Comprobaciones con credenciales Nessus para Unix y Windows
Contents
1. 2003 Windows 2008 o Windows 7 y debe formar parte de un dominio Para configurar el servidor con el fin de permitir inicios de sesi n desde una cuenta de dominio debe invocarse el modelo de seguridad Classic Cl sico Para realizar esta acci n siga estos pasos 1 Abra Group Policy Directiva de grupo para ello haga clic en start inicio luego haga clic en Run Ejecutar escriba gpedit msc y luego haga clic en OK Aceptar Copyright O 2002 2012 Tenable Network Security Inc lt TENABLE Network Security 2 Seleccione Computer Configuration Configuraci n del equipo gt Windows Settings Configuraci n de Windows gt Security Settings Configuraci n de seguridad gt Local Policies Directivas locales gt Security Options Opciones de seguridad 3 En la lista de directivas abra Network access Sharing and security model for local accounts Acceso de red modelo de seguridad y uso compartido para cuentas locales 4 En este cuadro de di logo seleccione Classic local users authenticate as themselves Cl sico los usuarios locales se autentican con credenciales propias y luego haga clic en OK Aceptar para guardarlo Esto permitir que los usuarios locales del dominio se autentiquen con credenciales propias aunque en realidad no sean f sicamente locales en tal servidor Si no se realiza esta acci n todos los usuarios remotos incl2. configurar y operar la interfaz de usuario de Nessus gt Nessus Compliance Checks Comprobaciones de compatibilidad con Nessus gu a de alto nivel para comprender y ejecutar las comprobaciones de compatibilidad con Nessus y SecurityCenter gt Nessus Compliance Checks Reference Referencia para comprobaciones de compatibilidad con Nessus gu a completa de la sintaxis de las comprobaciones de compatibilidad con Nessus gt Nessus v2 File Format Formato de archivo de Nessus v2 describe la estructura del formato de archivo nessus que se present con Nessus 3 2 y NessusClient 3 2 gt Nessus XML RPC Protocol Specification Especificaci n del protocolo XML RPC en Nessus describe la interfaz y el protocolo XML RPC en Nessus gt Real Time Compliance Monitoring Supervisi n de compatibilidad en tiempo real describe el modo en que pueden usarse las soluciones de Tenable para colaborar con el cumplimiento de distintos tipos de normas gubernamentales y financieras gt Gu a de administraci n de SecurityCenter Estos son otros recursos en l nea Foro de debate de Nessus https discussions nessus org Blog de Tenable http blog tenable com Podcast de Tenable http blog tenablesecurity com podcast Videos de ejemplos de uso http www youtube com user tenablesecurity Canal de Twitter de Tenable http twitter com tenablesecurity Vvvvyv No dude en comunicarse con Tenable a trav s de supportOten
3. configurarse para especificar la autenticaci n de SSH A continuaci n se presenta un ejemplo de un listado sin rellenar Use SSH to perform local security checks entry SSH user name Use SSH to perform local security checks file SSH public key to use Use SSH to perform local security checks file SSH private key to use Use SSH to perform local security checks password Passphrase for SSH key SSH settings entry SsH user name SSH settings password SSH password unsafe SssH settings file SSH public key to use no SSH settings file SSH private key to use SSH settings password Passphrase for SSH key Si usa Kerberos debe configurar un analizador Nessus para autenticarlo en un KDC introduciendo la siguiente informaci n en el archivo nessusrc del analizador Kerberos KDC port 88 Kerberos KDC Transport udp Kerberos Realm SSH Only myrealm Kerberos Key Distribution Center KDC 192 168 20 66 El puerto de KDC predeterminado es 88 y el protocolo de transporte predeterminado es udp El otro valor para el transporte es tcp Por ltimo el nombre Kerberos Realm y la direcci n IP del KDC son obligatorios Copyright O 2002 2012 Tenable Network Security Inc lt TENABLE Network Security Tenga en cuenta que ya debe tener un entorno Kerberos establecido para usar este m todo de autenticaci n USO DE CREDENCIALES DE SSH CON TENABLE SECURITYCENTER Pa
4. report_verbosity de su an lisis Nessus a Verbose Detallado De esta manera se mostrar cualquier mensaje de diagn stico o error mientras esta secuencia de comandos se encuentre en ejecuci n Para las auditor as de Windows las secuencias de comandos smb_login nasl y smb_registry_access nasl indican si la identificaci n de inicio de sesi n y contrase a proporcionadas durante el an lisis funcionaron y si fue posible leer el registro remoto smb_registry full access nasl advierte solo si no fue posible leer completamente el registro La observaci n de los resultados de las comprobaciones basadas en hosts para las auditor as de un servidor Windows mostrar c mo funcionaron las credenciales Adem s la secuencia de comandos hostlevel_check_failed nas1l detecta si las credenciales de Windows o SSH no permitieron que el an lisis inicie sesi n en el host remoto P C mo s si el an lisis local no est funcionando R En los sistemas de Windows los eventos de error de inicio de sesi n se generar n en el servidor Si se encuentra en uso un controlador de dominio los eventos de error de inicio de sesi n tambi n se guardar n en esa ubicaci n En los sistemas de Unix los errores de inicio de sesi n aparecer n en los registros del sistema por ejemplo var log messages a menos que un controlador Kerberos remoto se encuentre en uso Adem s la secuencia de comandos hostlevel_check_failed nas1l detecta si las c
5. consola del sistema sin aceptar ninguna conexi n de red desde un host remoto Tal sistema debe tener la protecci n f sica necesaria de modo que solo las personas autorizadas puedan acceder a l Este servidor podr a restringirse a n m s a trav s de un conmutador o Firewall externo que solo le permita analizar redes espec ficas No instale software de Firewall personal directamente en el sistema del analizador Nessus Recuerde que Nessus puede configurarse para analizar solamente redes espec ficas Copyright O 2002 2012 Tenable Network Security Inc lt TENABLE Network Security Este tipo de analizador no es tan til Considere la posibilidad de proporcionar acceso de red remoto al servidor Nessus admite conexiones HTTP al puerto 8834 de manera predeterminada Un Firewall del sistema puede configurarse para aceptar solamente conexiones en el puerto 8834 de clientes de Nessus v lidos Si la caja se administrar u operar en forma remota tambi n puede usarse un acceso remoto seguro En Unix se puede usar el protocolo Shell seguro SSH Mantenga actualizado el demonio de SSH use contrase as seguras o use t cnicas de autenticaci n seguras En servidores de Windows pueden usarse los Servicios de Terminal Server remotos para proporcionar comando y control a los servicios de Nessus Windows En ambos casos mantenga actualizado el sistema y no ejecute servicios de red innecesarios Consulte los criterios de referencia de C
6. de archivo demonios y archivos ejecutables se indican con fuente courier negrita por ejemplo gunzip httpd y etc passwd Las opciones de l neas de comandos y las palabras clave tambi n se indican con fuente courier negrita Los ejemplos de l neas de comandos pueden incluir o no el indicador de la l nea de comandos y el texto de salida de los resultados del comando Los ejemplos de l neas de comandos mostrar n el comando ejecutado en courier negrita para indicar lo que el usuario escribi mientras que el resultado de muestra generado por el sistema se indicar en courier normal Este es un ejemplo de ejecuci n del comando pwd de Unix pwd home test 4 Las consideraciones y notas importantes se resaltan con este s mbolo y cuadros de texto grises s mbolo y con letras blancas en cuadros de texto azules 2 Las sugerencias los ejemplos y las pr cticas recomendadas se resaltan con este DESCRIPCI N GENERAL DE LAS COMPROBACIONES CON CREDENCIALES DE NESSUS El analizador Nessus de Tenable es un eficaz analizador de vulnerabilidades de red con una amplia base de datos de plugins complementos que comprueban una amplia variedad de Copyright 2002 2012 Tenable Network Security Inc ONIS vulnerabilidades que podr an aprovecharse de forma remota Adem s del an lisis remoto el analizador Nessus tambi n puede usarse para detectar exposiciones locales Objetivo El an lisis externo de vulnerabilidade
7. dedicada a Nessus Esta cuenta de usuario debe tener exactamente el mismo nombre en todos los sistemas En este documento el usuario se denominar nessus pero es posible usar cualquier nombre Una vez que haya creado la cuenta para el usuario aseg rese de que la cuenta no tenga ninguna contrase a v lida establecida En los sistemas Linux las nuevas cuentas de usuario est n bloqueadas de manera predeterminada a menos que se haya establecido expl citamente una contrase a inicial Si usa una cuenta para la que se haya establecido una contrase a use el comando passwd 1 para bloquear la cuenta Tambi n debe crear bajo el directorio principal de la nueva cuenta el directorio para mantener la clave p blica A los fines de este ejercicio el directorio ser home nessus ssh A continuaci n se presenta un ejemplo para los sistemas Linux passwd 1 nessus cd home nessus mkdir ssh Para los sistemas Solaris 10 Sun ha mejorado el comando passwd 1 para distinguir entre las cuentas bloqueadas y las cuentas sin inicio de sesi n La finalidad es garantizar que una cuenta de usuario que se haya bloqueado no pueda usarse para ejecutar comandos por ejemplo los trabajos cron Las cuentas sin inicio de sesi n solo se usan para ejecutar comandos y no admiten una sesi n de inicio interactiva Estas cuentas tienen el token s mbolo NP en el campo de contrase a de etc shadow Para establecer una cuenta
8. el dominio opcional hacen referencia a una cuenta que el equipo de destino conoce Por ejemplo si se proporciona el nombre de usuario joesmith y la contrase a my4x4mp13 un servidor de Windows primero busca este nombre de usuario en la lista de usuarios del sistema local y luego determina si pertenece a un dominio de este El verdadero nombre de dominio solo es necesario si un nombre de cuenta que se encuentra en el dominio es distinto del que posee el equipo Es perfectamente posible tener una cuenta de Administrador en un servidor de Windows y en el dominio En este caso para iniciar sesi n en el servidor local el nombre de usuario del Administrador se usa junto con la contrase a de esa cuenta Para iniciar sesi n en el dominio tambi n se usar a el nombre de usuario del Administrador pero con la contrase a y el nombre del dominio Independientemente de las credenciales que se usen Nessus siempre intenta iniciar sesi n en un servidor de Windows con las siguientes combinaciones gt Administrador sin contrase a gt Un nombre de usuario y contrase a aleatorios para comprobar las cuentas de invitados gt Ning n nombre de usuario ni contrase a para comprobar las sesiones nulas COMPROBACIONES CON CREDENCIALES EN PLATAFORMAS DE UNIX El proceso descrito en esta secci n le permite realizar comprobaciones de seguridad locales en los sistemas basados en Unix El demonio de SSH que se usa en es
9. for SSH key Frase de contrase a para la clave de SSH gt Los usuarios de Nessus y SecurityCenter pueden tambi n invocar su O sudo con el campo Elevate privileges with Elevar privilegios con y otra contrase a gt Si se encuentra disponible un archivo de SSH known_hosts y se proporciona como parte de la directiva de an lisis en el campo SSH known_hosts file Nessus solo intentar iniciar sesi n en los hosts en este archivo Esta acci n puede garantizar que el mismo nombre de usuario y contrase a que est usando para auditar sus servidores de SSH conocidos no se usen para intentar iniciar sesi n en un sistema que quiz s no est bajo su control Los an lisis con credenciales m s eficaces son aquellos que se realizan cuando las credenciales proporcionadas tienen privilegios root Como muchos sitios no permiten un inicio de sesi n remoto como ra z los usuarios de Nessus pueden invocar su o sudo con una contrase a separada para una cuenta que se haya configurado para tener privilegios su O sudo A continuaci n se presenta un ejemplo de captura de pantalla del uso de sudo junto con las claves de SSH A los fines de este ejemplo la cuenta de usuario es audit que se ha a adido al archivo etc sudoers en el sistema que se analizar La contrase a proporcionada es la misma que para la cuenta audit no la contrase a ra z Las claves de SSH se corresponden
10. hace p blica una nueva vulnerabilidad y la gerencia ejecutiva desea una respuesta r pida sobre el efecto que puede tener en la organizaci n Otro aspecto importante para las organizaciones es determinar la compatibilidad con las directivas del sitio las normas de la industria tales como los criterios de referencia del Center for Internet Security CIS o la legislaci n tal como Sarbanes Oxley SOX Gramm Leach Bliley GLBA o HIPAA Las organizaciones que aceptan informaci n de tarjetas de cr dito deben demostrar la compatibilidad con el Est ndar de Seguridad de Datos de la Industria de Tarjetas de Pago Payment Card Industry Data Security Standards PCI DSS Hubo bastantes casos sumamente difundidos en los que qued expuesta la informaci n de tarjetas de cr dito de millones de clientes Esto representa una p rdida financiera significativa para los bancos responsables de restituir pagos y cuantiosas multas o p rdida de la capacidad de aceptaci n de tarjetas de cr dito por parte del procesador o el comerciante perjudicado Nivel de acceso Los an lisis con credenciales pueden realizar cualquier operaci n que pueda hacer un usuario local El nivel de an lisis depende de los privilegios que se le hayan otorgado a la cuenta de usuario que Nessus est configurado para usar Los usuarios que no tienen privilegios pero que cuentan con acceso local en los sistemas de Unix pueden determinar problemas de seguridad b sicos tales co
11. una configuraci n distinta de Classic local users authenticate as themselves Cl sico los usuarios locales se autentican con credenciales propias el an lisis de compatibilidad no se ejecutar correctamente Configuraci n en Windows 2008 Vista y 7 Al realizar an lisis autenticados en los sistemas Windows 2008 Vista o 7 existen varias opciones de configuraci n que deben habilitarse 1 En Windows Firewall Firewall de Windows gt Windows Firewall Settings Configuraci n de Firewall de Windows debe estar habilitado File and Printer Sharing Compartir archivos e impresoras 2 Al usar la herramienta gpedit msc a trav s del indicador Run Ejecutar invoque el Editor de objetos de directiva de grupo Despl cese hasta Local Computer Policy Directiva de equipo local gt Administrative Templates Plantillas Copyright O 2002 2012 Tenable Network Security Inc ONIS administrativas gt Network Red gt Network Connections Conexiones de red gt Windows Firewall Firewall de Windows gt Standard Profile Perfil est ndar gt Windows Firewall Allow inbound file and printer sharing exception Firewall de Windows permitir excepci n Compartir archivos e impresoras entrante y habil telo 3 En el Editor de objetos de directiva de grupo Local Computer Policy Directiva de equipo local gt Administrative Templates Plantillas administrativas gt Network Red gt Network Co
12. LES Si usa Nessus para realizar auditor as con credenciales de los sistemas de Unix o Windows el an lisis de los resultados para determinar si recibi las contrase as y claves de SSH correctas puede resultar complicado Los usuarios de Nessus pueden ahora detectar con facilidad si sus credenciales no funcionan Tenable ha agregado el plugin complemento Nessus N 21745 a la familia de plugins complementos Settings Configuraci n Este plugin complemento detecta si las credenciales de Windows o SSH no permitieron que el an lisis inicie sesi n en el host remoto Cuando un inicio de sesi n se realiza correctamente este plugin complemento no genera resultados A continuaci n se presenta un ejemplo de informe que se produjo al intentar iniciar sesi n en un equipo remoto con el nombre de usuario o contrase a incorrectos con Nessus 192 168 0 20 2 Vulnerability Summary Host Summary Download Report Completed Mar 1 2012 18 10 Remove Vulnerability Audit Trail Filters IC Add Fiiter e Clear Filters Ce EIC Plugin ID 21745 Port Service general severity Into Plugin Name Authentication Failure Local Checks Not Run 26919 i 1 Synopsis The local security checks are disabled 10736 s Description The credentials provided for the scan did not allow us to log into the remote host or the remote operating system is not supported 11219 11011 Solution nla 10150 10394 10395 Risk Factor None Plug
13. SSH en lugar de las credenciales cuando sea posible Requisitos de configuraci n de Kerberos Si se usa Kerberos sshd debe configurarse con la compatibilidad de Kerberos para verificar el ticket con el KDC Para que esto funcione las b squedas inversas de DNS deben configurarse correctamente El m todo de interacci n Kerberos debe ser gssapi with mic HABILITACI N DE COMPROBACIONES DE SEGURIDAD LOCALES DE SSH EN UNIX Esta secci n tiene la finalidad de ofrecer un procedimiento de alto nivel para habilitar SSH entre los sistemas que est n involucrados en las comprobaciones con credenciales de Nessus No est destinada a cumplir la funci n de un tutorial detallado de SSH Se supone que el lector cuenta con conocimientos previos de los comandos del sistema de Unix Generaci n de las claves p blica y privada de SSH El primer paso consiste en generar un par de claves privada p blica para que el analizador Nessus las use Este par de claves puede generarse desde cualquiera de los sistemas de Unix con cualquier cuenta de usuario Sin embargo es importante que las claves pertenezcan al usuario de Nessus definido Para generar el par de claves use ssh keygen y guarde la clave en un lugar seguro En el siguiente ejemplo las claves se generan en una instalaci n Red Hat ES 3 ssh keygen t dsa Generating public private dsa key pair sio sele sha malicia 60 Ses mas 1 USSs tease o a olsen e home test Nessus ssh_ key Enter p
14. a IP del KDC nessusd le pregunta a sshd si admite la autenticaci n Kerberos sshd responde que s nessusd solicita el TGT de Kerberos junto con la identificaci n de inicio de sesi n y la contrase a Kerberos le vuelve a enviar un ticket a nessusd Vvvyv v nessusd le entrega el ticket a sshd v Vv nessusd inicia sesi n Sistemas de Windows Nessus admite distintos m todos de autenticaci n para sistemas basados en Windows Cada uno de estos m todos requiere un nombre de usuario contrase a y nombre de dominio a veces es opcional para la autenticaci n LANMAN El m todo de autenticaci n LanMan se sol a usar en Windows NT y en las primeras implementaciones de servidor de Windows 2000 En realidad no se usa en las nuevas implementaciones de Windows pero se lo conserva para fines de compatibilidad con versiones anteriores NTLM y NTLMv2 El m todo de autenticaci n NTLM que apareci con Windows NT proporcion una mejora en la seguridad con respecto a la autenticaci n LanMan Sin embargo la versi n mejorada NTLMv2 ofrece mayor seguridad criptogr fica que NTLM y es el m todo de autenticaci n predeterminado que elige Nessus al intentar iniciar sesi n en un servidor de Windows Firma SMB La firma SMB es una suma de comprobaci n criptogr fica que se aplica a todo el tr fico SMB con destino a un servidor Windows y proveniente de este Muchos administradores de sistema habilitan esta funci n en sus servidores
15. able com O salesOtenable com O bien visite nuestro sitio web http www tenable com Copyright O 2002 2012 Tenable Network Security Inc lt TENABLE Network Security ACERCA DE TENABLE NETWORK SECURITY Tenable Network Security l der en Supervisi n de seguridad unificada es el proveedor del analizador de vulnerabilidades Nessus y ha creado soluciones de clase empresarial sin agente para la supervisi n continua de vulnerabilidades puntos d biles de configuraci n filtraci n de datos administraci n de registros y detecci n de compromisos para ayudar a garantizar la seguridad de red y la compatibilidad con FDCC FISMA SANS CAG y PCI Los galardonados productos de Tenable son utilizados por muchas organizaciones de la lista Forbes Global 2000 y organismos gubernamentales con el fin de minimizar en forma proactiva el riesgo de las redes Para obtener m s informaci n visite http www tenable com Tenable Network Security Inc 7063 Columbia Gateway Drive Suite 100 Columbia MD 21046 410 872 0555 www tenable com Copyright O 2002 2012 Tenable Network Security Inc
16. assphrase empty for no passphrase Enter same passphrase again Your identification has been saved in home test Nessus ssh_key Your public key has been saved in home test Nessus ssh_key pub The key fingerprint is 06 4a fd 76 ee 0 f d4 e6 4b 74 84 91 99 e6 12 ea No transfiera la clave privada a ning n sistema que no sea el que ejecuta el servidor Nessus Cuando ssh keygen le solicite una frase de contrase a introduzca una frase segura o bien presione dos veces la tecla Return Intro es decir no establezca ninguna frase de contrase a Si se especifica una frase de contrase a se la debe especificar en las opciones Policies Directivas gt Credentials Credenciales gt SSH settings Configuraci n de SSH a fin de que Nessus use la autenticaci n basada en claves Copyright O 2002 2012 Tenable Network Security Inc ONIS Se sugiere que los usuarios de Nessus Windows copien las dos claves en el directorio de aplicaci n principal de Nessus que se encuentra en el sistema que ejecuta Nessus C Program FilesMTenableWNessus de manera predeterminada y luego copien la clave p blica en los sistemas de destino seg n sea necesario Esto facilita la administraci n de los archivos de las claves p blica y privada Creaci n de una cuenta de usuario y configuraci n de la clave de SSH En todo sistema de destino que se analizar con las comprobaciones de seguridad locales cree una nueva cuenta de usuario
17. ccccnnnnnnnnccnccnnnonnnnnnnnnccnnrnnnnnnnnnnn nc nrrrr nenas 27 Copyright O 2002 2012 Tenable Network Security Inc E lt TENABLE Network Security INTRODUCCI N Este documento describe c mo realizar an lisis de red autenticados con el analizador de vulnerabilidades Nessus de Tenable Network Security Los an lisis de red autenticados permiten que una auditor a de red remota obtenga datos basados en host tales como configuraciones de sistemas operativos y revisiones faltantes Env e sus comentarios o sugerencias por correo electr nico a support tenable com Nessus aprovecha la capacidad de iniciar sesi n en hosts de Unix remotos a trav s del protocolo Shell seguro SSH Para hosts de Windows Nessus usa una variedad de tecnolog as de autenticaci n de Microsoft Tenga en cuenta que Nessus tambi n usa el Protocolo simple de administraci n de redes SNMP para realizar consultas sobre informaci n y versiones a enrutadores y conmutadores Si bien este es un tipo de comprobaciones locales no se menciona en este documento Este documento hace amplia referencia a Nessus pero los conceptos b sicos tambi n son v lidos para SecurityCenter de Tenable EST NDARES Y CONVENCIONES Este documento es una traducci n de la versi n original escrita en ingl s Algunos fragmentos permanecen en ingl s con el fin de mostrar c mo aparecen realmente en el producto En toda la documentaci n los nombres
18. con las claves generadas para la cuenta audit Copyright O 2002 2012 Tenable Network Security Inc gt TENABLE Network Security Add Policy AS SSH settings SSH user name General SSH password unsafel Credentials STO GAO EE ssh_key pub Plugins ECLOG AOI EH ssh_key Preferences Passphrase for SSH key Elevate privileges with su login Escalation account Si usa Kerberos debe configurar un analizador Nessus para autenticarlo en un KDC En el men desplegable seleccione Kerberos configuration Configuraci n de Kerberos como se muestra a continuaci n Add Policy IE Kerberos configuration Kerberos Key Distribution Center KDC General Kerberos KDC Port Credentials Kerberos KDC Transport Plugins Kerberos Realm SSH only Preferences El puerto de KDC predeterminado es 88 y el protocolo de transporte predeterminado es udp El otro valor para el transporte es tcp Por ltimo el nombre Kerberos Realm y la direcci n IP del KDC son obligatorios Tenga en cuenta que ya debe tener un entorno Kerberos establecido para usar este m todo de autenticaci n Al llegar a este punto haga clic en Submit Enviar que se encuentra en la parte inferior de la ventana para finalizar la configuraci n La nueva directiva de an lisis se agregar a la lista de directivas de an lisis administradas L nea de comando de Nessus Unix La compatibilidad
19. de Nessus para comprobaciones basadas en hosts se encuentra disponible en Nessus 2 2 0 y versiones posteriores y requiere que la compatibilidad con SSL est compilada Ejecute el comando nessusd d para asegurarse de tener la versi n correcta y las bibliotecas SSL de la siguiente manera Copyright O 2002 2012 Tenable Network Security Inc lt TENABLE Network Security nessusd d root squirrel sbin nessusd d miis 15 Nessus 5 0 la onnie RZSL00 For himi 2 618 536 8615 compiled with gcc version 4 1 2 20070626 Red Hat 4 1 2 14 C rrentESertup flavor esx86 nasl O Obs libnessus OO SS SUPPOrCE enabled SSL is used for client server communication Running as euid gz 0 Magic hash 49edd1433ffad7b87b446a4201faeedf OpenSssL OpenSSL 1 0 0g 18 Jan 2012 Uso de archivos nessus Nessus cuenta con capacidad para guardar directivas de an lisis configuradas destinos de red e informes como archivos nessus La secci n presentada anteriormente Interfaz de usuario de Nessus describe c mo crear un archivo nessus que contiene credenciales de SSH Para obtener instrucciones sobre c mo ejecutar un an lisis de l neas de comandos con un archivo nessus consulte la Gu a del usuario de Nessus que se encuentra disponible en http www tenable com products nessus documentation Uso de archivos nessusrec Si crea archivos nessusrc en forma manual existen varios par metros que pueden
20. e dominio para auditor as locales ooooniniicccccnncnncnccocancnnnss 17 Configuraci n en Windows XP y 200 vin ia 18 Configuraci n en Windows 2008 Vista y Toa a si 18 Configuraci n de Nessus para inicios de sesi n en WiNdOWS oooocccccninininnnnnnnnnnnnnnnnnnnnnnnnnanannnns 20 Interfaz de usuario de NesSSUS ccccccccccccccccoconononcnonnnnnnononononnnonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnonnnnnnnnns 20 L nea de comandos de Nessus UNIX cooooooocococococonononononononnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnonnnnnnonnnnnnnnns 21 Uso de archivos NESSUS eninin E A aa a ia Aaii 21 Uso de archivos NESSUSTO omisi n air dra dada 21 Detecci n de Fallas en las Credenciales oooocccccccononoconancnoconoconanananancn cnn nrnnnnnnnnannrrn nn rrrnnnnannnnnes 22 me De A PP 22 Protecci n del Analiza diia a nn nnnnnnnnnnn nnmnnn nnmnnn nnnm 24 Por qu debo proteger el analizador coco ni n nio cari cdt 24 Qu significa bloquear un analizador ninia 24 Implementaci n segura de auditor as de SSH de UNIX coooocccccnncccnoccccncncccnananananonononcnonannnnnannnos 25 Copyright O 2002 2012 Tenable Network Security Inc lt TENABLE Network Security Auditor as seguras en WiNdOWS cooooooocccconcccncconononcnonononononnnananonnnonnnnnnnnnnnn nn nn nc rn nan e nnnnnnnernnnrnnnn 25 Para Obtener M s Informaci nN ocoononccccnnnnnnncnnnnnnnnncnnnnncnn cnn cnn cnn cnn rre 26 Acerca De Tenable Network Security ooooomnncncocccc
21. enter for Internet Security CIS para obtener informaci n sobre los sistemas de protecci n IMPLEMENTACI N SEGURA DE AUDITOR AS DE SSH DE UNIX Nunca use contrase as de SSH para realizar an lisis remotos Si analiza una red todo lo que los usuarios malintencionados o adversarios deber an hacer es ejecutar un demonio de SSH modificado y registrar el nombre de usuario y contrase a intentados Aunque tenga una combinaci n de nombre de usuario y contrase a nicos para cada host el uso de contrase as est ticas sigue siendo vulnerable a la explotaci n Si audita un servidor con un nombre de usuario y contrase a conocidos para iniciar sesi n a trav s de SSH hay menos posibilidades de que un adversario pueda usar esto en contra suya Sin embargo aseg rese de proteger la configuraci n del an lisis ya que el nombre de usuario y contrase a se guardar n all en texto no cifrado AUDITOR AS SEGURAS EN WINDOWS Si la opci n Only use NTLMv2 est deshabilitada es posible en teor a enga ar a Nessus al intentar iniciar sesi n en un servidor de Windows con credenciales del dominio a trav s del protocolo NTLM versi n 1 Esto proporciona al atacante remoto la capacidad de usar un hash que se haya obtenido por medio de Nessus Es posible que este hash pueda descifrarse para revelar el nombre de usuario o la contrase a Tambi n se lo puede usar para iniciar sesi n directamente en otros servidores Obligue a Nessu
22. ep ai 8 Requisitos de configuraci n de SS 8 Privilegios de UCUANO sii ti A 9 Requisitos de configuraci n de KerberOS ooooooccccccninccccooocccnccccnnnnnnnonnnonnnnnnnnnnnnn nc nn ncnnnnnnnnnns 9 Habilitaci n de comprobaciones de seguridad locales de SSH en UniX cccccccccccncncnnnononononos 9 Generaci n de las claves p blica y privada de SSH oooooocccccciciciciccccccconananananccnnncccnnnnanrnnnnnnos 9 Creaci n de una cuenta de usuario y configuraci n de la clave de SSH ooocccccccccccccccccnnnos 10 SA E RE E S a a 10 Configuraci n de Nessus para comprobaciones basadas en hosts de SSH nccccccccccccccnccnnnnnno 11 Interfaz de usuario de NeSsSuUS ae 11 L nea de comando de Nessus UNIX cisco bni 14 Uso de archiVOS MBSSUS ocooccononocococoncnnnonenoncnncnncnn nano nn enn a ae e aaa aa akaraia eaaa iaDia 15 Uso de archivos MBSSUSTC scini aani aina aiaa a eaa EA aa ERE aE paai nn nnnn ne nnnnnrnn anna reno 15 Uso de credenciales de SSH con Tenable SecurityCenter oocononnocccncnncccconanannccnnncnnnnnnnanannnnnnrs 16 Comprobaciones con Credenciales en Plataformas de WiNdOWS oonncnncnnnnnnnnnnnnnnnnnnnnnanannns 17 REQUISITOS EVI iii 17 PAWISUIOS DO SUI iris 17 Habilitaci n de inicios de sesi n en Windows para auditor as locales y remotas oooo o 17 Configuraci n de una cuenta lOCal ooooooooccccnncconicanocccononononnnannnrcnnnnnnnnnnnnnnnrr cnn cnn nn nn nnnnnrrnnnnnns 17 Configuraci n de una cuenta d
23. in Output it was not possible to log into the remote host via smb invalid credentials 10397 10785 Plugin Publication Date 2006 06 23 10859 10860 Plugin Last Modification Date 2011 08 30 21745 Da 26917 SOLUCI N DE PROBLEMAS P C mo s si el an lisis local est funcionando R A menos que tenga un servidor completamente revisado es probable que los an lisis locales generen alg n tipo de informaci n de revisi n Seg n el sistema operativo tambi n generar n una variedad de auditor as de informaci n Tambi n puede resultar til quitar a Nessus de la ecuaci n y realizar una prueba para asegurarse de que las cuentas y las redes est n configuradas correctamente Desde el analizador Nessus use el comando simple de Unix id para ejecutar el siguiente comando ssh i home test nessus ssh key nessus 192 1 1 44 id Copyright O 2002 2012 Tenable Network Security Inc lt TENABLE Network Security Aseg rese de usar la direcci n IP del sistema con el que est configurada la relaci n de confianza y la cuenta de usuario en este caso el usuario es nessus Si el comando es correcto ver los resultados del comando id como si este se ejecutara en su sistema remoto En las auditor as de Unix la secuencia de comandos ssh_get_info nas1 informar si la autenticaci n se realiz correctamente Si los inicios de sesi n de SSH no funcionan puede aumentar la opci n de
24. izador se haga autom ticamente y de una forma segura Se frustrar a definitivamente el objetivo de detectar exposiciones de seguridad si al hacerlo se produjera una exposici n aun mayor Nessus admite el uso de varios m todos seguros para resolver este problema tanto en plataformas de Unix como de Windows Sistemas de Unix En los sistemas de Unix Nessus usa programas basados en la versi n 2 del protocolo Shell seguro SSH por ejemplo OpenSSH Solaris SSH etc para las comprobaciones basadas en hosts Este mecanismo permite cifrar los datos que se encuentran en tr nsito para impedir que los detecten los programas husmeadores detectores de paquetes sniffers Nessus admite tres tipos de m todos de autenticaci n para usar con SSH nombre de usuario y contrase a claves p blicas privadas y Kerberos Nombre de usuario y contrase a Si bien lo admite Tenable no recomienda el uso de un nombre de usuario y contrase a para la autenticaci n con SSH Las contrase as est ticas est n sujetas a ataques de tipo Man in the middle intermediarios y por fuerza bruta cuando se han usado durante un per odo prolongado Claves p blicas privadas El cifrado de clave p blica tambi n conocido como cifrado de clave asim trica brinda un mecanismo de autenticaci n m s seguro mediante el uso de un par de claves una p blica y otra privada En la criptograf a asim trica la clave p blica se usa para cifrar datos y la clave pri
25. mo entradas y niveles de revisi n en el archivo etc passwd Para obtener informaci n m s detallada por ejemplo datos de configuraci n del sistema o permisos de archivos para todo el sistema se requiere una cuenta con privilegios root Los an lisis con credenciales en los sistemas de Windows requieren que se use una cuenta de administrador Varias actualizaciones de software y boletines de Microsoft han provocado Copyright O 2002 2012 Tenable Network Security Inc ONIS que la lectura del registro para determinar el nivel de revisi n de software no sea confiable sin los privilegios de administrador Es necesario contar con acceso administrativo para realizar una lectura directa del sistema de archivos Esto permite que Nessus se instale en un equipo y realice un an lisis de archivos directo para determinar el verdadero nivel de revisi n de los sistemas que se encuentran en evaluaci n En Windows XP Pro este acceso a los archivos solo funciona con una cuenta de administrador local si la directiva Network access Sharing and security model for local accounts Acceso de red modelo de seguridad y uso compartido para cuentas locales se cambia a Classic local users authenticate as themselves Cl sico los usuarios locales se autentican con credenciales propias Tecnolog as usadas El desaf o de realizar un an lisis con credenciales consiste en lograr que la provisi n de las credenciales privilegiadas al anal
26. nnections Conexiones de red gt Prohibit use of Internet connection firewall on your DNS domain Prohibir el uso del Firewall de conexi n a Internet en su dominio DNS debe establecerse como Disabled Deshabilitado o Not Configured Sin configurar 4 El Control de cuentas de usuario User Account Control UAC de Windows debe estar deshabilitado o bien se debe cambiar una opci n de registro espec fica para permitir las auditor as Nessus Para desactivar completamente el UAC abra el Panel de control seleccione User Accounts Cuentas de usuario y luego en Turn User Account Control On or Off Activar o desactivar el Control de cuentas de usuario seleccione Off Desactivar Opcionalmente puede a adir una nueva clave de registro denominada LocalAccountTokenFilterPolicy y establecer su valor en 1 Esta clave debe crearse en el registro en la siguiente ubicaci n HKLMXSOFTWARENMMicrosoftXWindowsXCurrentVersionXPoliciesilsystemiLocalAcc ountTokenFilterPolicy Para obtener m s informaci n sobre esta opci n de registro consulte MSDN 766945 KB 5 El servicio Registro remoto debe estar habilitado est deshabilitado de manera predeterminada Es posible habilitarlo para una auditor a de una sola vez o bien se lo puede dejar habilitado de forma permanente si las auditor as se realizan con frecuencia A Nessus tiene la capacidad de habilitar y deshabilitar el servicio Registro remoto Para ello el de
27. os hosts Unix deseados y las claves privadas est n instaladas bajo SecurityCenter se crea una relaci n de confianza de tal forma que un usuario puede iniciar sesi n en cada uno de los hosts de Unix desde los analizadores Nessus Si la seguridad de los analizadores Nessus se ve comprometida se deben generar nuevos pares de claves p blica privada de SSH Copyright O 2002 2012 Tenable Network Security Inc lt TENABLE Network Security COMPROBACIONES CON CREDENCIALES EN PLATAFORMAS DE WINDOWS REQUISITOS PREVIOS Privilegios de usuario Un error muy com n consiste en crear una cuenta local que no tiene suficientes privilegios para iniciar sesi n en forma remota ni para realizar ninguna acci n til De manera predeterminada Windows asignar a las nuevas cuentas locales privilegios de invitado si inician sesi n en forma remota De este modo se impide que las auditor as de vulnerabilidades remotas se realicen correctamente Otro error com n es ampliar el acceso que obtienen los usuarios invitados De este modo se reduce la seguridad del servidor Windows HABILITACI N DE INICIOS DE SESI N EN WINDOWS PARA AUDITOR AS LOCALES Y REMOTAS El aspecto m s importante en cuanto a las credenciales de Windows es que la cuenta que se usa para realizar las comprobaciones debe tener privilegios para acceder a todas las entradas de registro y los archivos requeridos y en muchos casos esto significa privilegios adminis
28. para garantizar que los usuarios remotos est n completamente autenticados y pertenezcan a un dominio Nessus la usa autom ticamente si el servidor de Windows remoto lo requiere SPNEGO El protocolo de negociaci n simple protegida Simple and Protected Negotiate SPNEGO proporciona capacidad de inicio de sesi n nico Single Sign On SSO desde un cliente de Windows a una variedad de recursos protegidos a trav s de las credenciales de inicio de sesi n de Windows del usuario Nessus admite el uso de SPNEGO con NTLMSSP con autenticaci n LMv2 o cifrado RC4 y Kerberos Kerberos Nessus tambi n admite el uso de la autenticaci n Kerberos en un dominio Windows Para configurarla se debe proporcionar la direcci n IP de Kerberos Domain Controller en realidad la direcci n IP de Windows Active Directory Server Copyright O 2002 2012 Tenable Network Security Inc lt TENABLE Network Security NTLMSSP NT Lan Manager Security Support Provider y LMv2 Si un esquema de seguridad ampliado tales como Kerberos o SPNEGO no es admitido o falla Nessus intentar iniciar sesi n a trav s de la autenticaci n NTLMSSP LMv2 Si esta acci n no da resultado Nessus intentar iniciar sesi n mediante la autenticaci n NTLM Nombres de usuarios contrase as y dominios de Windows El campo de dominio de SMB es opcional y Nessus podr iniciar sesi n con las credenciales de dominio sin este campo El nombre de usuario la contrase a y
29. quedas de DNS realice lo siguiente host IP_ADRR_OF_NESSUS SERVER Si tiene instalado dig tambi n se puede comprobar con lo siguiente dig x IP_ADRR_OF _NESSUS_SERVER Si su sitio no usa DNS los siguientes pasos omitir n el intento de realizar b squedas de DNS 1 Edite el archivo etc nsswitch conf para que las l neas de hosts tengan la leyenda hosts files Nota Es posible que esto no se aplique a todas las versiones de OpenSSH 2 A ada el IP o el nombre del servidor que ejecuta Nessus en el archivo etc hosts del sistema 3 Para configurar el servidor OpenSSH remoto para que no realice b squedas de DNS en un host debe definir lo siguiente gt UseDNS no en el archivo sshd_config para la versi n 3 8 el valor predeterminado es s gt VerifyReverseMapping no PROTECCI N DEL ANALIZADOR POR QU DEBO PROTEGER EL ANALIZADOR Si configura un analizador Nessus para que use credenciales para iniciar sesi n en un servidor de Unix o Windows su sistema tendr credenciales que un usuario malintencionado podr a aprovechar Para evitar esto no solo debe llevar a cabo pr cticas seguras y adecuadas con el sistema operativo en el que se ejecuta su analizador sino que tambi n debe saber c mo un adversario puede enga ar al analizador para que divulgue informaci n de seguridad QU SIGNIFICA BLOQUEAR UN ANALIZADOR El analizador Nessus ideal se manejar a completamente desde una
30. ra usar las credenciales de SSH con SecurityCenter cargue las claves p blica y privada de SSH en la consola de SecurityCenter No las instale directamente en los analizadores Nessus ya que SecurityCenter descarga estas credenciales en el analizador Nessus cuando se inicia el an lisis A continuaci n se presenta un ejemplo de una parte de la pantalla Edit Scan Options Editar opciones de an lisis al editar las opciones de una directiva Los ltimos tres campos se usan para especificar una cuenta y las claves p blica y privada de SSH espec ficas que se usar n al realizar pruebas La clave p blica de SSH debe colocarse en cada host de Unix al que se le realizar n las comprobaciones locales Te O SSH 55H Username root SSH Password ecrrcaaa SSH Public Key SSH Private Key Passphrase for SSH Key SecurityCenter incluye varias directivas de vulnerabilidades predefinidas que tienen habilitadas todas las comprobaciones locales para cada sistema operativo individual Sin embargo estas directivas deben copiarse y luego tener a adido un par espec fico de claves p blica privada de SSH as como una cuenta de usuario espec fica para que puedan usarse en forma operativa Los pares de claves p blica privada de SSH son administrados por SecurityCenter y se trasladar n a cada analizador Nessus administrado Una vez que estas claves p blicas de SSH est n instaladas en l
31. redenciales de Windows o SSH no permitieron que el an lisis inicie sesi n en el host remoto P Qu otros problemas pueden presentarse en las comprobaciones de hosts R Hay varias cosas que pueden bloquear el acceso A continuaci n se presentan algunas que deben tenerse en cuenta gt Firewalls de red que filtran el puerto 22 para SSH en Unix o el puerto 445 para Windows gt Firewalls basados en hosts que bloquean las conexiones a los puertos mencionados gt En los sistemas de Unix los administradores que trasladan SSH a otros puertos que no sean el 22 gt Algunos sistemas de prevenci n de intrusi n de red y host que impiden el acceso remoto gt El equipo que est analizando no es un servidor de Unix o Windows y podr a ser una impresora enrutador m quina de fax o dispositivo de pantalla de video Copyright O 2002 2012 Tenable Network Security Inc ONIS P Estoy probando conexiones SSH desde el indicador de shell de hosts de destino de an lisis hasta el sistema Nessus para garantizar que haya una conectividad correcta Veo que se demora en conectarse por qu R Lo m s probable es que esto se deba a que el sistema realiza una b squeda de DNS cuando DNS tiene una configuraci n err nea Si su sitio usa DNS comun quese con su administrador de DNS para abordar problemas de configuraci n Algunos aspectos que podr an causar problemas incluyen la falta de zonas de b squeda inversa Para probar las b s
32. s a usar NTLMv2 habilitando la opci n Only use NTLMv2 al momento del an lisis Esta acci n impide que un servidor de Windows hostil use NTLM y reciba un hash NTLMv2 puede usar la SMB Signing Firma SMB Aseg rese de que la SMB Signing Firma SMB est habilitada en todos sus servidores de Windows para impedir que los servidores que reciban un hash de un an lisis Nessus vuelvan a usarlo Adem s aseg rese de imponer una directiva que exija el uso de contrase as seguras que no puedan descifrarse con facilidad a trav s de ataques de diccionario con herramientas como John the Ripper y LOphtCrack Tenga en cuenta que ha habido distintos tipos de ataques contra la seguridad de Windows para extraer hashes de equipos con el fin de volver a usarlos en servidores hostiles SMB Signing Firma SMB a ade una capa de seguridad para impedir estos ataques de tipo Man in the middle intermediarios Copyright 2002 2012 Tenable Network Security Inc lt TENABLE Network Security PARA OBTENER M S INFORMACI N Tenable ha confeccionado una variedad de otros documentos que detallan la implementaci n configuraci n operaci n del usuario y pruebas generales de Nessus Estos se incluyen aqu gt Nessus Installation Guide Gu a de instalaci n de Nessus instrucciones paso a paso sobre la instalaci n gt Nessus User Guide Gu a del usuario de Nessus instrucciones sobre c mo
33. s de redes es til para obtener una instant nea temporal de los servicios de red ofrecidos y de las vulnerabilidades que pueden contener Sin embargo solo se trata de una perspectiva externa Es importante determinar qu servicios locales se encuentran en ejecuci n e identificar exposiciones de seguridad a ataques locales u opciones de configuraci n que podr an exponer el sistema a ataques externos que tal vez no sean detectados por un an lisis externo En una evaluaci n de vulnerabilidades de red com n se realiza un an lisis remoto de los puntos de presencia externos y se realiza un an lisis in situ dentro de la red Ninguno de estos an lisis puede determinar las exposiciones locales en el sistema de destino Parte de la informaci n obtenida se basa en la informaci n de banner mostrada la cual puede ser no concluyente o incorrecta Mediante el uso de credenciales seguras es posible que el analizador Nessus obtenga acceso local para analizar el sistema de destino sin necesidad de un agente Esto puede facilitar el an lisis de una red muy grande para determinar las exposiciones locales o las infracciones de compatibilidad El problema de seguridad m s com n de una organizaci n es que las revisiones de seguridad no se apliquen en el momento apropiado Los an lisis con credenciales de Nessus pueden determinar r pidamente cu les sistemas tienen instalaciones de revisi n desactualizadas Esto tiene una especial importancia cuando se
34. sin inicio de sesi n y crear el directorio de clave p blica de SSH en Solaris 10 ejecute los siguientes comandos passwd N nessus grep nessus etc shadow Mes sus 135793 33888 cd export home nessus mkdir ssh Ahora una vez creada la cuenta de usuario debe transferir la clave al sistema colocarla en el directorio correspondiente y establecer los permisos correctos Ejemplo Desde el sistema que contiene las claves realice una copia segura de la clave p blica en el sistema que se analizar para realizar comprobaciones de host como se muestra a Copyright 2002 2012 Tenable Network Security Inc lt TENABLE Network Security continuaci n 192 1 1 44 es un ejemplo del sistema remoto que se probar con las comprobaciones basadas en hosts scp ssh_key pub root 192 1 1 44 home nessus ssh authorized_keys Tambi n se puede copiar el archivo desde el sistema que tiene instalado Nessus con el comando FTP seguro sftp Tenga en cuenta que el archivo del sistema de destino debe nombrarse authorized_keys Vuelva al sistema que aloja la clave p blica Establezca los permisos del directorio home nessus ssh y del archivo authorized keys chown R nessus nessus nessus ssh chmod 0600 nessus ssh authorized keys chmod 0700 nessus ssh Repita este proceso en todos los sistemas que se probar n para realizar comprobaciones de SSH debe comenzar conforme a la secci n an
35. stino debe tener el servicio Registro remoto establecido en Manual Manual y no en Disabled Deshabilitado Copyright O 2002 2012 Tenable Network Security Inc gt TENABLE Network Security CONFIGURACI N DE NESSUS PARA INICIOS DE SESI N EN WINDOWS Interfaz de usuario de Nessus E localhost https localhost 8534 ProfessionalFeed Log In O gt TENABLE Network Security Abra un explorador web y con ctese a la interfaz de usuario del analizador Nessus tal como se muestra en la figura anterior y haga clic en la ficha Policies Directivas Cree una nueva directiva o modifique una directiva actual y seleccione la ficha Credentials Credenciales que se encuentra a la izquierda Seleccione Windows credentials Credenciales de Windows del men desplegable que se encuentra en la parte superior como se muestra a continuaci n Copyright O 2002 2012 Tenable Network Security Inc gt TENABLE Network Security D Add Policy ccoo SMB account General SMB password Credentials SMB domain optional Plugins USA Password Preferences Additional SMB account 1 Additional SMB password 1 Additional SMB domain optional 1 Additional SMB account 2 Additional SMB password 2 Additional SMB domain optional 2 Additional SMB account 3 Additional SMB password 3 Additional SMB domain optional 3 Never send SMB creden
36. te ejemplo es OpenSSH por ejemplo Linux Solaris Mac OS X Si cuenta con una variante comercial de SSH es posible que su procedimiento sea ligeramente distinto Para habilitar las comprobaciones de seguridad locales se pueden usar dos m todos b sicos 1 Uso de un par de claves privada p blica de SSH 2 Credenciales de usuario y acceso a sudo o credenciales para acceso a su REQUISITOS PREVIOS Requisitos de configuraci n de SSH Nessus 5 admite los algoritmos de blowfish CBC AESXXX CBC AES128 AES192 y AES256 3DES CBC y AES CTR Algunas variantes comerciales de SSH no admiten el algoritmo blowfish posiblemente por motivos de exportaci n Tambi n es posible configurar un servidor SSH para aceptar solo algunos tipos de cifrado Compruebe su servidor SSH para asegurarse de que admita el algoritmo correcto Copyright O 2002 2012 Tenable Network Security Inc lt TENABLE Network Security Privilegios de usuario Para lograr la m xima eficacia el usuario de SSH debe tener la capacidad de ejecutar cualquier comando del sistema En los sistemas de Unix esto se conoce como privilegios root Si bien es posible ejecutar algunas comprobaciones tales como niveles de revisi n con el acceso sin privilegios las comprobaciones de compatibilidad totales que auditan la configuraci n del sistema y los permisos de archivos requieren el acceso root Por tal motivo se recomienda enf ticamente que se usen las claves de
37. terior Creaci n de una cuenta de usuario y configuraci n de la clave de SSH Realice una prueba para asegurarse de que las cuentas y las redes est n configuradas correctamente Desde el analizador Nessus use el comando simple de Unix id para ejecutar el siguiente comando ssh i home test nessus ssh key nessus 192 1 1 44 id uid 252 nessus gid 250 tns groups 250 tns Si proporciona informaci n sobre el usuario de nessus en forma correcta significa que el intercambio de claves se realiz correctamente CONFIGURACI N DE NESSUS PARA COMPROBACIONES BASADAS EN HOSTS DE SSH Interfaz de usuario de Nessus Si a n no lo hizo realice una copia segura de los archivos de las claves privada y p blica en el sistema que usar para acceder al analizador Nessus Copyright O 2002 2012 Tenable Network Security Inc lt A gt TENABLE Network Security QE B ES localhost https localhost 8834 29 Google Nessus E Password Log In O gt TENABLE Network Security Abra un explorador web y con ctese a la interfaz de usuario del analizador Nessus tal como se mostr anteriormente y haga clic en la ficha Policies Directivas Cree una nueva directiva o modifique una directiva actual y seleccione la ficha Credentials Credenciales que se encuentra a la izquierda Seleccione SSH settings Configuraci n de SSH del men desplegable que se encuentra en la parte superior como se m
38. tials in clear text y Only use NTLMv2 a Especifique el nombre de cuenta de SMB la contrase a y el dominio opcional Al llegar a este punto haga clic en Submit Enviar que se encuentra en la parte inferior de la ventana para finalizar la configuraci n La nueva directiva de an lisis se agregar a la lista de directivas de an lisis administradas L nea de comandos de Nessus Unix Uso de archivos nessus Nessus cuenta con capacidad para guardar directivas de an lisis configuradas destinos de red e informes como archivos nessus La secci n presentada anteriormente Interfaz de usuario de Nessus describe c mo crear un archivo nessus que contiene credenciales de Windows Para obtener instrucciones sobre c mo ejecutar un an lisis de l nea de comandos con un archivo nessus consulte la Gu a del usuario de Nessus que se encuentra disponible en http www tenable com products nessus documentation Uso de archivos nessusrc Si crea un archivo nessusrc en forma manual existen tres entradas que permiten realizar la configuraci n de nombre de usuario contrase a y dominio opcional como se muestra a continuaci n Login configurations entry SMB account Login configurations password SMB password Copyright O 2002 2012 Tenable Network Security Inc lt TENABLE Network Security Login configurations entry SMB domain optional DETECCI N DE FALLAS EN LAS CREDENCIA
39. trativos Si a Nessus no se le proporcionan las credenciales para una cuenta administrativa a lo sumo puede usarse en la realizaci n de comprobaciones del registro para verificar las revisiones Si bien este es un m todo v lido para determinar si una revisi n se encuentra instalada es incompatible con algunas herramientas de administraci n de revisiones de terceros que pueden omitir el establecimiento de la clave en la directiva Si Nessus tiene privilegios administrativos comprobar efectivamente la versi n de la biblioteca de v nculos din micos d11 en el host remoto lo cual es mucho m s preciso Configuraci n de una cuenta local Para configurar un servidor de Windows independiente con las credenciales que se usar n que no forme parte de un dominio simplemente cree una cuenta nica como administrador Aseg rese de que la configuraci n de esta cuenta no est definida de la manera predeterminada t pica como Guest only local users authenticate as guest S lo invitado los usuarios locales se autentican como invitados En su lugar cambie a la configuraci n Classic local users authenticate as themselves Cl sico los usuarios locales se autentican con credenciales propias Configuraci n de una cuenta de dominio para auditor as locales Para crear una cuenta de dominio para auditor as remotas basadas en hosts de un servidor de Windows en primer lugar el servidor debe ser Windows Vista Windows XP Pro Windows
40. uestra a continuaci n Add Policy IEEE SSH settings EUA root General SSH password unsafe Credentials SSH public key to use Plugins SSH private key to use Preferences Passphrase for SSH key Elevate privileges with su login Escalation account 8 N lt 4 Escalation password SSH known_hosts file Preferred SSH port NOA OpenSSH_5 0 Copyright O 2002 2012 Tenable Network Security Inc 12 ONIS gt Para el elemento SSH user name Nombre de usuario de SSH introduzca el nombre de la cuenta que est dedicada a Nessus en cada uno de los sistemas de destino de an lisis De manera predeterminada se establece como root gt Si usa una contrase a para SSH introd zcala en la casilla SSH password Contrase a de SSH gt Si usa las claves de SSH en lugar de una contrase a recomendado haga clic en el bot n Select Seleccionar que se encuentra junto a la casilla denominada SSH public key to use Clave p blica de SSH a usar y busque el archivo de clave p blica en el sistema local gt Para el elemento SSH private key to use Clave privada de SSH a usar haga clic en el bot n Select Seleccionar y busque el archivo de clave privada que est asociado con la clave p blica anterior en el sistema local gt Si usa una frase de contrase a para la clave de SSH opcional introd zcala en la casilla denominada Passphrase
41. uidos los usuarios reales del dominio se autenticar n como invitado y es probable que no tengan las credenciales suficientes para realizar una auditor a remota Configuraci n en Windows XP y 2003 Al realizar an lisis autenticados en los sistemas Windows XP o 2003 existen varias opciones de configuraci n que deben habilitarse 1 El servicio WMI debe habilitarse en el destino 2 El servicio Registro remoto debe habilitarse en el destino 3 File and Printer Sharing Compartir archivos e impresoras debe habilitarse en la configuraci n de red de destino 4 Los puertos 139 y 445 deben estar abiertos entre el analizador Nessus y el destino 5 Debe usarse una cuenta de SMB que tenga derechos de administrador local en el destino Es posible que se le solicite que cambie sus directivas de seguridad locales de Windows de lo contrario podr an bloquear el acceso o los permisos inherentes Una directiva com n que afectar los an lisis con credenciales se encuentra en la siguiente ruta Administrative Tools Herramientas administrativas gt Local Security Policy Directiva de seguridad local gt Security Settings Configuraci n de seguridad gt Local Policies Directivas locales gt Security Options Opciones de seguridad gt Network access Sharing and security model for local accounts Acceso de red modelo de seguridad y uso compartido para cuentas locales Si esta directiva de seguridad local se establece con
42. vada se usa para descifrarlos El uso de claves p blica y privada es una forma m s segura y flexible para la autenticaci n de SSH Nessus admite los formatos de clave DSA y RSA Kerberos Kerberos desarrollado por Project Athena del MIT es una aplicaci n de cliente servidor que usa un protocolo de cifrado de clave sim trica En el cifrado sim trico la clave que se usa para cifrar los datos es igual a la clave que se usa para descifrar los datos Las organizaciones usan un Centro de distribuci n de claves Key Distribution Center KDC que contiene todos los usuarios y los servicios que requieren autenticaci n de Kerberos Los usuarios obtienen autenticaci n de Kerberos al solicitar un ticket de concesi n de tickets Ticket Granting Ticket TGT Cuando a un usuario se le concede un TGT puede usarlo para solicitar tickets de servicio desde el KDC y as poder utilizar otros servicios basados en Kerberos Kerberos usa el protocolo de cifrado DES Data Encryption Standard Est ndar de cifrado de datos en modo CBC Cipher Block Chain Encadenamiento de bloques de cifrado para cifrar todas las comunicaciones Copyright O 2002 2012 Tenable Network Security Inc ONIS La implementaci n de Nessus de la autenticaci n Kerberos para SSH admite los algoritmos de cifrado aes cbc y aes ctr A continuaci n se presenta una descripci n general del modo en que Nessus interact a con Kerberos El usuario final proporciona l
43. xl LOTENABLE Comprobaciones con credenciales Nessus para Unix y Windows Marzo 21 2012 Revisi n 27 Copyright 2002 2012 Tenable Network Security Inc Tenable Network Security Nes Network Security Inc Tenable el logotipo de Tenable el logotipo de Nessus y o ot comerciales de Tenable Network Security Inc y pueden estar registrados compa a marca logotipo y s mbolo puede ser marca comercial de su resp fessionalFeed son marcas comerciales registradas de Tenable e a los que se haga referencia aqu son marcas s jurisdicciones Cualquier otro nombre de producto nombre de 5 tivo propietario Tenable Network Security Inc e 7063 Columbia Gateway Drive Suite 100 Columbia MD 21046 EE UU 410 872 0555 sales tenable com www tenable com lt TENABLE Network Security is APP OP E O n 4 Est ndares y CONVENCION SS isis 4 Descripci n general de las comprobaciones con credenciales de NessuS cccccccccccnnnnnnnnnnnns 4 y A II O 5 Nivel d DECO ia ii 5 Tecnologias USADAS a EE EEE EERE ERE 6 Sistemas de UNIX icciccicodinasaoiiocandlcciracaaia ici acid AMARRA EE KA E AEE ERA EE ENAA KAE EE ANRE 6 Sistemas de WiINdOWS cooooccccnonoccccnononcnnnonononnnononnnnnnnn nn rn nono nn nn nn RR SEEE NR R EEES nn EEANN EEES rn EENE EEES SE EEEn E EEEE 7 Comprobaciones con Credenciales en Plataformas de UNiX ooonocccccononnnnnnnnnnnnnnnnnnnnnnnnnnnannnas 8 REQUISITOS PIO S n
Download Pdf Manuals
Related Search