LANguard Network Security Scanner Manual

Transcripción

GFI LANguard Network Security Scanner 6
Manual
Por GFI Software Ltd.
GFI SOFTWARE Ltd.
http://www.gfi.com
E-mail: [email protected]
La información de este documento esta sujeta a cambios sin previo
aviso. Las empresas, nombres, y datos utilizados en los ejemplos son
ficticios si no se hace mención de lo contrario. Ninguna parte del
documento puede ser reproducida o transmitida bajo ninguna forma o
medio, electrónico o mecánico, para ningún propósito, sin la expresa
autorización escrita de GFI SOFTWARE Ltd.
LANguard es copyright de GFI SOFTWARE Ltd. 2000-2004 GFI
SOFTWARE Ltd. Todos los derechos reservados.
Versión 6.0 - Ultima actualización 23/01/2005
Contenido
Introducción
5
Introducción a GFI LANguard Network Security Scanner ............................................. 5
Importancia de la Seguridad Interna de la Red ............................................................. 5
Características clave...................................................................................................... 6
Componentes de GFI LANguard N.S.S. ........................................................................ 7
Esquema de Licenciamiento.......................................................................................... 7
Instalar GFI LANguard Network Security Scanner
9
Requerimientos del Sistema .......................................................................................... 9
Procedimiento de Instalación......................................................................................... 9
Introducir su Clave de Licencia después de la instalación .......................................... 11
Empezar: Realizar una Auditoría
13
Introducción a las Auditorías de Seguridad ................................................................. 13
Realizar un Análisis...................................................................................................... 13
Analizar los Resultados del Análisis ............................................................................ 15
IP, Nombre de equipo, SO y Nivel de Service pack ....................................... 15
Nodo Vulnerabilidades.................................................................................... 15
Nodo de Vulnerabilidades Potenciales ........................................................... 17
Recursos compartidos .................................................................................... 17
Directiva de Contraseñas................................................................................ 18
Registro........................................................................................................... 18
Directiva de auditoría de seguridad ................................................................ 19
Puertos abiertos .............................................................................................. 20
Usuarios y Grupos .......................................................................................... 21
Usuarios que Iniciaron Sesión ........................................................................ 21
Servicios.......................................................................................................... 22
Estado de Actualizaciones de Seguridad P.................................................... 22
Dispositivos de Red ........................................................................................ 22
Dispositivos USB............................................................................................. 23
Resultados Adicionales................................................................................................ 24
Equipo ............................................................................................................. 24
Realizar análisis En el sitio (On site) y Fuera del sitio (Off site) .................................. 25
Análisis On Site............................................................................................... 25
Análisis Off Site............................................................................................... 25
Comparación de análisis on site y off site ...................................................... 25
Guardar y Cargar resultados de análisis
27
Introducción.................................................................................................................. 27
Guardar Resultados de Análisis en un archivo externo............................................... 27
Cargar resultados de análisis guardados .................................................................... 27
Cargar análisis guardados desde base de datos ........................................... 27
Cargar análisis guardados de un archivo externo .......................................... 28
Filtrar los resultados del análisis
29
Introducción.................................................................................................................. 29
Seleccionar el origen de los resultados del análisis .................................................... 30
Contenido • i
Crear un filtro de análisis a medida ............................................................................. 30
Configurar GFI LANguard N.S.S.
35
Introducción a la configuración de GFI LANguard N.S.S. ........................................... 35
Perfiles de escaneo...................................................................................................... 35
Puertos TCP/UDP analizados...................................................................................... 36
Cómo agregar/editar/eliminar puertos ............................................................ 36
Datos del SO analizado ............................................................................................... 37
Vulnerabilidades analizadas ........................................................................................ 38
Tipos de Vulnerabilidades............................................................................... 38
Descargar las últimas Vulnerabilidades de Seguridad ................................... 39
Actualizaciones de seguridad analizadas .................................................................... 39
Opciones de escáner ................................................................................................... 40
Métodos de descubrimiento de red................................................................. 41
Dispositivos .................................................................................................................. 42
Dispositivos de Red ........................................................................................ 43
Dispositivos USB............................................................................................. 44
Análisis Programados .................................................................................................. 45
Archivos de parámetros ............................................................................................... 47
Utilizar GFI LANguard N.S.S. desde la línea de comando .......................................... 48
Despliegue de Actualizaciones de Seguridad
51
Introducción al despliegue de actualizaciones de seguridad ...................................... 51
El agente de implantación de actualizaciones................................................ 51
Paso 1: Realizar un análisis de su red......................................................................... 52
Paso 2: Seleccionar sobre qué equipos implantar las actualizaciones ....................... 52
Paso 3: Seleccionar qué actualizaciones implantar .................................................... 53
Paso 4: Descargar los archivos de actualizaciones y service pack ............................ 54
Descargando las actualizaciones ................................................................... 55
Paso 5: Parámetros de implantación de archivos de actualización ............................ 55
Paso 6: Implantar las actualizaciones.......................................................................... 56
Implantar software a medida........................................................................................ 57
Paso 1: Seleccionar los equipos a los que instalar el
software/actualización..................................................................................... 58
Paso 2: Especificar el software a implantar.................................................... 58
Paso 3: Iniciar el proceso de implantación ..................................................... 59
Opciones de implantación............................................................................................ 60
General ........................................................................................................... 60
Avanzado ........................................................................................................ 61
Directorio de Descarga ................................................................................... 61
Comparación de Resultados
63
¿Por qué Comparar Resultados? ................................................................................ 63
Realizar una Comparación de Resultados interactivamente....................................... 63
Realizar una Comparación con la Opción de Análisis Programados .......................... 64
Monitor de Estado de GFI LANguard N.S.S.
65
Ver operaciones programadas..................................................................................... 65
Análisis Programados Activos ........................................................................ 65
Implementaciones programadas..................................................................... 66
Opciones de Mantenimiento de Base de Datos
69
Introducción.................................................................................................................. 69
Cambiar Base de Datos............................................................................................... 69
MS Access ...................................................................................................... 69
MS SQL Server ............................................................................................... 70
Administrar resultados de análisis almacenados......................................................... 71
Contenido • ii
Opciones Avanzadas ................................................................................................... 71
Herramientas
73
Introducción.................................................................................................................. 73
DNS lookup .................................................................................................................. 73
Trace Route ................................................................................................................. 74
Whois Client ................................................................................................................. 75
SNMP Walk.................................................................................................................. 75
SNMP Audit.................................................................................................................. 76
MS SQL Server Audit................................................................................................... 76
Enumerar Equipos ....................................................................................................... 77
Lanzar un análisis de seguridad ..................................................................... 77
Implantar actualizaciones a medida................................................................ 77
Habilitar las Directivas de Auditoria ................................................................ 78
Enumerar Usuarios ...................................................................................................... 78
Agregar comprobaciones de vulnerabilidad mediante condiciones
o scripts
79
Introducción.................................................................................................................. 79
Lenguaje VBscript de GFI LANguard N.S.S. ............................................................... 79
Módulo SSH de GFI LANguard N.S.S. ........................................................................ 79
Palabras clave:................................................................................................ 80
Agregar una comprobación de vulnerabilidad que utiliza un script vbs
a medida ...................................................................................................................... 83
Paso 1: Cree el script...................................................................................... 83
Paso 2: Agregue la nueva comprobación de vulnerabilidad: ......................... 84
Agregar una comprobación de vulnerabilidad que utiliza un script
SSH a medida .............................................................................................................. 85
Paso 1: Cree el script...................................................................................... 85
Paso 2: Agregue la nueva comprobación de vulnerabilidad: ......................... 86
Agregar una comprobación de vulnerabilidad CGI...................................................... 87
Agregar otras comprobaciones de vulnerabilidad ....................................................... 88
Resolución de problemas
93
Introducción.................................................................................................................. 93
Base de Conocimientos ............................................................................................... 93
Preguntas y Respuestas Generales Frecuentes ......................................................... 93
Solicitud de soporte vía e-mail..................................................................................... 93
Solicitud de soporte vía conversación web.................................................................. 94
Solicitudes de soporte telefónicas ............................................................................... 94
Foro Web ..................................................................................................................... 94
Notificaciones de versiones revisadas......................................................................... 94
Indice
95
Contenido • iii
Introducción
Introducción a GFI LANguard Network Security Scanner
GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) es
una herramienta que permite a los administradores de red realizar
rápida y fácilmente una auditoría de segurida de red. GFI LANguard
N.S.S. crea informes que pueden ser utilizados para resolver
problemas de seguridad de la red. Además puede realizar la
administración de actualizaciones de seguridad.
Al contrario que otros escáneres de seguridad, GFI LANguard N.S.S.
no creará un ‘bombardeo’ de información, que es virtualmente
imposible de seguir. En su lugar, ayudará a resaltar la información
más importante. Además proporciona hipervínculos a sitios de
seguridad para averiguar más sobre estas vulnerabilidades.
Utilizando análisis inteligente, GFI LANguard N.S.S. recoge
información sobre los equipos como nombres de usuario, grupos,
recursos compartidos, dispositivos USB, dispositivos inalámbricos y
otras información sobre un Dominio Windows.
Además de esto, GFI LANguard N.S.S. también identifica
vulnerabilidades específicas como problemas de configuración de
servidores FTP, exploits en Servidores Microsoft IIS y Apache Web o
problemas en la configuración de la política de seguridad Windows,
más otros muchos potenciales problemas de seguridad.
Importancia de la Seguridad Interna de la Red
La seguridad interna de la red es, las más veces, menospreciada por
sus administradores. Muy a menudo, dicha seguridad incluso no
existe, permitiendo a un usuario acceder fácilmente al equipo de otro
usuario utilizando debilidades bien conocidas, relaciones de confianza
y opciones predeterminadas. La mayore parte de estos ataques
necesitan poca o ninguna habilidad, poniendo la integridad de una red
en riesgo.
La mayoría de los empleados no necesitan y no deben tener acceso
al resto de equipos, funciones administrativas, dispositivos de red,
etcétera. Sin embargo, debido a la cantidad de flexibilidad necesaria
para la función normal, las redes internas no pueden permitirse una
seguridad máxima. Por otro lado, sin ninguna seguridad, los usuarios
internos pueden ser una importante amenaza para muchas redes
corporativas.
Un usuario de la empresa ya tiene acceso a muchos recursos
internos y no necesita evitar cortafuegos u otros mecanismos de
seguridad que previenen que las fuentes no confiables, como
usuarios de Internet, accedan a la red interna. Dichos usuarios
Introducción • 5
internos, equipados con mucha habilidad, pueden penetrar
satisfactoriamente y conseguir derechos de administración remota de
red mientras que asegura que su abuso sea dificil de identificar o
incluso de detectar.
De hecho, el 80% de los ataques a la red se originan desde el interior
del cortafuegos (ComputerWorld, Enero 2002).
Una pobre seguridad de red también significa que, si un hacker
externo fuerza un equipo de su red, podrá acceder al resto de la red
interna más fácilmente. Esto habilitaría a un atacante sofisticado leer
y posiblemente filtrar correo y documentos confidenciales; equipos
basura, haciendo creer en pérdidas de información; y más. Por no
mencionar que entonces utilice su red y recursos para volverse e
iniciar el ataque a otros sitios, que cuando sean descubiertos le
apuntarán a usted y a su empresa, no al hacker.
La mayoría de ataques, contra vulnerabilidades conocidas, podrían
ser fácilmente resueltos y, por lo tanto, ser detenidos por los
administradores si conocieran la vulnerabilidad en primer lugar. La
función de GFI LANguard N.S.S. es ayudar a los administradores en
la identificación de estas vulnerabilidades.
Características clave
6 • Introducción
•
Encuentra servicios rufianes y puertos TCP y UDP abiertos
•
Detecta vulnerabilidades CGI, DNS, FTP, Correo, RPC y otras
•
Detecta dispositivos inalámbricos.
•
Detecta usuarios pícaros o en “puertas traseras” (backdoors)
•
Detecta recursos compartidos abiertos y enumera quién tiene
acceso a estos recursos junto con sus permisos.
•
Enumera grupos, incluyendo los miembros de grupos.
•
Enumeración de usuarios, servicios, etc.
•
Enumera dispositivos USB.
•
Enumera dispositivos de red e identificación del tipo de dispositivo
(Cableado, Inalámbrico, Virtual)
•
Puede realizar Análisis Programados.
•
Actualiza automáticamente las Comprobaciones de vulnerabilidad
de seguridad.
•
Habilidad para detectar la falta de actualizaciones críticas y
service packs del sistema operativo.
•
Habilidad para detectar la falta de actualizaciones críticas y
service packs de aplicaciones soportadas.
•
Capacidad de guardar y cargar resultados de análisis.
•
Habilidad de comparar análisis, para enterarse de posibles nuevos
puntos de entrada.
•
Habilidad para actualizar el SO (Sistemas Windows en Inglés,
Francés, Alemán, Italiano, Español) y aplicaciones Office (Inglés,
Francés, Alemán, Italiano, Español)
•
Identificación de Sistema operativo.
•
Detección de anfitrión en directo.
•
Resultados en HTML, XSL y XML.
•
Auditoría SNMP y MS SQL.
•
Lenguaje de comandos compatible Vbscript para construir
comprobaciones de vulnerabilidad a medida.
•
Módulo SSH que permite la ejecución de scripts de seguridad
sobre equipo Linux/Unix.
•
Analiza varios equipos al mismo tiempo.
Componentes de GFI LANguard N.S.S.
GFI LANguard N.S.S. está construido sobre una arquitectura de clase
empresarial y tiene los siguientes componentes.
GFI LANguard Network Security Scanner
Este es el principal interfaz del producto. Utilice esta aplicación para
ver los resultados del análisis en tiempo real, configurar las opciones
de análisis, perfiles, informes filtrados, uso de herramientas de
seguridad especializadas y más.
GFI LANguard N.S.S. servicio asistente
Este servicio inicia los análisis de red programados, e implantaciones
programadas de actualizaciones. Funciona en segundo plano.
GFI LANguard N.S.S. Servicio agente de actualizaciones
Este servicio se implanta en los equipos objetivo a los cuales hay que
instalar actualizaciones, service pack o aplicaciones y se encarga de
la instalación de los parches, service pack o aplicaciones.
GFI LANguard N.S.S. Depurador de Scripts
Utilice este módulo para escribir/depurar los scripts a medida que
haya creado.
Monitor de GFI LANguard N.S.S.
Utilice este módulo para supervisar elestado de los análisis
programados y las implantaciones de actualización de software en
curso. Además puede detener operaciones programadas que todavía
no se hayan ejecutado.
Esquema de Licenciamiento
El esquema de licenciamiento de GFI LANguard N.S.S. se basa en el
número de equipos y dispositivos que desea analizar. Por ejemplo, la
licencia de 100 IP le permite analizar hasta 100 equipos o dispositivos
desde una única estación de trabajo/servidor de su red.
Introducción • 7
Instalar GFI LANguard Network
Security Scanner
Requerimientos del Sistema
La instalación de GFI LANguard Network Security Scanner requiere lo
siguiente:
•
Windows 2000/2003 o Windows XP
•
Internet Explorer 5.1 o superior
•
El Cliente de Redes Microsoft debe estar instalado.
•
NO puede estar ejecutándose software Cortafuegos Personal ni el
Cortafuegos de Conexión a Internet de Windows XP mientras se
realizan los análisis. Pueden bloquear la funcionalidad de GFI
LANguard
N.S.S.
NOTA: Detalles sobre cómo configurar sus directivas de directorio
activo para soportar el análisis de/desde equipos Windows XP con
service
pack
2
se
pueden
encontrar
en
http://kbase.gfi.com/showarticle.asp?id=KBID002177.
•
Para implantar parches en equipos remotos necesita tener
privilegios de administrador
Procedimiento de Instalación
1. Inicie el programa de instalación de LANguard Network Security
Scanner haciendo clic sobre el archivo languardnss6.exe. Confirme
que desea instalar GFI LANguard N.S.S. Comenzará el asistente de
instalación. Haga clic en Siguiente.
2. Tras leer el Acuerdo de Licencia, haga clic en Yes para aceptar el
acuerdo y continuar la instalación.
3. La instalación le solicitará la información de usuario y la Clave de
Licencia
Instalar GFI LANguard Network Security Scanner • 9
Especifique las credenciales del administrador del dominio o utilice la cuenta local del sistema
4. La instalación le solicitará las credenciales del administrador del
dominio que serán utilizadas por el servicio LANguard N.S.S.
Attendant (que inicia los análisis programados). Introduzca las
credenciales necesarias y haga clic en Next.
Escoja la base de datos de respaldo
5. La instalación le solicitará que escoja la base de datos de respaldo
para GFI LANguard N.S.S. Escoja entre Microsoft Access o Microsoft
SQL Server/MSDE y haga clic en Next.
NOTA: SQL Server/MSDE debe ser instalado en modo mixto o modo
autentificación SQL. El modo de sólo autentificación NT no está
soportado.
10 • Instalar GFI LANguard Network Security Scanner
6. Si seleccionó Microsoft SQL Server/MSDE como base de datos de
respaldo, se le solicitará por las credenciales SQL utilizadas para
registrar en la base de datos. Haga clic en Next para continuar.
7. La instalación le solicitará una dirección de correo de administrador
y el nombre de su servidor de correo. Estas opciones serán utilizadas
para enviar alertas administrativas.
8. Escoja el destino de GFI LANguard N.S.S. y haga clic en Next. GFI
LANguard N.S.S. necesitará aproximadamente 40 MB de espacio
libre en disco.
9. Una vez GFI LANguard N.S.S. ha sido instalado, puede ejecutar
GFI LANguard Network Security Scanner desde el menú de inicio.
Introducir su Clave de Licencia después de la instalación
Si ha comprado GFI LANguard N.S.S., puede introducir su número de
serie en el nodo General > Licensing.
Si está evaluando GFI LANguard N.S.S., el producto expirará
después de 60 días (con clave de evaluación). Si entonces decide
comprar GFI LANguard N.S.S., solo tiene que introducir aquí la clave
de licencia sin tener que reinstalarlo.
Debe licenciar GFI LANguard N.S.S. para el número de equipo que
desea analizar, y el número de equipos desde los que desea
ejecutarlo. Si tiene 3 administradores utilizando GFI LANguard N.S.S.
entonces tiene que comprar 3 licencias.
Introducir la Clave de licencia no debe ser confundido con el proceso
de registrar los detalles de su empresa en nuestro sitio web. Esto es
importante, ya que nos permite darle soporte y avisarle sobre noticias
importantes sobre los productos. Registre en:
http://www.gfi.com/pages/regfrm.htm
Nota: Para descubrir cómo comprar GFI LANguard N.S.S., siga el
nodo General -> How to puchase.
Instalar GFI LANguard Network Security Scanner • 11
Empezar: Realizar una Auditoría
Introducción a las Auditorías de Seguridad
Una auditoría de recursos de red permite al administrador identificar
posibles riesgos dentro de la red. Hacelo manualmente requiere
mucho tiempo, a cause de las tareas y procesos repetitivos, que
tienen que ser aplicados en cada equipo de la red. GFI LANguard
N.S.S. automatiza el proceso de una auditoría de seguridad e
identifica fácilmente vulnerabilidades comunes dentro de su red en un
corto tiempo.
Nota: Si su empresa utiliza cualquier tipo de Software de Detección
de Intrusos (IDS) entonces sea consciente de que el uso de
LANguard Network Security Scanner dejara fuera casi cualquier
cualidad. Si no es el único en encargarse del sistema IDS, asegúrese
de que el administrador de ese equipo o equipos sea consciente del
análisis que va a ser iniciado.
Junto con el aviso del software IDS debe ser consciente de que
muchos de los análisis se mostrarán en los archivos de registro a
todos los niveles. Regitstros Unix, servidores web, etc. mostrarán
todos los intentos del equipo LANguard Network Security Scanner. Si
no es el único administrador de su sitio asegúrese que los otros
administradores sean conscientes de los análisis que va a realizar.
Realizar un Análisis
El primer paso en el comienzo de la auditoría de una red es realizar
un análisis de los equipos y dispositivos de red actuales.
Para comenzar un nuevo análisis de red:
1. Haga clic en File -> New.
2. Seleccione qué analizar. Puede seleccionar lo siguiente:
a. Scan one Computer - Esto analizará un único equipo.
b. Scan Range of Computers – Esto analizará un rango
específico de IPs
c. Scan List of Computers - Esto analiza una lista de equipos
a medida. Los equipos se pueden agregar a la lista
seleccionándolos de una lista de equipos enumerados,
introduciéndolos uno a uno, o importando la lista de un
archivo de texto.
d. Scan a Domain – Esto analiza un dominio Windows
completo.
e. Analizar favoritos – Esto analiza una lista de equipos
favoritos que haya especificado (utilizando el bóton Add to
favorites).
Empezar: Realizar una Auditoría • 13
3. Dependiendo de lo que quiera analizar introduzca el inicio y final
del rango de la red a ser escaneado.
4. Seleccione Start Scan.
Realizar un análisis
LANguard Network Security Scanner realizará el análisis ahora.
Primero detectará qué anfitriones/equipos están activos, y solo
analizará esos. Esto se hace utilizando sondas NETBIOS, ping ICMP
ping y consultas SNMP .
Si un dispositivo no responde a uno de éstas, GFI LANguard N.S.S.
asumirá, por ahora, que el dispositivo no existe en una IP específica o
que está actualmente inactivo.
Nota: Si quiere forzar un análisis sobre IPs que no responden, vea el
capítulo ‘Configurar opciones de análisis’ para más información sobre
cómo configurar esto.
14 • Empezar: Realizar una Auditoría
Analizar los Resultados del Análisis
Analizar los resultados
Tras un análisis, los nodos aparecerán bajo cada equipo que GFI
LANguard N.S.S. encuentre. El panel de la izquierda listará todos los
equipos y dispositivos de red. Expandiendo uno de éstos se listará
una serie de nodos con la información encontrada para ese equipo o
dispositivo de red. Hacer clic sobre un nodo concreto mostrará la
información analizada en el panel de la derecha.
GFI LANguard N.S.S. encontrará cualquier dispositivo de red qe esté
actualmente activo o cuando haga un sondeo de red. Dependiendo
del tipo de dispositivo y qué tipo de consultas responde se
determinará cómo GFI LANguard N.S.S. lo identifica y qué
información puede recuperar.
Una vez GFI LANguard N.S.S. ha finalizado su análisis del
equipo/dispositivo/red mostrará la siguiente información.
IP, Nombre de equipo, SO y Nivel de Service pack
Se mostrará la dirección IP del equipo/dispositivo. Entonces se
mostrará el nombre NetBIOS DNS, dependiendo del tipo de
dispositivo. GFI LANguard N.S.S. informará qué SO está correindo
en el dispositivo y si es un Windows NT/2000/XP/2003 OS, mostrará
el nivel de service pack.
Nodo Vulnerabilidades
El nodo vulnerabilidades muestra los problemas de seguridad
detectados y le informa cómo resolverlos. Estas amenazas pueden
incluir actualizaciones de seguridad y service pack ausentes,
problemas HTTP, alertas NETBIOS, problemas de configuración,
etcétera.
Las vulnerabilidades se dividen en las siguientes secciones: Service
Packs Ausentes, Actualizaciones de Seguridad Ausentes,
Vulnerabilidades de Seguridad Altas, Vulnerabilidades de Seguridad
Medianas y Vulnerabilidades de Seguridad Bajas.
Bajo cada sección de vulnerabilidades Altas / Medianas / Bajas puede
encontrar mayor categorizacíon de los problemas detectados
utilizando el siguiente agrupamiento: Abusos CGI, Vulnerabilidades
FTP, Vulnerabilidades DNS, Vulnerabilidades de Correo,
Vulnerabilidades RPC, Vulnerabilidades de Servicio, Vulnerabilidades
de Regitro y Vulnerabilidades Varias.
Una vez el análisis ha finalizado y se listan varias vulnerabilidades,
haga doble clic (o clic con el botón derecho > More Details…) sobre la
vulnerabilidad para abrir su ventana de propiedades. A través de este
diálogo podrá investigar instantáneamente información importante
sobre las condiciones de esta vulnerabilidad así como acceder a
información como la descripción larga de la vulnerabilidad que no se
muestra en el arbol de resultados.
La siguiente información está disponible en
propiedades de vulnerabilidad:
la
ventana
de
•
Nombre
•
Descripción Corta
•
Nivel de seguridad
•
URL
•
Tiempo consumido para ejecutar la comprobación
•
Pruebas (para determinar si el equipo es vulnerable a esta
comprobación)
•
Descripción larga
Actualizaciones de seguridad ausentes GFI LANguard N.S.S.
comprueba la ausencia de actualizaciones de seguridad mediante la
comparación de las actualizaciones instaladas con las actualizaciones
disponibles para un producto concreto. Si al equipo le falta cualquier
actualización debería ver algo como esto:
Primero le indica para qué producto es la actualización. Si lo expande,
le especificará que actualización está ausente y le dará un enlace del
que puede descargar la actualización.
Abusos CGI describe problemas relativos a Apache, Netscape, IIS y
otros servidores web.
Vulnerabilidades FTP, vulnerabilidades DNS, vulnerabilidades de
Correo, vulneravilidades RPC y vulnerabilidades varias
proporcionan enlaces a Bugtraq u otros sitios de seguridad para que
pueda buscar más información sobre el problema encontrado por GFI
LANguard N.S.S.
Vulnerabilidades de servicio pueden ser varias cosas. Cualquier
cosa de los servicios en curso en el dispositivo en cuestión de
cuentas listadas en un equipo que nunca han sido utilizadas.
Vulnerabilidades de registro cubre la información tomada de un
equipo Windows cuando GFI LANguard N.S.S. hace su análisis inicial.
Proporcionará un enlace al sitio de Microsoft u otros sitios
relacionados con la seguridad que explica por qué estas opciones del
registro deberían ser cambiadas.
Vulnerabilidades de información son alertas agregadas a la base
de datos que son problemas suficientemente importantes para llamar
la atención de los administradores pero que no siempre es perjudicial
dejarlas abiertas.
Nodo de Vulnerabilidades Potenciales
El nodo de vulnerabilidades potenciales muestra potenciales
problemas de seguridad, importante información, así como ciertas
comprobaciones que no informan de vulnerabilidades. Por ejemplo si
no pudiera determinarse que una actualización concreta está
instalada, se la listará bajo el nodo actualizaciones de seguridad no
detectables. Esas potenciales vulnerabilidades necesitan ser
revisadas por el administrador.
Nodo de vulnerabilidades potenciales
Recursos compartidos
El nodo recursos compartidos lista todos los recursos compartidos de
un equipo y quién tiene acceso a un recurso compartido. Todos los
recursos compartidos de la red deben ser asegurados
adecuadamente. Los administradores deben asegurar que:
1. Ningún usuario está compartiendo todo su disco duro con otros
usuarios.
2. No se permite el acceso anónimo/no autentificado a recursos
compartidos.
3. Las carpetas de inicio o archivos de sistema similares no están
compartidas. Esto podría permitir que usuarios con menos
privilegios ejecuten código en los equipos objetivo.
Lo anterior es muy importante para todos los equipos, pero
especialmente para los equipos que son críticos para la integridad del
sistema, como el Controlador de Domino Público. Imagine un
administrador compartiendo la carpeta de inicio (o una carpeta que
contiene la carpeta de inicio) en el PDC para todos los usuarios.
Concedidos los permisos correctos, los usuarios pueden fácilmente
copiar ejecutables en la carpeta de inicio, que se ejecutarán en el
siguiente inicio de sesión del administrador.
Nota: Si está realizando el análisis validado como un administrador,
también verá los recursos compartidos administrativos, por ejemplo
“C$ - recurso compartido predeterminado”. Estos recursos
compartidos no estarán disponibles para los usuarios normales.
Con la forma en que Klez y otros nuevos virus están comenzando a
difundirse, a través del uso de recursos compartidos abiertos, todos
los recursos compartidos innecesarios deben ser desactivados, y
todos los recursos compartidos necesarios deberían estar protegidos
por contraseña.
NOTA: Puede deshabilitar la referencia a los recursos compartidos
administrativos editando el perfil de análisis desde Configuración >
Scanning Profiles > OS Data > Enumerate Shares.
Directiva de Contraseñas
Este nodo le permite comprobar si la directiva de contraseñas es
segura. Por ejemplo habilitar un tiempo de vida máximo e historial de
contraseñas. La longitud mínima de contraseña debe ser algo práctico,
como 8 caracteres. Si tiene Windows 2000, puede habilitar una
directiva de contraseñas seguras, en toda la red, utilizando un GPO
(Objetos de Directiva de Grupo) en el Directorio Activo.
Registro
Este nodo proporciona información vital sobre el registro remoto.
Haga clic sobre el nodo Ejecutar para comprobar qué programas
lanzan automáticamente en el inicio.
Compruebe que los programas que se lanzan automáticamente no
son Troyanos o incluso programas válidos que proporcionan acceso
remoto en un equipo, si dicho software no está permitido en su red.
Cualquier software de Acceso Remoto puede terminar siendo una
puerta trasera que un potencial hacker puede utilizar para obtener
entrada.
NOTA: Puede editar y mantener la lista de claves y valores del
registro
a
recuperar
modificando
el
archivo
XML
“toolcfg_regparams.xml”
que
se
encuentra
en
el
directorio %LNSS_INSTALL_DIR%\Data.
Directiva de auditoría de seguridad
Este nodo muestra qué directivas de auditoría de seguridad están
habilitadas en el equipo remoto. Se recomiendan las siguientes
directivas de auditoría:
Directiva de Auditoría
Correcto
Error
Auditar sucesos de inicio de
sesión
Si
Si
Administración de cuentas
Si
Si
Acceso del servicio de directorio
Si
Si
Sucesos de inicio de sesión de
cuenta
Si
Si
Acceso a objetos
Si
Si
Cambio de directivas
Si
Si
Uso de privilegios
No
No
Seguimiento de procesos
No
No
Sucesos del sistema
Si
Si
Puede habilitar la auditoría directamente desde GFI LANguard N.S.S.
Haga clic con el botón derecho sobre uno de los equipos del panel de
la izquierad y seleccione "Enable auditing". Esto hará aparecer el
asistente de administración de directiva de auditoría.
Especifique qué directivas de auditoría activar. Hay 7 directivas de
auditoría de seguridad en Windows NT y 9 en Windows 2000. Habilite
las directivas de auditoría deseadas en los equipos a ser
monitorizados. Haga clic en Next para activar las directivas de
auditoría.
Habilitar las Directivas de Auditoría en equipos remotos
Ni no se encuentran errores, se mostrará la página final. Si ocurrió un
error entonces se mostrará otra página indicando los equipos en los
que falló la aplicación de las directivas.
Diálogo de resultados del asistente de directiva de auditoría
Puertos abiertos
El nodo puertos abiertos lista todos los puertos abiertos encontrados
en el equipo. (Esto se llama escaneo de puertos). GFI LANguard
N.S.S. hace un análisis de puertos selectivo, lo que significa que por
defecto no escanea los 65535 puertos TCP y UDP, sólo los puertos
que están configurados para analizar: Puede configurar los puertos
que debe analizar en Opciones de análisis. Para más información vea
el capítulo “Configurar las Opciones de Análisis, Configurar los
Puertos a Analizar”.
Cada puerto abierto representa un servicio/aplicación; si uno de estos
servicios puede ser “aprovechado”, el hacker podría obtener acceso a
ese equipo. Por lo tanto, es importante cerrar cualquier puerto que no
sea necesario.
Nota: En las Redes Windows, los puertos 135, 139 y 445 siempre
están abiertos.
GFI LANguard N.S.S. mostrará los puertos abiertos, y si el puerto se
considera puerto de Troyano conocido, GFI LANguard N.S.S. lo
mostrará en ROJO, de lo contrario el puerto se mostrará en VERDE.
Puede ver esto en la siguiente imagen:
Nota: Aunque un puerto se muestre en ROJO como posible puerto
de Troyano, eso no significa que un programa de puerta trasera esté
actualmente instalado en el equipo. Algunos programa válidos
utilizarán los mismos puertos que algunos Troyanos conocidos. Un
programa anti-virus utiliza el mismo puerto conocido por la puerta
trasera NetBus. Por lo tanto compruebe siempre la información
proporcionada y realice pruebas en esos equipos.
Usuarios y Grupos
Estos nodos muestran los grupos locales y los usuarios locales
disponibles en el equipo. Verifique si hay usuarios de más, y
comprueb que la cuenta Invitado está deshabilitada. ¡Estos usuarios y
grupos pueden permitir el acceso por la puerta de atrás!
Algunos programas clandestinos rehabilitarán la cuenta Invitado y le
darán derechos Administrativos, por lo que compruebe los detalles del
nodo usuarios para ver la actividad de todas las cuentas y los
derechos que tienen.
Idealmente el usuario no debería estar utilizando una cuenta local
para iniciar sesión, sino que debería ser registrado en un Dominio o
una cuenta de Directorio Activo.
La última cosa importante a comprobar es asegurar que la contraseña
no es demasiado antigüa.
Usuarios que Iniciaron Sesión
Este nodo muestra la lista de usuarios que iniciaron sesión sobre el
equipo objetivo. La lista se divide en dos secciones.
Usuarios que iniciaron sesión localmente
Esta categoría incluye todos los usuarios que tienen una sesión
iniciada localmente. Esta categoría muestra la siguiente información
sobre cada inicio de sesión, si está disponible:
1. Fecha y hora del inicio de sesión
2. Tiempo transcurrido
Usuarios que Iniciaron Sesión Remota
Esta categoría incluye todos los usuarios que iniciaron sesión
remotamente sobre el equipo objetivo. La categoría Usuarios que
Iniciaron Sesión Remota muestra la siguiente información sobre cada
usuario:
1. Fecha y hora del inicio de sesión
2. Tiempo transcurrido
3. Tiempo en espera
4. Tipo de cliente
5. Transporte
Leyenda de los campos de información:
Fecha y hora del inicio de sesión: Indica la fecha y hora en que el
usuario inició sesión sobre el equipo. Este campo se aplica a ambas
conexiones local y remota.
Tiempo transcurrido: Indica cuanto tiempo ha estado el usuario en
este equipo. Este campo se aplica a ambas conexiones local y remota.
Tiempo en espera: Indica cuanto tiwmpo ha estado en espera la
conexión del usuario. El tiempo en espera se refiere al usuario /
conexión que está completamente en activo. Este campo se aplica
sólo a conexiones remotas.
Tipo de cliente: Indica qué plataforma utilizó el usuario para hacer
esta conexión remota. Generalmente se refiere al Sistema Operativo
instalado en el equipo que inició la conexión. Este campo se aplica
sólo a conexiones remotas.
Transporte: Indica qué clase de servicio se utilizó para iniciar la
conexión. Este campo se aplica sólo a conexiones remotas.
Servicios
Se listan todos los servicios del equipo. Verifique que los servicios
que están en ejecución necesitan estarlo y deshabilite todos los
servicios que no sean necesarios. Sea consciente de que cada
servicio puede potencialmente ser un riesgo de seguridad y un
agujero en el sistema. Cerrando o desactivando los servicios que no
son necesarios se reducen automáticamente los riesgos de seguridad.
Estado de Actualizaciones de Seguridad P
Este nodo muestra qué actualizaciones están instaladas y registradas
en el equipo remoto.
Dispositivos de Red
Este nodo muestra una lista de todos los dispositivos de red
instalados en el sistema. Los dispositivos se categorizan como sigue:
•
Dispositivos físicos - Con cable
•
Dispositivos físicos – Sin cable (inalámbricos)
•
Dispositivos virtuales
Dispositivos de Red Detectados
Se informa (cuando es posible) de las siguientes propiedades por
cada dispositivo:
•
Dirección MAC
•
Dirección(es) IP Asignadas
•
Anfitrión (Host)
•
Dominio
•
Datos DHCP
•
WEP (donde esté disponible)
•
SSID (donde esté disponible)
•
Gateway
•
Estado
NOTA: Busque regularmente los nuevos dispositivos de red. Los
dispositivos inalámbricos se pueden utilizar para comprometer la
seguridad de la red tanto desde dentro como desde fuera de la
empresa.
Dispositivos USB
Este nodo mostrará todos los dispositivos USB conectados
actualmente en el equipo objetivo. Utilice este nodo para verificar que
no hay dispositivos no autorizados conectados en ese momento. Los
dispositivos de almacenamiento portátiles suponen un considerable
riesgo de seguridad, mantenga vigilados esos dispositivos. Otro gran
riesgo de seguridad al que prestar atención son los adaptados USB
inalámbricos así como sticks Brluetooth que además pueden permitir
al usuario transferir archivos no autorizados entre sus estaciones de
trabajo y dispositivos personales como móviles, PDAs y dispositivos
con Bluetooth habilitado.
Lista de dispositivos USB detectados en el equipo objetivo
NOTA: Puede configurar GFI LANguard N.S.S.para informar de
dispositivos USB no autorizados (por ejemplo “USB Mass Storage
Device”) como vulnerabilidad crítica. Puede configurar qué
dispositivos debe informar GFI LANguard N.S.S. como vulnerabilidad
crítica desde Configuration > Scanning Profiles > Devices > USB
Devices.
Dispositivos USB peligrosos listados como Vulnerabilidad Crítica
Resultados Adicionales
Esta sección lista nodos y resultados adicionales, que puede
comprobar después de haber revisado antes los resultados más
importantes del análisis.
Nombres NETBIOS
En este nodo encontrará detalles sobre los servicios instalados en el
equipo.
Equipo
MAC – Esta es la dirección MAC del adaptador de red.
Nombre de usuario – Este es el nombre del usuario actualmente
registrado, o el nombre de usuario del equipo.
TTL – El valor Tiempo De Vida (TTL) se especifica para cada
dispositivo. Los valores principales son 32, 64, 128 y 255. En base a
estos valores y al TTL actual del paquete tendrá una idea de la
distancia (número de saltos de enrutador) entre el equipo GFI
LANguard N.S.S. y el equipo objetivo que fue analizado.
Utilización del Equipo - Le dice si el equipo objetivo es una Estación
de Trabajo o un Servidor.
Dominio – Si el equipo objetivo es parte de un dominio, le dará una
lista de los Dominios de confianza.
Si no es parte de un Dominio le mostrará el Grupo de Trabajo del que
el equipo es parte.
LAN manager – Proporciona el LAN Manager en uso (y SO).
Sesiones
Muestra las direcciones IP de los equipos que estaban conectados al
equipo objetivo en el momento del análisis. En la mayoría de los
casos, sólo será el equipo que está ejecutando GFI LANguard N.S.S.
y ha recientemente hecho conexiones.
Nota: Debido al constante cambio de este valor, esta información no
se guarda en el informe, pero está aquí sólo para propósitos
informativos.
Dispositivos de Red
Proporciona una lista de dispositivos de red disponible en el equipo
objetivo.
TOD remoto
Hora del Día remota. Esta es la hora de red en el equipo objetivo, que
es habitualmente fijada por el Controlador de Dominio.
Realizar análisis En el sitio (On site) y Fuera del sitio (Off site)
Recomendamos que ejecute GFI LANguard N.S.S. de dos formas, los
llamados análisis On site y análisis Off site.
Análisis On Site
Prepare un equipo con LANguard Network Security Scanner instalado
en él. Haga un análisis de su red con una “sesión NULL’ (Seleccione
Null Session del cuadro desplegable).
Una vez está hecho el primer análisis cambie el valor del cuadro
desplegable a Currently logged on user (si tiene derechos
administrativos para su dominio), o como Alternative credentials que
tengan derechos administrativos para el Dominio o para el Directorio
Activo.
Guarde este segudno análisis para compararlo más adelante.
Con la ‘sesión NULL' puede ver lo que cualquier usuario haciendo una
conexión a su red vía conexión Null sería capaz de vez. El análisis
que tiene los derechos administrativos, le ayudará mostrándole todos
las actualizaciones de seguridad que están ausentes en el equipo.
Análisis Off Site
Si tiene una cuenta de marcado externo, o alta velocidad de acceso a
internet que no esté ligado a su empresa querrá ahora dar la vuelta y
analizar su red desde el mundo exterior.
Haga un análisis ‘sesión NULL’ de su red. Esto de dejará ver que
sería capaz de ver cualquiera desde Internet si/cuando analizan su
red. Cosas que pueden afectar son cualquier cortafuegos que su
empresa o ISP podría configurar, o cualquier regla en un router en el
camino que podría eliminar tipos específicos de paquetes.
Guarde este análisis para una posterior comparación.
Comparación de análisis on site y off site
Ahora es momento de iniciar la búsqueda de información generada
por LANguard Network Security Scanner.
Si el análisis de sesión NULL de su red interna parece idéntico al
análisis de su red externa sea consciente de que da la impresión que
no hay cortafuegos o dispositivo de filtrado en su red. Esta es
probablemente una de las primeras cosas que debería examinar.
Por lo tanto, compruebe lo que realmente puede ver cualquier usuario
desde el mundo exterior. ¿Pueden ver sus Controladores de Dominio
y conseguir una lista de todas las cuentas de equipo?
¿Y sobre servidores Web, FTP, etc...?
En éste punto, usted está solo.
Podría necesitar iniciar las
comprobaciones de actualizaciones de Servidores Web, Servidores
FTP, etc.
También podría necesitar verificar y cambiar las
configuraciones de los servidores SMTP. Cada red es diferente. GFI
LANguard N.S.S. intenta ayudarle precisando los problemas y los
asuntos de seguridad y dirigirle a sitios que le ayudarán a resolver los
agujeros que encuentre.
Si encuentra servicios ejecutándose que no son necesarios,
asegúrese de deshabilitarlos. Cada servicio es un potencial riesgo de
seguridad que podría permitir a alguien el acceso no autorizado a su
red. Nuevos desbordadores de buffer y exploits son publicados cada
día e incluso aunque su red podría parecer ser segura hoy, podría no
ser el caso mañana.
Asegúrese de realizar los análisis de seguridad de tiempo en tiempo.
Esto no es algo que pueda hacer una vez y entonces olvidarlo.
Siempre hay algo nuevo ahí fuera, y una vez de nuevo, solo porque
estaba seguro hoy, nunca sabe qué hacker llegará mañana.
Guardar y Cargar resultados de
análisis
Introducción
Una vez GFI LANguard N.S.S. completa un análisis de seguridad,
guarda automáticamente los resultados en su base de datos de
respaldo (MS Access / MS SQL Server).
Además puede guardar los resultados del análisis en un archivo XML
externo.
Los reusltados guardados pueden ser recargados en el interfaz de
usuario de GFI LANguard N.S.S. para procesamiento o comparación
de resultados. Cargar los resultados guardados es muy útil cuando
uno necesita ejecutar informes o implantar actualizaciones sobre un
sistema sin cambios que no requiere reanálisis.
Guardar Resultados de Análisis en un archivo externo
Una vez GFI LANguard N.S.S. completa un análisis de seguridad los
resultados ya se guardan en la base de datos de respaldo. Para
guardar los resultados en un archivo externo:
•
File > Save scan results…
•
Acepte el nombre de archivo por defecto o especifique un
nombre alternatico.
•
Haga clic en Save.
Cargar resultados de análisis guardados
Cargar análisis guardados desde base de datos
LNSS almacenará en la base de datos los últimos 30 análisis
realizados sobre el mismo objetivo con el mismo perfil.
Para recargar un resultado de análisis guardado de la base de datos:
1. Haga clic con el botón derecho sobre GFI LANguard N.S.S. >
Security Scanner
2. Load saved scan results from… > Database. Esto abrirá el diálogo
de selección de resultados de análisis.
3. Seleccione qué análisis recargar de la lista.
4. Haga clic en Aceptar.
Guardar y Cargar resultados de análisis • 27
Resultado de análisis guardado recargado en el IU principal
Cargar análisis guardados de un archivo externo
Para recargar un resultado de análisis guardado de un archivo
externo:
1. Haga clic con el botón derecho sobre GFI LANguard N.S.S. >
Security Scanner
2. Load saved scan results from… > XML…. Esto abrirá el diálogo
de Abrir resultados de análisis guardados en archivo XML.
3. Seleccione qué análisis recargar.
4. Haga clic en Aceptar.
28 • Guardar y Cargar resultados de análisis
Filtrar los resultados del análisis
Introducción
Una vez GFI LANguard N.S.S. ha realizado un análisis, mostrará los
resultados en el panel ‘Scan results’. Si ha analizado un gran número
de equipos, podría querer filtrar esos datos desde el nodo Scan filters.
Haciendo clic en este nodo y seleccionando un filtro existente
mostrará los resultados del análisis en base al filtro seleccionado. GFI
LANguard N.S.S. se entrega con varios filtros de análisis predefinidos.
Además puede hacer sus propios filtros de análisis a la medida.
Filtros de análisis
Los siguientes filtros de análisis están incluidos por defecto:
Informe completo: Muestra todos los datos recogidos en un análisis
relativos a la seguridad.
Vulnerabilidades [High Security]: Muestra problemas que necesitan
atención inmediata – service pack y parches ausentes,
vulnerabilidades de seguridad alta y puertos abiertos.
Vulnerabilidades [Medium Security]: Muestra problemas que podrían
necesitan ser destinados por el administrador – vulnerabilidades de
seguridad media, actualizaciones que no pueden ser detectadas.
Vulnerabilidades[All]: Muestra todas las vulnerabilidades detectadas –
actualizaciones de seguridad ausentes, service packs ausentes,
información potencial, parches que no pudieron ser detectados,
vulnerabilidades de seguridad bajas y altas.
Filtrar los resultados del análisis • 29
Actualizaciones de seguridad y service packs ausentes: lista todos los
service pack y actualizaciones de seguridad ausentes en los equipos
analizados.
Dispositivos importantes - USB: Lista todos los dispositivos USB
conectados en los objetivos del análisis.
Important devices – Wireless: Lists all the wireless network cards,
(both PCI and USB) attached to the scan targets.
Puertos abiertos: lista todos los puertos TCP y UDP abiertos.
Recursos Compartidos Abiertos: lista todos los recursos compartidos
y quién ha accedido a ellos.
Directiva de Auditoría: lista las opciones de directiva de auditoría de
cada equipo analizado.
Directiva de Contraseñas: lista las opciones activas de directiva de
auditoría de cada equipo analizado.
Grupos y usuarios: lista los usuarios y grupos detectados en cada
equipo analizado.
Propiedades del equipo: Muestra las propiedades de cada equipo.
Seleccionar el origen de los resultados del análisis
Por defecto, los filtros trabajarán sobre los datos del análisis actual.
Sin embargo es posible seleccionar un diferente archivo origen de
datos de los 'resultados de análisis' y aplicar los filtros a estos datos
(que están actualmente en archivo XML o en base de datos). Para
hacerlo:
1. Vaya al nodo Security Scanner en el programa analizador de
seguridad de GFI LANguard N.S.S.
2. Haga clic con el botón derecho y seleccione ‘Load saved scan
results from…”
3. Seleccione los orígenes de datos que contengan los resultados
sobre los que desea ejecutar el filtro.
4. Seleccione la entrada de la base de datos o el archivo XML que
contenga los datos de resultados de análisis necesarios.
5. Haga clic en Aceptar. Esto recargará los resultados de análisis
guardados en el IU de resultados del Escáner de Seguridad.
6. Ahora todos los filtros mostrarán datos de los resultados cargados
de éste archivo.
Crear un filtro de análisis a medida
Para crear un filtro de análisis a medida:
1. Haga clic con el botón derecho sobre el nodo GFI LANguard N.S.S.
> Security scanner > Scan Filters y seleccione New > Filter…
2. Esto abrirá el diálogo Scan Filter Properties.
30 • Filtrar los resultados del análisis
Filtros de análisis – Página general
3. Proporcione un nombre al filtro
4. Agregue cualquier condición que desea que el filtro aplique a los
datos de resultados del análisis utilizando el botón Add... Puede crear
múltiples condiciones para el filtro. Para cada condición debe
especificar la propiedad, la condición y el valor. Las propiedades
disponibles son Sistema Operativo, nombre de host, usuario
registrado, dominio, service pack, recurso compartido, etc.).
Diálogo de condiciones
5. Seleccione qué categorías de información desea ver en el filtro
desde la página ‘Report items’.
6. Haga clic en Aceptar para crear el filtro.
32 • Filtrar los resultados del análisis
Filtros de análisis – Página de elementos de informe
Este procedimiento creará un nuevo nodo permanente bajo el nodo
Scan Filters.
NOTA: Puede eliminar/personalizar cualquier filtro bajo el nodo Scan
Filters haciendo clic con el botón derecho sobre el filtro y
seleccionando Delete.../Properties dependiendo de la operación que
desee realizar.
Ejemplo 1 – Encuentre equipos con la ausencia de un parche
concreto
Quiere encontrar todos los equipos Windows a los que les falte la
actualización MS03-026. (este es la famosa actualización para el virus
blaster)
Defina el filtro como sigue:
1. Condición 1: El sistema operativo incluye Windows
2. Condición 2: Hot fix (actualización) no está instalada MS03-026
Ejemplo 2 – Listar todas las estaciones Sun con servidor web
Para listar todas las estaciones Sun que ejecutan un servidor web
sobre el puerto 80 defina las siguientes consultas:
1. El sistema operativo incluye SunOS
2. Puerto TCP abierto 80
Configurar GFI LANguard N.S.S.
Introducción a la configuración de GFI LANguard N.S.S.
Puede configurar GFI LANguard N.S.S. desde el nodo de
configuración. Aquí puede configurar opciones de análisis, perfiles de
escaneo con diferentes opciones de análisis, análisis programados,
opciones de alertas y más.
Perfiles de escaneo
Perfiles de escaneo
Utilizando los perfiles de escaneo, puede configurar diferentes tipos
de análisis, y utilizar estos diferentes análisis para enfocarse en tipos
concretos de información por los que desea comprobar.
Un perfil de escaneo se crea desde el nodo Configuration > Scannind
profiles, haciendo clic con el botón derecho y seleccionando New >
Scan Profile…
Puede configurar las siguientes opciones para cada perfil:
1. Puertos TCP analizados
2. Puertos UDP analizados
3. Datos del SO analizado
4. Vulnerabilidades analizadas
5. Actualizaciones de seguridad analizadas
Configurar GFI LANguard N.S.S. • 35
6. Propiedades deñ escáner
7. Dispositivos
Puertos TCP/UDP analizados
La etiqueta de puertos TCP/UDP analizados le permite especificar
qué puertos TCP y UDP desea analizar. Para habilitar un puerto
simplemente haga clic sobre la casilla junto al puerto.
Configurar los puertos a analizar en un perfil
Cómo agregar/editar/eliminar puertos
Si quiere agregar puertos TCP/UDP a medida, haga clic en el botón
agregar. Aparecerá el diálogo para agregar puertos.
36 • Configurar GFI LANguard N.S.S.
Imagen 1 – Agregar un puerto
Simplemente introduzca un número de puerto o un rango de puertos
así como una descripción del programa que se supone corre en ese
puerto. Si el programa asociado con este puerto es un Troyano, haga
clic en la casilla de verificación ‘Is a Trojan port'.
Si especifica que este es un puerto Troyano, el círculo verde / rojo
junto al puerto estará rojo.
Nota: Compruebe que está introduciendo este puerto en la ventana
de Protocolo correcta, TCP o UDP.
Puede editar o eliminar puertos haciendo clic sobre los botones Editar
o Eliminar.
Datos del SO analizado
La etiqueta de datos del SO analizado especifica la clase de
información que desea que GFI LANguard N.S.S. recoja del sistema
operativo durante el análisis. En estos momentos solo se soportan
datos de SO Windows, sin embargo el análisis de datos UNIX está en
desarrollo.
Vulnerabilidades analizadas
Configurando las Vulnerabilidades a analizar
La etiqueta de vulnerabilidades analizadas lista todas las
vulnerabilidades que puede analizar GFI LANguard N.S.S. Puede
deshabilitar la comprobación de todas las vulnerabilidades
deseleccionando la casilla ‘Check for vulnerabilities’.
Por defecto, GFI LANguard N.S.S. analizará todas las
vulnerabilidades que conoce. Puede cambiar esto eliminando la
casilla junto a cada vulnerabilidad en particular.
Del panel de la derecha, puede cambiar las opciones de una
vulnerabilidad específica haciendo doble clic sobre ella. Puede
cambiar el nivel de seguridad de una comprobación de vulnerabilidad
comcreta desde la opción “Security Level”.
Tipos de Vulnerabilidades
Las vulnerabilidades se dividen en las siguientes secciones:
Ausencia de Parches, Parches que no pueden ser detectados,
Abusos CGI, Vulnerabilidades FTP, Vulnerabilidades DNS,
Vulnerabilidades de Correo, Vulnerabilidades RPC, Vulnerabilidades
de Servicio, Vulnerabilidades de Registro, y Vulnerabilidades Varias.
Opciones avanzadas de comprobación de vulnerabilidad
Haga clic sobre el botón Advanced para abrir estas opciones.
•
Comprobaciones Internas – Estas incluyen comprobación de
contraseña ftp anónima, comprobación de contraseña debil, etc…
•
CGI Probing – Active las pruebas CGI si está ejecutando
servidores web que utilizan CGI. Opcionalmente puede especificar
un servidor proxy si usted está localizado tras un servidor proxy.
•
Las nuevas vulnerabilidades son habilitadas por defecto
Habilita/deshabilita las vulnerabilidades recientemente agregadas
para incluirlas en los análisis de todos los otros perfiles.
Descargar las últimas Vulnerabilidades de Seguridad
Para actualizar sus Vulnerabilidades de Seguridad, seleccione Help >
Check for updates desde el programa de escáner de GFI LANguard
N.S.S. Esto descargará las últimas vulnerabilidades de seguridad del
sitio web de GFI. También actualizará los archivos de huellas
utilizados para determinar qué SO está en un dispositivo.
NOTA: Al iniciar GFI LANguard N.S.S. puede descargar
automáticamente nuevas comprobaciones de vulnerabilidades desde
el sitio web de GFI. Puede configurar esto desde el nodo GFI
LANguard N.S.S. > General > Product Updates.
Actualizaciones de seguridad analizadas
Configure qué actualizaciones comprobar cuando analice con un perfil concreto.
Las actualizaciones de seguridad analizadas le permiten configurar si
este perfil en particular debe comprobar la ausencia de
actualizaciones de seguridad y/o service packs.
La etiqueta lista todas las actualizaciones que comprueba GFI
LANguard N.S.S. Puede deshabilitar la comprobación de
actualizaciones concretas para este perfil desmarcando la casilla
junto al boletín de la actualización.
La lista de actualizaciones se obtiene descargando la última lista de
actualizaciones del sitio web de GFI, que a su vez se obtiene de
Microsoft (mssecure.xml). GFI obtiene esta lista de actualizaciones de
Microsoft y comprueba su exactitud, ya que a veces contiene errores.
Información ampliada de boletín
Para más información sobre un boletín concreto, haga doble clic
sobre el boletín o haga clic con el botón derecho y seleccione
Propiedades. Se le presentará con más detalle qué comprueba el
boletín y a qué está dirigido.
Opciones de escáner
En esta etiqueta puede configurar opciones relativas a cómo debe
realizar el análisis GFI LANguard N.S.S.
Propiedades del Escáner de Seguridad
Métodos de descubrimiento de red
Esta sección trata qué métodos utiliza GFI LANguard N.S.S. para
descubrir equipos en la red.
La opción de consultas NETBIOS permite utilizar consultas NETBIOS
o SMB. Si el Cliente para Redes Microsoft está instalado en el equipo
Windows, o si Samba está instalado en un equipo Unix, esos equipos
responderán la consulta de tipo NetBIOS.
Puede incluir un ScopeID a la consulta NetBIOS. Esto solo es
necesario en algunos casos, en cuyos sistemas tengan un ScopeID.
Si su organización tiene un ScopeID situado sobre NetBIOS,
introdúzcalo aquí.
La opción consultas SNMP permite que sean enviados paquetes
SNMP con la cadena Comunidad que fue indicada en la pestaña
General. Si el dispositivo responde a esta consulta, GFI LANguard
N.S.S. solicitará el Identificador de Objeto del dispositivo y los
compara con una base de datos para determinar qué es éste servicio.
Ping Sweep hace un ping ICMP a cada dispositivo de red. (Vea Nota:
a continuación)
Descubrimiento Personalizado de Puerto TCP comprueba un puerto
abierto concreto en los equipos objetivo.
Nota: Cada uno de los anteriores tipos de consulta puede
desactivado, pero GFI LANguard N.S.S. depende de todas
consultas para determinar el tipo de dispositivo y el SO operativo
está ejecutando. Si escoge desactivar cualquiera de ellas,
LANguard N.S.S. podría no ser fiable en su identificación.
ser
las
que
GFI
Nota: Algunos cortafuegos personales bloquean un equipo de incluso
enviar ecos ICMP y por lo tanto no será detectado por GFI LANguard
N.S.S. Si cree que hay muchos equipos con cortafuegos personales
en su red, considere forzar un análisis de cada IP de su red.
Opciones de descubrimiento de red
Los parámetros de descubrimiento de red le permiten adaptar la
detección de equipos, de forma que tenga la más fiable detección de
equipos en el menor tiempo posible. Los parámetros ajustables
incluyen
•
Retardo de análisis es el tiempo que GFI LANguard N.S.S. espera
entre envío de paquetes TCP/UDP. Por defecto es 100 ms.
Dependiendo de su conexión y del tipo de red en que está
(LAN/WAN/MAN) podría necesitar ajustar estas opciones. Si lo
sitúa muy bajo podría congestionar su red con paquetes de GFI
LANguard N.S.S. Si lo sitúa muy alto se perderá mucho tiempo
que no es necesario.
•
Esperar Respuestas es el tiempo que actualmente esperará GFI
LANguard N.S.S. por una respuesta del dispositivo. Si está
ejecutándolo en una red lenta u ocupada podría necesitar
incrementar este tiempo de 500 ms a algo mayor.
•
Número de reintentos es el número de veces qe GFI LANguard
N.S.S. hará cada tipo de análisis. Bajo circunstancias normales
esta opción no debe ser cambiada. Sea consciente, sin embargo,
que si cambia esta opción, se ejecutará mediante ese tipo de
análisis (NETBIOS, SNMP e ICMP) ese número de veces.
•
Incluir equipos que no responden es una opción qué instruye al
escáner de seguridad de GFI LANguard N.S.S. para intentar
analizar un equipo qué no ha respondido a ningún método de
descubrimiento de red.
Opciones de Consulta NetBIOS
El efecto de utilizar un Scope ID NetBIOS es aislar un grupo de
equipos de la red que pueden comunicarse sólo con otros equipos
que tiene configurado el mismo Scope ID NetBIOS.
Los programas NetBIOS iniciados en un equipo que utiliza NetBIOS
Scope ID no pueden “ver” (recibir o enviar mensajes) programas
NetBIOS iniciados por un proceso en un equipo configurado con un
NetBIOS Scope ID diferente.
LNSS soporta NetBIOS Scope ID para ser capaz de analizar estos
equipos aislados que de otro modo serían inaccesibles.
Opciones de Consulta SNMP
La opción para Cargar números SNMP de empresa permitira a GFI
LANguard N.S.S. extender el soporte en análisis SNMP. Si esto está
deshabilitado, los dispositivos conectados mediante SNMP que son
desconocidos pata GFI LANguard N.S.S. no informarán del fabricante
que se supone que es. Salvo que tenga problemas, es recomendable
dejar esta opción habilitada.
Por defecto la mayoría de dispositivos con SNMP habilitado utilizan la
cadena de comunidad por defecto ‘public’, pero por razones de
seguridad la mayoría de los administradores cambiarán esto por otra
cosa. Si ha cambiado el nombre de la comunidad SNMP por defecto
en sus dispositivos de red, querrá incluirlo a la lista que utiliza GFI
LANguard N.S.S.
Nota: Aquí puede incluir más de un nombre de comunidad SNMP.
Para cada nombre de comunidad adicional, la parte SNMP del
análisis tendrá que ejecutarse otra vez. Si tiene ‘public’ y ‘private’ en
la cadena de nombres de comunidad, el análisis SNMP se ejecutará
dos veces a través de todo el rango IP que le de. Irá a través suyo
una vez con la cadena 'public', y entonces de nuevo con la cadena
'private'.
Opciones de ventanas de actividad del escáner
Las opciones de salida le permiten configurar qué información se
mostrará en el panel de actividad del escáner. Es útil habilitarlo, sin
embargo habilitar 'Verbose' o 'Display packets' sólo con propósito
excepcional de depuración.
Dispositivos
En esta etiqueta puede configurar cómo reaccionará LANguard N.S.S.
cuando detecte un dispositivo de red o USB en particular. Puede
configurar GFI LANguard N.S.S. para notificarle mediante un avuso
de vulnerabilidad crítica cuando se detecte un dispositivo en particular
o configurar GFI LANguard N.S.S. para ignorar dispositivos concretos,
como teclados o ratones USB.
Dispositivos de Red
Cada dispositivo de red recuperado tiene un nombre. Si el nombre del
dispositivo detectado continene cualquier de las cadenas introducidad
en la lista “Create a high security vulnerability for network devices
whose name contains:” (uno por línea), se generará una
vulnerabilidad de alta seguridad e informará del equipo en el que se
detectó el dispositivo.
Dispositivo de Red – Configurar un nombre de dispositivo peligroso.
NOTA: Las listas se configuran sobre la base de un perfil, de forma
que puede personalizar sus necesidades de análisis en base al tipo
de análisis de seguridad que esté haciendo.
Vulnerabilidad de Alta Seguridad creada por el Dispositivo de Red que es identificado como
peligroso.
NOTA: Si por otro lado no quiere ser informado / notificado sobre la
presencia de dispositivos que considera seguros, entonces introduzca
el nombre del dispositivo en la sección de lista “Ignore (Do not
list/save to db) devices whose name contains:”. Cuando un dispositivo
con dichas propiedades es encontrado, será ignorado por GFI
LANguard N.S.S. y no será guardado/mostrado en los resultados del
análisis.
Dispositivos USB
Cada dispositivo USB recuperado tiene un nombre. Si el nombre del
dispositivo detectado continene cualquier de las cadenas introducidad
en la lista “Create a high security vulnerability for USB devices whose
name contains:” (uno por línea), se generará una vulnerabilidad de
alta seguridad e informará del equipo en el que se detectó el
dispositivo.
Dispositivo USB – Configurar un nombre de dispositivo peligroso.
NOTA: Las listas se configuran sobre la base de un perfil, de forma
que puede personalizar sus necesidades de análisis en base al tipo
de análisis de seguridad que esté haciendo.
Vulnerabilidad de Alta Seguridad creada por el Dispositivo USB que es identificado como
peligroso.
NOTA: Si por otro lado no quiere ser informado / notificado sobre la
presencia de dispositivos que considera seguros, entonces introduzca
el nombre del dispositivo en la sección de lista “Ignore (Do not
list/save to db) devices whose name contains:”. Cuando un dispositivo
con dichas propiedades es encontrado, será ignorado por GFI
LANguard N.S.S. y no será guardado/mostrado en los resultados del
análisis.
Análisis Programados
La característica de análisis programados le permite configurar
análisis que serán iniciados automáticamente en una fecha / hora
específicas. Los análisis programados también se pueden iniciar
periódicamente. Esto le permite iniciar un análisis concreto de noche
o temprano y se puede utilizar en conjunción con la característica de
comparación de resultados, permitiéndole recibir un ‘informe de
cambios’ automáticamente en su buzón.
Por defecto todos los análisis programados se almacenan en la base
de datos. Opcionalmente puede guardar todos los resultados de
análisis programados en un archivo XML (uno por análisis
programado). Esto se puede realizar haciendo clic con el botón
derecho sobre el nodo Scheduled Scan, seleccionando propiedades,
habilitando la opción Save Scheduled Scan y especificando una ruta
para los archivos XML.
Configurar un análisis programado
Para crear un análisis programado
1. En el programa escáner de seguridad de GFI LANguard N.S.S.,
haga clic con el botón derecho sobre Configuración > Scheduled
scans > New > Scheduled scan…
2. Esto abrirá el diálogo New Scheduled Scan
Crear un nuevo Análisis Programado
En el diálogo New scheduled scan puede configurar:
1. Objetivo del análisis: Especifique los nombres de equipo o rango
IP que desea analizar. Puede especificar el objetivo del análisis
como sigue
i. Nombre del anfitrión – por ejemplo JAVIERGCIA
ii. Dirección IP – por ejemplo 192.168.100.9
iii. Rango de IPs – por ejemplo 192.168.100.1 – 192.168.100.255
iv. Un archivo de texto con una lista de equipos - por ejemplo
file:c:\test.txt (ruta completa del archivo). Cada línea del
archivo debe contener cualquiera de los formatos u objetivos
especificados en (i), (ii) o (iii).
2. Perfil de escaneo. Seleccione el perfil de escaneo a ser utilizado
para este análisis programado.
3. Siguiente análisis: Indique fecha y hora a la que desea iniciar el
análisis
4. Realizar un análisis cada: Indique si desea que el análisis se
ejecute una vez o periódicamente.
5. Descripción: Esto es lo que se mostrará en la lista de análisis
programados
Haga clic en Aceptar para crear el análisis programado.
Para analizar/ver los resultados del un análisis programado, debe
especificar el archivo de resultados XML de ese análisis programado
en el nodo de filtros de análisis. Para hacerlo:
1. Haga clic con el botón derecho sobre el nodo principal “Scan
Filters” y seleccione “Filter saved scan results XML file..."
2. Especifique el archivo de resultados XML del análisis programado.
3. El nodo filtros mostrará ahora datos del archivo de resultados del
análisis programado.
Archivos de parámetros
El nodo archivos de parámetros proporciona un interfaz directo para
editar varios archivos de parámetros basados en texto que utiliza GFI
LANguard N.S.S. Sólo los usuarios avanzados deberían modificar
estos archivos. Si estos archivos son editados incorrectamente,
afectará la fiabilidad de GFI LANguard N.S.S. cuando intente
determinar el tipo de dispositivo encontrado.
•
Ethercodes.txt - este archivo contiene una lista de direcciones
mac y los fabricantes asociados a los que les ha sido asignado
ese rango concreto.
•
ftp.txt – este archivo contiene una lista de estandartes de servidor
ftp que son utilizados internamente por LNSS para ayudar a
identificar qué SO está funcionando sobre ese equipo concreto en
base al servidor ftp que está ejecutando.
•
Identd.txt – este archivo contiene estandartes de identidad que
son utilizados internamente por LNSS para identificar el SO
utilizando la información de estandarte.
•
Object_ids.txt – este archivo tiene object_ids SNMP y a qué
fabricante y producto pertenecen. Cuando GFI LANguard N.S.S.
encuentra un dispositivo que responde a consultas SNMP
compara la información del Object ID del dispositivo con el
almacenado en este archivo.
•
Passwords.txt – este archivo tiene una lista de contraseñas que
son utilizadas para afirmar la debilidad de las contraseñas.
•
Rpc.txt – este archivo contiene un mapa entre los números de
servicio devueltos por el protocolo rpc y los nombres de servicio
asociados con ese número de servicio concreto. Cuando se
encuentran servicios RPC corriendo en un equipo (normalmente
Unix o Linux) la información recibida se compara con este archivo.
•
Smtp.txt – contiene una lista de estandartes y los SO asociados.
Como con los archivos de ftp y de identidad, estos estandartes
son utilizados internamente por LNSS para identificar el SO que
corre en el equipo objetivo.
•
Snmp-pass.txt – este archivo contiene una lista de cadenas de
comunidad que LNSS utiliza para identificar si están disponibles
en el servidor SNMP objetivo. Si están disponibles, estas cadenas
de comunidad serán reportadas por la herramienta de análisis
SNMP.
•
telnet.txt – De nuevo, un archivo que contiene varios estandartes
de servidores telnet utilizado por LNSS para identificar el SO que
se ejecuta en el equipo objetivo.
•
www.txt – Un archivo que contiene estandartes de servidores web
utilizados para identificar qué SO está funcionando sobre el
equipo objetivo.
•
Enterprise_numbers.txt – lista de OID (Identificadores de Objeto)
para códigos de relación de empresas (fabricante/universidad). Si
GFI LANguard N.S.S. no tiene la información específica sobre un
dispositivo cuando lo encuentra (información proporcionada por el
archivo object_ids.txt), mirará la información específica del
fabricante devuelta y al menos proporcionará quién es el
fabricante del producto encontrado. Esta información está basada
en Códigos Empresariales Privados de Administración de Red
SMI,
que
pueden
ser
encontrados
en:
http://www.iana.org/assignments/enterprise-numbers
Utilizar GFI LANguard N.S.S. desde la línea de comando
Es posible invocar el proceso de análisis desde la línea de comando.
Esto le permite llamar al escáner desde cualquier aplicación o
simplemente sobre unas bases regulares con sus propias opciones a
medida.
Sintaxis:
lnsscmd
<Objetivo>
[/profile=NombreDePerfil]
[/report=RutaDeInformes]
[/output=RutaAlArchivoXML]
[/user=NombreDeUsuario
/password=contraseña]
[/email=DirecciónDeCorreo] [/DontShowStatus] [/?]
Leyenda:
Objeto
Requerido : IP/Equipo o rango de IPs/Equipos a ser
analizados.
Opcional /Profile: Perfil a utilizar para el análisis. Si no se especifica,
se utilizará el perfil activo en curso.
Opcional /Output: Ruta completa (incluyendo nombre de archivo) al
archivo xml de resultados de análisis.
Opcional /Report: Ruta completa (incluyendo nombre de archivo)
donde generar el archivo html del informe del análisis.
Opcional /User: Analiza el objetivo especificado utilizando la
credenciales alternativas especificadas en los parámetros /User y
/Password.
Opcional /Password: Analiza el objetivo especificado utilizando la
credenciales alternativas especificadas en los parámetros /User y
/Password.
Opcional /Email: Envía el informe resultante a esta dirección de
correo alternativa. Se utilizará el servidor de correo especificado en el
nodo LNSS\Configuration\Alerting Options.
Opcional /DontShowStatus: No muestra detalles del progreso del
análisis.
NOTA: Para rutas completas, y nombres de perfil, encierre el nombre
entre comillas dobles, por ejemplo, "Default", "C:\temp\test.xml".
/? Opcional : Muestra ayuda en pantalla sobre cómo utilizar
lnsscmd.exe
Macros:
%INSTALLDIR% Será reemplazado con la ruta al directorio de
instalación de LANguard N.S.S.
%TARGET% Será reemplazado con el objetivo del análisis.
%SCANDATE% Será reemplazado con la fecha del análisis.
%SCANTIME% Será reemplazado con la hora del análisis.
Ejemplo:
lnsscmd.exe
127.0.0.1
/Profile="Default"
/Output="c:\out.xml"
/Report="c:\result.html" /email="[email protected]"
Lo anterior hará que el escáner en línea de comandos realice un
análisis de seguridad en el equipo 127.0.0.1, con la salida al archivo
xml c:\out.xml, una vez el análisis esté completo generará el informe
html en c:\result.html y enviará el informe a la dirección de correo
[email protected].
Despliegue de Actualizaciones de
Seguridad
Introducción al despliegue de actualizaciones de seguridad
Utilice la herramienta de implantación de actualizaciones de
seguridad para mantener al día sus equipos Windows NT, 2000, XP y
2003 con las últimas actualizaciones de seguridad y service packs.
Para implantar las actualizaciones y service packs, necesita seguir
estos pasos
Paso 1: Realizar un análisis de su red
Paso 2: Seleccionar sobre qué equipos implantar las actualizaciones
Paso 3: Seleccionar qué actualizaciones implantar
Paso 4: Descargar los archivos de actualizaciones y service pack
Paso 5: Parámetros de implantación de archivos de actualización
Paso 6: Implantar las actualizaciones
Para implantar actualizaciones de seguridad, debe tener
•
Derechos administrativos sobre el equipo que esté analizando.
•
NETBIOS debe estar habilitado en el equipo remoto.
El agente de implantación de actualizaciones
GFI LANguard N.S.S. 5 utiliza un agente de implantación de
actualizaciones, que se instala silenciosamente en el equipo remoto,
para implantar parches, service packs y software a medida. El agente
de implantación de actualizaciones consta de un servicio que ejecuta
la instalación a una hora programada dependiendo de los parámetros
de implantación indicados. Esta arquitectura es mucho más fiable que
sin utilizar un agente de implantación de actualizaciones. El agente de
implantación de actualizaciones se instala automáticamente sin
intervención del administrador.
Nota: Es común que Microsoft retire archivos de actualización.
Cuando esto ocurre, la información de esa actualización permanece
en el archivo mssecure.xml, ya que la actualización estaba disponible
en ese punto. Cuando esto ocurre, GFI LANguard N.S.S. informará de
la ausencia de la actualización, incluso aunque no pueda ser
instalada. Si no quiere ser informado sobre estos parches ausentesm
necesitará deshabilitar la comprobación de ese boletín concreto
desde GFI LANguard N.S.S. > Configuration > Scanning Profiles >
Patches.
Despliegue de Actualizaciones de Seguridad • 51
Paso 1: Realizar un análisis de su red
GFI LANguard N.S.S. descubre la ausencia de actualizaciones y
service packs como parte del análisis de seguridad. Lo hace
comparando configuraciones del registro, firmas de fecha/hora de
archivos, e información de versión del equipo remoto. utilizando la
información proporcionada por Microsoft en el archivo mssecure.xml.
Primero GFI LANguard N.S.S. detecta qué productos están instalados
en el equipo objetivo para los que tiene información de
actualizaciones (por ejemplo Microsoft Office). Una vez ha hecho esto,
comprueba qué actualizaciones y service packs están disponibles
para ese producto y publica la información de la ausencia de la
actualización en el nodo Missing patches del nodo de
Vulnerabilidades de seguridad alta.
Ejemplo de ausencia de actualización en el arbol de resultados del análisis
Para cada service pack / actualización ausente GFI LANguard N.S.S.
reportará un enlace desde donde puede descargar el archivo de la
actualización así como otra información relativa a ese boletín.
Las actualizaciones que están ausentes definitivamente son
reportadas en los nodos "Missing patches and service packs" de los
resultados del análisis.
Las actualizaciones de las que no pueden ser confirmado si están
instaladas o no debido a la ausencia de información de detección son
reportados en el nodo “Potential vulnerabilities” de los resultados del
análisis.
Ejemplo de actualizaciones no detectables en el arbol de resultados del análisis
Paso 2: Seleccionar sobre qué equipos implantar las
actualizaciones
Tras analizar la red, la lista de service packs y actualizaciones
ausentes será listada en la ventana de resultados del análisis. Para
implantar las actualizaciones ausentes tiene que seleccionar qué
equipos quiere actualizar. Las actualizaciones se pueden implantar en
un equipo, todos los equipos o en los equipos seleccionados.
Para implantar actualizaciones ausentes en un equipo:
52 • Despliegue de Actualizaciones de Seguridad
Haga clic con el botón derecho sobre el equipo que desea actualizar >
Deploy Microsoft updates > [tipo de actualización] > This computer.
Para implantar actualizaciones ausentes en todos los equipos:
Haga clic con el botón derecho sobre cualquier equipo del arbol de
resultados > Deploy Microsoft updates > [tipo de actualización] > All
computers.
Para implantar actualizaciones ausentes en equipos seleccionados:
Utilice las casillas de verificación a la izquierda de los resultados del
análisis para seleccionar qué equipos desea actualizar. Haga clic con
el botón derecho sobre cualquier equipo del arbol de resultados >
Deploy Microsoft updates > [tipo de actualización] > Selected
Computers.
Indique en qué equipos quiere implantar las actualizaciones requeridas.
Paso 3: Seleccionar qué actualizaciones implantar
Una vez haya seleccionado los equipos objetivo en los que implantar
las actualizaciones de Microsoft, se le llevará al nodo Deploy
Microsoft patches. Este nodo muestra el detalle de los equipos
seleccionados y qué actualizaciones/service packs necesitan ser
implantador en esos equipos.
Tiene dos vistas en las que puede administrar las opciones de
implantación.
(1) Clasificado por equipos: Seleccione un equipo y vea qué
actualizaciones necesitan ser implantadas en él
(2) Clasificado por actualizaciones: Seleccione una actualización y
vea en qué equipos está ausente esa actualización.
Nodo Deploy Microsoft patches
Por defecto se seleccionarán todas las actualizaciones para la
implantación. Si quiere que ciertas actualizaciones no sean
implantadas, deselecciónelas haciendo clic en la casilla junto a la
actualización.
Paso 4: Descargar los archivos de actualizaciones y service pack
Tras haber seleccionado las actualizaciones/service packs a ser
implantadas, los archivos apropiados conteniendo as actualizaciones
a ser implantadas necesitan ser descargados. Este es un proceso en
gran parte automático realizado por GFI LANguard N.S.S. y además
los sitúa en los directorios correctos dependiendo del idioma del
producto a actualizar.
GFI LANguard NSS muestra qué archivos de actualización necesitan ser descargados
GFI LANguard N.S.S. mostrará qué archivos necesitan ser
descargados en la lista de actualizaciones a implantar. Cada archivo
de actualización necesario será listado y estará en uno de los
siguientes estados, indicados por un icono en la lista de
actualizaciones ausentes:
Descargado
Descarga en curso
Esperando que el usuario navegue a la página web para hacer clic
sobre el enlace para descargar el archivo.
No descargado
Descargando las actualizaciones
Las actualizaciones de Microsoft, listadas en el archivo mssecure.xml,
se pueden categorizar en tres tipos principales:
(1) Actualizaciones que tienen una dirección URL de descarga directa.
(2) Actualizaciones que necesitarán algo de navegación web para
descargar el archivo.
(3) Actualizaciones para las cuales no existe archivo.
Para descargar las actualizaciones para las cuales hay un enlace
directo:
Las actualizaciones para las que hay un enlace directo de descarga,
haga clic con el botón derecho sobre la actualización y seleccione
"Download File". La descarga se iniciará y cuando esté completada, el
archivo será colocado en el directorio correcto.
Para descargar actualizaciones para las cuales no hay enlace de
descarga sino sólo una página web de origen:
Cuando GFI LANguard N.S.S. detecta un archivo que necesita ser
descargado manualmente del sitio web de Microsoft, descargará la
página web objetivo en el área inferior de la herramienta de
implantación. Entonces será capaz de encontrar el enlace de
descarga apropiado y hacer clic sobre él. GFI LANguard N.S.S. estará
monitorizando esta sesión web y tan pronto como detecte que ha
hecho clic sobre un enlace de descarga directa iniciará la descarga de
ese archivo automáticamente. La navegación a través de la página
web será parte de la sesión de descarga. Si quiere cancelar la sesión
de descarga necesitará hacer clic sobre la actualización y seleccionar
“Cancel Download”. Una vez se completa la descarga, el archivo será
situado en el directorio correcto.
Descargar una actualización de una página web con el asistente de descarga.
Paso 5: Parámetros de implantación de archivos de actualización
Opcionalmente, puede configurar parámetros alternativos de
implementación de una actualización en base a ella. Para hacerlo:
1. Haga clic con el botón derecho sobre el archivo de actualización y
seleccione “Propiedades”.
2. Opcionalmente indique una URL de origen de la descarga
alternativa
3. Opcionalmente indique parámetros de línea de comando para
utilizar durante la implantación
Puede comprobar qué boletín aplica una actualización haciendo clic
con el botón derecho sobre el archivo de actualización y
seleccionando “Bulletin Info…”
Propiedades del archivo de actualización
Paso 6: Implantar las actualizaciones
Tras haber seleccionado los equipos en los que implantar las
actualizaciones y descargadas las mismas, ¡está listo para la
implantación!
Haga clic en Start a la derecha de la parte inferior para iniciar la
implantación.
Iniciar la implantación de actualizaciones haciendo clic sobre Start.
La implantación de las actualizaciones comenzará ahora. Puede
monitorizar el estado de la implantación de actualizaciones desde la
etiqueta Deployment status
Monitorizando el proceso de descarga
Implantar software a medida
La herramienta de implantación de software a medida es muy
conveniente para implantar rápidamente actualizaciones a medida
para software de toda la red, o incluso para instalar software en toda
la red. La herramienta de implantación de software a medida también
se utiliza frecuentemente para implantar actualizaciones de firmas de
virus en toda la red. El proceso de implantación de software a medida
es muy similar al proceso de actualizar un equipo.
Implantar software a medida
Paso 1: Seleccionar los equipos a los que instalar el
software/actualización
1. vaya al nodo Deploy custom software del nodo Tools.
2. Haga clic en el botón Add para agregar un solo equipo, o haga clic
en el boton de selección para seleccionar un grupo de equipo a
los que implantar el software a medida.
Nota: También puede seleccionar a qué equipos implantar el software
a medida desde el nodo Security Scanner y el nodo Tools >
Enumerate Computers.
Paso 2: Especificar el software a implantar
Haga clic en el botón Add… de la sección “Patches:” para indicar el
lugar de origen del archivo y especificar cualquier parámetro de línea
de comando que necesite ser utilizado para la implantación del
archivo.
Especificar el software a implantar
Opcionalmente puede programar la hora a la que la implantación
debe tener lugar.
Paso 3: Iniciar el proceso de implantación
Una vez ha especificado el software a implantar y los equipos a los
que implantarlo, puede iniciar el proceso de implantación haciendo
clic sobre el botón Start.
Implantar actualizaciones a medida indicando qué archivos implantar en qué equipos
Opciones de implantación
Opciones Generales de Implantación
Puede configurar opciones de implantación explorando el botón de
opciones, localizado a la derecha de la pantalla. Aquí usted puede:
General
•
Configurar el servicio de agente de implantación para ejecutarse
bajo credenciales alternativas.
•
Reiniciar el equipo objetivo tras la implantación. Algunas
actualizaciones necesitan un reinicio tras la instalación.
Seleccione este botón de selección si una o más actualizaciones
requieren reinicio.
•
Reinicia el equipo despues de implantar actualizaciones de
software.
•
Avisar al usuario antes de la implantación: enviará un mensaje al
equipo objetivo antes de implantar las actualizaciones.
•
Detener servicios antes de la implantación: Esta opción detiene
los servicios IIS & MS SQL Server antes de la implantación.
•
Configura GFI LANguard N.S.S. para implantar las actualizaciones
de software a través de recursos compartidos administrativos o
mediante un recurso compartido a medida (si se utiliza uno a
medida, no habrá necesidad de recursos compartidos
administrativos). Estos pueden deshabilitarse para mayor
seguridad.
•
Eliminar los archivos copiados en los equipos remotos después de
la implantación.
•
Configurar las condiciones de filtrado particulares a las cuales
implantar las actualizaciones (filtros de equipos)
Avanzado
•
Configurar el número de hilos de implantación a utilizar
•
Configurar el timeout de la implantación.
Opciones de Implantación Avanzada
Directorio de Descarga
•
Configurar el directorio en
actualizaciones descargadas.
el
que
se
almacenarán
las
Opciones de directorio de implantación
NOTA: En la Herramienta de implantación de actualizaciones a
medida, los filtros de equipos no se aplicarán a equipos que no hayan
sido analizados por la herramienta del escáner de seguridad.
Comparación de Resultados
¿Por qué Comparar Resultados?
Mediante auditorias regulares y comparación de resultados de
análisis previos obtendrá una idea de qué agujeros de seguridad
aparecen continuamente o son reabiertos por usuarios. Esto crea
una red más secura.
GFI LANguard Network Security Scanner le ayuda a hacerlo
permitiéndole comparar los resultados entre análisis. GFI LANguard
N.S.S. informará de las diferencias y le permitirá tomar medidas.
Puede comparan los resultados manualmente o mediante análisis
programados.
Realizar una Comparación de Resultados interactivamente
Siempre que GFI LANguard N.S.S. realiza un análisis programado
guarda los resultados al archivo XML del directorio Data\Reports del
directorio de instalación de GFI LANguard N.S.S.
Además puede guardar los resultados del análisis actual en un
archivo xml haciendo clic con el botón derecho sobre el nodo Security
Scanning y seleccionando ‘Save scan results to XML file…’.
Para comparar dos archivos XML de resultados de análisis:
1. Vaya a la herramienta de comparación de resultados bajo 'GFI
LANguard N.S.S. > Security Scanner > Result comparison'.
2. Seleccione dos resultados de análisis ya sean archivos XML o
almacenados en la base de datos de respaldo, realizados con las
mismas opciones y sobre el mismo conjunto de equipos, pero a
diferentes horas, y haga clic en 'Compare'.
Comparación de Resultados • 63
Comparando resultados
El resultado será algo parecido a la imagen anterior. Le dice qué ha
sido habilitado o deshabilitado y cualquier cambio en la red desde el
último análisis.
•
Los nuevos elementos le mostarán cualquier cosa nueva que
ocurrió tras el primer análisis.
•
Los
elementos
eliminados
mostrarán
cualquier
dispositivo/problema que fue eliminado desde el primer análisis.
•
Los elementos cambiados mostrarán cualquier cosa que haya
cambiado, como un servicio habilitado o deshabilitado entre
análisis.
Realizar una Comparación con la Opción de Análisis Programados
En lugar de analizar manualmente su red cada día, semana o mes,
puede poner en marcha un análisis programado. Un análisis
programado se iniciará automáticamente en cierto momento y enviará
las diferencias entre los análisis al administrador. Por ejemplo: el
administrador puede configurar la característica de análisis
programados para realizar un análisis cada noche a las 23:00. El
servicio GFI LANguard N.S.S. attendant lanzará un análisis de
seguridad en el equipo(s) selecionado(s) y guardará los resultados en
la base de datos central. Entonces, comparará los resultados actuales
con los resultados de la noche anterior e informará de las diferencias,
si las hay.
NOTA: Si esta es la primera vez que se realiza un análisis
programado o si no hay diferencias detectadas con el análisis anterior,
entonces GFI LANguard N.S.S. no le enviará el informe. Sólo recibirá
informe si algo ha cambiado.
64 • Comparación de Resultados
Monitor de Estado de GFI LANguard
N.S.S.
Ver operaciones programadas
El monitor de estado de GFI LANguard N.S.S. le permite supervisar el
estado de actividad de análisis programados e implantaciones de
actualizaciones de software. Además puede cancelar las operaciones
de implantación programadas.
Análisis Programados Activos
Para ver el estado de análisis programados activos haga clic sobre el
icono de monitor de GFI LANguard N.S.S. en el área de notificación
de Windows y seleccione la etiqueta Scheduled scans. Será todos los
análisis programados activos y el momento en el que se inician.
Nota: Como su mismo nombre indica en los Análisis Programados
Activos solo serán mostrados los análisis activos actuales. Para
comprobar qué análisis están programados y para cancelar cualquier
análisis programado, abra GFI LANguard N.S.S. y haga clic sobre GFI
LANguard N.S.S. > Configuration > Scheduled Scans
Análisis Programado Completado
Para cancelar un análisis programado activo, seleccione el análisis
programado activo que desee cancelar y haga clic sobre el botón
"Stop Selected Scan(s)".
Monitor de Estado de GFI LANguard N.S.S. • 65
Análisis cancelado
Implementaciones programadas
Para ver el estado de implantaciones programados haga clic sobre el
icono de monitor de GFI LANguard N.S.S. en el área de notificación
de Windows y seleccione la etiqueta Scheduled deployments.
Implementaciones programadas
Para cancelar una implantación programada de actualización de
sofware, seleccione la entrada que desee cancelar y haga clic sobre
“Cancel Selected deployment”.
66 • Monitor de Estado de GFI LANguard N.S.S.
Implementación cancelada
Monitor de Estado de GFI LANguard N.S.S. • 67
Opciones de Mantenimiento de Base
de Datos
Introducción
Utilice el nodo de opciones de mantenimiento de base de datos para
seleccionar que base de datos de respaldo utilizar para almacenar los
resultados de análisis. También puede configurar opciones de
mantenimiento de base de datos, como eliminar automáticamente los
resultados de análisis más antiguos de una fecha particular.
Si está utilizando MS Access como base de datos de respaldo puede
programar la compactación de la base de datos para evitar la
corrupción de datos. Las opciones de mantenimiento de base de
datos pueden ser accedidas así:
1. GFI LANguard N.S.S. > Configuration > Right click on the node
Database Maintenance Options.
2. Seleccione Propiedades.
Cambiar Base de Datos
La etiqueta “Change Database” contiene las opciones para cambiar la
base de datos de respaldo utilizada por GFI LANguard N.S.S. para
almacenar los resultados de análisis. Las bases de datos soportadas
son MS Access or MS SQL Server.
MS Access
Especifique la ruta completa (incluido el nombre de archivo) para su
base de datos de respaldo MS Access. NOTA: Si el archivo no existe
será creado.
Opciones de Mantenimiento de Base de Datos • 69
Cambiar Base de Datos - MS Access
MS SQL Server
Especifique el nombre/ip del servidor que tiene instalado MS SQL
Server. Además necesita especificar las credenciales de acceso a
SQL Server. (el modo de Autentificación NT no está soportado por
GFI LANguard N.S.S.)
NOTA: Si el servidor y las credenciales especificadas son correctas,
GFI LANguard N.S.S. iniciará sesión en SQL Server y creará las
tablas de base de datos necesarias. Si las tablas de la base de datos
ya existen las reutilizará.
70 • Opciones de Mantenimiento de Base de Datos
Cambiar Base de Datos – SQL Server
Administrar resultados de análisis almacenados
La etiqueta “Change Database” contiene opciones para eliminar
resultados de análisis guardados en la base de datos de respaldo.
Puede eliminar los resultados manualmente o eliminar los análisis
dependiendo de su edad.
Opciones Avanzadas
La etiqueta “Advanced” contiene opciones para programar la
compactación de la base de datos de respaldo. También puede
configurar la compresión automática realizada por el servicio
encargado.
NOTA: La compactación de bases de datos se hace para eliminar
definitivamente los registros marcados para borrado.
Opciones de Mantenimiento de Base de Datos • 71
Opciones de Mantenimiento de Base de Datos – Opciones de Compactación
72 • Opciones de Mantenimiento de Base de Datos
Herramientas
Introducción
Las siguientes herramiebtas pueden encontrarse bajo el menú Tools.
•
DNS Lookup
•
Whois Client
•
Trace Route
•
SNMP Walk
•
SNMP Audit
•
MS SQL Server Audit
•
Enumerar Equipos
DNS lookup
Esta herramienta resuelve el Nombre de Dominio a una dirección IP
correspondiente y además proporciona información sobre el nombre
de dominio, como si tiene registro MX, etc.
Herramienta DNS Lookup
Para obtener información sobre un nombre de dominio:
1. Vaya al nodo Herramientas > DNS lookup.
Herramientas • 73
2. Indique el nombre a resolver
3. Indique la información a recuperar:
•
Información básica – Es decir, nombre del anfitrión y la ip que
resuelve
•
Información de Host – Conocido técnicamente como la HINFO, y
habitualmente incluye informa´ción como el hardware y qué SO se
ejecuta sobre el dominio especificado (la mayoría de entradas
DNS no contienen esta información por razones de seguridad.)
•
Alias – devuelve información sobre qué Registros A podría tener
el Dominio.
•
Registros MX conocidos también como registros de
intercambiadores de coreo, muestra qué servidor(es) de correo y
en qué orden son responsables para este dominio.
•
Registros NS indican qué servidores
responsables para este dominio.
de
nombres
son
Además es posible indicar un servidor DNS alternativo.
Trace Route
Herramienta Trace route
Esta herramienta muestra la ruta de red que siguió GFI LANguard
N.S.S. para alcanzar el equipo objetivo. Cuando realiza la routa, cada
salto tiene un icono junto a él:
74 • Herramientas
•
Indica un salto exitoso tomado dentro de los parámetros
normales
•
Indica un salto exitoso, pero el tiempo necesario fue bastante
grande.
•
Indica un salto exitoso, pero el tiempo necesario fue
demasiado grande.
•
Indica que el salto provocó un time out. (es decir, tomó más de
1000ms)
Whois Client
Herramienta Whois
Esta herramienta buscará información sobre un dominio o dirección IP.
Puede seleccionar un servidor Whois específico desde el área de
opciones, o puede utilizar la opción ‘Default’ que seleccionará un
servidor por usted.
SNMP Walk
SNMP walk le permite recoger información SNMP. El panel de la
derecha contiene una lista de nombres simbolizando Object IDs sobre
el dispositivo. Para descubrir más sobre la información proporcionada
por SNMP walk, tendrá que comprobarlo con el fabricante. Algunos
fabricantes proporcionan importantes detalles sobre qué significa
cada trozo de información; otros, si bien sus dispositivos soportan
SNMP, no proporcionan ninguna informacón sobre ellos.
Para usar la utilidad, haga clic en Tools > SNMP walk. Introduzca la
dirección IP de un equipo o dispositivo que dese analizar/’walk'.
Nota: En la mayoría de los casos SNMP debe ser bloqueado en el
router/cortafuegos de forma de los usuarios de Internet no puedan
analizar su red mediante SNMP.
Es posible proporcionar cadenas de comunidad alternativas.
Nota: SNMP ayudará a los usuarios maliciosos a aprender mucho
sobre su sistema, haciendo los ataques mucho más sencillos. A
menos que se requiera este servicio es extremadamente
recomendable que SNMP esté desactivado.
Herramientas • 75
SNMP Audit
La herramienta SNMP Audit, le permite realizar una auditoría SNMP
sobre un dispositivo y auditar cadenas de comunidad débiles.
Algunos dispositivos de red tendrán cadenas de comunidad
alternativas o que no sean las por defecto. El archivo de diccionario
contiene una lista de las cadenas de comunidad más populares para
comprobar. El archivo por defecto que utiliza para los ataques del
diccionario se llama snmp-pass.txt. Puede agregar nuevos nombres
de comunidad en este archivo, o dirigir SNMP Audit para utilizar otro
archivo.
Para utilizar esta utilidad, introduzca la dirección IP del un equipo que
corra SNMP y haga clic en Retrieve.
MS SQL Server Audit
Esta herramienta le permite realizar una auditoria sobre una
instalación de Microsoft SQL Server. Puede auditar las cuentas SA,
así como todas las cuentas SQL
Por defecto utilizará el archivo de diccionario llamado passwords.txt.
Puede bien agregar nuevas contraseñas a este archivo, o dirigir la
utilidad a otro archivo de contraseñas.
Para correo una auditoria SQL Server, introduzca la dirección IP del
equipo que ejecuta MS SQL. Si quiere comprobar la contraseña de
todas las cuentas SQL, tiene que introducir un nombre de usuario y
contraseña para iniciar sesión en SQL para recuperar todas las
cuentas de usuario.
Herramienta SQL Accounts Audit
76 • Herramientas
Enumerar Equipos
Herramienta Enumerar Equipos
Esta utilidad buscará en su red Dominios y/o Grupos de Trabajo. Una
vez los haya encontrado, tendrá la habilidad de analizar eso Dominios
para adquirir la lista de equipos sobre ellos. Una vez ha realizado su
análisis enumerará cualquier SO que esté instalado sobre ese equipo,
y cualquier comentario que podría ser incluido a través de NETBIOS.
Los equipos pueden ser enumerados utilizando uno de los siguientes
métodos
•
Desde el Directorio Activo – Este método es mucho más rápido y
además enumerará los equipos que están actualmente apagados.
•
Utilizar el interfaz del Explorador de Windows – Este método es
más lento y no enumerará los equipos que estén apagados.
Puede indicar qué método utilizar desde la etiqueta ‘Information
Source’. Observe que necesitará realizar el análisis utilizando una
cuenta que tenga derechos de acceso al Directorio Activo.
Lanzar un análisis de seguridad
Una vez los equipos del dominio son enumerados puede lanzar un
análisis sobre los equipos seleccionados haciendo clic con el botón
derecho sobre cualquier de los equipos enumerados y seleccionar
‘Scan'.
Si quiere lanzar el análisis pero continuar utilizando la herramienta de
enumeración de equipos, seleccione “Scan in background"
Implantar actualizaciones a medida
Seleccione en qué equipos quiere implantar actualizaciones > Haga
clic con el botón derecho sobre cualquier equipo seleccionado >
Deploy Custom Patches.
Herramientas • 77
Habilitar las Directivas de Auditoria
Seleccione en qué equipos quiere habilitar las directivas de auditoria
> Haga clic con el botón derecho sobre cualquier equipo seleccionado
> Enable Auditing Policies... .
Enumerar Usuarios
La función Enumerar usuarios conecta al Directorio Activo y recupera
todos los usuarios y contactos del Directorio Activo.
78 • Herramientas
Agregar comprobaciones de
vulnerabilidad mediante condiciones o
scripts
Introducción
GFI
LANguard
N.S.S.
le
permite
agregar
rápidamente
comprobaciones de vulnerabilidades a medida. Esto se puede hacer
de 2 formas: Escribiendo un script, o utilizando un conjunto de
condiciones. Sea cual sea el método que utilice, tendrá que agregar la
vulnerabilidad mediante el interfaz Security Scanner y especificar el
nombre del script o las condiciones que deben ser aplicadas.
Nota: Sólo Usuarios Expertos deben crear nuevas Vulnerabilidades,
ya
que
las
Vulnerabilidades
erróneamente
configuradas
proporcionarán positivos falsos o no proporcionarán ninguna
información de Vulnerabilidades.
Lenguaje VBscript de GFI LANguard N.S.S.
GFI LANguard N.S.S. incluye un lenguaje de scripts compatible con
VBscript. Este lenguaje ha sido creado para permitirle incluir
fácilmente comprobaciones a medida. Además permite a GFI incluir
rápidamente nuevas comprobaciones de vulnerabilidad y hacerlas
disponibles para la descarga. GFI LANguard N.S.S. incluye un editor
con destacadas capacidades de sintaxis y un depurador.
Para más información sobre cómo escribir scripts por favor refiérase
al archivo de ayuda ‘Scripting documentation’, accesible desde el
grupo de programas de GFI LANguard N.S.S.
NOTA IMPORTANTE: GFI no puede ofrecer ningún soporte en la
creación de scripts que no funcionen. Puede publicar cualquier
consulta que podría tener sobre el scripting con GFI LANguard N.S.S.
en los foros de GFI LANguard en forums.gfi.com donde podrá
compartir scripts e ideas con otros usuarios de GFI LANguard N.S.S.
Módulo SSH de GFI LANguard N.S.S.
GFI LANguard N.S.S. incluye un módulo SSH que permite la
ejecución de scripts de vulnerabilidad sobre sistemas Linux. El
módulo SSH analiza los datos de consola impresos por el script. Esto
significa que puede utilizar cualquier lenguaje de script / programación
admitido por el SO Linux del equipo objetivo, y que permite producir
resultados en la consola (modo texto).
LANguard Network Security Scanner ManualAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts • 79
Palabras clave:
El módulo ssh puede ejecutar cualquier script que sea soportado y
puede ser ejecutado en el equipo Linux objetivo desde su ventana de
terminal.
Cuando se ejecuta una comprobación de vulnerabilidad basada en
SSH, el script SSH se copia al equipo objetivo a través de una
conexión SSH establecida utilizando las credenciales especificadas al
inicio del análisis. Entonces se dan permisos de ejecución sobre este
archivo copiado y se ejecuta en el equipo objetivo. El resultado texto
generado por este script es analizado por el módulo SSH. En base al
resultado el módulo SSH sabrá cuando el script se ha detenido y si el
resultado es o no satisfactorio.
Las siguientes palabras son utilizadas por el módulo SSH e
interpretadas como directivas para GFI LANguard N.S.S.:
•
TRUE:
•
FALSE:
•
AddListItem
•
SetDescription
•
!!SCRIPT_FINISHED!!
Cuando el módulo SSH detecta en la salida uno de los texto
anteriores procesa la cadena de la manera especificada dependiendo
de la palabra encontrada.
TRUE: y FALSE:
Cuando el módulo SSH detecta una de las siguientes cadenas,
situará el resultado de la vulnerabulidad en TRUE o en FALSE.
AddListItem
AddListItem es una función interna que se utiliza para agregar
resultados al arbol de la comprobación de vulnerabilidad según lo
informado en la IU. La sintaxis correcta para utilizar esta función es:
AddListItem([[[<nodo principal>]]],[[[<cadena actual>]]])
El primer parámetro [[[<nodo principal>]]], especifica el nombre del
nodo principal. El segundo parámetro, [[[<cadena actual>]]] especifica
el valor de ese nodo en el arbol.
NOTA: Si el parámetro nodo principal se deja vacío, la función
agregará la cadena especificada en el nodo superior disponible para
esa comprobación. Cada vulnerabilidad tiene su propio nodo inicial.
Cualquier comando AddListItem creará un hijo bajo el nodo de
vulnerabilidad de esa comprobación.
SetDescription
SetDescription es una función interna que puede sobreescribir la
descripción por defecto que está situada en la comprobación de
vulnerabilidad. Hay algunas comprobaciones de vulnerabilidad que
pueden necesitar cambiar el nombre por defecto según se mostraría
en el arbol.
SetDescription(<Nueva descripción>)
80 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scriptsLANguard Network Security Scanner Manual
!!SCRIPT_FINISHED!!
Cada script va a emitir el texto !!SCRIPT_FINISHED!!. Esta cadena
marca el fin de cualquier ejecución de script. El módulo SSH buscará
esa cadena hasta que la encuentre o llegue el timeout. Si el timeout
llega antes de recibir la cadena, el módulo SSH ignorará el script y la
vulnerabilidad no será mostrada incluso si devuelve TRUE:
exitosamenre en el módulo SSH antes del timeout.
Por lo tanto es imperativo que cada script – no importa lo pequeña
sea
la
comprobación
que
contenga
muestre
el
resultado !!SCRIPT:FINISHED!! Al final de su procedimiento.
NOTA IMPORTANTE: GFI no puede ofrecer ningún soporte en la
creación o depuración de scripts que no funcionen. Puede publicar
cualquier consulta que podría tener sobre el scripting con GFI
LANguard N.S.S. en los foros de GFI LANguard en forums.gfi.com
donde podrá compartir scripts e ideas con otros usuarios de GFI
LANguard N.S.S.
Ejemplo:
Para ilustrar las técnicas que fueron descritas anteriormente, se
creará una comprobación de vulnerabilidad paso a paso.
Primero se creará un script SSH con funcionalidad muy básica.
Utilizará todas las palabras explicadas anteriormente y simplemente
generará una nueva descripción y agregará 2 elementos al arbol de
vulnerabilidad.
El script SSH que llamaremos test.sh consistirá del siguiente código:
#!/bin/bash
echo "TRUE:"
time=`date`
echo "SetDescription(New Script Generated Description at :$time)"
echo "AddListItem([[[Child 1]]],[[[Added Item 1]]])"
echo "AddListItem([[[Child 2]]],[[[Added Item 2]]])"
echo "!!SCRIPT_FINISHED!!"
A continuación crearemos una vulnerabilidad que ejecute este scripts
en un equipo Linux remoto. La vulnerabilidad será como sigue:
Analizar un equipo Linux con las credenciales correctas activará esta
comprobación que está configurada para activarse siempre. La
Vulnerabilidad anterior generará entonces el siguiente resultado:
Resultado del script basado en SSH con información del script
Se pueden encontrar más ejemplos de scripts SSH en
[el directorio principal de GFI LANguard N.S.S.]\data\scripts\
Todos los archivos que finalizan en .sh son scrips SSH. (Observe que
los scripts SSH pueden tener cualquier extensión, no hay obligación
de que tengan la extensión .sh para funcionar)
vbs a medida
Puede agregar comprobaciones de vulnerabilidad que utilicen scripts
a medida. Puede crear estos scripts a medida utilizando el
editor/depurador de GFI LANguard N.S.S. Para hacerlo:
Paso 1: Cree el script
1. Lance el Depurador de Scripts de GFI LANguard N.S.S. desde
Inicio > Programas > GFI LANguard Network Security Scanner >
Script Debugger
2. Archivo > Nuevo…
3. Cree un script. Como ejemplo, puede utilizar el siguiente script sin
valor e introducirlo en el depurador:
Function Main
echo "El script ha funcionado exitosamente"
Main = true
End Function
4. Guarde el archivo, por ejemplo “c:\myscript.vbs”
Paso 2: Agregue la nueva comprobación de vulnerabilidad:
1. Vaya al nodo GFI LANguard N.S.S. > Configuration > Scanning
Profiles.
2. Vaya a la etiqueta Scanned Vulnerabilities, y seleccione la
categoría bajo la que estará la nueva vulnerabilidad.
3. Haga clic en el botón Add. Esto abrirá el diálogo New vulnerability
check.
Agregar nueva comprobación de vulnerabilidad:
4. Ahora introduzca los detalles base como el nombre, descripción
corta, nivel de seguridad, URL (si es aplicable). Además puede
especificar cuanto llevará ejecutar esta comprobación.
5. Haga clic en el notón Add…
6. Ahora seleccione ‘Script’ de la lista Check type.
Seleccionar el script que contiene el código de comprobación de vulnerabilidad
7. Especifique la localización del script "c:\myscript.vbs". Haga clic en
‘Add’ para agregar la vulnerabilidad. Será ejecutada la próxima vez
que un equipo sea analizado para buscar vulnerabilidades.
8. Para ponerlo a prueba, simplemente analice su equipo local y debe
ver el aviso de vulnerabilidad bajo la sección Miscellaneous del nodo
vulnerabilidades de los resultados del análisis.
SSH a medida
Puede agregar comprobaciones de vulnerabilidad que utilicen un
script a medida que será implantado y ejecutado por el módulo SSH
en el equipo Linux analizado. El script puede ser programado en
cualquier lenguaje de script o programación que soporte impresión en
la consola. Para este ejemplo estamos utilizando el sistema de
scripting bash que esta generalmente disponible por defecto en todos
los sistemas Linux.
Paso 1: Cree el script
1. Inicie su editor de texto favorito.
2. Asegúrese de comenzar un nuevo archivo y que lo guarda en
“Directorio base de LNSS\data\scripts”.
3. Escriba lo siguiente en el editor:
#!/bin/bash
if [ -e test.file ]
then
echo "TRUE:"
else
echo "FALSE:"
fi
echo "!!SCRIPT_FINISHED!!"
4.
Guarde
el
archivo,
por
ejemplo
"C:\Archivos
de
programa\GFI\LANguard
Network
Security
Scanner
6.0\Data\Scripts\myscript"
Paso 2: Agregue la nueva comprobación de vulnerabilidad:
Profiles.
2. Vaya a la etiqueta Scanned Vulnerabilities, y seleccione la
categoría bajo la que estará la nueva vulnerabilidad.
3. Haga clic en el botón Add. Esto abrirá el diálogo New vulnerability
check.
Agregar nueva comprobación de vulnerabilidad:
4. Introduzca los detalles base como el nombre, descripción corta,
nivel de seguridad, URL (si es aplicable). Además puede especificar
cuanto llevará ejecutar esta comprobación.
5. Haga clic en el notón Add…
6. Ahora seleccione ‘SSH Script’ de la lista Check type.
Seleccionar el script que contiene el código de comprobación de vulnerabilidad
7. Especfique la localización del script "C:\Archivos de
programa\GFI\LANguard
Network
Security
Scanner
6.0\Data\Scripts\myscript" Haga clic en ‘Add’ para agregar la
vulnerabilidad. Será ejecutada la próxima vez que un equipo sea
analizado para buscar vulnerabilidades.
8. Para probarlo, simplemente analice el equipo Linux objetivo (cree el
archivo de test para poder activar la vulnerabilidad) Puede hacer esto
iniciando sesión en su equipo Linux, ir al usuario que utilizará para
analizar, directorio raiz y escriba el comando "touch test.file". Una vez
el análisis esté completo debe ver el aviso de vulnerabilidad que
acabamos de crear bajo de el nodo vulnerabilidad que pusimos en
marcha en el paso 2.
Agregar una comprobación de vulnerabilidad CGI
También puede agregar vulnerabilidades sin escribir scripts. Por
ejemplo una comprobación de vulnerabilidad CGI. Para hacerlo:
Profiles.
2. Vaya a la etiqueta Scanned Vulnerabilities, y seleccione el nodo
CGI vulnerabilities. Ahora haga clic sobre el botón Add. Esto abrirá el
diálogo New CGI vulnerability check.
Crear una nueva vulnerabilidad CGI
cuanto
llevará
ejecutar
esta
comprobación.
4. Especifique HTTP method: los dos métodos que GFI LANguard
N.S.S. soporta en su sección CGI abuse son GET y HEAD.
5. Especificar URL to check: Esta es la URL que GFI LANguard
N.S.S.
debe
consultar.
6. Especifique la Return String: Esto es lo que GFI LANguard N.S.S.
debe buscar en la información devuelta para ver si el equipo es
vulnerable a este ataque.
Agregar otras comprobaciones de vulnerabilidad
También puede agregar vulnerabilidades sin escribir scripts. Utilizan
el mismo formato básico que las comprobaciones de vulnerabilidad
CGI, sin embargo puede indicar condiciones más complejas. Para
hacerlo:
Profiles.
2. Vaya a la etiqueta Scanner Vulnerabilities, y seleccione el tipo de
vulnerabilidad que desea agregar haciendo clic sobre la categoría
bajo la que estará la nueva vulnerabilidad. Ahora haga clic sobre el
botón Add. Esto abrirá el diálogo New vulnerability check.
Crear una nueva Vulnerabilidad
cuanto
llevará
ejecutar
esta
comprobación.
4. Ahora debe especificar qué comprobar. Para agregar algo que
comprobar, haga clic con el botón derecho en la ventana Trigger
condition
y
agregue
una
nueva
comprobación.
5. Puede especificar cualquiera de las siguientes cosas para
fundamentar una comprobación de vulnerabilidades:
•
•
Sistema Operativo
o
Es
o
No Es
Clave del Registro
o
Existe
o
No Existe
Nota: Sólo funciona bajo HKEY_LOCAL_MACHINE
•
Ruta del Registro
o
Existe
o
No Existe
•
Valor del Registro
o
Es Igual A
o
No Es Igual A
o
Es Menor Que
o
Es Mayor Que
•
•
•
•
•
•
•
•
•
•
•
Service Pack
o
Es
o
No Es
o
Es Menor Que
o
Es Mayor Que
Hot fix
o
Está Instalado
o
No Está Instalado
o
Está Instalado
o
No Está Instalado
IIS
Versión IIS
o
Es
o
No Es
o
Es Menor Que
o
Es Mayor Que
Servicio RPC
o
Está Instalado
o
No Está Instalado
Servicio NT
o
Está Instalado
o
No Está Instalado
Servicio NT en ejecución
o
Está en ejecución
o
No está en ejecución
Tipo de inicio de Servicio NT
o
Automático
o
Manual
o
Deshabilitado
Puerto (TCP)
o
Está Abierto
o
Está Cerrado
Puerto UDP
o
Está Abierto
o
Está Cerrado
Estandarte FTP
o
Es
No Es
o
Nota: Puede construir expresiones que comprueben Versión 1.0 a
1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea los
siguientes ejemplos.
•
Estandarte HTTP
o
Es
o
No Es
Nota: Puede construir expresiones que comprueben Versión
1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea
los siguientes ejemplos.
•
Estandarte SMTP
o
Es
o
No Es
•
Estandarte POP3
o
Es
o
No Es
•
Estandarte DNS
o
Es
o
No Es
•
Estandarte SSH
o
Es
o
No Es
•
Estandarte Telnet
o
Es
o
No Es
•
•
Script
o
Devuelve Cierto (1)
o
Devuelve Falso (0)
Script SSH
o
Devuelve Cierto (TRUE:)
o
Devuelve Falso (FALSE:)
6. Cada opción anterior tiene su propio conjunto de criterios, como
puede ver, en los que puede estar basada la comprobación de
vulnerabilidad.
Si es demasiado general cuando cree una
comprobación de vulnerabilidad obtendrá demasiados informes falsos.
Por lo tanto si decide crear sus propias comprobaciones de
vulnerabilidad asegúrese de diseñarlas muy específicamente y ponga
mucha intención y planificación.
No está limitado sólo a las cosas anteriores para activar una
comprobación de vulnerablidad, podría configurarlo para comprobar
varias condiciones, por ejemplo:
•
Comprobar el SO
•
Puerto XYZ
•
Estandarte “ABC”
•
Ejecutar LANS script QRS y comprobar la vulnerabilidad
Si se cumplen todos los criterios anteriores, entonces y sólo entonces,
se activará la comprobación de vulnerabilidad.
Nota: Construir expresiones le permitirá hacer una comprobación de
vulnerabilidad como esta que se utiliza para comprobar la versión de
Apache que se ejecuta sobre un equipo: ~.*Apache/(1\.([0-2]\.[09]|3\.([0-9][^0-9]|[0-1][0-9]|2[0-5]))|2\.0.([0-9][^0-9]|[0-2][0-9]|3[0-8])).
Para aquellos experimentados en C o Perl el formato anterior es muy
similar a lo que puede hacer en esos lenguajes. Hay muchas páginas
de ayuda en Internet sobre cómo utilizar esto. En los siguientes
ejemplos intentaremos guiar y explicarlos, pero si necesita más ayuda,
consulte el final de esta sección para hiperenlaces.
Si le gustaría ver un ejemplo/explicación sobre creación de nuevas
vulnerabilidades con script, lea “GFI LANguard N.S.S. scripting
documentation”.
Resolución de problemas
Introducción
El capitulo de solución de problemas explica cómo se debe proceder
para resolver las consultas que tenga. Las principales fuentes de
información disponibles para los usuarios son:
1. El manual – la mayoría de los asuntos se solucionan leyendo el
manual.
2. La Base de Conocimientos de GFI – http://kbase.gfi.com.
3. El sitio de soporte de GFI – http://support.gfi.com
4. Contactando con el departamento de soporte de GFI en
[email protected]
5. Contactando al departamento de soporte de GFI utilizando
nuestro
servicio
de
soporte
en
tiempo
real
en
http://support.gfi.com/livesupport.asp
6. Contactando a nuestro departamento de soporte por teléfono.
Base de Conocimientos
GFI mantiene una base de conocimientos, la cual incluye respuestas
a los problemas más comunes. Si tiene un problema, por favor
consulte primero la base de conocimientos. La base de conocimientos
siempre ha sido la más actualizada lista de preguntas de soporte y
parches.
La base de conocimientos puede encontrase en http://kbase.gfi.com
Preguntas y Respuestas Generales Frecuentes
Solicitud de soporte vía e-mail
Si, después de usar la base de datos de conocimiento y el manual,
tiene cualquier problema que no puede resolver, puede contactar con
el departamento de soporte de GFI. La mejor forma de hacerlo es vía
e-mail, ya que se puede incluir información vital como un archivo
adjunto que nos permitirá solucionar los problemas que tiene mas
rápidamente.
Resolución de problemas • 93
El Troubleshooter, incluido en el grupo de programas, genera
automáticamente una serie de archivos necesarios por GFI para
proporcionarle soporte técnico. Los archivos incluirán parámetros de
configuración de FAXmaker. Para generar esos archivos, inicie el
troubleshooter y siga las instrucciones de la aplicación.
Además de recoger toda la información, le realiza también una serie
de preguntas. Por favor tómese el tiempo de responder estas
preguntas con precisión. Sin la información apropiada no nos será
posible diagnosticar su problema.
Vaya entonces al directorio support, localizado debajo del directorio
principal del programa, COMPRIMA los archivos en ZIP, y envíelos a
[email protected].
¡Asegúrese primero de tener registrado su producto en nuestro sitio
web, en http://www.gfi.com/pages/regfrm.htm!
Responderemos a su pregunta en 24 horas o menos, dependiendo de
su zona horaria.
Solicitud de soporte vía conversación web
También puede solicitar soporte a través del Soporte en directo
(webchat). Puede contactar al departamento de soporte de GFI
utilizando nuestro servicio de soporte en tiempo real en
http://support.gfi.com/livesupport.asp
Solicitudes de soporte telefónicas
También puede contactar con GFI por teléfono para soporte técnico.
Por favor compruebe en nuestro sitio web de soporte los números
para llamar según dónde se encuentre, y el horario.
Sitio web de soporte:
http://support.gfi.com
Foro Web
Hay disponible soporte usuario a usuario a través del foro web. El
foro se encuentra en:
http://forums.gfi.com/
Notificaciones de versiones revisadas
Le sugerimos encarecidamente que se suscriba a nuestra lista de
notificaciones de versiones revisadas. De esta forma, se le notificará
inmediatamente sobre las nuevas versiones del producto. Para
suscribirse vaya a:
http://support.gfi.com
94 • Resolución de problemas
Indice
D
Directiva de contraseñas 18
DNS lookup 73, 75, 76, 77,
78
G
grupos 5, 21
H
Hot fixes 22
HTML 7
L
Licencia 7
P
política de seguridad 5
Puertos abiertos 6
R
Recursos compartidos 5, 17
Registro 18
Requerimientos del sistema
9
S
Servicios 6
Sistema Operativo 7
SNMP 14, 76
SNMP Audit 76
T
Traceroute 74
U
Usuarios 79
X
XML 7
Resolución de problemas • 95

LANguard Network Security Scanner Manual

Transcripción

Documentos relacionados

jonathan garavito. reforma - Asociación de Radio del Valle de

2 Instalación de GFI LanGuard

Manual

Recursos CLIC para el aula Plumier: “CD con todas las actividades

Ingreso al correo electrónico por primera vez (Docentes)

manual oferta educativa

Manual

2 Instalación de GFI LanGuard