALL files (including the ones
already updated)’ en la parte de abajo del diálogo para actualizar
todos los archivos.
6. Haga clic en Next para continuar.
7. Haga clic en Start para iniciar el proceso de actualización.
Comprobar la disponibilidad de actualizaciones de software al
inicio del programa
Por defecto, GFI LANguard N.S.S. comprueba la disponibilidad de
actualizaciones soportadas cada inicio del programa. Para
deshabilitar las comprobaciones automáticas de actualización de
software al inicio:
GFI LANguard Network Security Scanner
Actualizaciones de programa GFI LANguard N.S.S. • 107
1. Haga clic derecho sobre el nodo General ` Program Updates y
seleccione Properties. Esto abrirá el diálogo de Propiedades de
actualizaciones de Programa.
Imagen 92 – La opción 'Check for newer builds at startup’
2. Deselecciona la opción ‘Check for newer builds at startup’ en la
parte de abajo del diálogo.
Configurar que actualizaciones a comprobar al inicio del programa
Para configurar que actualizaciones son comprobadas al inicio del
programa:
Imagen 93 – Diálogo de Propiedades de Actualizaciones de Programa
1. Haga clic derecho sobre el nodo General ` Program Updates y
seleccione Properties.
2. Seleccione las actualizaciones de base de datos y motor que desee
descargar.
3. Especifique el lugar desde
actualizaciones de programa.
donde
desea
descargar
las
4. Haga clic en OK para guardar estos ajustes.
108 • Actualizaciones de programa GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Administración de parches:
Implementar Actualizaciones de
Microsoft
Introducción
Utilice la herramienta de administración de parches para mantener
automáticamente sus productos Microsoft actualizados con los
últimos parches y service packs. Los productos Microsoft soportados
incluyen los Sistemas Operativos Windows 2000, XP y 2003,
Microsoft Office XP o superior, Microsoft Exchange 2000 o superior y
Microsoft SQL Server 2000 o superior. Una lista completa de
productos Microsoft soportados por GFI LANguard N.S.S. está
disponible en http://kbase.gfi.com/showarticle.asp?id=KBID002573.
Para implementar satisfactoriamente parches y service packs en su
sistema de red, debe:
Paso 1: Analizar su sistema de red.
Paso 2: Seleccionar los equipos en los cuales se implementarán
parches y service packs.
Paso 3: Seleccione
implementarán.
los
parches
y
service
packs
que
se
Paso 4: Descargar los archivos de parches y service pack requeridos.
Paso 5: Implementar los parches y service packs descargados en sus
objetivos.
Para implementar satisfactoriamente parches en los equipos objetivo
seleccionados, debe asegurarse que:
•
GFI LANguard N.S.S. está corriendo bajo una cuenta que tenga
privilegios administrativos en el equipo objetivo al cual se le
implementarán las actualizaciones.
•
El servicio NetBIOS está habilitado en el equipo remoto.
Para más información acerca de cómo habilitar NetBIOS refiérase a la
sección 'Habilitar NetBIOS en un equipo objetivo' en el capítulo
'Miscelánea'.
Sobre el agente de implementación de parches
GFI LANguard N.S.S. hace uso de un agente de implementación de
parches para implementar parches, service packs y software propio
en equipos remotos. El agente de implementación de parches es un
servicio el cual el instalado silenciosamente (y automáticamente) en el
equipo objetivo remoto durante la implementación de parches. Su
propósito es ejecutar y monitorizar satisfactoriamente la instalación de
actualizaciones a una hora programada (configurable), haciendo a
GFI LANguard Network Security Scanner
Administración de parches: Implementar Actualizaciones de Microsoft • 109
GFI LANguard N.S.S. más eficiente y fiable que sus homólogos de
implementación de parches sin ejecutar agente.
Sobre los parches revisados
No es inusual que Microsoft revise parches y service packs. Ejemplos
de ello son el parche MS03-045 para Windows y el parche MS03-047
para Exchange que fueron liberados el 15 de Octubre de 2006. Los
parches son generalmente revisados debido a vulnerabilidades
recientemente descubiertas o problemas causados por la instalación
de estas actualizaciones.
Cuando esto ocurre, GFI LANguard N.S.S. informará aún de los
parches revisados como ausentes, aún cuando estos no puedan ser
instalados. Si no quiere ser informado sobre estos parches ausentes
debe deshabilitar la comprobación de ese parche en particular. Esto
se hace como sigue:
1. Expanda el sub-nodo Configuration ` Scanning Profiles y
seleccione el perfil que desee configurar.
2. Desde el panel de la derecha, haga clic en el nodo Patches y
deseleccione el boletín respectivo de la lista provista.
También puede agregar parches revisados a una lista de ignorados.
La lista de parches ignorados le permite excluir parches particulares
tales como parches revisados de las auditorías de análisis de
seguridad. Para agregar un parche ausente a la lista de ignorados:
1. Realizar un análisis de seguridad en su red
2. Desde los resultados del análisis, acceda a la lista de parches
ausentes.
3. Seleccione el parche que desee agregar a la lista de ignorados.
3. Haga clic derecho y seleccione Patches ` Add to ignore list for `
This computer.
110 • Administración de parches: Implementar Actualizaciones de Microsoft
GFI LANguard Network Security Scanner
Imagen 94 – Parches incluidos en la lista de ignorados de un objetivo particular
Para ver los parches en la lista de ignorados de un equipo objetivo
particular, haga clic en el nodo Scan Results ` System patches
status.
Administración de parches multilingüe
El motor de implementación de parches de GFI LANguard N.S.S.
descarga e instala automáticamente actualizaciones de seguridad de
software y service packs de Microsoft en concordancia con el idioma
usado por el equipo objetivo.
Para mas información sobre la administración de parches multilingüe
refiérase a la sección ‘Descargar Actualizaciones de Microsoft en
diferentes idiomas’ al comienzo de este capítulo.
Seleccionar los equipos objetivo donde se implementarán los
parches
Una vez que se ha completado un análisis de seguridad de red,
puede comenzar la implementación de parches y service packs
ausentes en sus equipos objetivo.
Los parches y service packs ausentes se pueden implementar en un
solo equipo objetivo, en una selección de equipos objetivo así como
también en todos los equipos objetivo que tengan parches y service
packs ausentes.
GFI LANguard Network Security Scanner
Administración de parches: Implementar Actualizaciones de Microsoft • 111
Imagen 95 – Implementando service packs y parches ausentes
Implementar actualizaciones ausentes en un equipo
Desde le panel ‘Scanned Computers’ (en el medio), haga clic derecho
sobre el ordenador que desee actualizar y seleccione Deploy
Microsoft updates ` [Service packs on o Patches on] ` This
computer.
Implementar actualizaciones en un rango de equipos
1. Desde el panel ‘Scanned Computers’ (en el medio), seleccione la
casilla de verificación de los equipos que desee actualizar.
2. Haga clic derecho en alguno de los equipos objetivo y seleccione
Deploy Microsoft updates ` [Service packs on o Patches on] `
Selected computers.
Implementar actualizaciones ausentes en todos los equipos
Desde le panel ‘Scanned Computers’ (en el medio), haga clic derecho
sobre alguno de los equipos objetivo listados y seleccione Deploy
Microsoft updates ` [Service packs on o Patches on] ` All
computers.
112 • Administración de parches: Implementar Actualizaciones de Microsoft
GFI LANguard Network Security Scanner
Seleccionar qué parches implantar
Imagen 96 – Página de opciones de Implementación de Parches
Después que ha especificado que equipos objetivo se actualizarán,
GFI LANguard N.S.S. levantará automáticamente las opciones de
Implementación de Parches. Estas opciones se muestran en el panel
de la derecha del interfaz de configuración junto con la lista de
equipos objetivo seleccionados y las actualizaciones en Inglés/no
Inglés que serán descargadas e implementadas en los objetivos
enumerados.
NOTA: Para abrir manualmente las opciones de implementación de
paches haga clic en Tools ` Deploy Microsoft patches.
Ordenar los resultados
La página de opciones de Implementación de Parches le permite
organizar y ver la lista de service packs y parches a ser
implementados de dos formas:
•
‘Sort by computers’ – Esta vista muestra la lista de parches
ausentes agrupados por equipo objetivo.
•
‘Sort by patches’ – Esta vista muestra la lista de todos los parches
ausentes ordenados por el 'nombre del fichero de Actualización'.
Cambie entre estas vistas haciendo clic en las pestañas Sort by
computers y Sort by patches consecuentemente.
GFI LANguard Network Security Scanner
Administración de parches: Implementar Actualizaciones de Microsoft • 113
Seleccionar los parches a ser implementados
Imagen 97 – Seleccionando los parches a descargar e implementar
Por defecto, GFI LANguard N.S.S. descargará e implementará todos
los parches y service packs en Inglés/otro idioma descubiertos
durante un análisis de seguridad de red. Para excluir parches
particulares de una sesión de descarga e implementación,
deseleccione la casilla de verificación al lado del parche respectivo.
Descargar los archivos de actualizaciones y service pack
Después de seleccionar los parches y service packs requeridos
puede empezar a descargar estos archivos de actualización.
Una vez accionado, GFI LANguard N.S.S: atenderá automáticamente
la descarga de parches y service packs ausentes en sus respectivos
idiomas (en Inglés y los que no son Inglés)
Imagen 98 – Una lista de parches a ser descargados
114 • Administración de parches: Implementar Actualizaciones de Microsoft
GFI LANguard Network Security Scanner
Comenzar las descargas de parches y service packs
Para iniciar la descarga de un parche o service pack específico, haga
clic derecho sobre el respectivo archivo del parche y seleccione
Download File.
Para iniciar la descarga de todos los parches y service packs
seleccionados, haga clic derecho en algún fichero de parche y
seleccione Download all checked files.
Los iconos al lado de cada archivo de actualización muestran el
estado actual de la descarga. Estos iconos indican los siguientes
estados:
•
Descargado
•
Descarga en curso
•
•
Esperando que el usuario navegue a la página web para hacer
clic sobre el enlace para descargar el archivo
No descargado.
Descargas que requieren la intervención del usuario
Imagen 99 – Descargando un parche desde una página web
Ciertos ficheros de parches requieren que usted los descargue
manualmente desde un sitio objetivo específico. Estos ficheros están
representados por el icono
el cual se muestra al lado de estos
ficheros particulares.
Para tales descargas, GFI LANguard N.S.S. abrirá automáticamente
la página web principal en el área de la parte de abajo de la
herramienta de implementación. Haga clic en el enlace de descarga
mostrado en esta página web para iniciar el proceso de descarga.
Parar las descargas activas
Para parar una descarga de parche, haga clic derecho en el parche
particular y seleccione Cancel Download.
GFI LANguard Network Security Scanner
Administración de parches: Implementar Actualizaciones de Microsoft • 115
(Opcional) Configurar parámetros de implementación del fichero de
parche alternativos
Imagen 100 – Dialogo de propiedades del fichero de parche
Puede configurar opcionalmente parámetros alternativos de
implementación de parches de una actualización en base a ella. Los
parámetros que puede configurar incluyen la URL de descarga y la
ruta de destino del fichero de actualización descargado. Para cambiar
los ajustes de implementación y descarga de un parche ausente:
1. Haga clic derecho sobre el archivo de actualización particular y
seleccione Properties. Esto abrirá el diálogo de propiedades del
fichero de actualización.
2. Realice los cambios requeridos y haga clic en OK para guardar
estos ajustes.
116 • Administración de parches: Implementar Actualizaciones de Microsoft
GFI LANguard Network Security Scanner
Implantar las actualizaciones
Imagen 101 – Opciones de implantación de parches
Iniciar el proceso de implementación de parches
Después que los ficheros de actualización han sido descargados,
puede proceder con la implementación de estos archivos en sus
respectivos objetivos. Para inicia el proceso de implementación, haga
clic en el botón Start en la parte de abajo a la derecha de la página
de implementación de parches.
Monitorizar el proceso de implementación de parches
Imagen 102 – Monitorizando el proceso de implementación
GFI LANguard Network Security Scanner
Administración de parches: Implementar Actualizaciones de Microsoft • 117
Para ver la actividad de la implementación de parches en progreso,
haga clic en la pestaña Deployment Status localizada al lado de la
pestaña Sort by patches en la parte de arriba del panel de la
derecha.
118 • Administración de parches: Implementar Actualizaciones de Microsoft
GFI LANguard Network Security Scanner
Administración de parches: Implantar
software a medida
Introducción
Utilice la herramienta ‘Implementación de Software a Medida' para
instalar software a medida e implementar parches o actualizaciones
de software de terceros en toda la red,
Por ejemplo, puede utilizar esta herramienta para implantar
actualizaciones de firmas de virus en sus equipos de red.
La herramienta de implantación de software a medida es accesible
desde Tools ` Deploy Custom software. El proceso de implantación
de software a medida es muy similar al proceso de implementar
actualizaciones Microsoft en una máquina. Para implantar software a
medida en un equipo objetivo debe:
Paso 1. Seleccionar al equipo en el cual se instalará el
software/fichero de actualización.
Paso 2. Especificar el software que será implantado.
Paso 3. Iniciar el proceso de implementación.
GFI LANguard Network Security Scanner
Administración de parches: Implantar software a medida • 119
Seleccionar los objetivos para la implementación de
software/parches a medida
Imagen 103 – Seleccionar los equipos objetivo
1. Haga clic en el nodo Tools ` Deploy Custom software.
2. Desde el área ‘Computer(s) to deploy software’ (en la mitad del
diálogo de configuración), haga clic en Add para incluir un solo
equipo, o haga clic en Select para especificar un rango de equipos en
los cuales se implementará el software a medida.
NOTA: La lista de equipos también puede importarse de un fichero de
texto haciendo clic en el botón Import.
120 • Administración de parches: Implantar software a medida
GFI LANguard Network Security Scanner
Enumerar el software a implementar
Imagen 104 - Seleccionando el software a implementar
1. Desde al área ‘Software’ (en la mitad del interfaz de configuración),
haga clic en Add.
Imagen 105 - Especificando el software a implementar
2. Especifique la ubicación del fichero fuente
3. Para especificar parámetros de línea de comando a pasar durante
la implementación del fichero, seleccione una de las siguientes
opciones:
•
‘Windows operating system patch’ – Seleccione esta opción si va
a implementar parches del SO Windows.
GFI LANguard Network Security Scanner
Administración de parches: Implantar software a medida • 121
•
‘Internet explorer patch’ – Seleccione esta opción si va a
implementar parches de Internet Explorer.
•
‘Custom’ – Seleccione esta opción si quiere incluir parámetros
personales. Especifique los parámetros requeridos en la caja de
entrada en la parte de abajo del diálogo.
Iniciar el proceso de implantación
Imagen 106 – Destalles de implementación de software
Una vez ha especificado que software será implantado y en que
equipo(s) objetivo, inicie la implementación del software haciendo clic
en el botón Start.
Programar la implementación de software
Para programar la implantación de software a medida:
1. Seleccione la opción ‘Deploy on’.
2. Especifique la fecha y hora preferida en los campos provistos.
3. Haga clic en el botón Start para activar el proceso de
implementación programado.
122 • Administración de parches: Implantar software a medida
GFI LANguard Network Security Scanner
Opciones de implantación
Opciones generales de implantación
Imagen 107 – Opciones generales de implantación
Las opciones generales de implementación le permites configurar las
acciones de antes y después de la implementación de parches.
Opciones de antes de la implementación
Configure las opciones de ‘Antes de la implementación’ en la pestaña
General como sigue:
•
‘Warn users before deployment’ – Seleccione esta opción si
quiere enviar un mensaje al equipo objetivo antes de implantar
una actualización.
Imagen 108 – Aviso de Implantación: Informa al usuario que un proceso de implantación
esta a punto de comenzar
De esta manera, los usuarios del equipo objetivo podrán salvar y
cerrar los programas en marcha antes que los parches sean
implementados es su equipo(s).
•
‘Wait for user’s approval’ – Seleccione esta opción para solicitar la
aprobación de un usuario del equipo objetivo antes de iniciar la
GFI LANguard Network Security Scanner
Administración de parches: Implantar software a medida • 123
implementación de un fichero. Esto permite al usuario del equipo
objetivo mantener a la espera el proceso de implantación en caso
de que otro proceso importante (por ejemplo, una copia de
seguridad del sistema) esté ya en marcha. De esta forma otros
procesos se pueden dejar acabar antes de la implantación, por si
acaso el equipo objetivo requiere reiniciar después de la
instalación del fichero. Para iniciar la implantación del parche, el
usuario del equipo objetivo debe hacer clic en el botón OK incluido
en el diálogo de mensaje.
•
‘Stop services before deployment’ – Seleccione esta opción para
detener servicios específicos antes de iniciar la implementación.
Especifique los servicios que desea detener haciendo clic en el
botón Services….
Opciones de después de la implementación
Configure las opciones de ‘Después de la implementación’ en la
pestaña General como sigue:
•
•
‘Do not reboot’ – Selecciones esta opción si NO quiere reiniciar
(remotamente) el equipo objetivo después del proceso de
implementación.
‘Reboot the target computers’ – Seleccione esta opción para
reiniciar automáticamente los equipos objetivo después que el
software o parches han sido instalados.
•
•
‘Let the user decide when to reboot’ – Seleccione esta opción para
dejar a los usuarios del equipo objetivo que decidan
interactivamente cuando reiniciar los equipos donde ha sido
implantado software/parches.
Cuando esta opción está habilitada, el diálogo ilustrado mas abajo
se muestra automáticamente en el escritorio del equipo objetivo.
Imagen 109 – Diálogo de opciones post implantación: Permitir a los usuarios que decidan
cuando reiniciar el equipo objetivo
Desde este diálogo los usuarios pueden seleccionar una de las
siguientes opciones de reinicio:
o
‘Restart Now’ – Seleccione esta opción para reiniciar
inmediatamente.
124 • Administración de parches: Implantar software a medida
GFI LANguard Network Security Scanner
o
‘Remind me in [X] Minutes’ – Seleccione esta opción para
generar un recordatorio de reinicio en intervalos de tiempo (en
minutos) específicos.
o
‘Restart on [date] at [time]’ – Seleccione esta opción para
reiniciar automáticamente el equipo objetivo en un día y/u hora
específica.
o
‘Don’t bother me again’ – Seleccione esta opción para abortar
el reinicio remoto.
o
‘Shutdown the target computer(s)’ – Seleccione esta opción
para apagar los equipos objetivos después de la implantación
de software/parches.
•
‘Delete copied files on the remote computers after deployment’ –
Seleccione esta opción para borrar el fichero fuente/de instalación
del equipo objetivo después de que se ha instalado
correctamente.
•
Computer filters – Haga clic en el botón Computer filters para
configurar las condiciones particulares de filtrado de objetivos.
Estos ajustes permitirán la implementación de parches solo si
están instalados y funcionando sistemas operativos específicos en
el equipo(s) objetivo.
Opciones de implementación avanzadas
Imagen 110 – Opciones avanzadas de implantación
Utilice la pestaña Advanced para acceder a las opciones avanzadas
de implementación desde donde puede configurar los siguiente
parámetros de implementación:
•
Configurar el número de hilos de implementación de parches que
se usarán.
•
Configurar el timeout de la implantación.
GFI LANguard Network Security Scanner
Administración de parches: Implantar software a medida • 125
•
Configurar el servicio de agente de implantación para ejecutarse
bajo credenciales alternativas.
126 • Administración de parches: Implantar software a medida
GFI LANguard Network Security Scanner
Comparación de resultados
Introducción
A través de auditorías regulares y comparación de resultados puede
analizar los cambios que ocurren entre auditorías de seguridad de red
sucesivas. Esto le ayuda a identificar inmediatamente nuevas
vulnerabilidades de una manera oportuna así como asistirle en la
investigación y mitigación de problemas de seguridad no
solucionados/pendientes
que
se
mantienen
repetidamente
emergentes en cada análisis de seguridad de red.
GFI LANguard N.S.S. se vende con una herramienta de comparación
de resultados. Utilice esta herramienta para generar automáticamente
informes que muestren la diferencia entre dos análisis
consecutivos/no consecutivos. Los informes de comparación se
pueden generar interactivamente o automáticamente.
Genere los informes de comparación interactivamente desde el nodo
Security Scanner ` Result comparison. Los informes de
comparación se pueden generar interactivamente seleccionando los
resultados del análisis (análisis consecutivos y no consecutivos) a ser
comparados.
Configure las opciones en el nodo Configuration ` Scheduled
Scans en la pestaña ` Results notifications para generar
automáticamente la comparación después de cada análisis
programado. Los informes generados después de un análisis
programado le permiten comparar los últimos resultados del análisis
con los resultados del análisis (programado) anterior. Para más
información refiérase a la sección ‘Análisis Programados’ en el
capítulo ‘configurar GFI LANguard N.S.S.’.
Use la información recogida a través de las comparaciones de
resultados para recurizar proactivamente su red de la actividad
peligrosa del usuario y proteger los equipos de amenazas emergentes
solucionando todas las posibles vulnerabilidades antes que sean
explotadas.
Comparar resultados del análisis interactivamente
GFI LANguard N.S.S. le permite almacenar los resultados del análisis
en base de datos o ficheros XML Por defecto, GFI LANguard N.S.S.
almacena todos los resultados del análisis en la base de datos de
respaldo Microsoft Access/Microsoft SQL Server. Cuando se realizan
análisis programados GFI LANguard N.S.S. también almacenará los
resultados del respectivo análisis en un fichero XML para propósitos
de informes.
GFI LANguard Network Security Scanner
Comparación de resultados • 127
GFI LANguard N.S.S. se vende con una herramienta de comparación
de resultados que le permite comparar resultados del análisis
guardados y generar una lista de cambios de red descubiertos.
Configurar que información será reportada
La herramienta de comparación de resultados puede reportar
información varia descubierta durante la comparación de 2 resultados
del análisis guardados. Configure la información que será incluida en
el informe como sigue:
1. Haga clic en el nodo Security Scanner ` Result comparison.
Imagen 111 – Opciones de configuración de la comparación de resultados.
2. Del panel de la derecha, haga clic en el botón Options.
3. Seleccione la casilla de verificación del elemento de información
que quiera incluir en el informe. Los elementos disponibles incluyen:
•
New items: Seleccione esta opción para incluir todos los asuntos
de seguridad que fueron enumerados en los últimos resultados del
análisis y los cuales no fueron grabados en los resultados del
análisis anterior/antiguo.
•
Removed items: Seleccione esta opción para incluir todos los
elementos del resultado (por ejemplo, aplicaciones instaladas) y
componentes/dispositivos (por ejemplo, tarjetas de red,
dispositivos USB, dispositivos Inalámbricos, etc…) que fueron
grabados en el análisis anterior/antiguo pero los cuales no han
sido grabados en el último análisis.
•
Changed items: Seleccione esta opción para incluir todos los
elementos del resultado que han cambiado, tales como un servicio
que estaba habilitado o deshabilitado entre análisis.
•
Show vulnerability changes: Seleccione esta opción para incluir
todas las vulnerabilidades nuevas y arregladas identificadas entre
los resultados del análisis comparados.
•
Show only hot-fix changes: Seleccione esta opción para incluir
todos los parches ausentes e instalados identificadas entre los
resultados del análisis comparados.
128 • Comparación de resultados
GFI LANguard Network Security Scanner
Generar un Informe de Comparación de Resultados
Imagen 112 – comparando resultados del análisis
Para generar un informe de comparación de resultados del análisis:
1. Haga clic en el nodo Security Scanner ` Result comparison.
de búsqueda de fichero para
2. Haga clic en los botones
seleccionar los archivos de resultados del análisis que desee
comparar. Puede comparar los resultados almacenados en archivos
XML o base de datos pero no puede comparar directamente
resultados en archivo XML con resultados en base de datos
3. Haga clic en Compare para inicia el proceso de comparación de
resultados.
El Informe de Comparación de Resultados
Imagen 113 – Informe de Comparación de Resultados
GFI LANguard Network Security Scanner
Comparación de resultados • 129
El Informe de Comparación de Resultados muestra los cambios de
configuración del objetivo y diseño de red que han sido identificados
entre dos resultados del análisis.
130 • Comparación de resultados
GFI LANguard Network Security Scanner
Monitor de Estado de GFI LANguard
N.S.S.
Ver operaciones programadas
Utilice en Monitor de Estado de GFI LANguard N.S.S. para ver el
estado de los análisis e implementaciones programadas activas.
Imagen 114 – El icono del Monitor de Estado de GFI LANguard N.S.S. en la bandeja del sistema
de Windows
El Monitor de Estado se abre automáticamente en la bandeja del
sistema de Windows siempre que se inicia el interfaz de configuración
de GFI LANguard N.S.S. Para levantar el Monitor de Estado haga clic
en el icono localizado en su bandeja del sistema de Windows.
NOTA: Inicie el Monitor de Estado sin abrir el interfaz de
configuración de GFI LANguard N.S.S. desde Inicio ` Programas `
GFI LANguard Network Security Scanner 7.0 ` LNSS Status
Monitor.
Visualizar el progreso de análisis programados
Imagen 115 - Monitor de Estado: La pestaña de análisis programados activos.
Para visualizar los análisis programados en progreso:
1. Inicie el Monitor de Estado de GFI LANguard N.S.S.
2. Haga clic en la pestaña Scheduled Scans.
GFI LANguard Network Security Scanner
Monitor de Estado de GFI LANguard N.S.S. • 131
NOTA 1: Cancele cualquier análisis programado que está en
progreso haciendo clic en el botón Stop Selected Scan(s).
NOTA 2: Desde la pestaña Scheduled Scans solo puede visualizar y
cancelar análisis programados que estén en progreso.
NOTA 3: Visualice o cancele análisis programados que no han sido
ya iniciados desde el interfaz de configuración de GFI LANguard
N.S.S. (Configuration ` Scheduled Scans).
Visualizar el progreso de implementaciones programadas
Imagen 116 - Monitor de Estado: Implementaciones programadas
Para visualizar las implementaciones programadas en progreso:
1. Inicie el Monitor de Estado de GFI LANguard N.S.S.
2. Haga clic en la pestaña Scheduled deployments.
NOTA: Cancele cualquier implementación programada que está en
progreso haciendo clic en el botón Cancel Selected deployments.
132 • Monitor de Estado de GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Herramientas
Introducción
GFI LANguard N.S.S. se vende con un conjunto por defecto de
herramientas de red las cuales le ayudan a solucionar problemas de
red comunes y le asisten en la administración de su red.
Utilice el nodo Tools
en el interfaz de configuración de GFI
LANguard N.S.S. para acceder a la siguiente lista de herramientas de
red por defecto:
•
DNS Lookup
•
Whois Client
•
Trace Route
•
SNMP Walk
•
SNMP Audit
•
Microsoft SQL Server Audit
•
Enumerate Computers
•
Enumerate Users.
DNS lookup
Utilice la herramienta Tools ` DNS Lookup para resolver nombres de
dominio en su correspondiente dirección IP y para recoger
información particular del dominio objetivo (por ejemplo, el registro
MX, etc.).
GFI LANguard Network Security Scanner
Herramientas • 133
Imagen 117 – La herramienta DNS Lookup
Para resolver un nombre de dominio/anfitrión:
1. Haga clic en el nodo Tools ` DNS lookup.
2. Indique el nombre de host a resolver.
3. Especifique la información que desea recoger:
•
‘Basic Information’ – Seleccione esta opción para recoger el
nombre del host y la dirección IP relacionada.
•
‘Host Information’ – Seleccione esta opción para recoger los
detalles HINFO. La información del host (conocida como HINFO)
incluye generalmente información del equipo objetivo tal como
especificaciones de hardware y detalles del SO.
NOTA: La mayoría de las entradas DNS no contienen esta
información por razones de seguridad.
•
‘Aliases’ – Seleccione esta opción para recoger información de los
‘Registros A' configurados en el dominio objetivo.
•
‘MX Records’ – Seleccione esta opción para enumerar todos los
servidores de correo y el orden (es decir, la prioridad) en la cual
ellos reciben y procesan los correos del dominio objetivo.
•
‘NS Records’ – Seleccione esta opción para especificar los
“servidores de nombres” que son autorizados para un particular
dominio o sub dominio.
4. Especifique (si se requiere) el servidor DNS alternativo que será
consultado por la herramienta DNS Lookup o déjelo por defecto para
usar el servidor DNS por defecto.
5. Haga clic en el botón Retrieve para comenzar el proceso.
134 • Herramientas
GFI LANguard Network Security Scanner
Trace Route
Imagen 118 - La herramienta Trace route
Utilice la herramienta Tools ` Traceroute para identificar la ruta que
GFI LANguard N.S.S. siguió para alcanzar un equipo objetivo. Para
usar esta herramienta:
1. En la lista desplegable 'Trace' especifique el nombre/IP o dominio
a alcanzar.
2. Haga clic en el botón Traceroute para comenzar el proceso de
rastreo.
Traceroute descompondrá la ruta obtenida a un equipo objetivo en
“saltos”. Un salto indica un nivel y representa un equipo que fue
atravesado durante el proceso. La información enumerada por esta
herramienta incluye las IP de los equipos atravesados, el número de
veces que un equipo fue atravesado y el tiempo consumido en
alcanzar el equipo respectivo. También se incluye un icono al lado de
cada salto. Este icono indica el estado de ese salto en particular. Los
iconos usados en esta herramienta incluyen:
•
Indica un salto exitoso tomado dentro de los parámetros
normales.
•
Indica un salto exitoso, pero el tiempo necesario fue bastante
grande.
•
Indica un salto exitoso, pero el tiempo necesario fue demasiado
grande.
•
Indica que el salto provocó un time out (> 1000ms).
GFI LANguard Network Security Scanner
Herramientas • 135
Whois Client
Imagen 119 – La herramienta Whois
Utilice la herramienta Tools ` Whois Client para buscar información
de un dominio o IP particular.
Seleccione el Servidor Whois que buscará su información desde el
área de opciones a la derecha del interfaz de configuración, o déjelo
por defecto para dejar que la herramienta seleccione
automáticamente un servidor de dominio por usted.
Para buscar información en un dominio o dirección IP en particular,
especifique el dominio/IP o nombre del host en la lista desplegable
'Query' y haga clic en el botón Retreive.
136 • Herramientas
GFI LANguard Network Security Scanner
SNMP Walk
Imagen 120 - SNMP Walk
Utilice la herramienta Tools ` SNMP Walk para sondear sus nodos
de red y recoger información SNMP (por ejemplo, los OID's) Para
iniciar el análisis SNMP en un objetivo:
1. Haga clic en el nodo Tools ` SNMP Walk.
2. Especifique la dirección IP del equipo que desee analizar la
información SNMP.
3. Haga clic en el botón Retrieve para comenzar el proceso.
NOTA 1: La actividad SNMP es a menudo bloqueada en el
router/cortafuegos de forma de los usuarios de Internet no puedan
analizar su red mediante SNMP.
NOTA 2: Es posible proporcionar cadenas de comunidad alternativas.
NOTA 3: La información enumerada a través de SNMP se puede
utilizar por usuarios malintencionados para atacar su sistema. A
menos que se requiera este servicio es extremadamente
recomendable que SNMP esté desactivado.
GFI LANguard Network Security Scanner
Herramientas • 137
Herramienta de auditoría SNMP
Imagen 121 – Herramienta SNMP Audit
Utilice la herramienta Tools ` SNMP Audit para realizar auditorías
SNMP en objetivos de red e identificar cadenas de comunidad
débiles.
Esta herramienta identifica e informa de cadenas de comunidad
SNMP débiles realizando ataques de diccionario utilizando los valores
almacenados en su archivo de diccionario por defecto (snmppass.txt). Puede añadir nuevas cadenas de comunidad al diccionario
por defecto utilizando un editor de texto (por ejemplo, notepad.exe).
También puede indicar a la herramienta ‘SNMP Audit’ para que utilice
otros ficheros de diccionario. Para realizar esto, especifique la ruta al
fichero de diccionario que quiera desde las opciones de la
herramienta a la derecha del interfaz de configuración.
Para realizar una Auditoría SNMP:
1.
Haga clic en el nodo Tools ` SNMP Audit.
2. Especifique la dirección IP del equipo que desee auditar.
3. Haga clic en el botón Retrieve para comenzar el proceso.
Herramienta Microsoft SQL Server Audit
Utilice la herramienta Tools ` Microsoft SQL Server Audit para
realizar una auditoría de seguridad a una instalación de Microsoft
SQL server. Esta herramienta le permite testear la vulnerabilidad de la
contraseña de la cuenta “sa” (es decir, el administrador raíz), y otras
cuentas SQL configuradas en el Servidor SQL. Durante el proceso de
auditoria, esta herramienta realiza ataques de diccionario a las
cuentas del servidor SQL utilizando las credenciales especificadas en
el diccionario 'passwords.txt'. Sin embargo, también puede indicar a la
herramienta ‘SQL Server Audit’ para que utilice otros ficheros de
138 • Herramientas
GFI LANguard Network Security Scanner
diccionario. También puede personalizar su diccionario añadiendo
nuevas contraseñas a la lista por defecto.
Para realizar una Auditoría SQL Server:
1. Haga clic en el nodo Tools ` SQL Server Audit.
2. Especifique la dirección IP del servidor SQL que desee auditar.
NOTA: Por defecto, esta herramienta comprobará la vulnerabilidad de
la cuenta administrador/sa. Si desea realiza ataques de diccionario en
todas las demás cuentas de SQL, seleccione la opción ‘Audit all SQL
user accounts’ y especifique las credenciales de inicio de SQL Server.
Se requieren estas credenciales para autenticarse en el servidor SQL
para recoger la lista de cuentas de usuario respectiva.
3. Haga clic en el botón Retrieve para comenzar el proceso.
Herramienta Enumerar Equipos
Imagen 122 Error! No sequence specified. – La herramienta Enumerate Computers
Utilice la herramienta Tools ` Enumerate Computers para identificar
dominios y grupos de trabajo en una red. Durante la ejecución, esta
herramienta también analiza cada dominio/grupo de trabajo
descubierto para enumerar sus equipos respectivos. La información
enumerada por esta herramienta incluye, el nombre del dominio o
grupo de trabajo, las lista de equipos del dominio/grupo de trabajo, el
SO instalado en los equipos descubiertos, y algunos otros detalles
que se podrían recoger a través de NetBIOS.
Los equipos pueden ser enumerados utilizando uno de los siguientes
métodos:
•
Desde el Directorio Activo – Este método es mucho más rápido y
además incluirá los equipos que están actualmente apagados.
GFI LANguard Network Security Scanner
Herramientas • 139
•
Utilizando el interfaz de Windows Explorer – Este método
enumera los equipos a través de un análisis en tiempo real de la
red y por consiguiente es más lento y no incluirá los equipos
apagados.
Utilice la pestaña Information Source provista en la herramienta
‘Enumerate Computers’ para configurar su método preferido de
descubrimiento de equipos.
NOTA: Para un análisis de Directorio Activo, debe ejecutar la
herramienta (es decir, GFI LANguard N.S.S.) bajo una cuenta que
tenga privilegios de acceso al Directorio Activo.
Iniciar un análisis de seguridad
La herramienta ‘Enumerate Computers’ analiza toda su red e
identifica dominios y grupos de trabajo así como también sus
respectivos equipos. Después de enumerar los equipos en un dominio
o puesto de trabajo, puede utilizar esta herramienta para lanzar un
análisis de seguridad en los equipos listados. Para iniciar un análisis
de seguridad directamente desde la herramienta 'Enumerar Equipos',
haga clic derecho sobre alguno de los equipos enumerados y
seleccione Scan.
También puede lanzar un análisis de seguridad y al mismo tiempo
continuar utilizando la herramienta ‘Enumerate Computers’. Esto se
realiza haciendo clic derecho en alguno de los equipos enumerados y
seleccionando Scan in background.
Implantar actualizaciones a medida
Puede utilizar la herramienta ‘Enumerate Computers’ para
implementar parches a medida y software de terceros en los equipos
enumerados. Para lanzar el proceso de implementación directamente
desde esta herramienta:
1. Seleccione los equipos que requieran implementación.
2. Haga clic derecho sobre alguno de los equipos seleccionados y
seleccione Deploy Custom Patches.
Habilitar las directivas de auditoria
La herramienta ‘Enumerate Computers’ también le permite configurar
las directivas de auditoría en equipos particulares. Esto se hace como
sigue:
1. Seleccione los equipos en los cuales quiera habilitar las políticas de
auditoría. 2. Haga clic derecho sobre alguno de los equipos
seleccionados y seleccione Enable Auditing Policies…. Esto lanzará
el Asistente de configuración de Directiva de Auditoría el cual le
guiará a través del proceso de configuración. Para más información
sobre como configurar remotamente las directivas de auditoría en
objetivos en particular refiérase a la sección ‘Ajustes de Seguridad de
la Directiva de Auditoría’ en el capítulo ‘Empezar: Realizar una
auditoría’.
140 • Herramientas
GFI LANguard Network Security Scanner
Herramienta enumerara usuarios
Imagen 123 El diálogo de la herramienta Enumerate Users
Utilice la herramienta Tools ` Enumerate Users para analizar el
Directorio Activo y recoger la lista de todos los usuarios y contactos
incluidos en esta base de datos.
Para enumerar usuarios y contactos contenidos en el Directorio Activo
de un dominio, selecciones el nombre del dominio de la lista de
dominios provista en su red y haga clic en el botón Retrieve. Puede
filtrar la información a ser extraída y mostrar solo los detalles de
usuarios o contactos. Además, opcionalmente pude configurar esta
herramienta para destacar las cuentas deshabilitadas o bloqueadas.
Esto se realiza a través de las opciones de configuración al lado
derecho de la herramienta de enumerar usuarios.
Desde esta herramienta también puede habilitar o deshabilitar
cualquier cuenta de usuario que ha sido enumerada. Esto se realiza
haciendo clic derecho sobre la cuenta y seleccionando
Enable/Disable account según el caso.
GFI LANguard Network Security Scanner
Herramientas • 141
Utilizar GFI LANguard N.S.S. desde la
línea de comandos
Por defecto, GFI LANguard N.S.S. se vende con dos herramientas de
línea de comandos, ‘lnsscmd.exe’ y ‘deploycmd.exe’. Estas
herramientas de línea de comandos le permiten lanzar análisis de
vulnerabilidad de red y sesiones de implementación de parches sin
iniciar el interfaz de configuración de GFI LANguard N.S.S.
Los parámetros de estas herramientas en línea de comandos están
configurados a través de un conjunto de parámetros de línea de
comandos. Una lista completa de los parámetros soportados junto
con la descripción de su respectiva función está provista mas abajo.
Utilizar ‘lnsscmd.exe’ – la herramienta de análisis en línea de
comandos
La herramienta de análisis de objetivos de línea de comandos
‘lnsscmd.exe’ le permite ejecutar comprobaciones de vulnerabilidad
contra los objetivos de red directamente desde la línea de comandos,
o a través de aplicaciones de terceros, ficheros de ejecución por lotes
y scripts. La herramienta de línea de comandos ‘lnsscmd.exe’ soporta
los siguientes parámetros:
lnsscmd [Objetivo] [/profile=NombreDelPerfil]
[/report=RutaDelInforme] [/output=RutaAlFicheroXML]
[/user=usuario /password=contraseña] [/UseComputerProfiles]
[/email=DirecciónDeCorreo] [/DontShowStatus] [/?]
Parámetros:
•
Objetivo – Especifique la IP / rango de IP o nombre(s) de host a
analizar.
•
/Profile – (Opcional) Especifique el perfil de análisis que se usará
durante un análisis de seguridad. Si no se especifica este
parámetro, se usará el perfil de análisis que este actualmente
activo en GFI LANguard N.S.S.
NOTA: En el interfaz de configuración, el perfil de análisis por
defecto (es decir, actualmente activo) se denota con la palabra
(Active) al lado de su nombre. Para ver que perfil está activo
expanda el nodo Configuration ` Scanning Profiles.
•
/Output – (Opcional) especifique la ruta completa (incluyendo el
nombre del archivo) del fichero XML donde se guardarán los
resultados del análisis
•
/Report – (Opcional) especifique la ruta completa (incluyendo el
nombre del archivo) del fichero HTML donde se guardará el
informe HTML de los resultados del análisis
GFI LANguard Network Security Scanner
Utilizar GFI LANguard N.S.S. desde la línea de comandos • 143
•
/User y /Password – (Opcional) Especifique las credenciales
alternativas que usará el motor de análisis para autenticarse a un
equipo objetivo durante el análisis de seguridad. Alternativamente
puede utilizar el parámetro /UseComputerProfiles para utilizar
las credenciales de autenticación ya configuradas en los Perfiles
de Equipos (nodo Configuration ` Computer Profiles node).
•
/Email – (Opcional) Especifique la dirección de correo a la que se
enviará el informe(s) de resultante al final de este análisis. Los
informes se enviarán por correo al destino a través del servidor de
correo actualmente configurado en el nodo Configuration `
Alerting Options (del interfaz de configuración).
•
/DontShowStatus – (Opcionalmente) Incluya este parámetro si
quiere realizar análisis silenciosos. De esta forma, no se
mostrarán los detalles del progreso del análisis.
•
/? - (Opcional) Utilice este parámetro para mostrar las
instrucciones de uso de la herramienta de línea de comandos.
NOTA: Siempre incluya las rutas completas y los nombres de perfil
dentro de comillas dobles (es decir, “[ruta o nombre del perfil]") por
ejemplo, "Default", "c:\temp\test.xml".
La herramienta de análisis de objetivos de línea de comandos le
permite pasar parámetros a través de variables específicas. Estas
variables se reemplazarán automáticamente con sus valores
respectivos durante la ejecución. Los variables soportadas incluyen:
•
%INSTALLDIR% - Durante el análisis, esta variable será
reemplazada con la ruta al directorio de instalación de GFI
LANguard N.S.S.
•
%TARGET% - Durante el análisis esta variable se reemplazará
con el nombre del equipo objetivo.
•
%SCANDATE% - Durante el análisis esta variable se reemplazará
con la fecha del análisis.
•
%SCANTIME% - Durante el análisis esta variable se reemplazará
con la hora del análisis.
Ejemplo: Cómo lanzar un análisis de un equipo objetivo
desde la herramienta en línea de comandos
Para este ejemplo, vamos a asumir que se requiere un análisis con
los siguientes parámetros:
1. Realizar un análisis de seguridad a un equipo objetivo que tiene la
dirección IP '130.16.130.1'.
2. La salida de los resultados del análisis a ‘c:\out.xml’ (es decir, un
fichero XML)
3. Generar un informe HTML y guardarlo en ‘c:\result.html’.
4. Enviar un informe HTML a través del correo a ‘[email protected]’.
La instrucción de la herramienta de línea de comando para este
análisis particular es:
lnsscmd.exe 130.16.130.1 /Profile="Default" /Output="c:\out.xml"
/Report="c:\result.html" /email="[email protected]"
144 • Utilizar GFI LANguard N.S.S. desde la línea de comandos
GFI LANguard Network Security Scanner
Utilizar ‘deploycmd.exe’ – la herramienta de línea de comandos de
implementación de parches
La herramienta de implementación de parches en línea de comandos
'deploydmd.exe' le permite implementar parches de Microsoft y
software de terceros en objetivos remotos directamente desde la línea
de comandos, o a través de aplicaciones de terceros o scripts. La
herramienta de línea de comandos ‘deploycmd.exe’ soporta los
siguientes parámetros:
deploycmd [objetivo] [/file=NombreArchivo] [/username=Usuario
/password=contraseña]
[/UseComputerProfiles]
[/warnuser]
[/useraproval] [/stopservices] [/customshare=NombreRecurso]
[/reboot]
[/rebootuserdecides]
[/shutdown]
[/deletefiles]
[/timeout=Timeout(sec)] [/?]
Parámetros:
•
Objetivo – especifique el nombre(s), IP o rango de IPs del
equipo(s) objetivo en el cual se implementará el parche(s).
•
/File – Especifique el archive que desea implementar en el
objetivo(s) especificado.
•
/User y /Password – (Opcional) Especifique las credenciales
alternativas que usará el motor de análisis para autenticarse a un
equipo objetivo durante la implantación de parches.
Alternativamente
puede
utilizar
el
parámetro
/UseComputerProfiles para utilizar las credenciales de
autenticación ya configuradas en los Perfiles de Equipos (nodo
Configuration ` Computer Profiles node).
•
/warnuser – (Opcional) Incluya este parámetro si quiere informar
al usuario del equipo objetivo que hay en progreso una instalación
de un archivo/parche. Los usuarios serán informados a través de
dialogo de mensaje que se mostrará en la pantalla
inmediatamente antes de que se inicie la sesión.
•
/useraproval – (Opcional) Incluya este parámetro para solicitar al
usuario la aprobación antes de comenzar el proceso de
instalación del archivo/parche. Esto permite a los usuarios
posponer el proceso de instalación del archivo/parche para mas
tarde (por ejemplo, hasta que un proceso ya en marcha se
complete en el equipo objetivo).
•
/stopservice – (Opcional) Incluya este parámetro si quiere
detener servicios específicos en el equipo objetivo antes de
instalar el archivo/parche.
NOTA: No puede especificar los servicios que serán detenidos
directamente desde la herramienta de línea de comandos. Los
servicios solo se pueden agregar o eliminar a través del interfaz
de configuración. Para más información acerca de cómo
especificar los servicios a detener refiérase a la sección 'Opciones
de implementación' en el capítulo ‘Administración de Parches:
Implementar software a medida’.
•
/customshare – (Opcional) Especifique el recurso compartido
objetivo donde desea transferir el archivo antes de ser instalado.
GFI LANguard Network Security Scanner
Utilizar GFI LANguard N.S.S. desde la línea de comandos • 145
•
/reboot – (Parámetro Opcional) Incluya este parámetro si quiere
reiniciar el equipo objetivo después de la implementación del
archivo/parche.
•
/rebootuserdecides – (Parámetro Opcional) Incluya este
parámetro para permitir al usuario del equipo objetivo decidir
cuando reiniciar su equipo (después de la instalación del parche).
•
/shutdown – (Parámetro Opcional) Incluya este parámetro si
quiere apagar el equipo objetivo después de que se instale el
archivo/parche.
•
/deletefiles – (Parámetro Opcional) Incluya este parámetro si
quiere borrar el archivo fuente después que se haya instalado
correctamente.
•
/timeout – (Parámetro Opcional) Especifique el tiempo de
vencimiento de la operación de implementación. Este valor define
el tiempo que se le permitirá a un proceso de implementación
funcionar hasta que se interrumpa la instalación del
archivo/parche.
•
/? - (Opcional) Utilice este parámetro para mostrar las
instrucciones de uso de la herramienta de línea de comandos.
Ejemplo: Cómo lanzar un proceso de implementación de
parches desde la herramienta en línea de comandos
Para este ejemplo, vamos a asumir que se requiere una sesión de
implementación de parches con los siguientes parámetros:
1. Implementar un fichero llamado ‘patchA001002.XXX’
2. En un equipo objetivo llamado ‘TMjason’.
3. Reiniciar el equipo objetivo después la implementación satisfactoria
del fichero.
La instrucción de la herramienta de línea de comando para esta
sesión de implementación particular es:
deploycmd TMjason /file=”patchA001002.XXX” /reboot
146 • Utilizar GFI LANguard N.S.S. desde la línea de comandos
GFI LANguard Network Security Scanner
Agregar comprobaciones de
vulnerabilidad mediante condiciones o
scripts a medida
Introducción
GFI LANguard N.S.S. le permite incrementar las capacidades de
análisis de red ya provistas agregando nuevas comprobaciones de
vulnerabilidad a medida.
Las comprobaciones de vulnerabilidad a medida se pueden crear
utilizando scripts o configurando un conjunto de vulnerabilidades a
medida. Los scripts se pueden crear utilizando cualquier lenguaje de
scripting compatible con VB script. Por defecto, GFI LANguard N.S.S.
se vende con un editor de scripts el cual puede usar para crear sus
propios scripts.
Las nuevas comprobaciones se deben incluir en la lista de
comprobaciones soportadas por GFI LANguard N.S.S. Utilice la
pestaña Vulnerabilities para agregar nuevas comprobaciones a la
lista por defecto de en un perfil de análisis en base al perfil de
análisis.
NOTA: Solo los usuarios expertos deberían crear nuevas
comprobaciones de vulnerabilidad. Los errores de scripting y las
configuraciones erróneas en una comprobación de vulnerabilidad
pueden resultar en falsos positivos o no proveer información de
vulnerabilidad del todo.
Lenguaje VBscript de GFI LANguard N.S.S.
GFI LANguard N.S.S. soporta y ejecuta scripts scritos en lenguajes
compatibles con VBscript. Utilice lenguajes compatibles con VBscript
para crear scripts personalizados que puedan ejecutarse contra sus
objetivos de red.
Los scripts de auditoría de seguridad se pueden desarrollar utilizando
el editor de scripts que se vende junto con GFI LANguard Network
Security Scanner. Este editor de scripts integrado incluye
capacidades de resaltado de sintaxis así como características de
depuración que le ayudan durante el desarrollo de scripts. Abra el
editor de scripts desde Inicio ` Programas ` GFI LANguard
Network Security Scanner 7.0 ` LNSS Script Debugger.
NOTA: Para más información sobre como desarrollar scripts
utilizando el editor de scripts integrado, refiérase al fichero de ayuda
'Scripting documentation' incluido en Inicio ` Programas ` GFI
LANguard Network Security Scanner 7.0 ` LNSS Scripting
documentation.
GFI LANguard Network Security ScannerAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts a medida • 147
NOTA IMPORTANTE: GFI no soporta peticiones relacionadas a
problemas en scripts personalizados. Puede publicar cualquier
consulta que pueda tener sobre el scripting de GFI LANguard N.S.S.
en los foros de GFI LANguard en http://forums.gfi.com/. A través de
este foro podrá compartir scripts, problemas e ideas con otros
usuarios de GFI LANguard N.S.S.
Módulo SSH de GFI LANguard N.S.S.
GFI LANguard N.S.S. incluye un módulo SSH que maneja la
ejecución de scripts de vulnerabilidad sobre sistemas basados en
Linux/UNIX.
El módulo SSH determina el resultado de las comprobaciones a
través de los datos (texto) de la consola producidos por un script
ejecutado. Esto significa que puede crear comprobaciones de
vulnerabilidad Linux/UNIX personalizadas utilizando cualquier método
de scripting soportado por el SO Linux/UNIX del objetivo y cuyos
resultados salgas a la consola en texto.
Palabras clave:
El modulo SSH puede ejecutar scripts de análisis de seguridad a
través de su ventana de terminal. Cuando se lanza un análisis de
seguridad en equipos objetivo basados en Linux/UNIX, los scripts de
comprobación de seguridad se copian a través de una conexión SSH
al equipo objetivo respectivo y se ejecutan localmente.
La conexión SSH se establece utilizando las credenciales de inicio (es
decir, usuario y contraseña/fichero de Clave Privada SSH)
especificadas antes de iniciar un análisis de seguridad.
El módulo SSH puede determinar el estado de una comprobación de
vulnerabilidad a través de palabras clave específicas presentes en el
texto de salida del script ejecutado. Estas palabras clave son
procesadas por el módulo e interpretadas como instrucción para GFI
LANguard Network Sercurity Scanner. Las palabras clave estándar
identificadas por el módulo SSH incluyen:
•
TRUE:
•
FALSE:
•
AddListItem
•
SetDescription
•
!!SCRIPT_FINISHED!!
Cada una de esas palabras clave accionan un proceso asociado y
específico en el Módulo SSH. El función de cada palabra clave se
describe abajo:
•
TRUE: / FALSE: Estas cadenas indican el resultado de la
comprobación/script de vulnerabilidad ejecutado. Cuando el
módulo SSH detecta un TRUE: significa que la comprobación fue
satisfactoria, FALSE: indica que la comprobación de
vulnerabilidad ha fallado.
•
AddListItem – Esta cadena activa una función interna la cual
añade los resultados al informe de comprobación de
vulnerabilidad (es decir, los resultados del análisis). Estos
resultados se muestran en el interfaz de configuración de GFI
148 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scripts a medidaGFI LANguard Network Security Scanner
LANguard N.S.S. después de completar un análisis. Esta cadena
esta configurada como sigue:
AddListItem([[[[parent node]]]],[[[[actual string]]]])
o
[[[[parent node]]]] – Incluye el nombre del nodo de los
resultados del análisis ql cual se añadirá el resultado.
o
[[[[actual string]]]] – Incluye el valor que será añadido al
nodo de resultados del análisis.
NOTA: Cada comprobación de vulnerabilidad está vinculada a un
nodo de resultados del análisis. Esto significa que los resultados
‘AddListItem’ se incluye por defecto bajo el nodo de vulnerabilidad
asociado/por defecto. De esta forma, si el parámetro de del nodo
padre se deja en blanco, la función agregará la cadena
especificada al nodo por defecto.
•
SetDescription – Esta cadena active una función interna que
sobrescribirá la descripción por defecto de una comprobación de
vulnerabilidad con una nueva descripción. Esta cadena esta
configurada como sigue:SetDescription([New description])
•
!!SCRIPT_FINISHED!! - Esta cadena marca el fin de todas las
ejecuciones de script. El módulo SSH se mantendrá en busca de
esta cadena hasta que la encuentre o hasta que se produzca un
timeout Si se produce un timeout antes de que se genere la
cadena ‘!!SCRIPT_FINISHED!!’, el módulo SSH clasificará la
comprobación de vulnerabilidad respectiva como fallida.
NOTA IMPORTANTE: Es imperativo que cada script personalizado
de como salida la cadena ‘!!SCRIPT_FINISHED!!’ en cada final de su
proceso de comprobación.
Agregar una comprobación de vulnerabilidad que utiliza un script
VB (.vbs) a medida
Utilice el editor de scripts que se vende con GFI LANguard N.S.S.
para crear scripts a medida que se puedan ejecutar contra sus
objetivos de red para identificar vulnerabilidades específicas. Para
crear nuevas comprobaciones de vulnerabilidad que utilicen vbscripts
a medida debe hacerlo como sigue:
•
Paso 1: Cree el script
•
Paso 2: Agregue la nueva comprobación de vulnerabilidad:
Los siguientes son ejemplos de como se hace esto.
Paso 1: Cree el script
1. Lance el Depurador de Scripts de GFI LANguard N.S.S. desde
Inicio ` Programas ` GFI LANguard Network Security Scanner 7.0
` LNSS Script Debugger
2. Vaya a File ` New…
3. Cree un script. Para este ejemplo utilice el siguiente código de
script simulado:
Function Main
echo "El script ha funcionado exitosamente"
Main = true
GFI LANguard Network Security ScannerAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts a medida • 149
End Function
4. Guarde el script en ‘C:\Archivos de programa\GFI\LANguard
Network Security Scanner 7.0\Data\Scripts\myscript.vbs’
Paso 2: Agregue la nueva comprobación de vulnerabilidad:
1. Error! No sequence specified.Abra el interfaz de configuración de
GFI LANguard N.S.S.
2. Expanda el nodo Configuration ` Scanning Profiles y seleccione
el perfil de análisis donde se agregará la nueva comprobación de
vulnerabilidad.
3. Haga clic sobre la pestaña Vulnerabilities.
4. Desde el panel del centro, seleccione la categoría en la cual se
incluirá la nueva comprobación de vulnerabilidad (por ejemplo, DNS
Vulnerabilities).
Imagen 124 – El diálogo de nueva comprobación de vulnerabilidad
5. Haga clic en el botón Add. Esto abrirá el diálogo de nueva
comprobación de vulnerabilidad.
6. Especifique los detalles básico como en nombre de la
vulnerabilidad, descripción corta, nivel de seguridad,
y el BugtraqID/URL (si es aplicable). Opcionalmente, además puede
especificar cuanto llevará ejecutar la comprobación.
7. Haga clic en el botón Add…. Esto mostrará el diálogo de las
condiciones de activación de la comprobación.
150 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scripts a medidaGFI LANguard Network Security Scanner
Imagen 125 – El diálogo de condiciones de activación de la comprobación
8. De la lista desplegable ‘Check type:’ seleccione ‘VBScript’ y
especifique la condición de activación en el campo ‘Condition’.
9 Haga clic en el botón
(abrir) y seleccione el fichero VBscript a
medida que se ejecutará por esta comprobación. Para este ejemplo
seleccione ‘myscript.vbs’.
10. Haga clic en Add para incluir la comprobación de vulnerabilidad a
la lista.
11. Seleccione la casilla de verificación correspondiente a fin de que
se incluya en el siguiente análisis de vulnerabilidad de red.
Probar el script/comprobación de vulnerabilidad usado en
nuestro ejemplo
Analice su equipo local utilizando el perfil de análisis donde se agregó
la nueva comprobación.
En los resultados del análisis, se mostrará un aviso de vulnerabilidad
en el nodo Vulnerabilities ` Miscellaneous Alerts de los resultados
del análisis.
Agregar una comprobación de vulnerabilidad que utiliza un script
shell a medida
En GFI LANguard N.S.S. también puede agregar comprobaciones de
vulnerabilidad que utilicen scripts shell a medida para comprobar
objetivos basados en Linux y UNIX. Estas comprobaciones se
ejecutan remotamente sobre SSH por el módulo SSH. El script se
puede escribir en cualquier lenguaje de script que devuelva
resultados en texto a la consola.
En el siguiente ejemplo crearemos una comprobación de
vulnerabilidad (para objetivos Linux) la cual usa un script escrito en
Bash. La comprobación de vulnerabilidad de este ejemplo
comprobará la presencia de un fichero ficticio llamado ‘test.file’.
GFI LANguard Network Security ScannerAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts a medida • 151
Paso 1: Cree el script
1. Inicie su editor de texto favorito.
2. Cree el nuevo script utilizando el código siguiente:
#!/bin/bash
if [ -e test.file ]
then
echo "TRUE:"
else
echo "FALSE:"
fi
echo "!!SCRIPT_FINISHED!!"
3. Guarde el archivo en ‘C:\Archivos de programa\GFI\LANguard
Network Security Scanner 7.0\Data\Scripts\myscript.sh’
Paso 2: Agregue la nueva comprobación de vulnerabilidad:
Imagen 126 – Agregando una nueva comprobación de vulnerabilidad
1. Expanda el nodo Configuration ` Scanning Profiles y seleccione
el perfil de análisis al que desee agregar la nueva comprobación de
seguridad.
2. Haga clic sobre la pestaña Vulnerabilities.
3. Desde el panel del centro, seleccione la categoría en la cual se
incluirá la nueva comprobación de vulnerabilidad (por ejemplo, DNS
Vulnerabilities).
4. Haga clic en el botón Add. Esto abrirá el diálogo de nueva
comprobación de vulnerabilidad.
7. Especifique los detalles básicos como el nombre de la
vulnerabilidad, descripción corta, nivel de seguridad, y el
bugtraqID/URL (si es aplicable). Opcionalmente, además puede
especificar cuanto llevará ejecutar la comprobación.
152 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scripts a medidaGFI LANguard Network Security Scanner
8. Haga clic en el botón Add…. Esto mostrará el diálogo de las
condiciones de activación de la comprobación.
Imagen 127 – El diálogo de condiciones de activación de la comprobación
9. De la lista desplegable ‘Check type:’ seleccione ‘SSH Script’ y
especifique la condición de activación en el campo ‘Condition’.
10 Haga clic en el botón
(abrir) y seleccione el fichero script SSH a
medida que se ejecutará por esta comprobación. Para este ejemplo
utilice ‘myscript.sh’.
11. Haga clic en Add para incluir la comprobación de vulnerabilidad a
la lista.
12. De la lista de comprobaciones, seleccione la casilla de verificación
correspondiente a fin de que se incluya en el siguiente análisis de
vulnerabilidad de red.
Probar el script/comprobación de vulnerabilidad usado en
nuestro ejemplo
1. Inicie sesión en el equipo objetivo Linux y cree un fichero llamado
‘test.file’. Esta comprobación generará una alerta de vulnerabilidad si
se encuentra un fichero llamado ‘test.file’.
2. Lance un análisis en el objetivo Linux donde creó el archivo.
3. Compruebe sus resultados del análisis. El nodo
avisará de la vulnerabilidad mostrada abajo.
Vulnerabilities
Agregar una comprobación de vulnerabilidad CGI
Cuando se crean nuevas vulnerabilidades CGI, no necesita crear un
script VB o SSH. De hecho, la funcionalidad de análisis de
comprobaciones CGI se configura a través de las opciones incluidas
en el diálogo de propiedades de la comprobación.
GFI LANguard Network Security ScannerAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts a medida • 153
Imagen 128 – Creando una comprobación de vulnerabilidad CGI
Para crear una nueva comprobación de vulnerabilidad CGI:
1. Vaya al nodo Configuration ` Scanning Profiles ` CGI
Scanning.
2. Del panel de la derecha, haga clic en la pestaña Vulnerabilities.
3. Del panel central, seleccione el nodo CGI Abuses.
4. Haga clic en el botón Add. Esto abrirá el diálogo de nueva
comprobación de vulnerabilidad CGI.
154 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scripts a medidaGFI LANguard Network Security Scanner
Imagen 129 – El diálogo de nueva comprobación de vulnerabilidades CGI
5. Especifique los detalles básicos de esta comprobación de
vulnerabilidad como el nombre, descripción corta, nivel de seguridad,
y el bugtraqID/URL (si es aplicable). Opcionalmente, además puede
especificar cuanto llevará ejecutar la comprobación.
6. En el área ‘Trigger condition’ del diálogo, especifique los siguientes
parámetros:
•
‘HTTP method’ – Especifique el método de consulta http que
utilizará la comprobación de vulnerabilidad cuando consulte la
información. Las comprobaciones de vulnerabilidad CGI soportan
2 métodos HTTP que son ‘GET method’ y ‘HEAD method’.
•
‘To check for the URL:’ – Especifique el nombre del script CGI que
se ejecutará durante el análisis del equipo objetivo.
•
‘Under the Directories:’ – Especifique los directorios donde está
localizado el script CGI.
•
‘Return String’ – Especifique la cadena de resultado esperada.
GFI LANguard N.S.S. determina si esta comprobación es
satisfactoria comparando la cadena de resultado especificada con
el texto de los resultados de la comprobación. Esta comparación
se lleva a cabo utilizando las condiciones específicas que son
establecidas seleccionando una de las siguientes opciones:
o
‘Contains any text’ – Seleccione esta opción si quiere que la
comprobación sea satisfactoria cuando alguna parte de la
cadena especificada está presente en los resultados de la
comprobación.
GFI LANguard Network Security ScannerAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts a medida • 155
o
‘Contains the text’ – Selecione esta opción si quiere que la
comprobación sea satisfactoria SOLO cuando la cadena
especificada está presente completa en los resultados de la
comprobación.
o
Does not contains the text’ – Selecione esta opción si quiere
que la comprobación sea satisfactoria SOLO cuando la
cadena especificada NO está presente en los resultados de la
comprobación.
7. Haga clic en OK para guardar los ajustes de configuración.
NOTA: Para incluir automáticamente nuevas comprobaciones en el
siguiente análisis de equipos objetivos, haga clic en el botón
Advanced y ponga la opción ‘New vulnerabilities are enabled by
default’ a ‘Yes’.
Agregar otras comprobaciones de vulnerabilidad
GFI LANguard N.S.S. le permite crear comprobaciones de
vulnerabilidad particulares que no utilizan scripts VB o SSH. Estas
comprobaciones se basan en los mismos conceptos que las
comprobaciones de vulnerabilidad CGI, pero con diferentes
parámetros de configuración y opciones.
Imagen 130 – Creando una comprobación de vulnerabilidad CGI
Para crear este tipo de comprobaciones:
1. Expanda el nodo Configuration ` Scanning Profiles y seleccione
el perfil de análisis al que desee agregar la nueva comprobación de
seguridad.
2. Del panel de la derecha, haga clic en la pestaña Vulnerabilities.
3. Del panel del centro, seleccione la categoría donde desee crear la
nueva comprobación de vulnerabilidad.
4. Haga clic en el botón Add. Esto abrirá el diálogo de nueva
comprobación de vulnerabilidad.
156 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scripts a medidaGFI LANguard Network Security Scanner
Imagen 131 – El diálogo de nueva comprobación de vulnerabilidad
5. Especifique los detalles básicos como el nombre de la
vulnerabilidad, descripción corta, nivel de seguridad, y el
bugtraqID/URL (si es aplicable). Opcionalmente, además puede
especificar cuanto llevará ejecutar la comprobación.
6. Haga clic en el botón Add…. Esto mostrará el diálogo de las
condiciones de activación de la comprobación.
Imagen 132 – El diálogo de condiciones de activación de la comprobación
7. De la lista desplegable ‘Check type:’ seleccione el tipo de
comprobación requerido y especifique la condición de activación
GFI LANguard Network Security ScannerAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts a medida • 157
correspondiente en el campo ‘Condition’. Una lista de tipos de
comprobación y sus respectivas condiciones de activación soportados
esta incluido más abajo:
•
Tipo de
Comprobación Soportado
•
Operating System
•
Registry Key*
•
Registry Path *
•
•
Registry Value
Service Pack
•
Hot fix
•
IIS
•
IIS Version
•
RPC Service
•
NT Service
•
NT Service running
•
NT Service startup type
•
Port (TCP)
•
UDP Port
•
FTP banner **
•
HTTP banner **
•
SMTP banner **
•
POP3 banner **
•
Condiciones de
Activación Soportadas
•
Is
•
Is Not
•
Exists
•
Not Exists
•
Exists
•
Not Exists
•
Is Equal With
•
Is Not Equal With
•
Is Less Than
•
Is Greater Than
•
Is
•
Is Not
•
Is Lower Than
•
Is Higher Than
•
Is Installed
•
Is Not Installed
•
Is Installed
•
Is Not Installed
•
Is
•
Is Not
•
Is Lower Than
•
Is Higher Than
•
Is Installed
•
Is Not Installed
•
Is Installed
•
Is Not Installed
•
Is running
•
Is not running
•
Automatic
•
Manual
•
Disabled
•
Is Open
•
Is Closed
•
Is Open
•
Is Closed
•
Is
•
Is Not
•
Is
•
Is Not
•
Is
•
Is Not
•
Is
158 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scripts a medidaGFI LANguard Network Security Scanner
•
DNS banner **
•
SSH banner **
•
Telnet banner **
•
Script
•
*
SSH Script
•
Is Not
•
Is
•
Is Not
•
Is
•
Is Not
•
Is
•
Is Not
•
Returns True (1)
•
Returns False (0)
•
Returns True (TRUE:)
•
Returns False (FALSE:)
Sólo funciona bajo HKEY_LOCAL_MACHINE
** Puede construir expresiones que comprueben Versión 1.0 a 1.4, y Versión
2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea los siguientes ejemplos.
8. Haga clic en Add para incluir la condición seleccionada en la
comprobación de vulnerabilidad.
9. Haga clic en el botón OK para guardar los ajustes y salir del
diálogo de configuración.
Información Adicional:
Imagen 133 – Una comprobación de vulnerabilidad con múltiples condiciones de activación
1. Cada comprobación de vulnerabilidad puede incluir múltiples
condiciones de activación. De esta forma, tenga plena seguridad que
GFI LANguard Network Security ScannerAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts a medida • 159
una comprobación de vulnerabilidad se active solo cuando se
requiere (es decir, si se cumplen todos los criterios/condiciones de
activación.
160 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scripts a medidaGFI LANguard Network Security Scanner
Miscelánea
Habilitar NetBIOS en un equipo de red
1. Inicie sesión con derechos administrativos en el equipo objetivo.
2. Navegue hasta el Panel de Control de Windows (Inicio ` Panel de
Control) y haga doble clic en el icono 'Conexiones de Red'.
Icono ‘Conexión de Area Local’
3. Haga clic derecho en el icono ‘Conexión de Área Local’ de la tarjeta
NIC que desee configurar y seleccione Propiedades.
4. Haga clic
Propiedades.
en
'Protocolo
Internet
(TCP/IP)’
y
seleccione
5. Haga clic en el botón Opciones avanzadas….
6. Haga clic en la pestaña WINS.
Imagen 134 – Propiedades de la conexión de Área Local: Pestaña WINS
7. Seleccione la opción ‘Predeterminada’ del área 'Configuración de
NetBIOS'.
NOTA: Si se utilice una IP estática o el servidor DHCP no provee los
ajustes NetBIOS, seleccione en su lugar la opción ‘Habilitar NetBIOS
sobre TCP/IP’.
GFI LANguard Network Security Scanner
Miscelánea • 161
8 Haga clic en Aceptar y salga del diálogo de ‘Propiedades de Área
Local’
Instalar el componente Cliente para redes Microsoft en Windows
2000 o superior
El Cliente para redes Microsoft es un componente de software
esencial para la familia de sistemas operativos Microsoft Windows. Un
equipo Windows debe ejecutar el Cliente para redes Microsoft para
acceder remotamente a ficheros, impresoras y otros recursos de red
compartidos. Estas instrucciones paso-a-paso explican como verificar
que está presente el cliente, si no, como instalarlo.
1. Navegue hasta el Panel de Control de Windows (Inicio `
Configuración ` Panel de Control).
2. Haga clic derecho en el objeto “Conexión de área local” y
seleccione Propiedades. Esto abrirá el diálogo 'Propiedades de
Conexión de área local'.
NOTA: Si el equipo corre bajo alguna versión antigua de Windows,
como Windows 95 o Windows 98, localice y haga clic derecho sobre
Entorno de Red, después elija Propiedades. Alternativamente,
navegue al Panel de Control y abra el objeto ‘Redes’.
Imagen 135 – Diálogo Propiedades de Conexión de área local
3. Desde la pestaña General que se abre por defecto, seleccione la
casilla de verificación al lado de ‘Cliente para redes Microsoft’ y haga
clic en Instalar… para iniciar el proceso de instalación.
NOTA 1: Si la casilla de verificación ‘Cliente para redes Microsoft’ ya
esta seleccionada, entonces el componente ya está instalado.
NOTA 2: Si la red está actualmente activa, podría no ver ninguna
casilla de verificación en la ventana. En este caso, haga clic en el
162 • Miscelánea
GFI LANguard Network Security Scanner
botón Propiedades una vez mas para alcanzar la pestaña General
completa.
NOTA 3: Si el equipo corre alguna versión de Windows antigua, mire
la pestaña Configuración y verifique si ‘Cliente para redes Microsoft’
está presente en la lista mostrada. Si no, instale el componente
hacienda clic en el botón Añadir….
4. Del Nuevo diálogo en pantalla, seleccione ’Cliente’ y haga clic en
Añadir… para continuar.
5. De la lista de fabricantes a la derecha de la ventana activa elija
'Microsoft'. Después, elija “Cliente para redes Microsoft” de la lista de
Clientes de Red al lado derecho de la ventana. Haga clic en el botón
Aceptar para continuar.
6. Para finalizar la instalación, haga clic en el botón Aceptar y
reinicie el equipo. Después de que el equipo haya reiniciado, el
Cliente para redes Microsoft se instalará automáticamente.
Configurar los Ajustes de la Directiva de Contraseñas en un
Dominio Basado en Directorio Activo
NOTA: Debe logarse como un miembro del grupo de Administradores
del Dominio.
Para implementar la directiva de contraseñas en equipos de red
pertenecientes a un dominio de Directorio Activo:
1. Navegue hasta el Panel de Control (Inicio ` Configuración `
Panel de Control) y abra las ‘Herramientas Administrativas'.
Imagen 136 – diálogo de configuración Usuarios y Equipos del Directorio Activo
2. Abra los ‘Usuarios y Grupos del Directorio Activo’. Haga clic
derecho sobre el contenedor raíz del dominio y seleccione
Propiedades.
GFI LANguard Network Security Scanner
Miscelánea • 163
Imagen 137 – Configurar un nuevo Objeto de Política de Grupo (GPO)
3. En el diálogo de propiedades, haga clic en la pestaña Directiva de
Grupo. Después haga clic en Nuevo para crear un nuevo objeto de
Directiva de Grupo (GPO) en el contenedor raíz.
4. Especifique el nombre de la nueva directiva e grupo (por ejemplo,
“Directiva de Dominio”) y luego haga clic en Cerrar.
NOTA: Microsoft recomienda que cree un nuevo Objeto de Directiva
de Grupo en lugar de editar la directiva por defecto (llamada ‘Default
Domain Policy’. Esto hace mucho más fácil recuperarse de problemas
serios con los ajustes de seguridad. Si los nuevos ajustes de
seguridad crean problemas, puede deshabilitar temporalmente el
nuevo Objeto de Directiva de Grupo hasta que aísle los ajustes que
causaron los problemas.
5. Haga clic derecho sobre el contenedor raíz del dominio y
seleccione Propiedades. Esto mostrará de nuevo el diálogo de
Propiedades del Dominio.
6. Haga clic en la pestaña Directiva de Grupo, y seleccione el Enlace
del nuevo Objeto de Directiva de Grupo que acaba de crear (por
ejemplo, ‘Directiva de Dominio').
7. Haga clic en Subir para mover la nueva GPO al principio de la lista,
y luego haga clic en Editar para abrir el Editor de Objetos de Directiva
de Grupo.
164 • Miscelánea
GFI LANguard Network Security Scanner
Imagen 138 – El Editor de Objetos de Directiva de Grupo
8. Expanda el nodo Configuración del equipo y navegue hasta la
carpeta Configuración de Windows ` Configuración de Seguridad
` Directivas de cuentas ` Directiva de contraseñas.
Imagen 139 – Configurar el historial de contraseñas del GPO
9. Del panel de la derecha, haga doble clic en la directiva ‘Forzar el
historial de contraseñas’. Después seleccione la opción ‘Definir esta
configuración de directiva’, y establezca el valor 'Guardar el historial
de contraseñas' a '24'.
10. Haga clic en el botón Aceptar para cerrar el diálogo.
GFI LANguard Network Security Scanner
Miscelánea • 165
Imagen 140 – Configurando la caducidad de la contraseña de la GPO
11. Del panel de la derecha, esta vez haga doble clic en la directiva
‘Vigencia máxima de la contraseña’. Después seleccione la opción
‘Definir esta configuración de directiva’ y establezca el valor 'La
contraseña caduca en:' a 42 días.
12. Haga clic en Aceptar para cerrar el diálogo de propiedades.
Imagen 141 – configurar la vigencia mínima de la contraseña
13. Del panel de la derecha, haga doble clic en la directiva ‘Vigencia
mínima de la contraseña’. Después seleccione la opción ‘Definir esta
configuración de directiva’ y establezca el valor 'La contraseña se
puede’ a '2'.
14. Haga clic en el botón Aceptar para cerrar el diálogo.
166 • Miscelánea
GFI LANguard Network Security Scanner
Imagen 142 – configurando en número mínimo de caracteres en una contraseña
15. Del panel de la derecha, haga doble clic en la directiva ‘Longitud
mínima de la contraseña’. Después seleccione la opción ‘Definir esta
configuración de directiva’ e introduzca en el campo 'La contraseña
debe tener al menos' '8'.
16. Haga clic en el botón Aceptar para cerrar el diálogo.
Imagen 143 – Forzar la complejidad de contraseñas
17. Del panel de la derecha, haga doble clic en la directiva ‘Las
contraseñas deben cumplir los requerimientos de complejidad'.
Después habilite la opción ‘Definir esta configuración de directiva’, y
seleccione ‘Habilitada’.
18. Haga clic en el botón Aceptar para cerrar el diálogo.
19. En esta etapa los ajustes de la nueva directiva de contraseñas
han sido configurados. Cierre todos los diálogos y salga del diálogo
de configuración ‘Usuarios y equipos de Active directory’.
Ver los Ajustes de la Directiva de Contraseñas de un Dominio
Basado en Directorio Activo
NOTA: Debe logarse como un miembro del grupo de Administradores
del Dominio.
Utilice el siguiente procedimiento para verificar que los ajustes de la
directiva de contraseñas apropiados están aplicados y efectivos en el
GFI LANguard Network Security Scanner
Miscelánea • 167
GPO Directiva de Dominio. Verificar los ajustes y sus operaciones
asegura que se aplicarán las directivas de contraseñas correctas a
todos los usuarios en el dominio.
Para verificar que los ajustes de la directiva de contraseñas de un
dominio de Directorio Activo
1. Navegue hasta el Panel de Control (Inicio ` Configuración `
Panel de Control) y abra las ‘Herramientas Administrativas'.
2. Habrá los ‘Usuarios y Grupos del Directorio Activo’. Haga clic
derecho sobre el contenedor raíz del dominio y seleccione
Propiedades.
3. Haga clic en la pestaña Directiva de Grupo. Después seleccione
la GPO a comprobar (pro ejemplo, 'GPO directiva del Dominio’) y
haga clic en Editar para abrir el Editor de Objetos de Directiva de
Grupos.
4. Expanda el nodo Configuración del equipo y navegue hasta la
carpeta Configuración de Windows ` Configuración de Seguridad
` Directivas de cuentas ` Directiva de contraseñas.
Imagen 144 – Verificando los ajustes de la GPO
Los ajustes de configuración de la directiva de contraseñas se
muestran en el panel derecho del editor GFO. Asumiendo que ha
configurado la directiva de contraseñas de su GPO como se muestra
en la imagen de arriba, debería verificar que los usuarios no pueden
especificar contraseñas de menos de 8 caracteres. Estos ajustes de
directiva de contraseñas deberían también prevenir a los usuarios de
crear contraseñas no complejas, y no debería permitir a los usuarios
cambiar contraseñas no más antiguas de dos días.
168 • Miscelánea
GFI LANguard Network Security Scanner
Resolución de problemas
Introducción
El capitulo de solución de problemas explica cómo se debe proceder
para resolver las consultas que tenga. Las principales fuentes de
información disponibles para los usuarios son:
•
El manual – la mayoría de los asuntos se solucionan leyendo el
manual.
•
La Base de Conocimientos de GFI – accesible desde el sitio web
de GFI.
•
El sitio de soporte de GFI.
•
Contactando con el departamento de soporte de GFI en
[email protected]
•
Contactando al departamento de soporte de GFI utilizando
nuestro
servicio
de
soporte
en
vivo
en
http://support.gfi.com/livesupport.asp
•
Contactando a nuestro departamento de soporte por teléfono.
Base de Conocimientos
GFI mantiene una Base de Conocimientos, la cual incluye respuestas
a los problemas más comunes. Si tiene un problema, por favor
consulte primero la Base de Conocimientos. La Base de
Conocimientos siempre ha sido la lista más actualizada de preguntas
de soporte y actualizaciones.
La Base de Conocimientos puede encontrase en http://kbase.gfi.com
Solicitar soporte mediante correo electrónico
Si, después de usar la Base de Conocimientos y el manual, tiene
cualquier problema que no pueda resolver, puede contactar con el
departamento de soporte de GFI. La mejor forma de hacerlo es
mediante correo electrónico, ya que se puede incluir información vital
como un archivo adjunto que nos permitirá solucionar los problemas
que tiene más rápidamente.
El Troubleshooter, incluido en el grupo de programas, genera
automáticamente una serie de archivos necesarios por GFI para
proporcionarle soporte técnico. Los ficheros incluirían los ajustes de
configuración, ficheros de registro de depuración, etc. Para generar
estos ficheros, inicie el asistente de resolución de problemas y siga
las instrucciones de la aplicación.
Además de recoger toda la información, le realizará también una serie
de preguntas. Por favor tómese el tiempo de responder estas
GFI LANguard Network Security Scanner
Resolución de problemas • 169
preguntas con precisión. Sin la información apropiada, no nos será
posible diagnosticar su problema.
Vaya entonces al directorio troubleshooter\support, localizado debajo
del directorio principal del programa, comprima los archivos en ZIP, y
envíe el fichero ZIP generado a [email protected]
Asegúrese primero de tener registrado su producto en nuestro sitio
web, en http://customers.gfi.com.
Responderemos a su pregunta en 24 horas o menos, dependiendo de
su zona horaria.
Solicitud de soporte vía conversación web
También puede solicitar soporte a través del ‘Soporte en directo
(webchat)’. Puede contactar al departamento de soporte de GFI
utilizando nuestro servicio de soporte en tiempo real en
http://support.gfi.com/livesupport.asp
Asegúrese primero de tener registrado su producto en nuestro sitio
web, en http://customers.gfi.com.
Solicitudes de soporte telefónicas
También puede contactar con GFI por teléfono para soporte técnico.
Por favor compruebe en nuestro sitio web de soporte los números
para llamar según dónde se encuentre, y el horario.
Sitio web de soporte:
http://support.gfi.com
Asegúrese primero de tener registrado su producto en nuestro sitio
web, en http://customers.gfi.com.
Foro Web
Hay disponible soporte usuario a usuario a través del foro web. El foro
se encuentra en:
http://forums.gfi.com/
Notificaciones de versiones revisadas
Le sugerimos encarecidamente que se suscriba a nuestra lista de
notificaciones de versiones revisadas. De esta forma, se le notificará
inmediatamente sobre las nuevas versiones del producto. Para
suscribirse vaya a:
http://support.gfi.com
170 • Resolución de problemas
GFI LANguard Network Security Scanner
Indice
Enumerate Computers 133,
139, 140
Enumerate Users 133, 141
G
grupos 36
H
A
actualizaciones de programa
103, 108
actualizaciones de programa
106
administración de parches 3,
109
Administración de parches
109, 119
Administración de parches
multilingüe 111
alertas 13
Alerting Options 144
análisis programados 131
Análisis Programados 62
aplicaciones 100
Aplicaciones 39
Aplicaicones 39
Applications 97, 99, 101, 102
Auditoría SNMP 138
herramientas de línea de
comandos 143
herramientas de red 133
I
implementación de parches
5, 109, 113, 117, 123,
124, 125, 145, 146
implementación de parches
109
implementación de parches
116
instalación 9, 10, 13, 138,
144, 145
L
licencia 9, 13
Licencia 7
licenciamiento 7
B
M
base de datos de respaldo 4,
11, 12
Microsoft SQL Server Audit
133, 138
Monitor de Estado 4, 7, 131,
132
C
Clave Privada SSH 148
comparación de resultados
127, 128, 129
Computer Profiles 10
N
NetBIOS 43, 161
P
D
datos del SO 83
Depurador de Script 6
Depurador de Scripts 4, 6
Directiva de Contraseña 31
Directiva de Contraseñas 31
dispositivos de red 3, 40, 95
dispositivos de red 91
Dispositivos físicos 40
Dispositivos inalámbricos
40
dispositivos USB 1, 3, 15, 91,
92, 96, 97, 128
dispositivos USB 96
Dispositivos virtuales 40
DNS Lookup 133, 134
parches revisados 110
Perfiles de Análisis 59, 75
Perfiles de Equipo 20, 144,
145
Procesos Remotos 38
Puertos Abiertos 35, 52
R
Registry 158
Requerimientos del sistema
9
resultados del análisis 4, 5,
11, 47, 63, 128, 129,
143, 144, 148, 149, 151
resultados del análisis 62
resultados del análisis 85
E
editor de scripts 147, 149
GFI LANguard Network Security Scanner
Index• 171
S
Scanning Profiles 16, 143,
150, 154
Scheduled Scans 61, 63, 64,
131, 132
Script Debugger 147
scripts a medida 151
scripts personalizados 6, 148
service packs 109
services 109, 124
Servicio Asistente 4, 5
servicios 3, 12, 29, 35, 145
Shares 30, 52
Sistema Operativo 4
SNMP Audit 133, 138
SNMP Walk 133, 137
SSH 9, 148, 149, 151, 153,
156, 159
SSH Private Key 21
Status Monitor 131
System patching status 42
T
Trace Route 133, 135
U
USB devices 91, 96
Usuarios Error! Not a valid
bookmark in entry on
page 2, 147
V
Vulnerabilidades 25, 27, 28,
29, 51, 52, 96, 155
Vulnerabilities 30, 84, 85, 87,
150, 151, 152, 153,
154, 156
W
Whois 133, 136
172 •Index
GFI LANguard Network Security Scanner

Documentos relacionados

LANguard Network Security Scanner Manual

LANguard Network Security Scanner Manual Introducción a GFI LANguard Network Security Scanner GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) es una herramienta que permite a los administradores de red realizar rápida y fácilm...

Más detalles