LANguard Network Security Scanner Manual
Transcription
LANguard Network Security Scanner Manual
GFI LANguard Network Security Scanner 6 Manual Por GFI Software Ltd. GFI SOFTWARE Ltd. http://www.gfi.com E-mail: info@gfi.com La información de este documento esta sujeta a cambios sin previo aviso. Las empresas, nombres, y datos utilizados en los ejemplos son ficticios si no se hace mención de lo contrario. Ninguna parte del documento puede ser reproducida o transmitida bajo ninguna forma o medio, electrónico o mecánico, para ningún propósito, sin la expresa autorización escrita de GFI SOFTWARE Ltd. LANguard es copyright de GFI SOFTWARE Ltd. 2000-2004 GFI SOFTWARE Ltd. Todos los derechos reservados. Versión 6.0 - Ultima actualización 23/01/2005 Contenido Introducción 5 Introducción a GFI LANguard Network Security Scanner ............................................. 5 Importancia de la Seguridad Interna de la Red ............................................................. 5 Características clave...................................................................................................... 6 Componentes de GFI LANguard N.S.S. ........................................................................ 7 Esquema de Licenciamiento.......................................................................................... 7 Instalar GFI LANguard Network Security Scanner 9 Requerimientos del Sistema .......................................................................................... 9 Procedimiento de Instalación......................................................................................... 9 Introducir su Clave de Licencia después de la instalación .......................................... 11 Empezar: Realizar una Auditoría 13 Introducción a las Auditorías de Seguridad ................................................................. 13 Realizar un Análisis...................................................................................................... 13 Analizar los Resultados del Análisis ............................................................................ 15 IP, Nombre de equipo, SO y Nivel de Service pack ....................................... 15 Nodo Vulnerabilidades.................................................................................... 15 Nodo de Vulnerabilidades Potenciales ........................................................... 17 Recursos compartidos .................................................................................... 17 Directiva de Contraseñas................................................................................ 18 Registro........................................................................................................... 18 Directiva de auditoría de seguridad ................................................................ 19 Puertos abiertos .............................................................................................. 20 Usuarios y Grupos .......................................................................................... 21 Usuarios que Iniciaron Sesión ........................................................................ 21 Servicios.......................................................................................................... 22 Estado de Actualizaciones de Seguridad P.................................................... 22 Dispositivos de Red ........................................................................................ 22 Dispositivos USB............................................................................................. 23 Resultados Adicionales................................................................................................ 24 Equipo ............................................................................................................. 24 Realizar análisis En el sitio (On site) y Fuera del sitio (Off site) .................................. 25 Análisis On Site............................................................................................... 25 Análisis Off Site............................................................................................... 25 Comparación de análisis on site y off site ...................................................... 25 Guardar y Cargar resultados de análisis 27 Introducción.................................................................................................................. 27 Guardar Resultados de Análisis en un archivo externo............................................... 27 Cargar resultados de análisis guardados .................................................................... 27 Cargar análisis guardados desde base de datos ........................................... 27 Cargar análisis guardados de un archivo externo .......................................... 28 Filtrar los resultados del análisis 29 Introducción.................................................................................................................. 29 Seleccionar el origen de los resultados del análisis .................................................... 30 LANguard Network Security Scanner Manual Contenido • i Crear un filtro de análisis a medida ............................................................................. 30 Configurar GFI LANguard N.S.S. 35 Introducción a la configuración de GFI LANguard N.S.S. ........................................... 35 Perfiles de escaneo...................................................................................................... 35 Puertos TCP/UDP analizados...................................................................................... 36 Cómo agregar/editar/eliminar puertos ............................................................ 36 Datos del SO analizado ............................................................................................... 37 Vulnerabilidades analizadas ........................................................................................ 38 Tipos de Vulnerabilidades............................................................................... 38 Descargar las últimas Vulnerabilidades de Seguridad ................................... 39 Actualizaciones de seguridad analizadas .................................................................... 39 Opciones de escáner ................................................................................................... 40 Métodos de descubrimiento de red................................................................. 41 Dispositivos .................................................................................................................. 42 Dispositivos de Red ........................................................................................ 43 Dispositivos USB............................................................................................. 44 Análisis Programados .................................................................................................. 45 Archivos de parámetros ............................................................................................... 47 Utilizar GFI LANguard N.S.S. desde la línea de comando .......................................... 48 Despliegue de Actualizaciones de Seguridad 51 Introducción al despliegue de actualizaciones de seguridad ...................................... 51 El agente de implantación de actualizaciones................................................ 51 Paso 1: Realizar un análisis de su red......................................................................... 52 Paso 2: Seleccionar sobre qué equipos implantar las actualizaciones ....................... 52 Paso 3: Seleccionar qué actualizaciones implantar .................................................... 53 Paso 4: Descargar los archivos de actualizaciones y service pack ............................ 54 Descargando las actualizaciones ................................................................... 55 Paso 5: Parámetros de implantación de archivos de actualización ............................ 55 Paso 6: Implantar las actualizaciones.......................................................................... 56 Implantar software a medida........................................................................................ 57 Paso 1: Seleccionar los equipos a los que instalar el software/actualización..................................................................................... 58 Paso 2: Especificar el software a implantar.................................................... 58 Paso 3: Iniciar el proceso de implantación ..................................................... 59 Opciones de implantación............................................................................................ 60 General ........................................................................................................... 60 Avanzado ........................................................................................................ 61 Directorio de Descarga ................................................................................... 61 Comparación de Resultados 63 ¿Por qué Comparar Resultados? ................................................................................ 63 Realizar una Comparación de Resultados interactivamente....................................... 63 Realizar una Comparación con la Opción de Análisis Programados .......................... 64 Monitor de Estado de GFI LANguard N.S.S. 65 Ver operaciones programadas..................................................................................... 65 Análisis Programados Activos ........................................................................ 65 Implementaciones programadas..................................................................... 66 Opciones de Mantenimiento de Base de Datos 69 Introducción.................................................................................................................. 69 Cambiar Base de Datos............................................................................................... 69 MS Access ...................................................................................................... 69 MS SQL Server ............................................................................................... 70 Administrar resultados de análisis almacenados......................................................... 71 Contenido • ii LANguard Network Security Scanner Manual Opciones Avanzadas ................................................................................................... 71 Herramientas 73 Introducción.................................................................................................................. 73 DNS lookup .................................................................................................................. 73 Trace Route ................................................................................................................. 74 Whois Client ................................................................................................................. 75 SNMP Walk.................................................................................................................. 75 SNMP Audit.................................................................................................................. 76 MS SQL Server Audit................................................................................................... 76 Enumerar Equipos ....................................................................................................... 77 Lanzar un análisis de seguridad ..................................................................... 77 Implantar actualizaciones a medida................................................................ 77 Habilitar las Directivas de Auditoria ................................................................ 78 Enumerar Usuarios ...................................................................................................... 78 Agregar comprobaciones de vulnerabilidad mediante condiciones o scripts 79 Introducción.................................................................................................................. 79 Lenguaje VBscript de GFI LANguard N.S.S. ............................................................... 79 Módulo SSH de GFI LANguard N.S.S. ........................................................................ 79 Palabras clave:................................................................................................ 80 Agregar una comprobación de vulnerabilidad que utiliza un script vbs a medida ...................................................................................................................... 83 Paso 1: Cree el script...................................................................................... 83 Paso 2: Agregue la nueva comprobación de vulnerabilidad: ......................... 84 Agregar una comprobación de vulnerabilidad que utiliza un script SSH a medida .............................................................................................................. 85 Paso 1: Cree el script...................................................................................... 85 Paso 2: Agregue la nueva comprobación de vulnerabilidad: ......................... 86 Agregar una comprobación de vulnerabilidad CGI...................................................... 87 Agregar otras comprobaciones de vulnerabilidad ....................................................... 88 Resolución de problemas 93 Introducción.................................................................................................................. 93 Base de Conocimientos ............................................................................................... 93 Preguntas y Respuestas Generales Frecuentes ......................................................... 93 Solicitud de soporte vía e-mail..................................................................................... 93 Solicitud de soporte vía conversación web.................................................................. 94 Solicitudes de soporte telefónicas ............................................................................... 94 Foro Web ..................................................................................................................... 94 Notificaciones de versiones revisadas......................................................................... 94 Indice LANguard Network Security Scanner Manual 95 Contenido • iii Introducción Introducción a GFI LANguard Network Security Scanner GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) es una herramienta que permite a los administradores de red realizar rápida y fácilmente una auditoría de segurida de red. GFI LANguard N.S.S. crea informes que pueden ser utilizados para resolver problemas de seguridad de la red. Además puede realizar la administración de actualizaciones de seguridad. Al contrario que otros escáneres de seguridad, GFI LANguard N.S.S. no creará un ‘bombardeo’ de información, que es virtualmente imposible de seguir. En su lugar, ayudará a resaltar la información más importante. Además proporciona hipervínculos a sitios de seguridad para averiguar más sobre estas vulnerabilidades. Utilizando análisis inteligente, GFI LANguard N.S.S. recoge información sobre los equipos como nombres de usuario, grupos, recursos compartidos, dispositivos USB, dispositivos inalámbricos y otras información sobre un Dominio Windows. Además de esto, GFI LANguard N.S.S. también identifica vulnerabilidades específicas como problemas de configuración de servidores FTP, exploits en Servidores Microsoft IIS y Apache Web o problemas en la configuración de la política de seguridad Windows, más otros muchos potenciales problemas de seguridad. Importancia de la Seguridad Interna de la Red La seguridad interna de la red es, las más veces, menospreciada por sus administradores. Muy a menudo, dicha seguridad incluso no existe, permitiendo a un usuario acceder fácilmente al equipo de otro usuario utilizando debilidades bien conocidas, relaciones de confianza y opciones predeterminadas. La mayore parte de estos ataques necesitan poca o ninguna habilidad, poniendo la integridad de una red en riesgo. La mayoría de los empleados no necesitan y no deben tener acceso al resto de equipos, funciones administrativas, dispositivos de red, etcétera. Sin embargo, debido a la cantidad de flexibilidad necesaria para la función normal, las redes internas no pueden permitirse una seguridad máxima. Por otro lado, sin ninguna seguridad, los usuarios internos pueden ser una importante amenaza para muchas redes corporativas. Un usuario de la empresa ya tiene acceso a muchos recursos internos y no necesita evitar cortafuegos u otros mecanismos de seguridad que previenen que las fuentes no confiables, como usuarios de Internet, accedan a la red interna. Dichos usuarios LANguard Network Security Scanner Manual Introducción • 5 internos, equipados con mucha habilidad, pueden penetrar satisfactoriamente y conseguir derechos de administración remota de red mientras que asegura que su abuso sea dificil de identificar o incluso de detectar. De hecho, el 80% de los ataques a la red se originan desde el interior del cortafuegos (ComputerWorld, Enero 2002). Una pobre seguridad de red también significa que, si un hacker externo fuerza un equipo de su red, podrá acceder al resto de la red interna más fácilmente. Esto habilitaría a un atacante sofisticado leer y posiblemente filtrar correo y documentos confidenciales; equipos basura, haciendo creer en pérdidas de información; y más. Por no mencionar que entonces utilice su red y recursos para volverse e iniciar el ataque a otros sitios, que cuando sean descubiertos le apuntarán a usted y a su empresa, no al hacker. La mayoría de ataques, contra vulnerabilidades conocidas, podrían ser fácilmente resueltos y, por lo tanto, ser detenidos por los administradores si conocieran la vulnerabilidad en primer lugar. La función de GFI LANguard N.S.S. es ayudar a los administradores en la identificación de estas vulnerabilidades. Características clave 6 • Introducción • Encuentra servicios rufianes y puertos TCP y UDP abiertos • Detecta vulnerabilidades CGI, DNS, FTP, Correo, RPC y otras • Detecta dispositivos inalámbricos. • Detecta usuarios pícaros o en “puertas traseras” (backdoors) • Detecta recursos compartidos abiertos y enumera quién tiene acceso a estos recursos junto con sus permisos. • Enumera grupos, incluyendo los miembros de grupos. • Enumeración de usuarios, servicios, etc. • Enumera dispositivos USB. • Enumera dispositivos de red e identificación del tipo de dispositivo (Cableado, Inalámbrico, Virtual) • Puede realizar Análisis Programados. • Actualiza automáticamente las Comprobaciones de vulnerabilidad de seguridad. • Habilidad para detectar la falta de actualizaciones críticas y service packs del sistema operativo. • Habilidad para detectar la falta de actualizaciones críticas y service packs de aplicaciones soportadas. • Capacidad de guardar y cargar resultados de análisis. • Habilidad de comparar análisis, para enterarse de posibles nuevos puntos de entrada. • Habilidad para actualizar el SO (Sistemas Windows en Inglés, Francés, Alemán, Italiano, Español) y aplicaciones Office (Inglés, Francés, Alemán, Italiano, Español) • Identificación de Sistema operativo. • Detección de anfitrión en directo. LANguard Network Security Scanner Manual • Resultados en HTML, XSL y XML. • Auditoría SNMP y MS SQL. • Lenguaje de comandos compatible Vbscript para construir comprobaciones de vulnerabilidad a medida. • Módulo SSH que permite la ejecución de scripts de seguridad sobre equipo Linux/Unix. • Analiza varios equipos al mismo tiempo. Componentes de GFI LANguard N.S.S. GFI LANguard N.S.S. está construido sobre una arquitectura de clase empresarial y tiene los siguientes componentes. GFI LANguard Network Security Scanner Este es el principal interfaz del producto. Utilice esta aplicación para ver los resultados del análisis en tiempo real, configurar las opciones de análisis, perfiles, informes filtrados, uso de herramientas de seguridad especializadas y más. GFI LANguard N.S.S. servicio asistente Este servicio inicia los análisis de red programados, e implantaciones programadas de actualizaciones. Funciona en segundo plano. GFI LANguard N.S.S. Servicio agente de actualizaciones Este servicio se implanta en los equipos objetivo a los cuales hay que instalar actualizaciones, service pack o aplicaciones y se encarga de la instalación de los parches, service pack o aplicaciones. GFI LANguard N.S.S. Depurador de Scripts Utilice este módulo para escribir/depurar los scripts a medida que haya creado. Monitor de GFI LANguard N.S.S. Utilice este módulo para supervisar elestado de los análisis programados y las implantaciones de actualización de software en curso. Además puede detener operaciones programadas que todavía no se hayan ejecutado. Esquema de Licenciamiento El esquema de licenciamiento de GFI LANguard N.S.S. se basa en el número de equipos y dispositivos que desea analizar. Por ejemplo, la licencia de 100 IP le permite analizar hasta 100 equipos o dispositivos desde una única estación de trabajo/servidor de su red. LANguard Network Security Scanner Manual Introducción • 7 Instalar GFI LANguard Network Security Scanner Requerimientos del Sistema La instalación de GFI LANguard Network Security Scanner requiere lo siguiente: • Windows 2000/2003 o Windows XP • Internet Explorer 5.1 o superior • El Cliente de Redes Microsoft debe estar instalado. • NO puede estar ejecutándose software Cortafuegos Personal ni el Cortafuegos de Conexión a Internet de Windows XP mientras se realizan los análisis. Pueden bloquear la funcionalidad de GFI LANguard N.S.S. NOTA: Detalles sobre cómo configurar sus directivas de directorio activo para soportar el análisis de/desde equipos Windows XP con service pack 2 se pueden encontrar en http://kbase.gfi.com/showarticle.asp?id=KBID002177. • Para implantar parches en equipos remotos necesita tener privilegios de administrador Procedimiento de Instalación 1. Inicie el programa de instalación de LANguard Network Security Scanner haciendo clic sobre el archivo languardnss6.exe. Confirme que desea instalar GFI LANguard N.S.S. Comenzará el asistente de instalación. Haga clic en Siguiente. 2. Tras leer el Acuerdo de Licencia, haga clic en Yes para aceptar el acuerdo y continuar la instalación. 3. La instalación le solicitará la información de usuario y la Clave de Licencia LANguard Network Security Scanner Manual Instalar GFI LANguard Network Security Scanner • 9 Especifique las credenciales del administrador del dominio o utilice la cuenta local del sistema 4. La instalación le solicitará las credenciales del administrador del dominio que serán utilizadas por el servicio LANguard N.S.S. Attendant (que inicia los análisis programados). Introduzca las credenciales necesarias y haga clic en Next. Escoja la base de datos de respaldo 5. La instalación le solicitará que escoja la base de datos de respaldo para GFI LANguard N.S.S. Escoja entre Microsoft Access o Microsoft SQL Server/MSDE y haga clic en Next. NOTA: SQL Server/MSDE debe ser instalado en modo mixto o modo autentificación SQL. El modo de sólo autentificación NT no está soportado. 10 • Instalar GFI LANguard Network Security Scanner LANguard Network Security Scanner Manual 6. Si seleccionó Microsoft SQL Server/MSDE como base de datos de respaldo, se le solicitará por las credenciales SQL utilizadas para registrar en la base de datos. Haga clic en Next para continuar. 7. La instalación le solicitará una dirección de correo de administrador y el nombre de su servidor de correo. Estas opciones serán utilizadas para enviar alertas administrativas. 8. Escoja el destino de GFI LANguard N.S.S. y haga clic en Next. GFI LANguard N.S.S. necesitará aproximadamente 40 MB de espacio libre en disco. 9. Una vez GFI LANguard N.S.S. ha sido instalado, puede ejecutar GFI LANguard Network Security Scanner desde el menú de inicio. Introducir su Clave de Licencia después de la instalación Si ha comprado GFI LANguard N.S.S., puede introducir su número de serie en el nodo General > Licensing. Si está evaluando GFI LANguard N.S.S., el producto expirará después de 60 días (con clave de evaluación). Si entonces decide comprar GFI LANguard N.S.S., solo tiene que introducir aquí la clave de licencia sin tener que reinstalarlo. Debe licenciar GFI LANguard N.S.S. para el número de equipo que desea analizar, y el número de equipos desde los que desea ejecutarlo. Si tiene 3 administradores utilizando GFI LANguard N.S.S. entonces tiene que comprar 3 licencias. Introducir la Clave de licencia no debe ser confundido con el proceso de registrar los detalles de su empresa en nuestro sitio web. Esto es importante, ya que nos permite darle soporte y avisarle sobre noticias importantes sobre los productos. Registre en: http://www.gfi.com/pages/regfrm.htm Nota: Para descubrir cómo comprar GFI LANguard N.S.S., siga el nodo General -> How to puchase. LANguard Network Security Scanner Manual Instalar GFI LANguard Network Security Scanner • 11 Empezar: Realizar una Auditoría Introducción a las Auditorías de Seguridad Una auditoría de recursos de red permite al administrador identificar posibles riesgos dentro de la red. Hacelo manualmente requiere mucho tiempo, a cause de las tareas y procesos repetitivos, que tienen que ser aplicados en cada equipo de la red. GFI LANguard N.S.S. automatiza el proceso de una auditoría de seguridad e identifica fácilmente vulnerabilidades comunes dentro de su red en un corto tiempo. Nota: Si su empresa utiliza cualquier tipo de Software de Detección de Intrusos (IDS) entonces sea consciente de que el uso de LANguard Network Security Scanner dejara fuera casi cualquier cualidad. Si no es el único en encargarse del sistema IDS, asegúrese de que el administrador de ese equipo o equipos sea consciente del análisis que va a ser iniciado. Junto con el aviso del software IDS debe ser consciente de que muchos de los análisis se mostrarán en los archivos de registro a todos los niveles. Regitstros Unix, servidores web, etc. mostrarán todos los intentos del equipo LANguard Network Security Scanner. Si no es el único administrador de su sitio asegúrese que los otros administradores sean conscientes de los análisis que va a realizar. Realizar un Análisis El primer paso en el comienzo de la auditoría de una red es realizar un análisis de los equipos y dispositivos de red actuales. Para comenzar un nuevo análisis de red: 1. Haga clic en File -> New. 2. Seleccione qué analizar. Puede seleccionar lo siguiente: a. Scan one Computer - Esto analizará un único equipo. b. Scan Range of Computers – Esto analizará un rango específico de IPs c. Scan List of Computers - Esto analiza una lista de equipos a medida. Los equipos se pueden agregar a la lista seleccionándolos de una lista de equipos enumerados, introduciéndolos uno a uno, o importando la lista de un archivo de texto. d. Scan a Domain – Esto analiza un dominio Windows completo. e. Analizar favoritos – Esto analiza una lista de equipos favoritos que haya especificado (utilizando el bóton Add to favorites). LANguard Network Security Scanner Manual Empezar: Realizar una Auditoría • 13 3. Dependiendo de lo que quiera analizar introduzca el inicio y final del rango de la red a ser escaneado. 4. Seleccione Start Scan. Realizar un análisis LANguard Network Security Scanner realizará el análisis ahora. Primero detectará qué anfitriones/equipos están activos, y solo analizará esos. Esto se hace utilizando sondas NETBIOS, ping ICMP ping y consultas SNMP . Si un dispositivo no responde a uno de éstas, GFI LANguard N.S.S. asumirá, por ahora, que el dispositivo no existe en una IP específica o que está actualmente inactivo. Nota: Si quiere forzar un análisis sobre IPs que no responden, vea el capítulo ‘Configurar opciones de análisis’ para más información sobre cómo configurar esto. 14 • Empezar: Realizar una Auditoría LANguard Network Security Scanner Manual Analizar los Resultados del Análisis Analizar los resultados Tras un análisis, los nodos aparecerán bajo cada equipo que GFI LANguard N.S.S. encuentre. El panel de la izquierda listará todos los equipos y dispositivos de red. Expandiendo uno de éstos se listará una serie de nodos con la información encontrada para ese equipo o dispositivo de red. Hacer clic sobre un nodo concreto mostrará la información analizada en el panel de la derecha. GFI LANguard N.S.S. encontrará cualquier dispositivo de red qe esté actualmente activo o cuando haga un sondeo de red. Dependiendo del tipo de dispositivo y qué tipo de consultas responde se determinará cómo GFI LANguard N.S.S. lo identifica y qué información puede recuperar. Una vez GFI LANguard N.S.S. ha finalizado su análisis del equipo/dispositivo/red mostrará la siguiente información. IP, Nombre de equipo, SO y Nivel de Service pack Se mostrará la dirección IP del equipo/dispositivo. Entonces se mostrará el nombre NetBIOS DNS, dependiendo del tipo de dispositivo. GFI LANguard N.S.S. informará qué SO está correindo en el dispositivo y si es un Windows NT/2000/XP/2003 OS, mostrará el nivel de service pack. Nodo Vulnerabilidades El nodo vulnerabilidades muestra los problemas de seguridad detectados y le informa cómo resolverlos. Estas amenazas pueden incluir actualizaciones de seguridad y service pack ausentes, problemas HTTP, alertas NETBIOS, problemas de configuración, etcétera. LANguard Network Security Scanner Manual Empezar: Realizar una Auditoría • 15 Las vulnerabilidades se dividen en las siguientes secciones: Service Packs Ausentes, Actualizaciones de Seguridad Ausentes, Vulnerabilidades de Seguridad Altas, Vulnerabilidades de Seguridad Medianas y Vulnerabilidades de Seguridad Bajas. Bajo cada sección de vulnerabilidades Altas / Medianas / Bajas puede encontrar mayor categorizacíon de los problemas detectados utilizando el siguiente agrupamiento: Abusos CGI, Vulnerabilidades FTP, Vulnerabilidades DNS, Vulnerabilidades de Correo, Vulnerabilidades RPC, Vulnerabilidades de Servicio, Vulnerabilidades de Regitro y Vulnerabilidades Varias. Una vez el análisis ha finalizado y se listan varias vulnerabilidades, haga doble clic (o clic con el botón derecho > More Details…) sobre la vulnerabilidad para abrir su ventana de propiedades. A través de este diálogo podrá investigar instantáneamente información importante sobre las condiciones de esta vulnerabilidad así como acceder a información como la descripción larga de la vulnerabilidad que no se muestra en el arbol de resultados. La siguiente información está disponible en propiedades de vulnerabilidad: la ventana de • Nombre • Descripción Corta • Nivel de seguridad • URL • Tiempo consumido para ejecutar la comprobación • Pruebas (para determinar si el equipo es vulnerable a esta comprobación) • Descripción larga Actualizaciones de seguridad ausentes GFI LANguard N.S.S. comprueba la ausencia de actualizaciones de seguridad mediante la comparación de las actualizaciones instaladas con las actualizaciones disponibles para un producto concreto. Si al equipo le falta cualquier actualización debería ver algo como esto: Primero le indica para qué producto es la actualización. Si lo expande, le especificará que actualización está ausente y le dará un enlace del que puede descargar la actualización. Abusos CGI describe problemas relativos a Apache, Netscape, IIS y otros servidores web. Vulnerabilidades FTP, vulnerabilidades DNS, vulnerabilidades de Correo, vulneravilidades RPC y vulnerabilidades varias proporcionan enlaces a Bugtraq u otros sitios de seguridad para que 16 • Empezar: Realizar una Auditoría LANguard Network Security Scanner Manual pueda buscar más información sobre el problema encontrado por GFI LANguard N.S.S. Vulnerabilidades de servicio pueden ser varias cosas. Cualquier cosa de los servicios en curso en el dispositivo en cuestión de cuentas listadas en un equipo que nunca han sido utilizadas. Vulnerabilidades de registro cubre la información tomada de un equipo Windows cuando GFI LANguard N.S.S. hace su análisis inicial. Proporcionará un enlace al sitio de Microsoft u otros sitios relacionados con la seguridad que explica por qué estas opciones del registro deberían ser cambiadas. Vulnerabilidades de información son alertas agregadas a la base de datos que son problemas suficientemente importantes para llamar la atención de los administradores pero que no siempre es perjudicial dejarlas abiertas. Nodo de Vulnerabilidades Potenciales El nodo de vulnerabilidades potenciales muestra potenciales problemas de seguridad, importante información, así como ciertas comprobaciones que no informan de vulnerabilidades. Por ejemplo si no pudiera determinarse que una actualización concreta está instalada, se la listará bajo el nodo actualizaciones de seguridad no detectables. Esas potenciales vulnerabilidades necesitan ser revisadas por el administrador. Nodo de vulnerabilidades potenciales Recursos compartidos El nodo recursos compartidos lista todos los recursos compartidos de un equipo y quién tiene acceso a un recurso compartido. Todos los recursos compartidos de la red deben ser asegurados adecuadamente. Los administradores deben asegurar que: LANguard Network Security Scanner Manual Empezar: Realizar una Auditoría • 17 1. Ningún usuario está compartiendo todo su disco duro con otros usuarios. 2. No se permite el acceso anónimo/no autentificado a recursos compartidos. 3. Las carpetas de inicio o archivos de sistema similares no están compartidas. Esto podría permitir que usuarios con menos privilegios ejecuten código en los equipos objetivo. Lo anterior es muy importante para todos los equipos, pero especialmente para los equipos que son críticos para la integridad del sistema, como el Controlador de Domino Público. Imagine un administrador compartiendo la carpeta de inicio (o una carpeta que contiene la carpeta de inicio) en el PDC para todos los usuarios. Concedidos los permisos correctos, los usuarios pueden fácilmente copiar ejecutables en la carpeta de inicio, que se ejecutarán en el siguiente inicio de sesión del administrador. Nota: Si está realizando el análisis validado como un administrador, también verá los recursos compartidos administrativos, por ejemplo “C$ - recurso compartido predeterminado”. Estos recursos compartidos no estarán disponibles para los usuarios normales. Con la forma en que Klez y otros nuevos virus están comenzando a difundirse, a través del uso de recursos compartidos abiertos, todos los recursos compartidos innecesarios deben ser desactivados, y todos los recursos compartidos necesarios deberían estar protegidos por contraseña. NOTA: Puede deshabilitar la referencia a los recursos compartidos administrativos editando el perfil de análisis desde Configuración > Scanning Profiles > OS Data > Enumerate Shares. Directiva de Contraseñas Este nodo le permite comprobar si la directiva de contraseñas es segura. Por ejemplo habilitar un tiempo de vida máximo e historial de contraseñas. La longitud mínima de contraseña debe ser algo práctico, como 8 caracteres. Si tiene Windows 2000, puede habilitar una directiva de contraseñas seguras, en toda la red, utilizando un GPO (Objetos de Directiva de Grupo) en el Directorio Activo. Registro Este nodo proporciona información vital sobre el registro remoto. Haga clic sobre el nodo Ejecutar para comprobar qué programas lanzan automáticamente en el inicio. Compruebe que los programas que se lanzan automáticamente no son Troyanos o incluso programas válidos que proporcionan acceso remoto en un equipo, si dicho software no está permitido en su red. Cualquier software de Acceso Remoto puede terminar siendo una puerta trasera que un potencial hacker puede utilizar para obtener entrada. NOTA: Puede editar y mantener la lista de claves y valores del registro a recuperar modificando el archivo XML “toolcfg_regparams.xml” que se encuentra en el directorio %LNSS_INSTALL_DIR%\Data. 18 • Empezar: Realizar una Auditoría LANguard Network Security Scanner Manual Directiva de auditoría de seguridad Este nodo muestra qué directivas de auditoría de seguridad están habilitadas en el equipo remoto. Se recomiendan las siguientes directivas de auditoría: Directiva de Auditoría Correcto Error Auditar sucesos de inicio de sesión Si Si Administración de cuentas Si Si Acceso del servicio de directorio Si Si Sucesos de inicio de sesión de cuenta Si Si Acceso a objetos Si Si Cambio de directivas Si Si Uso de privilegios No No Seguimiento de procesos No No Sucesos del sistema Si Si Puede habilitar la auditoría directamente desde GFI LANguard N.S.S. Haga clic con el botón derecho sobre uno de los equipos del panel de la izquierad y seleccione "Enable auditing". Esto hará aparecer el asistente de administración de directiva de auditoría. Especifique qué directivas de auditoría activar. Hay 7 directivas de auditoría de seguridad en Windows NT y 9 en Windows 2000. Habilite las directivas de auditoría deseadas en los equipos a ser monitorizados. Haga clic en Next para activar las directivas de auditoría. Habilitar las Directivas de Auditoría en equipos remotos LANguard Network Security Scanner Manual Empezar: Realizar una Auditoría • 19 Ni no se encuentran errores, se mostrará la página final. Si ocurrió un error entonces se mostrará otra página indicando los equipos en los que falló la aplicación de las directivas. Diálogo de resultados del asistente de directiva de auditoría Puertos abiertos El nodo puertos abiertos lista todos los puertos abiertos encontrados en el equipo. (Esto se llama escaneo de puertos). GFI LANguard N.S.S. hace un análisis de puertos selectivo, lo que significa que por defecto no escanea los 65535 puertos TCP y UDP, sólo los puertos que están configurados para analizar: Puede configurar los puertos que debe analizar en Opciones de análisis. Para más información vea el capítulo “Configurar las Opciones de Análisis, Configurar los Puertos a Analizar”. Cada puerto abierto representa un servicio/aplicación; si uno de estos servicios puede ser “aprovechado”, el hacker podría obtener acceso a ese equipo. Por lo tanto, es importante cerrar cualquier puerto que no sea necesario. Nota: En las Redes Windows, los puertos 135, 139 y 445 siempre están abiertos. GFI LANguard N.S.S. mostrará los puertos abiertos, y si el puerto se considera puerto de Troyano conocido, GFI LANguard N.S.S. lo mostrará en ROJO, de lo contrario el puerto se mostrará en VERDE. Puede ver esto en la siguiente imagen: Nota: Aunque un puerto se muestre en ROJO como posible puerto de Troyano, eso no significa que un programa de puerta trasera esté actualmente instalado en el equipo. Algunos programa válidos 20 • Empezar: Realizar una Auditoría LANguard Network Security Scanner Manual utilizarán los mismos puertos que algunos Troyanos conocidos. Un programa anti-virus utiliza el mismo puerto conocido por la puerta trasera NetBus. Por lo tanto compruebe siempre la información proporcionada y realice pruebas en esos equipos. Usuarios y Grupos Estos nodos muestran los grupos locales y los usuarios locales disponibles en el equipo. Verifique si hay usuarios de más, y comprueb que la cuenta Invitado está deshabilitada. ¡Estos usuarios y grupos pueden permitir el acceso por la puerta de atrás! Algunos programas clandestinos rehabilitarán la cuenta Invitado y le darán derechos Administrativos, por lo que compruebe los detalles del nodo usuarios para ver la actividad de todas las cuentas y los derechos que tienen. Idealmente el usuario no debería estar utilizando una cuenta local para iniciar sesión, sino que debería ser registrado en un Dominio o una cuenta de Directorio Activo. La última cosa importante a comprobar es asegurar que la contraseña no es demasiado antigüa. Usuarios que Iniciaron Sesión Este nodo muestra la lista de usuarios que iniciaron sesión sobre el equipo objetivo. La lista se divide en dos secciones. Usuarios que iniciaron sesión localmente Esta categoría incluye todos los usuarios que tienen una sesión iniciada localmente. Esta categoría muestra la siguiente información sobre cada inicio de sesión, si está disponible: 1. Fecha y hora del inicio de sesión 2. Tiempo transcurrido Usuarios que Iniciaron Sesión Remota Esta categoría incluye todos los usuarios que iniciaron sesión remotamente sobre el equipo objetivo. La categoría Usuarios que Iniciaron Sesión Remota muestra la siguiente información sobre cada usuario: 1. Fecha y hora del inicio de sesión 2. Tiempo transcurrido 3. Tiempo en espera 4. Tipo de cliente 5. Transporte Leyenda de los campos de información: Fecha y hora del inicio de sesión: Indica la fecha y hora en que el usuario inició sesión sobre el equipo. Este campo se aplica a ambas conexiones local y remota. LANguard Network Security Scanner Manual Empezar: Realizar una Auditoría • 21 Tiempo transcurrido: Indica cuanto tiempo ha estado el usuario en este equipo. Este campo se aplica a ambas conexiones local y remota. Tiempo en espera: Indica cuanto tiwmpo ha estado en espera la conexión del usuario. El tiempo en espera se refiere al usuario / conexión que está completamente en activo. Este campo se aplica sólo a conexiones remotas. Tipo de cliente: Indica qué plataforma utilizó el usuario para hacer esta conexión remota. Generalmente se refiere al Sistema Operativo instalado en el equipo que inició la conexión. Este campo se aplica sólo a conexiones remotas. Transporte: Indica qué clase de servicio se utilizó para iniciar la conexión. Este campo se aplica sólo a conexiones remotas. Servicios Se listan todos los servicios del equipo. Verifique que los servicios que están en ejecución necesitan estarlo y deshabilite todos los servicios que no sean necesarios. Sea consciente de que cada servicio puede potencialmente ser un riesgo de seguridad y un agujero en el sistema. Cerrando o desactivando los servicios que no son necesarios se reducen automáticamente los riesgos de seguridad. Estado de Actualizaciones de Seguridad P Este nodo muestra qué actualizaciones están instaladas y registradas en el equipo remoto. Dispositivos de Red Este nodo muestra una lista de todos los dispositivos de red instalados en el sistema. Los dispositivos se categorizan como sigue: • Dispositivos físicos - Con cable • Dispositivos físicos – Sin cable (inalámbricos) • Dispositivos virtuales Dispositivos de Red Detectados 22 • Empezar: Realizar una Auditoría LANguard Network Security Scanner Manual Se informa (cuando es posible) de las siguientes propiedades por cada dispositivo: • Dirección MAC • Dirección(es) IP Asignadas • Anfitrión (Host) • Dominio • Datos DHCP • WEP (donde esté disponible) • SSID (donde esté disponible) • Gateway • Estado NOTA: Busque regularmente los nuevos dispositivos de red. Los dispositivos inalámbricos se pueden utilizar para comprometer la seguridad de la red tanto desde dentro como desde fuera de la empresa. Dispositivos USB Este nodo mostrará todos los dispositivos USB conectados actualmente en el equipo objetivo. Utilice este nodo para verificar que no hay dispositivos no autorizados conectados en ese momento. Los dispositivos de almacenamiento portátiles suponen un considerable riesgo de seguridad, mantenga vigilados esos dispositivos. Otro gran riesgo de seguridad al que prestar atención son los adaptados USB inalámbricos así como sticks Brluetooth que además pueden permitir al usuario transferir archivos no autorizados entre sus estaciones de trabajo y dispositivos personales como móviles, PDAs y dispositivos con Bluetooth habilitado. Lista de dispositivos USB detectados en el equipo objetivo NOTA: Puede configurar GFI LANguard N.S.S.para informar de dispositivos USB no autorizados (por ejemplo “USB Mass Storage LANguard Network Security Scanner Manual Empezar: Realizar una Auditoría • 23 Device”) como vulnerabilidad crítica. Puede configurar qué dispositivos debe informar GFI LANguard N.S.S. como vulnerabilidad crítica desde Configuration > Scanning Profiles > Devices > USB Devices. Dispositivos USB peligrosos listados como Vulnerabilidad Crítica Resultados Adicionales Esta sección lista nodos y resultados adicionales, que puede comprobar después de haber revisado antes los resultados más importantes del análisis. Nombres NETBIOS En este nodo encontrará detalles sobre los servicios instalados en el equipo. Equipo MAC – Esta es la dirección MAC del adaptador de red. Nombre de usuario – Este es el nombre del usuario actualmente registrado, o el nombre de usuario del equipo. TTL – El valor Tiempo De Vida (TTL) se especifica para cada dispositivo. Los valores principales son 32, 64, 128 y 255. En base a estos valores y al TTL actual del paquete tendrá una idea de la distancia (número de saltos de enrutador) entre el equipo GFI LANguard N.S.S. y el equipo objetivo que fue analizado. Utilización del Equipo - Le dice si el equipo objetivo es una Estación de Trabajo o un Servidor. Dominio – Si el equipo objetivo es parte de un dominio, le dará una lista de los Dominios de confianza. Si no es parte de un Dominio le mostrará el Grupo de Trabajo del que el equipo es parte. LAN manager – Proporciona el LAN Manager en uso (y SO). 24 • Empezar: Realizar una Auditoría LANguard Network Security Scanner Manual Sesiones Muestra las direcciones IP de los equipos que estaban conectados al equipo objetivo en el momento del análisis. En la mayoría de los casos, sólo será el equipo que está ejecutando GFI LANguard N.S.S. y ha recientemente hecho conexiones. Nota: Debido al constante cambio de este valor, esta información no se guarda en el informe, pero está aquí sólo para propósitos informativos. Dispositivos de Red Proporciona una lista de dispositivos de red disponible en el equipo objetivo. TOD remoto Hora del Día remota. Esta es la hora de red en el equipo objetivo, que es habitualmente fijada por el Controlador de Dominio. Realizar análisis En el sitio (On site) y Fuera del sitio (Off site) Recomendamos que ejecute GFI LANguard N.S.S. de dos formas, los llamados análisis On site y análisis Off site. Análisis On Site Prepare un equipo con LANguard Network Security Scanner instalado en él. Haga un análisis de su red con una “sesión NULL’ (Seleccione Null Session del cuadro desplegable). Una vez está hecho el primer análisis cambie el valor del cuadro desplegable a Currently logged on user (si tiene derechos administrativos para su dominio), o como Alternative credentials que tengan derechos administrativos para el Dominio o para el Directorio Activo. Guarde este segudno análisis para compararlo más adelante. Con la ‘sesión NULL' puede ver lo que cualquier usuario haciendo una conexión a su red vía conexión Null sería capaz de vez. El análisis que tiene los derechos administrativos, le ayudará mostrándole todos las actualizaciones de seguridad que están ausentes en el equipo. Análisis Off Site Si tiene una cuenta de marcado externo, o alta velocidad de acceso a internet que no esté ligado a su empresa querrá ahora dar la vuelta y analizar su red desde el mundo exterior. Haga un análisis ‘sesión NULL’ de su red. Esto de dejará ver que sería capaz de ver cualquiera desde Internet si/cuando analizan su red. Cosas que pueden afectar son cualquier cortafuegos que su empresa o ISP podría configurar, o cualquier regla en un router en el camino que podría eliminar tipos específicos de paquetes. Guarde este análisis para una posterior comparación. Comparación de análisis on site y off site Ahora es momento de iniciar la búsqueda de información generada por LANguard Network Security Scanner. LANguard Network Security Scanner Manual Empezar: Realizar una Auditoría • 25 Si el análisis de sesión NULL de su red interna parece idéntico al análisis de su red externa sea consciente de que da la impresión que no hay cortafuegos o dispositivo de filtrado en su red. Esta es probablemente una de las primeras cosas que debería examinar. Por lo tanto, compruebe lo que realmente puede ver cualquier usuario desde el mundo exterior. ¿Pueden ver sus Controladores de Dominio y conseguir una lista de todas las cuentas de equipo? ¿Y sobre servidores Web, FTP, etc...? En éste punto, usted está solo. Podría necesitar iniciar las comprobaciones de actualizaciones de Servidores Web, Servidores FTP, etc. También podría necesitar verificar y cambiar las configuraciones de los servidores SMTP. Cada red es diferente. GFI LANguard N.S.S. intenta ayudarle precisando los problemas y los asuntos de seguridad y dirigirle a sitios que le ayudarán a resolver los agujeros que encuentre. Si encuentra servicios ejecutándose que no son necesarios, asegúrese de deshabilitarlos. Cada servicio es un potencial riesgo de seguridad que podría permitir a alguien el acceso no autorizado a su red. Nuevos desbordadores de buffer y exploits son publicados cada día e incluso aunque su red podría parecer ser segura hoy, podría no ser el caso mañana. Asegúrese de realizar los análisis de seguridad de tiempo en tiempo. Esto no es algo que pueda hacer una vez y entonces olvidarlo. Siempre hay algo nuevo ahí fuera, y una vez de nuevo, solo porque estaba seguro hoy, nunca sabe qué hacker llegará mañana. 26 • Empezar: Realizar una Auditoría LANguard Network Security Scanner Manual Guardar y Cargar resultados de análisis Introducción Una vez GFI LANguard N.S.S. completa un análisis de seguridad, guarda automáticamente los resultados en su base de datos de respaldo (MS Access / MS SQL Server). Además puede guardar los resultados del análisis en un archivo XML externo. Los reusltados guardados pueden ser recargados en el interfaz de usuario de GFI LANguard N.S.S. para procesamiento o comparación de resultados. Cargar los resultados guardados es muy útil cuando uno necesita ejecutar informes o implantar actualizaciones sobre un sistema sin cambios que no requiere reanálisis. Guardar Resultados de Análisis en un archivo externo Una vez GFI LANguard N.S.S. completa un análisis de seguridad los resultados ya se guardan en la base de datos de respaldo. Para guardar los resultados en un archivo externo: • File > Save scan results… • Acepte el nombre de archivo por defecto o especifique un nombre alternatico. • Haga clic en Save. Cargar resultados de análisis guardados Cargar análisis guardados desde base de datos LNSS almacenará en la base de datos los últimos 30 análisis realizados sobre el mismo objetivo con el mismo perfil. Para recargar un resultado de análisis guardado de la base de datos: 1. Haga clic con el botón derecho sobre GFI LANguard N.S.S. > Security Scanner 2. Load saved scan results from… > Database. Esto abrirá el diálogo de selección de resultados de análisis. 3. Seleccione qué análisis recargar de la lista. 4. Haga clic en Aceptar. LANguard Network Security Scanner Manual Guardar y Cargar resultados de análisis • 27 Resultado de análisis guardado recargado en el IU principal Cargar análisis guardados de un archivo externo Para recargar un resultado de análisis guardado de un archivo externo: 1. Haga clic con el botón derecho sobre GFI LANguard N.S.S. > Security Scanner 2. Load saved scan results from… > XML…. Esto abrirá el diálogo de Abrir resultados de análisis guardados en archivo XML. 3. Seleccione qué análisis recargar. 4. Haga clic en Aceptar. 28 • Guardar y Cargar resultados de análisis LANguard Network Security Scanner Manual Filtrar los resultados del análisis Introducción Una vez GFI LANguard N.S.S. ha realizado un análisis, mostrará los resultados en el panel ‘Scan results’. Si ha analizado un gran número de equipos, podría querer filtrar esos datos desde el nodo Scan filters. Haciendo clic en este nodo y seleccionando un filtro existente mostrará los resultados del análisis en base al filtro seleccionado. GFI LANguard N.S.S. se entrega con varios filtros de análisis predefinidos. Además puede hacer sus propios filtros de análisis a la medida. Filtros de análisis Los siguientes filtros de análisis están incluidos por defecto: Informe completo: Muestra todos los datos recogidos en un análisis relativos a la seguridad. Vulnerabilidades [High Security]: Muestra problemas que necesitan atención inmediata – service pack y parches ausentes, vulnerabilidades de seguridad alta y puertos abiertos. Vulnerabilidades [Medium Security]: Muestra problemas que podrían necesitan ser destinados por el administrador – vulnerabilidades de seguridad media, actualizaciones que no pueden ser detectadas. Vulnerabilidades[All]: Muestra todas las vulnerabilidades detectadas – actualizaciones de seguridad ausentes, service packs ausentes, información potencial, parches que no pudieron ser detectados, vulnerabilidades de seguridad bajas y altas. LANguard Network Security Scanner Manual Filtrar los resultados del análisis • 29 Actualizaciones de seguridad y service packs ausentes: lista todos los service pack y actualizaciones de seguridad ausentes en los equipos analizados. Dispositivos importantes - USB: Lista todos los dispositivos USB conectados en los objetivos del análisis. Important devices – Wireless: Lists all the wireless network cards, (both PCI and USB) attached to the scan targets. Puertos abiertos: lista todos los puertos TCP y UDP abiertos. Recursos Compartidos Abiertos: lista todos los recursos compartidos y quién ha accedido a ellos. Directiva de Auditoría: lista las opciones de directiva de auditoría de cada equipo analizado. Directiva de Contraseñas: lista las opciones activas de directiva de auditoría de cada equipo analizado. Grupos y usuarios: lista los usuarios y grupos detectados en cada equipo analizado. Propiedades del equipo: Muestra las propiedades de cada equipo. Seleccionar el origen de los resultados del análisis Por defecto, los filtros trabajarán sobre los datos del análisis actual. Sin embargo es posible seleccionar un diferente archivo origen de datos de los 'resultados de análisis' y aplicar los filtros a estos datos (que están actualmente en archivo XML o en base de datos). Para hacerlo: 1. Vaya al nodo Security Scanner en el programa analizador de seguridad de GFI LANguard N.S.S. 2. Haga clic con el botón derecho y seleccione ‘Load saved scan results from…” 3. Seleccione los orígenes de datos que contengan los resultados sobre los que desea ejecutar el filtro. 4. Seleccione la entrada de la base de datos o el archivo XML que contenga los datos de resultados de análisis necesarios. 5. Haga clic en Aceptar. Esto recargará los resultados de análisis guardados en el IU de resultados del Escáner de Seguridad. 6. Ahora todos los filtros mostrarán datos de los resultados cargados de éste archivo. Crear un filtro de análisis a medida Para crear un filtro de análisis a medida: 1. Haga clic con el botón derecho sobre el nodo GFI LANguard N.S.S. > Security scanner > Scan Filters y seleccione New > Filter… 2. Esto abrirá el diálogo Scan Filter Properties. 30 • Filtrar los resultados del análisis LANguard Network Security Scanner Manual Filtros de análisis – Página general 3. Proporcione un nombre al filtro 4. Agregue cualquier condición que desea que el filtro aplique a los datos de resultados del análisis utilizando el botón Add... Puede crear múltiples condiciones para el filtro. Para cada condición debe especificar la propiedad, la condición y el valor. Las propiedades disponibles son Sistema Operativo, nombre de host, usuario registrado, dominio, service pack, recurso compartido, etc.). LANguard Network Security Scanner Manual Filtrar los resultados del análisis • 31 Diálogo de condiciones 5. Seleccione qué categorías de información desea ver en el filtro desde la página ‘Report items’. 6. Haga clic en Aceptar para crear el filtro. 32 • Filtrar los resultados del análisis LANguard Network Security Scanner Manual Filtros de análisis – Página de elementos de informe Este procedimiento creará un nuevo nodo permanente bajo el nodo Scan Filters. NOTA: Puede eliminar/personalizar cualquier filtro bajo el nodo Scan Filters haciendo clic con el botón derecho sobre el filtro y seleccionando Delete.../Properties dependiendo de la operación que desee realizar. Ejemplo 1 – Encuentre equipos con la ausencia de un parche concreto Quiere encontrar todos los equipos Windows a los que les falte la actualización MS03-026. (este es la famosa actualización para el virus blaster) Defina el filtro como sigue: 1. Condición 1: El sistema operativo incluye Windows 2. Condición 2: Hot fix (actualización) no está instalada MS03-026 Ejemplo 2 – Listar todas las estaciones Sun con servidor web Para listar todas las estaciones Sun que ejecutan un servidor web sobre el puerto 80 defina las siguientes consultas: 1. El sistema operativo incluye SunOS 2. Puerto TCP abierto 80 LANguard Network Security Scanner Manual Filtrar los resultados del análisis • 33 Configurar GFI LANguard N.S.S. Introducción a la configuración de GFI LANguard N.S.S. Puede configurar GFI LANguard N.S.S. desde el nodo de configuración. Aquí puede configurar opciones de análisis, perfiles de escaneo con diferentes opciones de análisis, análisis programados, opciones de alertas y más. Perfiles de escaneo Perfiles de escaneo Utilizando los perfiles de escaneo, puede configurar diferentes tipos de análisis, y utilizar estos diferentes análisis para enfocarse en tipos concretos de información por los que desea comprobar. Un perfil de escaneo se crea desde el nodo Configuration > Scannind profiles, haciendo clic con el botón derecho y seleccionando New > Scan Profile… Puede configurar las siguientes opciones para cada perfil: 1. Puertos TCP analizados 2. Puertos UDP analizados 3. Datos del SO analizado 4. Vulnerabilidades analizadas 5. Actualizaciones de seguridad analizadas LANguard Network Security Scanner Manual Configurar GFI LANguard N.S.S. • 35 6. Propiedades deñ escáner 7. Dispositivos Puertos TCP/UDP analizados La etiqueta de puertos TCP/UDP analizados le permite especificar qué puertos TCP y UDP desea analizar. Para habilitar un puerto simplemente haga clic sobre la casilla junto al puerto. Configurar los puertos a analizar en un perfil Cómo agregar/editar/eliminar puertos Si quiere agregar puertos TCP/UDP a medida, haga clic en el botón agregar. Aparecerá el diálogo para agregar puertos. 36 • Configurar GFI LANguard N.S.S. LANguard Network Security Scanner Manual Imagen 1 – Agregar un puerto Simplemente introduzca un número de puerto o un rango de puertos así como una descripción del programa que se supone corre en ese puerto. Si el programa asociado con este puerto es un Troyano, haga clic en la casilla de verificación ‘Is a Trojan port'. Si especifica que este es un puerto Troyano, el círculo verde / rojo junto al puerto estará rojo. Nota: Compruebe que está introduciendo este puerto en la ventana de Protocolo correcta, TCP o UDP. Puede editar o eliminar puertos haciendo clic sobre los botones Editar o Eliminar. Datos del SO analizado La etiqueta de datos del SO analizado especifica la clase de información que desea que GFI LANguard N.S.S. recoja del sistema operativo durante el análisis. En estos momentos solo se soportan datos de SO Windows, sin embargo el análisis de datos UNIX está en desarrollo. LANguard Network Security Scanner Manual Configurar GFI LANguard N.S.S. • 37 Vulnerabilidades analizadas Configurando las Vulnerabilidades a analizar La etiqueta de vulnerabilidades analizadas lista todas las vulnerabilidades que puede analizar GFI LANguard N.S.S. Puede deshabilitar la comprobación de todas las vulnerabilidades deseleccionando la casilla ‘Check for vulnerabilities’. Por defecto, GFI LANguard N.S.S. analizará todas las vulnerabilidades que conoce. Puede cambiar esto eliminando la casilla junto a cada vulnerabilidad en particular. Del panel de la derecha, puede cambiar las opciones de una vulnerabilidad específica haciendo doble clic sobre ella. Puede cambiar el nivel de seguridad de una comprobación de vulnerabilidad comcreta desde la opción “Security Level”. Tipos de Vulnerabilidades Las vulnerabilidades se dividen en las siguientes secciones: Ausencia de Parches, Parches que no pueden ser detectados, Abusos CGI, Vulnerabilidades FTP, Vulnerabilidades DNS, Vulnerabilidades de Correo, Vulnerabilidades RPC, Vulnerabilidades de Servicio, Vulnerabilidades de Registro, y Vulnerabilidades Varias. Opciones avanzadas de comprobación de vulnerabilidad Haga clic sobre el botón Advanced para abrir estas opciones. • Comprobaciones Internas – Estas incluyen comprobación de contraseña ftp anónima, comprobación de contraseña debil, etc… • CGI Probing – Active las pruebas CGI si está ejecutando servidores web que utilizan CGI. Opcionalmente puede especificar un servidor proxy si usted está localizado tras un servidor proxy. • Las nuevas vulnerabilidades son habilitadas por defecto Habilita/deshabilita las vulnerabilidades recientemente agregadas para incluirlas en los análisis de todos los otros perfiles. 38 • Configurar GFI LANguard N.S.S. LANguard Network Security Scanner Manual Descargar las últimas Vulnerabilidades de Seguridad Para actualizar sus Vulnerabilidades de Seguridad, seleccione Help > Check for updates desde el programa de escáner de GFI LANguard N.S.S. Esto descargará las últimas vulnerabilidades de seguridad del sitio web de GFI. También actualizará los archivos de huellas utilizados para determinar qué SO está en un dispositivo. NOTA: Al iniciar GFI LANguard N.S.S. puede descargar automáticamente nuevas comprobaciones de vulnerabilidades desde el sitio web de GFI. Puede configurar esto desde el nodo GFI LANguard N.S.S. > General > Product Updates. Actualizaciones de seguridad analizadas Configure qué actualizaciones comprobar cuando analice con un perfil concreto. Las actualizaciones de seguridad analizadas le permiten configurar si este perfil en particular debe comprobar la ausencia de actualizaciones de seguridad y/o service packs. La etiqueta lista todas las actualizaciones que comprueba GFI LANguard N.S.S. Puede deshabilitar la comprobación de actualizaciones concretas para este perfil desmarcando la casilla junto al boletín de la actualización. La lista de actualizaciones se obtiene descargando la última lista de actualizaciones del sitio web de GFI, que a su vez se obtiene de Microsoft (mssecure.xml). GFI obtiene esta lista de actualizaciones de Microsoft y comprueba su exactitud, ya que a veces contiene errores. LANguard Network Security Scanner Manual Configurar GFI LANguard N.S.S. • 39 Información ampliada de boletín Para más información sobre un boletín concreto, haga doble clic sobre el boletín o haga clic con el botón derecho y seleccione Propiedades. Se le presentará con más detalle qué comprueba el boletín y a qué está dirigido. Opciones de escáner En esta etiqueta puede configurar opciones relativas a cómo debe realizar el análisis GFI LANguard N.S.S. Propiedades del Escáner de Seguridad 40 • Configurar GFI LANguard N.S.S. LANguard Network Security Scanner Manual Métodos de descubrimiento de red Esta sección trata qué métodos utiliza GFI LANguard N.S.S. para descubrir equipos en la red. La opción de consultas NETBIOS permite utilizar consultas NETBIOS o SMB. Si el Cliente para Redes Microsoft está instalado en el equipo Windows, o si Samba está instalado en un equipo Unix, esos equipos responderán la consulta de tipo NetBIOS. Puede incluir un ScopeID a la consulta NetBIOS. Esto solo es necesario en algunos casos, en cuyos sistemas tengan un ScopeID. Si su organización tiene un ScopeID situado sobre NetBIOS, introdúzcalo aquí. La opción consultas SNMP permite que sean enviados paquetes SNMP con la cadena Comunidad que fue indicada en la pestaña General. Si el dispositivo responde a esta consulta, GFI LANguard N.S.S. solicitará el Identificador de Objeto del dispositivo y los compara con una base de datos para determinar qué es éste servicio. Ping Sweep hace un ping ICMP a cada dispositivo de red. (Vea Nota: a continuación) Descubrimiento Personalizado de Puerto TCP comprueba un puerto abierto concreto en los equipos objetivo. Nota: Cada uno de los anteriores tipos de consulta puede desactivado, pero GFI LANguard N.S.S. depende de todas consultas para determinar el tipo de dispositivo y el SO operativo está ejecutando. Si escoge desactivar cualquiera de ellas, LANguard N.S.S. podría no ser fiable en su identificación. ser las que GFI Nota: Algunos cortafuegos personales bloquean un equipo de incluso enviar ecos ICMP y por lo tanto no será detectado por GFI LANguard N.S.S. Si cree que hay muchos equipos con cortafuegos personales en su red, considere forzar un análisis de cada IP de su red. Opciones de descubrimiento de red Los parámetros de descubrimiento de red le permiten adaptar la detección de equipos, de forma que tenga la más fiable detección de equipos en el menor tiempo posible. Los parámetros ajustables incluyen • Retardo de análisis es el tiempo que GFI LANguard N.S.S. espera entre envío de paquetes TCP/UDP. Por defecto es 100 ms. Dependiendo de su conexión y del tipo de red en que está (LAN/WAN/MAN) podría necesitar ajustar estas opciones. Si lo sitúa muy bajo podría congestionar su red con paquetes de GFI LANguard N.S.S. Si lo sitúa muy alto se perderá mucho tiempo que no es necesario. • Esperar Respuestas es el tiempo que actualmente esperará GFI LANguard N.S.S. por una respuesta del dispositivo. Si está ejecutándolo en una red lenta u ocupada podría necesitar incrementar este tiempo de 500 ms a algo mayor. • Número de reintentos es el número de veces qe GFI LANguard N.S.S. hará cada tipo de análisis. Bajo circunstancias normales esta opción no debe ser cambiada. Sea consciente, sin embargo, que si cambia esta opción, se ejecutará mediante ese tipo de análisis (NETBIOS, SNMP e ICMP) ese número de veces. LANguard Network Security Scanner Manual Configurar GFI LANguard N.S.S. • 41 • Incluir equipos que no responden es una opción qué instruye al escáner de seguridad de GFI LANguard N.S.S. para intentar analizar un equipo qué no ha respondido a ningún método de descubrimiento de red. Opciones de Consulta NetBIOS El efecto de utilizar un Scope ID NetBIOS es aislar un grupo de equipos de la red que pueden comunicarse sólo con otros equipos que tiene configurado el mismo Scope ID NetBIOS. Los programas NetBIOS iniciados en un equipo que utiliza NetBIOS Scope ID no pueden “ver” (recibir o enviar mensajes) programas NetBIOS iniciados por un proceso en un equipo configurado con un NetBIOS Scope ID diferente. LNSS soporta NetBIOS Scope ID para ser capaz de analizar estos equipos aislados que de otro modo serían inaccesibles. Opciones de Consulta SNMP La opción para Cargar números SNMP de empresa permitira a GFI LANguard N.S.S. extender el soporte en análisis SNMP. Si esto está deshabilitado, los dispositivos conectados mediante SNMP que son desconocidos pata GFI LANguard N.S.S. no informarán del fabricante que se supone que es. Salvo que tenga problemas, es recomendable dejar esta opción habilitada. Por defecto la mayoría de dispositivos con SNMP habilitado utilizan la cadena de comunidad por defecto ‘public’, pero por razones de seguridad la mayoría de los administradores cambiarán esto por otra cosa. Si ha cambiado el nombre de la comunidad SNMP por defecto en sus dispositivos de red, querrá incluirlo a la lista que utiliza GFI LANguard N.S.S. Nota: Aquí puede incluir más de un nombre de comunidad SNMP. Para cada nombre de comunidad adicional, la parte SNMP del análisis tendrá que ejecutarse otra vez. Si tiene ‘public’ y ‘private’ en la cadena de nombres de comunidad, el análisis SNMP se ejecutará dos veces a través de todo el rango IP que le de. Irá a través suyo una vez con la cadena 'public', y entonces de nuevo con la cadena 'private'. Opciones de ventanas de actividad del escáner Las opciones de salida le permiten configurar qué información se mostrará en el panel de actividad del escáner. Es útil habilitarlo, sin embargo habilitar 'Verbose' o 'Display packets' sólo con propósito excepcional de depuración. Dispositivos En esta etiqueta puede configurar cómo reaccionará LANguard N.S.S. cuando detecte un dispositivo de red o USB en particular. Puede configurar GFI LANguard N.S.S. para notificarle mediante un avuso de vulnerabilidad crítica cuando se detecte un dispositivo en particular o configurar GFI LANguard N.S.S. para ignorar dispositivos concretos, como teclados o ratones USB. 42 • Configurar GFI LANguard N.S.S. LANguard Network Security Scanner Manual Dispositivos de Red Cada dispositivo de red recuperado tiene un nombre. Si el nombre del dispositivo detectado continene cualquier de las cadenas introducidad en la lista “Create a high security vulnerability for network devices whose name contains:” (uno por línea), se generará una vulnerabilidad de alta seguridad e informará del equipo en el que se detectó el dispositivo. Dispositivo de Red – Configurar un nombre de dispositivo peligroso. NOTA: Las listas se configuran sobre la base de un perfil, de forma que puede personalizar sus necesidades de análisis en base al tipo de análisis de seguridad que esté haciendo. Vulnerabilidad de Alta Seguridad creada por el Dispositivo de Red que es identificado como peligroso. LANguard Network Security Scanner Manual Configurar GFI LANguard N.S.S. • 43 NOTA: Si por otro lado no quiere ser informado / notificado sobre la presencia de dispositivos que considera seguros, entonces introduzca el nombre del dispositivo en la sección de lista “Ignore (Do not list/save to db) devices whose name contains:”. Cuando un dispositivo con dichas propiedades es encontrado, será ignorado por GFI LANguard N.S.S. y no será guardado/mostrado en los resultados del análisis. Dispositivos USB Cada dispositivo USB recuperado tiene un nombre. Si el nombre del dispositivo detectado continene cualquier de las cadenas introducidad en la lista “Create a high security vulnerability for USB devices whose name contains:” (uno por línea), se generará una vulnerabilidad de alta seguridad e informará del equipo en el que se detectó el dispositivo. Dispositivo USB – Configurar un nombre de dispositivo peligroso. NOTA: Las listas se configuran sobre la base de un perfil, de forma que puede personalizar sus necesidades de análisis en base al tipo de análisis de seguridad que esté haciendo. 44 • Configurar GFI LANguard N.S.S. LANguard Network Security Scanner Manual Vulnerabilidad de Alta Seguridad creada por el Dispositivo USB que es identificado como peligroso. NOTA: Si por otro lado no quiere ser informado / notificado sobre la presencia de dispositivos que considera seguros, entonces introduzca el nombre del dispositivo en la sección de lista “Ignore (Do not list/save to db) devices whose name contains:”. Cuando un dispositivo con dichas propiedades es encontrado, será ignorado por GFI LANguard N.S.S. y no será guardado/mostrado en los resultados del análisis. Análisis Programados La característica de análisis programados le permite configurar análisis que serán iniciados automáticamente en una fecha / hora específicas. Los análisis programados también se pueden iniciar periódicamente. Esto le permite iniciar un análisis concreto de noche o temprano y se puede utilizar en conjunción con la característica de comparación de resultados, permitiéndole recibir un ‘informe de cambios’ automáticamente en su buzón. Por defecto todos los análisis programados se almacenan en la base de datos. Opcionalmente puede guardar todos los resultados de análisis programados en un archivo XML (uno por análisis programado). Esto se puede realizar haciendo clic con el botón derecho sobre el nodo Scheduled Scan, seleccionando propiedades, habilitando la opción Save Scheduled Scan y especificando una ruta para los archivos XML. LANguard Network Security Scanner Manual Configurar GFI LANguard N.S.S. • 45 Configurar un análisis programado Para crear un análisis programado 1. En el programa escáner de seguridad de GFI LANguard N.S.S., haga clic con el botón derecho sobre Configuración > Scheduled scans > New > Scheduled scan… 2. Esto abrirá el diálogo New Scheduled Scan 46 • Configurar GFI LANguard N.S.S. LANguard Network Security Scanner Manual Crear un nuevo Análisis Programado En el diálogo New scheduled scan puede configurar: 1. Objetivo del análisis: Especifique los nombres de equipo o rango IP que desea analizar. Puede especificar el objetivo del análisis como sigue i. Nombre del anfitrión – por ejemplo JAVIERGCIA ii. Dirección IP – por ejemplo 192.168.100.9 iii. Rango de IPs – por ejemplo 192.168.100.1 – 192.168.100.255 iv. Un archivo de texto con una lista de equipos - por ejemplo file:c:\test.txt (ruta completa del archivo). Cada línea del archivo debe contener cualquiera de los formatos u objetivos especificados en (i), (ii) o (iii). 2. Perfil de escaneo. Seleccione el perfil de escaneo a ser utilizado para este análisis programado. 3. Siguiente análisis: Indique fecha y hora a la que desea iniciar el análisis 4. Realizar un análisis cada: Indique si desea que el análisis se ejecute una vez o periódicamente. 5. Descripción: Esto es lo que se mostrará en la lista de análisis programados Haga clic en Aceptar para crear el análisis programado. Para analizar/ver los resultados del un análisis programado, debe especificar el archivo de resultados XML de ese análisis programado en el nodo de filtros de análisis. Para hacerlo: 1. Haga clic con el botón derecho sobre el nodo principal “Scan Filters” y seleccione “Filter saved scan results XML file..." 2. Especifique el archivo de resultados XML del análisis programado. 3. El nodo filtros mostrará ahora datos del archivo de resultados del análisis programado. Archivos de parámetros El nodo archivos de parámetros proporciona un interfaz directo para editar varios archivos de parámetros basados en texto que utiliza GFI LANguard N.S.S. Sólo los usuarios avanzados deberían modificar estos archivos. Si estos archivos son editados incorrectamente, afectará la fiabilidad de GFI LANguard N.S.S. cuando intente determinar el tipo de dispositivo encontrado. • Ethercodes.txt - este archivo contiene una lista de direcciones mac y los fabricantes asociados a los que les ha sido asignado ese rango concreto. • ftp.txt – este archivo contiene una lista de estandartes de servidor ftp que son utilizados internamente por LNSS para ayudar a identificar qué SO está funcionando sobre ese equipo concreto en base al servidor ftp que está ejecutando. • Identd.txt – este archivo contiene estandartes de identidad que son utilizados internamente por LNSS para identificar el SO utilizando la información de estandarte. LANguard Network Security Scanner Manual Configurar GFI LANguard N.S.S. • 47 • Object_ids.txt – este archivo tiene object_ids SNMP y a qué fabricante y producto pertenecen. Cuando GFI LANguard N.S.S. encuentra un dispositivo que responde a consultas SNMP compara la información del Object ID del dispositivo con el almacenado en este archivo. • Passwords.txt – este archivo tiene una lista de contraseñas que son utilizadas para afirmar la debilidad de las contraseñas. • Rpc.txt – este archivo contiene un mapa entre los números de servicio devueltos por el protocolo rpc y los nombres de servicio asociados con ese número de servicio concreto. Cuando se encuentran servicios RPC corriendo en un equipo (normalmente Unix o Linux) la información recibida se compara con este archivo. • Smtp.txt – contiene una lista de estandartes y los SO asociados. Como con los archivos de ftp y de identidad, estos estandartes son utilizados internamente por LNSS para identificar el SO que corre en el equipo objetivo. • Snmp-pass.txt – este archivo contiene una lista de cadenas de comunidad que LNSS utiliza para identificar si están disponibles en el servidor SNMP objetivo. Si están disponibles, estas cadenas de comunidad serán reportadas por la herramienta de análisis SNMP. • telnet.txt – De nuevo, un archivo que contiene varios estandartes de servidores telnet utilizado por LNSS para identificar el SO que se ejecuta en el equipo objetivo. • www.txt – Un archivo que contiene estandartes de servidores web utilizados para identificar qué SO está funcionando sobre el equipo objetivo. • Enterprise_numbers.txt – lista de OID (Identificadores de Objeto) para códigos de relación de empresas (fabricante/universidad). Si GFI LANguard N.S.S. no tiene la información específica sobre un dispositivo cuando lo encuentra (información proporcionada por el archivo object_ids.txt), mirará la información específica del fabricante devuelta y al menos proporcionará quién es el fabricante del producto encontrado. Esta información está basada en Códigos Empresariales Privados de Administración de Red SMI, que pueden ser encontrados en: http://www.iana.org/assignments/enterprise-numbers Utilizar GFI LANguard N.S.S. desde la línea de comando Es posible invocar el proceso de análisis desde la línea de comando. Esto le permite llamar al escáner desde cualquier aplicación o simplemente sobre unas bases regulares con sus propias opciones a medida. Sintaxis: lnsscmd <Objetivo> [/profile=NombreDePerfil] [/report=RutaDeInformes] [/output=RutaAlArchivoXML] [/user=NombreDeUsuario /password=contraseña] [/email=DirecciónDeCorreo] [/DontShowStatus] [/?] Leyenda: 48 • Configurar GFI LANguard N.S.S. LANguard Network Security Scanner Manual Objeto Requerido : IP/Equipo o rango de IPs/Equipos a ser analizados. Opcional /Profile: Perfil a utilizar para el análisis. Si no se especifica, se utilizará el perfil activo en curso. Opcional /Output: Ruta completa (incluyendo nombre de archivo) al archivo xml de resultados de análisis. Opcional /Report: Ruta completa (incluyendo nombre de archivo) donde generar el archivo html del informe del análisis. Opcional /User: Analiza el objetivo especificado utilizando la credenciales alternativas especificadas en los parámetros /User y /Password. Opcional /Password: Analiza el objetivo especificado utilizando la credenciales alternativas especificadas en los parámetros /User y /Password. Opcional /Email: Envía el informe resultante a esta dirección de correo alternativa. Se utilizará el servidor de correo especificado en el nodo LNSS\Configuration\Alerting Options. Opcional /DontShowStatus: No muestra detalles del progreso del análisis. NOTA: Para rutas completas, y nombres de perfil, encierre el nombre entre comillas dobles, por ejemplo, "Default", "C:\temp\test.xml". /? Opcional : Muestra ayuda en pantalla sobre cómo utilizar lnsscmd.exe Macros: %INSTALLDIR% Será reemplazado con la ruta al directorio de instalación de LANguard N.S.S. %TARGET% Será reemplazado con el objetivo del análisis. %SCANDATE% Será reemplazado con la fecha del análisis. %SCANTIME% Será reemplazado con la hora del análisis. Ejemplo: lnsscmd.exe 127.0.0.1 /Profile="Default" /Output="c:\out.xml" /Report="c:\result.html" /email="lnss@127.0.0.1" Lo anterior hará que el escáner en línea de comandos realice un análisis de seguridad en el equipo 127.0.0.1, con la salida al archivo xml c:\out.xml, una vez el análisis esté completo generará el informe html en c:\result.html y enviará el informe a la dirección de correo lnss@127.0.0.1. LANguard Network Security Scanner Manual Configurar GFI LANguard N.S.S. • 49 Despliegue de Actualizaciones de Seguridad Introducción al despliegue de actualizaciones de seguridad Utilice la herramienta de implantación de actualizaciones de seguridad para mantener al día sus equipos Windows NT, 2000, XP y 2003 con las últimas actualizaciones de seguridad y service packs. Para implantar las actualizaciones y service packs, necesita seguir estos pasos Paso 1: Realizar un análisis de su red Paso 2: Seleccionar sobre qué equipos implantar las actualizaciones Paso 3: Seleccionar qué actualizaciones implantar Paso 4: Descargar los archivos de actualizaciones y service pack Paso 5: Parámetros de implantación de archivos de actualización Paso 6: Implantar las actualizaciones Para implantar actualizaciones de seguridad, debe tener • Derechos administrativos sobre el equipo que esté analizando. • NETBIOS debe estar habilitado en el equipo remoto. El agente de implantación de actualizaciones GFI LANguard N.S.S. 5 utiliza un agente de implantación de actualizaciones, que se instala silenciosamente en el equipo remoto, para implantar parches, service packs y software a medida. El agente de implantación de actualizaciones consta de un servicio que ejecuta la instalación a una hora programada dependiendo de los parámetros de implantación indicados. Esta arquitectura es mucho más fiable que sin utilizar un agente de implantación de actualizaciones. El agente de implantación de actualizaciones se instala automáticamente sin intervención del administrador. Nota: Es común que Microsoft retire archivos de actualización. Cuando esto ocurre, la información de esa actualización permanece en el archivo mssecure.xml, ya que la actualización estaba disponible en ese punto. Cuando esto ocurre, GFI LANguard N.S.S. informará de la ausencia de la actualización, incluso aunque no pueda ser instalada. Si no quiere ser informado sobre estos parches ausentesm necesitará deshabilitar la comprobación de ese boletín concreto desde GFI LANguard N.S.S. > Configuration > Scanning Profiles > Patches. LANguard Network Security Scanner Manual Despliegue de Actualizaciones de Seguridad • 51 Paso 1: Realizar un análisis de su red GFI LANguard N.S.S. descubre la ausencia de actualizaciones y service packs como parte del análisis de seguridad. Lo hace comparando configuraciones del registro, firmas de fecha/hora de archivos, e información de versión del equipo remoto. utilizando la información proporcionada por Microsoft en el archivo mssecure.xml. Primero GFI LANguard N.S.S. detecta qué productos están instalados en el equipo objetivo para los que tiene información de actualizaciones (por ejemplo Microsoft Office). Una vez ha hecho esto, comprueba qué actualizaciones y service packs están disponibles para ese producto y publica la información de la ausencia de la actualización en el nodo Missing patches del nodo de Vulnerabilidades de seguridad alta. Ejemplo de ausencia de actualización en el arbol de resultados del análisis Para cada service pack / actualización ausente GFI LANguard N.S.S. reportará un enlace desde donde puede descargar el archivo de la actualización así como otra información relativa a ese boletín. Las actualizaciones que están ausentes definitivamente son reportadas en los nodos "Missing patches and service packs" de los resultados del análisis. Las actualizaciones de las que no pueden ser confirmado si están instaladas o no debido a la ausencia de información de detección son reportados en el nodo “Potential vulnerabilities” de los resultados del análisis. Ejemplo de actualizaciones no detectables en el arbol de resultados del análisis Paso 2: Seleccionar sobre qué equipos implantar las actualizaciones Tras analizar la red, la lista de service packs y actualizaciones ausentes será listada en la ventana de resultados del análisis. Para implantar las actualizaciones ausentes tiene que seleccionar qué equipos quiere actualizar. Las actualizaciones se pueden implantar en un equipo, todos los equipos o en los equipos seleccionados. Para implantar actualizaciones ausentes en un equipo: 52 • Despliegue de Actualizaciones de Seguridad LANguard Network Security Scanner Manual Haga clic con el botón derecho sobre el equipo que desea actualizar > Deploy Microsoft updates > [tipo de actualización] > This computer. Para implantar actualizaciones ausentes en todos los equipos: Haga clic con el botón derecho sobre cualquier equipo del arbol de resultados > Deploy Microsoft updates > [tipo de actualización] > All computers. Para implantar actualizaciones ausentes en equipos seleccionados: Utilice las casillas de verificación a la izquierda de los resultados del análisis para seleccionar qué equipos desea actualizar. Haga clic con el botón derecho sobre cualquier equipo del arbol de resultados > Deploy Microsoft updates > [tipo de actualización] > Selected Computers. Indique en qué equipos quiere implantar las actualizaciones requeridas. Paso 3: Seleccionar qué actualizaciones implantar Una vez haya seleccionado los equipos objetivo en los que implantar las actualizaciones de Microsoft, se le llevará al nodo Deploy Microsoft patches. Este nodo muestra el detalle de los equipos seleccionados y qué actualizaciones/service packs necesitan ser implantador en esos equipos. Tiene dos vistas en las que puede administrar las opciones de implantación. (1) Clasificado por equipos: Seleccione un equipo y vea qué actualizaciones necesitan ser implantadas en él (2) Clasificado por actualizaciones: Seleccione una actualización y vea en qué equipos está ausente esa actualización. LANguard Network Security Scanner Manual Despliegue de Actualizaciones de Seguridad • 53 Nodo Deploy Microsoft patches Por defecto se seleccionarán todas las actualizaciones para la implantación. Si quiere que ciertas actualizaciones no sean implantadas, deselecciónelas haciendo clic en la casilla junto a la actualización. Paso 4: Descargar los archivos de actualizaciones y service pack Tras haber seleccionado las actualizaciones/service packs a ser implantadas, los archivos apropiados conteniendo as actualizaciones a ser implantadas necesitan ser descargados. Este es un proceso en gran parte automático realizado por GFI LANguard N.S.S. y además los sitúa en los directorios correctos dependiendo del idioma del producto a actualizar. GFI LANguard NSS muestra qué archivos de actualización necesitan ser descargados GFI LANguard N.S.S. mostrará qué archivos necesitan ser descargados en la lista de actualizaciones a implantar. Cada archivo de actualización necesario será listado y estará en uno de los siguientes estados, indicados por un icono en la lista de actualizaciones ausentes: Descargado Descarga en curso Esperando que el usuario navegue a la página web para hacer clic sobre el enlace para descargar el archivo. No descargado 54 • Despliegue de Actualizaciones de Seguridad LANguard Network Security Scanner Manual Descargando las actualizaciones Las actualizaciones de Microsoft, listadas en el archivo mssecure.xml, se pueden categorizar en tres tipos principales: (1) Actualizaciones que tienen una dirección URL de descarga directa. (2) Actualizaciones que necesitarán algo de navegación web para descargar el archivo. (3) Actualizaciones para las cuales no existe archivo. Para descargar las actualizaciones para las cuales hay un enlace directo: Las actualizaciones para las que hay un enlace directo de descarga, haga clic con el botón derecho sobre la actualización y seleccione "Download File". La descarga se iniciará y cuando esté completada, el archivo será colocado en el directorio correcto. Para descargar actualizaciones para las cuales no hay enlace de descarga sino sólo una página web de origen: Cuando GFI LANguard N.S.S. detecta un archivo que necesita ser descargado manualmente del sitio web de Microsoft, descargará la página web objetivo en el área inferior de la herramienta de implantación. Entonces será capaz de encontrar el enlace de descarga apropiado y hacer clic sobre él. GFI LANguard N.S.S. estará monitorizando esta sesión web y tan pronto como detecte que ha hecho clic sobre un enlace de descarga directa iniciará la descarga de ese archivo automáticamente. La navegación a través de la página web será parte de la sesión de descarga. Si quiere cancelar la sesión de descarga necesitará hacer clic sobre la actualización y seleccionar “Cancel Download”. Una vez se completa la descarga, el archivo será situado en el directorio correcto. Descargar una actualización de una página web con el asistente de descarga. Paso 5: Parámetros de implantación de archivos de actualización Opcionalmente, puede configurar parámetros alternativos de implementación de una actualización en base a ella. Para hacerlo: LANguard Network Security Scanner Manual Despliegue de Actualizaciones de Seguridad • 55 1. Haga clic con el botón derecho sobre el archivo de actualización y seleccione “Propiedades”. 2. Opcionalmente indique una URL de origen de la descarga alternativa 3. Opcionalmente indique parámetros de línea de comando para utilizar durante la implantación Puede comprobar qué boletín aplica una actualización haciendo clic con el botón derecho sobre el archivo de actualización y seleccionando “Bulletin Info…” Propiedades del archivo de actualización Paso 6: Implantar las actualizaciones Tras haber seleccionado los equipos en los que implantar las actualizaciones y descargadas las mismas, ¡está listo para la implantación! Haga clic en Start a la derecha de la parte inferior para iniciar la implantación. 56 • Despliegue de Actualizaciones de Seguridad LANguard Network Security Scanner Manual Iniciar la implantación de actualizaciones haciendo clic sobre Start. La implantación de las actualizaciones comenzará ahora. Puede monitorizar el estado de la implantación de actualizaciones desde la etiqueta Deployment status Monitorizando el proceso de descarga Implantar software a medida La herramienta de implantación de software a medida es muy conveniente para implantar rápidamente actualizaciones a medida para software de toda la red, o incluso para instalar software en toda la red. La herramienta de implantación de software a medida también LANguard Network Security Scanner Manual Despliegue de Actualizaciones de Seguridad • 57 se utiliza frecuentemente para implantar actualizaciones de firmas de virus en toda la red. El proceso de implantación de software a medida es muy similar al proceso de actualizar un equipo. Implantar software a medida Paso 1: Seleccionar los equipos a los que instalar el software/actualización 1. vaya al nodo Deploy custom software del nodo Tools. 2. Haga clic en el botón Add para agregar un solo equipo, o haga clic en el boton de selección para seleccionar un grupo de equipo a los que implantar el software a medida. Nota: También puede seleccionar a qué equipos implantar el software a medida desde el nodo Security Scanner y el nodo Tools > Enumerate Computers. Paso 2: Especificar el software a implantar Haga clic en el botón Add… de la sección “Patches:” para indicar el lugar de origen del archivo y especificar cualquier parámetro de línea de comando que necesite ser utilizado para la implantación del archivo. 58 • Despliegue de Actualizaciones de Seguridad LANguard Network Security Scanner Manual Especificar el software a implantar Opcionalmente puede programar la hora a la que la implantación debe tener lugar. Paso 3: Iniciar el proceso de implantación Una vez ha especificado el software a implantar y los equipos a los que implantarlo, puede iniciar el proceso de implantación haciendo clic sobre el botón Start. Implantar actualizaciones a medida indicando qué archivos implantar en qué equipos LANguard Network Security Scanner Manual Despliegue de Actualizaciones de Seguridad • 59 Opciones de implantación Opciones Generales de Implantación Puede configurar opciones de implantación explorando el botón de opciones, localizado a la derecha de la pantalla. Aquí usted puede: General • Configurar el servicio de agente de implantación para ejecutarse bajo credenciales alternativas. • Reiniciar el equipo objetivo tras la implantación. Algunas actualizaciones necesitan un reinicio tras la instalación. Seleccione este botón de selección si una o más actualizaciones requieren reinicio. • Reinicia el equipo despues de implantar actualizaciones de software. • Avisar al usuario antes de la implantación: enviará un mensaje al equipo objetivo antes de implantar las actualizaciones. • Detener servicios antes de la implantación: Esta opción detiene los servicios IIS & MS SQL Server antes de la implantación. 60 • Despliegue de Actualizaciones de Seguridad LANguard Network Security Scanner Manual • Configura GFI LANguard N.S.S. para implantar las actualizaciones de software a través de recursos compartidos administrativos o mediante un recurso compartido a medida (si se utiliza uno a medida, no habrá necesidad de recursos compartidos administrativos). Estos pueden deshabilitarse para mayor seguridad. • Eliminar los archivos copiados en los equipos remotos después de la implantación. • Configurar las condiciones de filtrado particulares a las cuales implantar las actualizaciones (filtros de equipos) Avanzado • Configurar el número de hilos de implantación a utilizar • Configurar el timeout de la implantación. Opciones de Implantación Avanzada Directorio de Descarga • Configurar el directorio en actualizaciones descargadas. el que se almacenarán las Opciones de directorio de implantación NOTA: En la Herramienta de implantación de actualizaciones a medida, los filtros de equipos no se aplicarán a equipos que no hayan sido analizados por la herramienta del escáner de seguridad. LANguard Network Security Scanner Manual Despliegue de Actualizaciones de Seguridad • 61 Comparación de Resultados ¿Por qué Comparar Resultados? Mediante auditorias regulares y comparación de resultados de análisis previos obtendrá una idea de qué agujeros de seguridad aparecen continuamente o son reabiertos por usuarios. Esto crea una red más secura. GFI LANguard Network Security Scanner le ayuda a hacerlo permitiéndole comparar los resultados entre análisis. GFI LANguard N.S.S. informará de las diferencias y le permitirá tomar medidas. Puede comparan los resultados manualmente o mediante análisis programados. Realizar una Comparación de Resultados interactivamente Siempre que GFI LANguard N.S.S. realiza un análisis programado guarda los resultados al archivo XML del directorio Data\Reports del directorio de instalación de GFI LANguard N.S.S. Además puede guardar los resultados del análisis actual en un archivo xml haciendo clic con el botón derecho sobre el nodo Security Scanning y seleccionando ‘Save scan results to XML file…’. Para comparar dos archivos XML de resultados de análisis: 1. Vaya a la herramienta de comparación de resultados bajo 'GFI LANguard N.S.S. > Security Scanner > Result comparison'. 2. Seleccione dos resultados de análisis ya sean archivos XML o almacenados en la base de datos de respaldo, realizados con las mismas opciones y sobre el mismo conjunto de equipos, pero a diferentes horas, y haga clic en 'Compare'. LANguard Network Security Scanner Manual Comparación de Resultados • 63 Comparando resultados El resultado será algo parecido a la imagen anterior. Le dice qué ha sido habilitado o deshabilitado y cualquier cambio en la red desde el último análisis. • Los nuevos elementos le mostarán cualquier cosa nueva que ocurrió tras el primer análisis. • Los elementos eliminados mostrarán cualquier dispositivo/problema que fue eliminado desde el primer análisis. • Los elementos cambiados mostrarán cualquier cosa que haya cambiado, como un servicio habilitado o deshabilitado entre análisis. Realizar una Comparación con la Opción de Análisis Programados En lugar de analizar manualmente su red cada día, semana o mes, puede poner en marcha un análisis programado. Un análisis programado se iniciará automáticamente en cierto momento y enviará las diferencias entre los análisis al administrador. Por ejemplo: el administrador puede configurar la característica de análisis programados para realizar un análisis cada noche a las 23:00. El servicio GFI LANguard N.S.S. attendant lanzará un análisis de seguridad en el equipo(s) selecionado(s) y guardará los resultados en la base de datos central. Entonces, comparará los resultados actuales con los resultados de la noche anterior e informará de las diferencias, si las hay. NOTA: Si esta es la primera vez que se realiza un análisis programado o si no hay diferencias detectadas con el análisis anterior, entonces GFI LANguard N.S.S. no le enviará el informe. Sólo recibirá informe si algo ha cambiado. 64 • Comparación de Resultados LANguard Network Security Scanner Manual Monitor de Estado de GFI LANguard N.S.S. Ver operaciones programadas El monitor de estado de GFI LANguard N.S.S. le permite supervisar el estado de actividad de análisis programados e implantaciones de actualizaciones de software. Además puede cancelar las operaciones de implantación programadas. Análisis Programados Activos Para ver el estado de análisis programados activos haga clic sobre el icono de monitor de GFI LANguard N.S.S. en el área de notificación de Windows y seleccione la etiqueta Scheduled scans. Será todos los análisis programados activos y el momento en el que se inician. Nota: Como su mismo nombre indica en los Análisis Programados Activos solo serán mostrados los análisis activos actuales. Para comprobar qué análisis están programados y para cancelar cualquier análisis programado, abra GFI LANguard N.S.S. y haga clic sobre GFI LANguard N.S.S. > Configuration > Scheduled Scans Análisis Programado Completado Para cancelar un análisis programado activo, seleccione el análisis programado activo que desee cancelar y haga clic sobre el botón "Stop Selected Scan(s)". LANguard Network Security Scanner Manual Monitor de Estado de GFI LANguard N.S.S. • 65 Análisis cancelado Implementaciones programadas Para ver el estado de implantaciones programados haga clic sobre el icono de monitor de GFI LANguard N.S.S. en el área de notificación de Windows y seleccione la etiqueta Scheduled deployments. Implementaciones programadas Para cancelar una implantación programada de actualización de sofware, seleccione la entrada que desee cancelar y haga clic sobre “Cancel Selected deployment”. 66 • Monitor de Estado de GFI LANguard N.S.S. LANguard Network Security Scanner Manual Implementación cancelada LANguard Network Security Scanner Manual Monitor de Estado de GFI LANguard N.S.S. • 67 Opciones de Mantenimiento de Base de Datos Introducción Utilice el nodo de opciones de mantenimiento de base de datos para seleccionar que base de datos de respaldo utilizar para almacenar los resultados de análisis. También puede configurar opciones de mantenimiento de base de datos, como eliminar automáticamente los resultados de análisis más antiguos de una fecha particular. Si está utilizando MS Access como base de datos de respaldo puede programar la compactación de la base de datos para evitar la corrupción de datos. Las opciones de mantenimiento de base de datos pueden ser accedidas así: 1. GFI LANguard N.S.S. > Configuration > Right click on the node Database Maintenance Options. 2. Seleccione Propiedades. Cambiar Base de Datos La etiqueta “Change Database” contiene las opciones para cambiar la base de datos de respaldo utilizada por GFI LANguard N.S.S. para almacenar los resultados de análisis. Las bases de datos soportadas son MS Access or MS SQL Server. MS Access Especifique la ruta completa (incluido el nombre de archivo) para su base de datos de respaldo MS Access. NOTA: Si el archivo no existe será creado. LANguard Network Security Scanner Manual Opciones de Mantenimiento de Base de Datos • 69 Cambiar Base de Datos - MS Access MS SQL Server Especifique el nombre/ip del servidor que tiene instalado MS SQL Server. Además necesita especificar las credenciales de acceso a SQL Server. (el modo de Autentificación NT no está soportado por GFI LANguard N.S.S.) NOTA: Si el servidor y las credenciales especificadas son correctas, GFI LANguard N.S.S. iniciará sesión en SQL Server y creará las tablas de base de datos necesarias. Si las tablas de la base de datos ya existen las reutilizará. 70 • Opciones de Mantenimiento de Base de Datos LANguard Network Security Scanner Manual Cambiar Base de Datos – SQL Server Administrar resultados de análisis almacenados La etiqueta “Change Database” contiene opciones para eliminar resultados de análisis guardados en la base de datos de respaldo. Puede eliminar los resultados manualmente o eliminar los análisis dependiendo de su edad. Opciones Avanzadas La etiqueta “Advanced” contiene opciones para programar la compactación de la base de datos de respaldo. También puede configurar la compresión automática realizada por el servicio encargado. NOTA: La compactación de bases de datos se hace para eliminar definitivamente los registros marcados para borrado. LANguard Network Security Scanner Manual Opciones de Mantenimiento de Base de Datos • 71 Opciones de Mantenimiento de Base de Datos – Opciones de Compactación 72 • Opciones de Mantenimiento de Base de Datos LANguard Network Security Scanner Manual Herramientas Introducción Las siguientes herramiebtas pueden encontrarse bajo el menú Tools. • DNS Lookup • Whois Client • Trace Route • SNMP Walk • SNMP Audit • MS SQL Server Audit • Enumerar Equipos DNS lookup Esta herramienta resuelve el Nombre de Dominio a una dirección IP correspondiente y además proporciona información sobre el nombre de dominio, como si tiene registro MX, etc. Herramienta DNS Lookup Para obtener información sobre un nombre de dominio: 1. Vaya al nodo Herramientas > DNS lookup. LANguard Network Security Scanner Manual Herramientas • 73 2. Indique el nombre a resolver 3. Indique la información a recuperar: • Información básica – Es decir, nombre del anfitrión y la ip que resuelve • Información de Host – Conocido técnicamente como la HINFO, y habitualmente incluye informa´ción como el hardware y qué SO se ejecuta sobre el dominio especificado (la mayoría de entradas DNS no contienen esta información por razones de seguridad.) • Alias – devuelve información sobre qué Registros A podría tener el Dominio. • Registros MX conocidos también como registros de intercambiadores de coreo, muestra qué servidor(es) de correo y en qué orden son responsables para este dominio. • Registros NS indican qué servidores responsables para este dominio. de nombres son Además es posible indicar un servidor DNS alternativo. Trace Route Herramienta Trace route Esta herramienta muestra la ruta de red que siguió GFI LANguard N.S.S. para alcanzar el equipo objetivo. Cuando realiza la routa, cada salto tiene un icono junto a él: 74 • Herramientas • Indica un salto exitoso tomado dentro de los parámetros normales • Indica un salto exitoso, pero el tiempo necesario fue bastante grande. • Indica un salto exitoso, pero el tiempo necesario fue demasiado grande. LANguard Network Security Scanner Manual • Indica que el salto provocó un time out. (es decir, tomó más de 1000ms) Whois Client Herramienta Whois Esta herramienta buscará información sobre un dominio o dirección IP. Puede seleccionar un servidor Whois específico desde el área de opciones, o puede utilizar la opción ‘Default’ que seleccionará un servidor por usted. SNMP Walk SNMP walk le permite recoger información SNMP. El panel de la derecha contiene una lista de nombres simbolizando Object IDs sobre el dispositivo. Para descubrir más sobre la información proporcionada por SNMP walk, tendrá que comprobarlo con el fabricante. Algunos fabricantes proporcionan importantes detalles sobre qué significa cada trozo de información; otros, si bien sus dispositivos soportan SNMP, no proporcionan ninguna informacón sobre ellos. Para usar la utilidad, haga clic en Tools > SNMP walk. Introduzca la dirección IP de un equipo o dispositivo que dese analizar/’walk'. Nota: En la mayoría de los casos SNMP debe ser bloqueado en el router/cortafuegos de forma de los usuarios de Internet no puedan analizar su red mediante SNMP. Es posible proporcionar cadenas de comunidad alternativas. Nota: SNMP ayudará a los usuarios maliciosos a aprender mucho sobre su sistema, haciendo los ataques mucho más sencillos. A menos que se requiera este servicio es extremadamente recomendable que SNMP esté desactivado. LANguard Network Security Scanner Manual Herramientas • 75 SNMP Audit La herramienta SNMP Audit, le permite realizar una auditoría SNMP sobre un dispositivo y auditar cadenas de comunidad débiles. Algunos dispositivos de red tendrán cadenas de comunidad alternativas o que no sean las por defecto. El archivo de diccionario contiene una lista de las cadenas de comunidad más populares para comprobar. El archivo por defecto que utiliza para los ataques del diccionario se llama snmp-pass.txt. Puede agregar nuevos nombres de comunidad en este archivo, o dirigir SNMP Audit para utilizar otro archivo. Para utilizar esta utilidad, introduzca la dirección IP del un equipo que corra SNMP y haga clic en Retrieve. MS SQL Server Audit Esta herramienta le permite realizar una auditoria sobre una instalación de Microsoft SQL Server. Puede auditar las cuentas SA, así como todas las cuentas SQL Por defecto utilizará el archivo de diccionario llamado passwords.txt. Puede bien agregar nuevas contraseñas a este archivo, o dirigir la utilidad a otro archivo de contraseñas. Para correo una auditoria SQL Server, introduzca la dirección IP del equipo que ejecuta MS SQL. Si quiere comprobar la contraseña de todas las cuentas SQL, tiene que introducir un nombre de usuario y contraseña para iniciar sesión en SQL para recuperar todas las cuentas de usuario. Herramienta SQL Accounts Audit 76 • Herramientas LANguard Network Security Scanner Manual Enumerar Equipos Herramienta Enumerar Equipos Esta utilidad buscará en su red Dominios y/o Grupos de Trabajo. Una vez los haya encontrado, tendrá la habilidad de analizar eso Dominios para adquirir la lista de equipos sobre ellos. Una vez ha realizado su análisis enumerará cualquier SO que esté instalado sobre ese equipo, y cualquier comentario que podría ser incluido a través de NETBIOS. Los equipos pueden ser enumerados utilizando uno de los siguientes métodos • Desde el Directorio Activo – Este método es mucho más rápido y además enumerará los equipos que están actualmente apagados. • Utilizar el interfaz del Explorador de Windows – Este método es más lento y no enumerará los equipos que estén apagados. Puede indicar qué método utilizar desde la etiqueta ‘Information Source’. Observe que necesitará realizar el análisis utilizando una cuenta que tenga derechos de acceso al Directorio Activo. Lanzar un análisis de seguridad Una vez los equipos del dominio son enumerados puede lanzar un análisis sobre los equipos seleccionados haciendo clic con el botón derecho sobre cualquier de los equipos enumerados y seleccionar ‘Scan'. Si quiere lanzar el análisis pero continuar utilizando la herramienta de enumeración de equipos, seleccione “Scan in background" Implantar actualizaciones a medida Seleccione en qué equipos quiere implantar actualizaciones > Haga clic con el botón derecho sobre cualquier equipo seleccionado > Deploy Custom Patches. LANguard Network Security Scanner Manual Herramientas • 77 Habilitar las Directivas de Auditoria Seleccione en qué equipos quiere habilitar las directivas de auditoria > Haga clic con el botón derecho sobre cualquier equipo seleccionado > Enable Auditing Policies... . Enumerar Usuarios La función Enumerar usuarios conecta al Directorio Activo y recupera todos los usuarios y contactos del Directorio Activo. 78 • Herramientas LANguard Network Security Scanner Manual Agregar comprobaciones de vulnerabilidad mediante condiciones o scripts Introducción GFI LANguard N.S.S. le permite agregar rápidamente comprobaciones de vulnerabilidades a medida. Esto se puede hacer de 2 formas: Escribiendo un script, o utilizando un conjunto de condiciones. Sea cual sea el método que utilice, tendrá que agregar la vulnerabilidad mediante el interfaz Security Scanner y especificar el nombre del script o las condiciones que deben ser aplicadas. Nota: Sólo Usuarios Expertos deben crear nuevas Vulnerabilidades, ya que las Vulnerabilidades erróneamente configuradas proporcionarán positivos falsos o no proporcionarán ninguna información de Vulnerabilidades. Lenguaje VBscript de GFI LANguard N.S.S. GFI LANguard N.S.S. incluye un lenguaje de scripts compatible con VBscript. Este lenguaje ha sido creado para permitirle incluir fácilmente comprobaciones a medida. Además permite a GFI incluir rápidamente nuevas comprobaciones de vulnerabilidad y hacerlas disponibles para la descarga. GFI LANguard N.S.S. incluye un editor con destacadas capacidades de sintaxis y un depurador. Para más información sobre cómo escribir scripts por favor refiérase al archivo de ayuda ‘Scripting documentation’, accesible desde el grupo de programas de GFI LANguard N.S.S. NOTA IMPORTANTE: GFI no puede ofrecer ningún soporte en la creación de scripts que no funcionen. Puede publicar cualquier consulta que podría tener sobre el scripting con GFI LANguard N.S.S. en los foros de GFI LANguard en forums.gfi.com donde podrá compartir scripts e ideas con otros usuarios de GFI LANguard N.S.S. Módulo SSH de GFI LANguard N.S.S. GFI LANguard N.S.S. incluye un módulo SSH que permite la ejecución de scripts de vulnerabilidad sobre sistemas Linux. El módulo SSH analiza los datos de consola impresos por el script. Esto significa que puede utilizar cualquier lenguaje de script / programación admitido por el SO Linux del equipo objetivo, y que permite producir resultados en la consola (modo texto). LANguard Network Security Scanner ManualAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts • 79 Palabras clave: El módulo ssh puede ejecutar cualquier script que sea soportado y puede ser ejecutado en el equipo Linux objetivo desde su ventana de terminal. Cuando se ejecuta una comprobación de vulnerabilidad basada en SSH, el script SSH se copia al equipo objetivo a través de una conexión SSH establecida utilizando las credenciales especificadas al inicio del análisis. Entonces se dan permisos de ejecución sobre este archivo copiado y se ejecuta en el equipo objetivo. El resultado texto generado por este script es analizado por el módulo SSH. En base al resultado el módulo SSH sabrá cuando el script se ha detenido y si el resultado es o no satisfactorio. Las siguientes palabras son utilizadas por el módulo SSH e interpretadas como directivas para GFI LANguard N.S.S.: • TRUE: • FALSE: • AddListItem • SetDescription • !!SCRIPT_FINISHED!! Cuando el módulo SSH detecta en la salida uno de los texto anteriores procesa la cadena de la manera especificada dependiendo de la palabra encontrada. TRUE: y FALSE: Cuando el módulo SSH detecta una de las siguientes cadenas, situará el resultado de la vulnerabulidad en TRUE o en FALSE. AddListItem AddListItem es una función interna que se utiliza para agregar resultados al arbol de la comprobación de vulnerabilidad según lo informado en la IU. La sintaxis correcta para utilizar esta función es: AddListItem([[[<nodo principal>]]],[[[<cadena actual>]]]) El primer parámetro [[[<nodo principal>]]], especifica el nombre del nodo principal. El segundo parámetro, [[[<cadena actual>]]] especifica el valor de ese nodo en el arbol. NOTA: Si el parámetro nodo principal se deja vacío, la función agregará la cadena especificada en el nodo superior disponible para esa comprobación. Cada vulnerabilidad tiene su propio nodo inicial. Cualquier comando AddListItem creará un hijo bajo el nodo de vulnerabilidad de esa comprobación. SetDescription SetDescription es una función interna que puede sobreescribir la descripción por defecto que está situada en la comprobación de vulnerabilidad. Hay algunas comprobaciones de vulnerabilidad que pueden necesitar cambiar el nombre por defecto según se mostraría en el arbol. SetDescription(<Nueva descripción>) 80 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scriptsLANguard Network Security Scanner Manual !!SCRIPT_FINISHED!! Cada script va a emitir el texto !!SCRIPT_FINISHED!!. Esta cadena marca el fin de cualquier ejecución de script. El módulo SSH buscará esa cadena hasta que la encuentre o llegue el timeout. Si el timeout llega antes de recibir la cadena, el módulo SSH ignorará el script y la vulnerabilidad no será mostrada incluso si devuelve TRUE: exitosamenre en el módulo SSH antes del timeout. Por lo tanto es imperativo que cada script – no importa lo pequeña sea la comprobación que contenga muestre el resultado !!SCRIPT:FINISHED!! Al final de su procedimiento. NOTA IMPORTANTE: GFI no puede ofrecer ningún soporte en la creación o depuración de scripts que no funcionen. Puede publicar cualquier consulta que podría tener sobre el scripting con GFI LANguard N.S.S. en los foros de GFI LANguard en forums.gfi.com donde podrá compartir scripts e ideas con otros usuarios de GFI LANguard N.S.S. Ejemplo: Para ilustrar las técnicas que fueron descritas anteriormente, se creará una comprobación de vulnerabilidad paso a paso. Primero se creará un script SSH con funcionalidad muy básica. Utilizará todas las palabras explicadas anteriormente y simplemente generará una nueva descripción y agregará 2 elementos al arbol de vulnerabilidad. El script SSH que llamaremos test.sh consistirá del siguiente código: #!/bin/bash echo "TRUE:" time=`date` echo "SetDescription(New Script Generated Description at :$time)" echo "AddListItem([[[Child 1]]],[[[Added Item 1]]])" echo "AddListItem([[[Child 2]]],[[[Added Item 2]]])" echo "!!SCRIPT_FINISHED!!" A continuación crearemos una vulnerabilidad que ejecute este scripts en un equipo Linux remoto. La vulnerabilidad será como sigue: LANguard Network Security Scanner ManualAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts • 81 Analizar un equipo Linux con las credenciales correctas activará esta comprobación que está configurada para activarse siempre. La Vulnerabilidad anterior generará entonces el siguiente resultado: 82 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scriptsLANguard Network Security Scanner Manual Resultado del script basado en SSH con información del script Se pueden encontrar más ejemplos de scripts SSH en [el directorio principal de GFI LANguard N.S.S.]\data\scripts\ Todos los archivos que finalizan en .sh son scrips SSH. (Observe que los scripts SSH pueden tener cualquier extensión, no hay obligación de que tengan la extensión .sh para funcionar) Agregar una comprobación de vulnerabilidad que utiliza un script vbs a medida Puede agregar comprobaciones de vulnerabilidad que utilicen scripts a medida. Puede crear estos scripts a medida utilizando el editor/depurador de GFI LANguard N.S.S. Para hacerlo: Paso 1: Cree el script 1. Lance el Depurador de Scripts de GFI LANguard N.S.S. desde Inicio > Programas > GFI LANguard Network Security Scanner > Script Debugger 2. Archivo > Nuevo… 3. Cree un script. Como ejemplo, puede utilizar el siguiente script sin valor e introducirlo en el depurador: Function Main echo "El script ha funcionado exitosamente" LANguard Network Security Scanner ManualAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts • 83 Main = true End Function 4. Guarde el archivo, por ejemplo “c:\myscript.vbs” Paso 2: Agregue la nueva comprobación de vulnerabilidad: 1. Vaya al nodo GFI LANguard N.S.S. > Configuration > Scanning Profiles. 2. Vaya a la etiqueta Scanned Vulnerabilities, y seleccione la categoría bajo la que estará la nueva vulnerabilidad. 3. Haga clic en el botón Add. Esto abrirá el diálogo New vulnerability check. Agregar nueva comprobación de vulnerabilidad: 4. Ahora introduzca los detalles base como el nombre, descripción corta, nivel de seguridad, URL (si es aplicable). Además puede especificar cuanto llevará ejecutar esta comprobación. 5. Haga clic en el notón Add… 6. Ahora seleccione ‘Script’ de la lista Check type. 84 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scriptsLANguard Network Security Scanner Manual Seleccionar el script que contiene el código de comprobación de vulnerabilidad 7. Especifique la localización del script "c:\myscript.vbs". Haga clic en ‘Add’ para agregar la vulnerabilidad. Será ejecutada la próxima vez que un equipo sea analizado para buscar vulnerabilidades. 8. Para ponerlo a prueba, simplemente analice su equipo local y debe ver el aviso de vulnerabilidad bajo la sección Miscellaneous del nodo vulnerabilidades de los resultados del análisis. Agregar una comprobación de vulnerabilidad que utiliza un script SSH a medida Puede agregar comprobaciones de vulnerabilidad que utilicen un script a medida que será implantado y ejecutado por el módulo SSH en el equipo Linux analizado. El script puede ser programado en cualquier lenguaje de script o programación que soporte impresión en la consola. Para este ejemplo estamos utilizando el sistema de scripting bash que esta generalmente disponible por defecto en todos los sistemas Linux. Paso 1: Cree el script 1. Inicie su editor de texto favorito. 2. Asegúrese de comenzar un nuevo archivo y que lo guarda en “Directorio base de LNSS\data\scripts”. 3. Escriba lo siguiente en el editor: #!/bin/bash if [ -e test.file ] then echo "TRUE:" else LANguard Network Security Scanner ManualAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts • 85 echo "FALSE:" fi echo "!!SCRIPT_FINISHED!!" 4. Guarde el archivo, por ejemplo "C:\Archivos de programa\GFI\LANguard Network Security Scanner 6.0\Data\Scripts\myscript" Paso 2: Agregue la nueva comprobación de vulnerabilidad: 1. Vaya al nodo GFI LANguard N.S.S. > Configuration > Scanning Profiles. 2. Vaya a la etiqueta Scanned Vulnerabilities, y seleccione la categoría bajo la que estará la nueva vulnerabilidad. 3. Haga clic en el botón Add. Esto abrirá el diálogo New vulnerability check. Agregar nueva comprobación de vulnerabilidad: 4. Introduzca los detalles base como el nombre, descripción corta, nivel de seguridad, URL (si es aplicable). Además puede especificar cuanto llevará ejecutar esta comprobación. 5. Haga clic en el notón Add… 6. Ahora seleccione ‘SSH Script’ de la lista Check type. 86 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scriptsLANguard Network Security Scanner Manual Seleccionar el script que contiene el código de comprobación de vulnerabilidad 7. Especfique la localización del script "C:\Archivos de programa\GFI\LANguard Network Security Scanner 6.0\Data\Scripts\myscript" Haga clic en ‘Add’ para agregar la vulnerabilidad. Será ejecutada la próxima vez que un equipo sea analizado para buscar vulnerabilidades. 8. Para probarlo, simplemente analice el equipo Linux objetivo (cree el archivo de test para poder activar la vulnerabilidad) Puede hacer esto iniciando sesión en su equipo Linux, ir al usuario que utilizará para analizar, directorio raiz y escriba el comando "touch test.file". Una vez el análisis esté completo debe ver el aviso de vulnerabilidad que acabamos de crear bajo de el nodo vulnerabilidad que pusimos en marcha en el paso 2. Agregar una comprobación de vulnerabilidad CGI También puede agregar vulnerabilidades sin escribir scripts. Por ejemplo una comprobación de vulnerabilidad CGI. Para hacerlo: 1. Vaya al nodo GFI LANguard N.S.S. > Configuration > Scanning Profiles. 2. Vaya a la etiqueta Scanned Vulnerabilities, y seleccione el nodo CGI vulnerabilities. Ahora haga clic sobre el botón Add. Esto abrirá el diálogo New CGI vulnerability check. LANguard Network Security Scanner ManualAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts • 87 Crear una nueva vulnerabilidad CGI 3. Introduzca los detalles base como el nombre, descripción corta, nivel de seguridad, URL (si es aplicable). Además puede especificar cuanto llevará ejecutar esta comprobación. 4. Especifique HTTP method: los dos métodos que GFI LANguard N.S.S. soporta en su sección CGI abuse son GET y HEAD. 5. Especificar URL to check: Esta es la URL que GFI LANguard N.S.S. debe consultar. 6. Especifique la Return String: Esto es lo que GFI LANguard N.S.S. debe buscar en la información devuelta para ver si el equipo es vulnerable a este ataque. Agregar otras comprobaciones de vulnerabilidad También puede agregar vulnerabilidades sin escribir scripts. Utilizan el mismo formato básico que las comprobaciones de vulnerabilidad CGI, sin embargo puede indicar condiciones más complejas. Para hacerlo: 1. Vaya al nodo GFI LANguard N.S.S. > Configuration > Scanning Profiles. 2. Vaya a la etiqueta Scanner Vulnerabilities, y seleccione el tipo de vulnerabilidad que desea agregar haciendo clic sobre la categoría bajo la que estará la nueva vulnerabilidad. Ahora haga clic sobre el botón Add. Esto abrirá el diálogo New vulnerability check. 88 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scriptsLANguard Network Security Scanner Manual Crear una nueva Vulnerabilidad 3. Introduzca los detalles base como el nombre, descripción corta, nivel de seguridad, URL (si es aplicable). Además puede especificar cuanto llevará ejecutar esta comprobación. 4. Ahora debe especificar qué comprobar. Para agregar algo que comprobar, haga clic con el botón derecho en la ventana Trigger condition y agregue una nueva comprobación. 5. Puede especificar cualquiera de las siguientes cosas para fundamentar una comprobación de vulnerabilidades: • • Sistema Operativo o Es o No Es Clave del Registro o Existe o No Existe Nota: Sólo funciona bajo HKEY_LOCAL_MACHINE • Ruta del Registro o Existe o No Existe Nota: Sólo funciona bajo HKEY_LOCAL_MACHINE • Valor del Registro o Es Igual A LANguard Network Security Scanner ManualAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts • 89 o No Es Igual A o Es Menor Que o Es Mayor Que Nota: Sólo funciona bajo HKEY_LOCAL_MACHINE • • • • • • • • • • • Service Pack o Es o No Es o Es Menor Que o Es Mayor Que Hot fix o Está Instalado o No Está Instalado o Está Instalado o No Está Instalado IIS Versión IIS o Es o No Es o Es Menor Que o Es Mayor Que Servicio RPC o Está Instalado o No Está Instalado Servicio NT o Está Instalado o No Está Instalado Servicio NT en ejecución o Está en ejecución o No está en ejecución Tipo de inicio de Servicio NT o Automático o Manual o Deshabilitado Puerto (TCP) o Está Abierto o Está Cerrado Puerto UDP o Está Abierto o Está Cerrado Estandarte FTP o Es 90 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scriptsLANguard Network Security Scanner Manual No Es o Nota: Puede construir expresiones que comprueben Versión 1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea los siguientes ejemplos. • Estandarte HTTP o Es o No Es Nota: Puede construir expresiones que comprueben Versión 1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea los siguientes ejemplos. • Estandarte SMTP o Es o No Es Nota: Puede construir expresiones que comprueben Versión 1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea los siguientes ejemplos. • Estandarte POP3 o Es o No Es Nota: Puede construir expresiones que comprueben Versión 1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea los siguientes ejemplos. • Estandarte DNS o Es o No Es Nota: Puede construir expresiones que comprueben Versión 1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea los siguientes ejemplos. • Estandarte SSH o Es o No Es Nota: Puede construir expresiones que comprueben Versión 1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea los siguientes ejemplos. • Estandarte Telnet o Es o No Es Nota: Puede construir expresiones que comprueben Versión 1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea los siguientes ejemplos. • • Script o Devuelve Cierto (1) o Devuelve Falso (0) Script SSH o Devuelve Cierto (TRUE:) LANguard Network Security Scanner ManualAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts • 91 o Devuelve Falso (FALSE:) 6. Cada opción anterior tiene su propio conjunto de criterios, como puede ver, en los que puede estar basada la comprobación de vulnerabilidad. Si es demasiado general cuando cree una comprobación de vulnerabilidad obtendrá demasiados informes falsos. Por lo tanto si decide crear sus propias comprobaciones de vulnerabilidad asegúrese de diseñarlas muy específicamente y ponga mucha intención y planificación. No está limitado sólo a las cosas anteriores para activar una comprobación de vulnerablidad, podría configurarlo para comprobar varias condiciones, por ejemplo: • Comprobar el SO • Puerto XYZ • Estandarte “ABC” • Ejecutar LANS script QRS y comprobar la vulnerabilidad Si se cumplen todos los criterios anteriores, entonces y sólo entonces, se activará la comprobación de vulnerabilidad. Nota: Construir expresiones le permitirá hacer una comprobación de vulnerabilidad como esta que se utiliza para comprobar la versión de Apache que se ejecuta sobre un equipo: ~.*Apache/(1\.([0-2]\.[09]|3\.([0-9][^0-9]|[0-1][0-9]|2[0-5]))|2\.0.([0-9][^0-9]|[0-2][0-9]|3[0-8])). Para aquellos experimentados en C o Perl el formato anterior es muy similar a lo que puede hacer en esos lenguajes. Hay muchas páginas de ayuda en Internet sobre cómo utilizar esto. En los siguientes ejemplos intentaremos guiar y explicarlos, pero si necesita más ayuda, consulte el final de esta sección para hiperenlaces. Si le gustaría ver un ejemplo/explicación sobre creación de nuevas vulnerabilidades con script, lea “GFI LANguard N.S.S. scripting documentation”. 92 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scriptsLANguard Network Security Scanner Manual Resolución de problemas Introducción El capitulo de solución de problemas explica cómo se debe proceder para resolver las consultas que tenga. Las principales fuentes de información disponibles para los usuarios son: 1. El manual – la mayoría de los asuntos se solucionan leyendo el manual. 2. La Base de Conocimientos de GFI – http://kbase.gfi.com. 3. El sitio de soporte de GFI – http://support.gfi.com 4. Contactando con el departamento de soporte de GFI en soporte@gfihispana.com 5. Contactando al departamento de soporte de GFI utilizando nuestro servicio de soporte en tiempo real en http://support.gfi.com/livesupport.asp 6. Contactando a nuestro departamento de soporte por teléfono. Base de Conocimientos GFI mantiene una base de conocimientos, la cual incluye respuestas a los problemas más comunes. Si tiene un problema, por favor consulte primero la base de conocimientos. La base de conocimientos siempre ha sido la más actualizada lista de preguntas de soporte y parches. La base de conocimientos puede encontrase en http://kbase.gfi.com Preguntas y Respuestas Generales Frecuentes Solicitud de soporte vía e-mail Si, después de usar la base de datos de conocimiento y el manual, tiene cualquier problema que no puede resolver, puede contactar con el departamento de soporte de GFI. La mejor forma de hacerlo es vía e-mail, ya que se puede incluir información vital como un archivo adjunto que nos permitirá solucionar los problemas que tiene mas rápidamente. LANguard Network Security Scanner Manual Resolución de problemas • 93 El Troubleshooter, incluido en el grupo de programas, genera automáticamente una serie de archivos necesarios por GFI para proporcionarle soporte técnico. Los archivos incluirán parámetros de configuración de FAXmaker. Para generar esos archivos, inicie el troubleshooter y siga las instrucciones de la aplicación. Además de recoger toda la información, le realiza también una serie de preguntas. Por favor tómese el tiempo de responder estas preguntas con precisión. Sin la información apropiada no nos será posible diagnosticar su problema. Vaya entonces al directorio support, localizado debajo del directorio principal del programa, COMPRIMA los archivos en ZIP, y envíelos a soporte@gfihispana.com. ¡Asegúrese primero de tener registrado su producto en nuestro sitio web, en http://www.gfi.com/pages/regfrm.htm! Responderemos a su pregunta en 24 horas o menos, dependiendo de su zona horaria. Solicitud de soporte vía conversación web También puede solicitar soporte a través del Soporte en directo (webchat). Puede contactar al departamento de soporte de GFI utilizando nuestro servicio de soporte en tiempo real en http://support.gfi.com/livesupport.asp ¡Asegúrese primero de tener registrado su producto en nuestro sitio web, en http://www.gfi.com/pages/regfrm.htm! Solicitudes de soporte telefónicas También puede contactar con GFI por teléfono para soporte técnico. Por favor compruebe en nuestro sitio web de soporte los números para llamar según dónde se encuentre, y el horario. Sitio web de soporte: http://support.gfi.com ¡Asegúrese primero de tener registrado su producto en nuestro sitio web, en http://www.gfi.com/pages/regfrm.htm! Foro Web Hay disponible soporte usuario a usuario a través del foro web. El foro se encuentra en: http://forums.gfi.com/ Notificaciones de versiones revisadas Le sugerimos encarecidamente que se suscriba a nuestra lista de notificaciones de versiones revisadas. De esta forma, se le notificará inmediatamente sobre las nuevas versiones del producto. Para suscribirse vaya a: http://support.gfi.com 94 • Resolución de problemas LANguard Network Security Scanner Manual Indice D Directiva de contraseñas 18 DNS lookup 73, 75, 76, 77, 78 G grupos 5, 21 H Hot fixes 22 HTML 7 L Licencia 7 P política de seguridad 5 Puertos abiertos 6 R Recursos compartidos 5, 17 Registro 18 Requerimientos del sistema 9 S Servicios 6 Sistema Operativo 7 SNMP 14, 76 SNMP Audit 76 T Traceroute 74 U Usuarios 79 X XML 7 LANguard Network Security Scanner Manual Resolución de problemas • 95