jueves, mayo 03, 2007

Test de Intrusión (VI de VI)

****************************************************************************************
Artículo Publicado en PCWorld Abril 2007
- Test de intrusión [I de VI]
- Test de intrusión [II de VI]
- Test de intrusión [III de VI]
- Test de intrusión [IV de VI]
- Test de intrusión [V de VI]
- Test de intrusión [VI de VI]
****************************************************************************************

Realización de una auditoría con Tenable Nessus 3

Tras haber descargado, activada e instalado el producto lo primero que tenemos que hacer es actualizar la base de datos de plugins del producto. Si es la primera vez que lo arrancamos lo preguntará él mismo, si no, tenemos una herramienta para invocar la actualización en cualquier momento. Después configuramos el servidor, eligiendo la dirección IP y el puerto por el que va a escuchar el servicio de Nessus. Eventualmente, para conexiones remotas, deberíamos generar la lista de usuarios a los que se les permite la conexión con este servidor.

Imagen: Gestión de usuarios en Nessus

Una vez creados los usuarios tendremos que crear las políticas de auditoría ajustadas a nuestros entornos, para ello arrancamos la herramienta de Scanner de Vulnerabilidad y se selecciona la opción de “Manage Policies” y se crea una nueva. Una vez creada tendremos dos opciones de configuración principal. En primer lugar deberemos seleccionar las opciones de configuración generales de la política. En esa lista se configurará, en primera instancia si es una política Segura o no. Si decidimos que la política sea segura ya no se lanzará ningún plugin que pueda dañar el servicio. Además, es importante configurar en estas opciones las propiedades de las credenciales a utilizar, la carga que se va a realizar del servidor y las opciones especificas de rutas, ubicaciones y características que se conozcan del servidor para poder afinar el uso de los plugins. Es aquí donde se nota la destreza o no de un buen auditor de seguridad.

Imagen: Gestión de políticas

Imagen: Configuración de Settings de una política

La otra parte a afinar son directamente los plugins, para ello, cuando creamos una política deberemos elegir que es lo que queremos buscar. No tiene sentido realizar búsqueda de fallos locales en Gentoo, cuando estamos auditando en remoto un Windows Server 2003 R2. Para facilitar esta gestión todos los plugins están agrupados en categorías y podremos añadir o quitar categorías o directamente plugins. La ejecución de muchos de los plugins se realizará teniendo en cuenta las configuraciones definidas previamente en la política.

Imagen: Configuración de Plugins

De todos y cada uno de los plugins que acompañan Nessus hay una ficha de información accesible en el programa y que se mantiene online en el sitio web de la compañía. Con simplemente hacer clic sobre el plugin podremos saber que es lo que mira, cual es el factor de riesgo y si el plugin puede afectar o no a nuestro servidor.

Imagen: Información de un Plugin

Una vez definida las políticas de auditoría podemos proceder ya a realizar el escaneo del servidor. Para ello seleccionamos comenzar una tarea de escaneo, elegimos la política y el motor Nessus desde el que deseamos que se realice, no hay que olvidar que la arquitectura de Nessus es cliente/servidor, gracias a lo que podremos configurar múltiples auditorías desde múltiples servidores.

El proceso completo se puede ver en la imagen siguiente:
Imagen: Proceso de Escaneo

Informe de Auditoría

Ahora a recibir los deberes. Cada vez que se termina un escaneo Nessus genera un informe de auditoría completo que se almacena en un fichero xml. Dicho informe permite que se realicen diferentes visualizaciones del mismo para reflejar la información que ha sacado el escaner. En los informes se podrá ver desde los datos que son puramente informativos hasta la información que es sustancialmente importante para la seguridad y debe ser corregida.

Imagen: Informe de auditoría

Vale, una vez que tienes el informe ¿qué se debe hacer? Bien, en un test de intrusión completo de una compañía se evalúan todas las vulnerabilidades intentando llegar al final, es decir, sí con un exploit se puede conseguir el control de un equipo de la organización, pues seguir adelante para ver hasta que nivel de riesgo se estaría en un caso de una vulnerabilidad similar y realizar un test de intrusión del sistema completo. Esto permitirá descubrir fallos en la política de seguridad de la red.

Si lo que queremos es simplemente corregir el servidor entonces deberemos seguir las recomendaciones para la solución de cada uno de los fallos, estas las vamos a encontrar en los expedientes de seguridad. Una vez aplicadas las medidas de remedio para todas las vulnerabilidades deberemos volver a escanear el mismo servidor y obtener un nuevo informe. El proceso debe repetirse hasta que el informe quede totalmente “limpio”. Una de las características de Nessus que podemos utilizar para este proceso es la comparación de informes, con el que podremos comparar los cambios sufridos en la seguridad del servidor en cada cambio que apliquemos al servidor.

Imagen: Gestión de Informes

Hoy en día Nessus es el escáner de vulnerabilidades más utilizado a nivel mundial aunque no es el único y existen otras alternativas/complementos muy interesantes. Aunque hay bastantes escáneres de vulnerabilidades, en el artículo de hoy vamos a ver solo algunas de las mejores soluciones profesionales. El proceso de auditoría en cualquiera de estas soluciones es similar al explicado con Nessus.

Para terminar

Un último punto sobre el que hay que reflexionar antes de dar por terminado este artículo es la auditoría de las aplicaciones propias, es decir, los desarrollos personales. Una aplicación web puesta de cara a Internet, con https, con su firewall protegiéndola por delante, con su auditoría de seguridad con escáneres de vulnerabilidades limpia puede tener un bonito SQL Injection en un radio button y se acabó el cuento. En el caso de los desarrollos personales es necesario contar con una aproximación diferente, con herramientas distintas y con unos auditores más diestros, ya que no solo deben conocer el uso de las herramientas sino también los fallos en el desarrollo de tecnologías. Para aquellos que les interese este tema el mes que viene vamos a ver como se realiza un proceso de auditoría de una aplicación web y cuales son las herramientas que se pueden utilizar.

Para los impacientes que deseen ir abriendo boca les dejo los dos retos hacking que monté sobre test de intrusión en aplicaciones web. Del primero ya existe un solucionario publicado y del segundo se publicará a finales de Abril.

Primer Reto Hacking
Segundo Reto Hacking

****************************************************************************************
Artículo Publicado en PCWorld Abril 2007
- Test de intrusión [I de VI]
- Test de intrusión [II de VI]
- Test de intrusión [III de VI]
- Test de intrusión [IV de VI]
- Test de intrusión [V de VI]
- Test de intrusión [VI de VI]
****************************************************************************************

No hay comentarios:

Publicar un comentario