Comprobaciones con credenciales Nessus para Unix y Windows
Contents
1. Seleccione Enabled Habilitado Haga clic en el casillero Allow unsolicited incoming messages from these IP addresses Permitir mensajes entrantes no solicitados de estas direcciones IP y escriba Nota en las entradas anteriores es el caracter comod n para permitir que cualquier direcci n IP en el dominio se conecte a estos servicios puede hacer esto m s seguro permitiendo solo las direcciones IP o intervalos en los que las herramientas de administrador se conecten al puerto o donde se encuentre la direcci n IP del analizador de Nessus Haga clic en OK Aceptar para ir a la lista de directivas para el firewall Permiso de WMI en el Firewall de Windows Vista 7 8 2008 2008R2 y 2012 e Haga clic en la directiva Nessus Scan GPO GPO de an lisis de Nessus y seleccione Edit Editar e Expanda Computer configuration Policies Windows Settings Windows Firewall with Advanced Security Windows Firewall with Advanced SecuritylInbound Rules Configuraci n del equipolDirectivas Configuraci n de Windows Firewall de Windows con seguridad avanzadal Firewall de Windows con seguridad avanzada lReglas entrantes e Haga clic en el rea de funcionamiento y escoja New Rule Nueva regla e Escoja la opci n Predefined Predefinida y escoja Windows Management Instrumentation WMI Instrumentaci n de administraci n de Windows de la lista desplegable e Haga clic en Next Siguiente e Marque los casilleros de Windows2. asociado con la clave p blica anterior en el sistema local Si usa una frase de contrase a para la clave de SSH opcional introd zcala en la casilla denominada Passphrase for SSH key Frase de contrase a para la clave de SSH Los usuarios de Nessus y SecurityCenter pueden tambi n invocar su o sudo con el campo Elevate privileges with Elevar privilegios con y otra contrase a Si se encuentra disponible un archivo de SSH known _hosts y se proporciona como parte de la directiva de an lisis en el campo SSH known_hosts file Nessus solo intentar iniciar sesi n en los hosts en este archivo Esta acci n puede garantizar que el mismo nombre de usuario y contrase a que est usando para auditar sus servidores de SSH conocidos no se usen para intentar iniciar sesi n en un sistema que quiz s no est bajo su control Los an lisis con credenciales m s eficaces son aquellos que se realizan cuando las credenciales proporcionadas tienen privilegios root ra z usuario principal Como muchos sitios no permiten un inicio de sesi n remoto como ra z los usuarios de Nessus pueden invocar su o sudo con una contrase a separada para una cuenta que se haya configurado para tener privilegios su o sudo A continuaci n se presenta un ejemplo de captura de pantalla del uso de sudo junto con las claves de SSH A los fines de este ejemplo la cuenta de usuario es audit a
3. Computer Policy Directiva de equipo local gt Administrative Templates Plantillas administrativas gt Network Red gt Network Connections Conexiones de red gt Windows Firewall Firewall de Windows gt Standard Profile Perfil est ndar gt Windows Firewall Allow inbound file and printer sharing exception Firewall de Windows permitir excepci n de uso compartido de archivos e impresoras entrantes y habil telo 3 En Group Policy Object Editor Editor de objetos de directiva de grupo Local Computer Policy Directiva de equipo local gt Administrative Templates Plantillas administrativas gt Network Red gt Network Connections Conexiones de red gt Prohibit use of Internet connection firewall on your DNS domain Prohibir el uso del Firewall de conexi n a Internet en su dominio DNS debe establecerse Disabled Deshabilitado o Not Configured Sin configurar 4 El servicio Remote Registry Registro remoto debe estar habilitado est deshabilitado de manera predeterminada Un administrador o Nessus pueden habilitarlo manualmente para auditor as continuas Con los plugins 42897 y 42898 Nessus puede habilitar el servicio solo durante el an lisis Nessus tiene la capacidad de habilitar y deshabilitar el servicio Remote Registry Registro remoto Para ello el destino debe tener el servicio Registro remoto establecido en Manual Manual y no en Disabled Deshabilitado El User Ac
4. Management Instrumentation ASync In Windows Management Instrumentation WMI In Windows Management Instrumentation DCOM In e Haga clic en Next Siguiente e Haga clic en Finish Finalizar e Nota m s adelante puede editar la regla predefinida creada y limitar la conexi n a los puertos por direcci n IP y usuario de dominio para disminuir cualquier riesgo de abuso de la WMI Paso 5 vincular GPO e En la consola de administraci n de directivas de grupo haga clic en el dominio o la OU y escoja Link an Existing GPO Vincular GPO existente e Escoja Nessus Scan GPO GPO de an lisis de Nessus Configuraci n en Windows XP y 2003 Al realizar an lisis autenticados en los sistemas Windows XP o 2003 existen varias opciones de configuraci n que deben habilitarse 1 El servicio WMI debe habilitarse en el destino 2 El servicio Remote Registry Registro remoto debe estar habilitado est deshabilitado de manera predeterminada Un administrador o Nessus pueden habilitarlo manualmente para auditor as continuas Con los plugins 42897 y 42898 Nessus puede habilitar el servicio solo durante el an lisis 3 File and Printer Sharing Compartir archivos e impresoras debe habilitarse en la configuraci n de red de destino 4 Los puertos 139 y 445 deben estar abiertos entre el analizador Nessus y el destino 5 Debe usarse una cuenta de SMB que tenga derechos de administrador local en el destino Es posible que se le solicite
5. de archivos nessusrc Si crea archivos nessusrc en forma manual existen varios par metros que pueden configurarse para especificar la autenticaci n de SSH A continuaci n se presenta un ejemplo de un listado sin rellenar Use SSH to perform local security checks entry SSH user name Use soto perio local securley enecks ile ss ArpuUD lc key to ue eS Use SSH to perform local security checks file SSH private key to use Use o ontop rror locals ecu Che kopan sworalie Pass parese or ss Hey S SSH settings entry SsH user name SsH settings password SSH password unsafe SoA erting ile ss As publ ey tounen Io SSH settings file SSH private key to use SoH settings password Passphrase for SSH key AAA 13 Si usa Kerberos debe configurar un analizador Nessus para autenticarlo en un KDC introduciendo la siguiente informaci n en el archivo nessusrc del analizador Kerberos FDC port SS Kerberos KDC Transport udp Kerberos Realm SSH Only myrealm Reruberos Key Dist riloution Center REDES OS 2066 El puerto de KDC predeterminado es 88 y el protocolo de transporte predeterminado es udp El otro valor para el transporte es tcp Por ltimo el nombre Kerberos Realm y la direcci n IP del KDC son obligatorios s Tenga en cuenta que ya debe tener un entorno Kerberos establecido para usar este m todo de autenticaci n Uso de credenciales de SSH con Tenable Securi
6. de debate de Nessus https discussions nessus orqg e Blog de Tenable http www tenable com blog e Podcast de Tenable http www tenable com podcast e Videos de ejemplos de uso http www youtube com user tenablesecurity e Canal de Twitter de Tenable http twitter com tenablesecurity Puede contactarse con Tenable en supportOtenable com o salesOtenable com o visitar nuestro sitio web http www tenable com 26 Acerca de Tenable Network Security M s de 20 000 organizaciones conf an en Tenable Network Security entre ellas el Departamento de Defensa de EE UU en su totalidad y muchas de las compa as m s grandes y los gobiernos de todo el mundo para adelantarse a las vulnerabilidades amenazas y riesgos de compatibilidad emergentes Sus soluciones Nessus y SecurityCenter siguen marcando la norma para identificar vulnerabilidades evitar ataques y cumplir con much simos requisitos regulatorios Para obtener m s informaci n visite www tenable com SEDE CENTRAL MUNDIAL Tenable Network Security 7021 Columbia Gateway Drive Suite 500 Columbia MD 21046 EE UU 410 872 0555 www tenable com O tenable network security Copyright O 2014 Tenable Network Security Inc Todos los derechos reservados Tenable Network Security y Nessus son marcas registradas de Tenable Network Security Inc al
7. implementaciones de servidor de Windows 2000 En realidad no se usa en las nuevas implementaciones de Windows pero se lo conserva para fines de compatibilidad con versiones anteriores NTLM y NTLMv2 El m todo de autenticaci n NTLM que apareci con Windows NT proporcion una mejora en la seguridad con respecto a la autenticaci n Lanman Sin embargo la versi n mejorada NTLMv2 ofrece mayor seguridad criptogr fica que NTLM y es el m todo de autenticaci n predeterminado que elige Nessus al intentar iniciar sesi n en un servidor de Windows Firma SMB La firma SMB es una suma de comprobaci n criptogr fica que se aplica a todo el tr fico SMB con destino a un servidor Windows y proveniente de este Muchos administradores de sistema habilitan esta funci n en sus servidores para garantizar que los usuarios remotos est n completamente autenticados y pertenezcan a un dominio Nessus la usa autom ticamente si el servidor de Windows remoto lo requiere SPNEGO El protocolo de negociaci n simple protegida Simple and Protected Negotiate SPNEGO proporciona capacidad de inicio de sesi n nico Single Sign On SSO desde un cliente de Windows a una variedad de recursos protegidos a trav s de las credenciales de inicio de sesi n de Windows de los usuarios Nessus admite el uso de SPNEGO con NTLMSSP con autenticaci n LMv2 o cifrado RC4 y Kerberos Kerberos Nessus tambi n admite el uso de la autenticaci n Kerberos en un dominio
8. llevar a cabo cinco pasos generales para facilitar este an lisis teniendo en cuenta la seguridad Paso 1 crear un grupo de seguridad Primero cree un grupo de seguridad llamado Nessus Local Access Acceso local a Nessus e Inicie sesi n en un Controlador de dominio y abra Usuarios y equipos de Active Directory e Cree un grupo de seguridad desde Menu Men y seleccione Action Acci n gt New Nuevo gt Group Grupo e Nombre el grupo como Nessus Local Access Aseg rese de que el Scope Alcance sea Global y el Type Tipo sea Security Seguridad e Agregue la cuenta que utilizar para hacer los an lisis autenticados de Windows con Nessus al grupo Nessus Local Access Acceso local a Nessus Paso 2 cree una directiva de grupo A continuaci n debe crear una directiva de grupo llamada Local Admin GPO e Abra la Group Policy Management Console Consola de administraci n de directivas de grupo e Haga clic derecho en Group Policy Objects Objetos de directiva de grupo y seleccione New Nuevo e Escriba el nombre de la directiva Nessus Scan GPO GPO Objeto de directiva de grupo de an lisis de Nessus Paso 3 configure la directiva para agregar el grupo Nessus Local Access Acceso local a Nessus como Administrators Administradores Aqu agregar el grupo Nessus Local Access Acceso local a Nessus a la directiva Nessus Scan GPO GPO de an lisis de Nessus y los colocar en los grupos que de
9. n IP del analizador de Nessus Haga clic en OK Aceptar Haga clic en OK Aceptar para ir a la lista de directivas para el firewall Seleccione Windows Firewall Allow local port exceptions Firewall de Windows permitir excepciones de puertos locales y luego haga clic derecho y seleccione Edit Editar o haga doble clic en l con el mouse Seleccione Enabled Habilitado Haga clic en OK Aceptar Seleccione Windows Firewall Define inbound port exceptions Firewall de Windows definir excepciones de puertos entrantes y luego haga clic derecho y seleccione Edit Editar o haga doble clic en l con el mouse Seleccione Enabled Habilitado Haga clic en Show Mostrar En las definiciones de Port Exceptions Excepciones de puertos escriba o 135 TCP enable o Nota en las entradas anteriores es el caracter comod n para permitir que cualquier direcci n IP en el dominio se conecte a estos servicios puede hacer esto m s seguro permitiendo solo las direcciones IP o intervalos en los que las herramientas de administrador se conecten al puerto o donde se encuentre la direcci n IP del analizador de Nessus Haga clic en OK Aceptar para ir a la lista de directivas para el firewall e Seleccione Windows Firewall Define inbound program exceptions Firewall de Windows definir excepciones de programas entrantes y luego haga clic derecho y seleccione Edit Editar o haga doble clic en l con el mouse
10. pes solo Login configurations entry Sil domain Oprional Detecci n de fallas en las credenciales Si usa Nessus para realizar auditor as con credenciales de los sistemas de Unix o Windows el an lisis de los resultados para determinar si recibi las contrase as y claves de SSH correctas puede resultar complicado Los usuarios de Nessus pueden ahora detectar con facilidad si sus credenciales no funcionan Tenable ha agregado el plugin Nessus N 21745 a la familia de plugins Settings Configuraci n Este plugin detecta si las credenciales de Windows o SSH no permitieron que el an lisis inicie sesi n en el host remoto Cuando un inicio de sesi n se realiza correctamente este plugin no genera resultados A continuaci n se presenta un ejemplo de informe que se produjo al intentar iniciar sesi n en un equipo remoto con el nombre de usuario o contrase a incorrectos con Nessus 21 192 168 0 20 2 Vulnerability Summary Host Summary Completed Mar 1 2012 18 10 Remove Wulnerability Audit Trail Filters Mo Filters Add Filter E Clear Filters Plugin ID Host a Pot Plugin ID 21745 Port Service generalltcp Severlty Info Plugin Name Authentication Failure Local Checks Not Run 26919 Synopsis The local security checks are disabled 7 10736 Description The credentials provided for the scan did not allow us to log into the remote host or the remote operating
11. protecci n f sica necesaria para que solo las personas autorizadas pudieran acceder a l Este servidor podr a restringirse a n m s a trav s de un conmutador o firewall externo que solo le permitiera analizar redes espec ficas No instale software de firewall personal directamente en el sistema del analizador Nessus Recuerde que Nessus puede configurarse para analizar solamente redes espec ficas Este tipo de analizador no es tan til Considere la posibilidad de proporcionar acceso de red remoto al servidor Nessus admite conexiones HTTP al puerto 8834 de manera predeterminada Un firewall del sistema puede configurarse para aceptar solamente conexiones en el puerto 8834 de clientes de Nessus v lidos Si la caja se administrar u operar en forma remota tambi n puede usarse un acceso remoto seguro En Unix se puede usar el protocolo Shell seguro SSH Mantenga actualizado el demonio de SSH use contrase as seguras y o use t cnicas de autenticaci n m s seguras En servidores de Windows pueden usarse los Servicios de Terminal Server remotos para proporcionar comando y control a los servicios de Nessus Windows En ambos casos mantenga actualizado el sistema y no ejecute servicios de red innecesarios Consulte los Center for Internet Security CIS benchmarks Criterios de referencia del Center for Internet Security CIS para obtener orientaci n sobre fortalecimiento de sistemas Implementaci n segura de auditor as de SSH de Unix
12. que cambie sus directivas de seguridad locales de Windows de lo contrario podr an bloquear el acceso o los permisos inherentes Una directiva com n que afectar los an lisis con credenciales se encuentra en la siguiente ruta Administrative Tools Herramientas administrativas gt Local Security Policy Directiva de seguridad local gt Security Settings Configuraci n de seguridad gt Local Policies Directivas locales gt Security Options Opciones de seguridad gt Network access Sharing and security model for local accounts Acceso de red modelo de seguridad y uso compartido para cuentas locales Si esta directiva de seguridad local se establece con una configuraci n distinta de Classic local users authenticate as themselves Cl sico los usuarios locales se autentican como tales el an lisis de compatibilidad no se ejecutar correctamente Configuraci n en Windows 2008 Vista y 7 Al realizar an lisis autenticados en los sistemas Windows 2008 Vista o 7 existen varias opciones de configuraci n que deben habilitarse 1 En Windows Firewall Firewall de Windows gt Windows Firewall Settings Configuraci n de Firewall de Windows debe estar habilitado File and Printer Sharing Compartir archivos e impresoras 2 Alusar la herramienta gpedit msc a trav s del indicador Run Ejecutar invoque el Group Policy Object Editor Editor de objetos de directiva de grupo Despl cese hasta Local
13. system is not supported 11219 11011 10150 10394 10395 Risk Factor None Plugin Output it was not possible to log into the remote host via smb invalid credentials 10397 10785 10859 Plugin Publication Date 2006 06 23 10860 Plugin Last Modification Date 2011 08 30 21745 26917 Soluci n de problemas P C mo s si el an lisis local est funcionando R A menos que tenga un servidor completamente revisado es probable que los an lisis locales generen alg n tipo de informaci n de revisi n Seg n el sistema operativo tambi n generar n una variedad de auditor as de informaci n Tambi n puede resultar til quitar a Nessus de la ecuaci n y realizar una prueba para asegurarse de que las cuentas y las redes est n configuradas correctamente Desde el analizador Nessus use el comando simple de Unix id para ejecutar el siguiente comando ssh i home test nessus ssh key nessus 192 1 1 44 id Aseg rese de usar la direcci n IP del sistema con el que est configurada la relaci n de confianza y la cuenta de usuario en este caso el usuario es nessus Si el comando es correcto ver los resultados del comando id como si este se ejecutara en su sistema remoto En las auditor as de Unix la secuencia de comandos ssh_get_info nasl informar si la autenticaci n se realiz correctamente Si los inicios de sesi n de SSH no funcionan puede aumentar la opci n de report _verbosity de
14. Nessus UND aacci nsiasnidascnideineniceseniceincaicescnideiceniccalcncaldncnideaenidacad 21 Usode aroiivoS NESSUS ta cdi 21 USO DO AMCAIVOS NESSUSTO 2 a iia 21 Detecci n de fallas en las credencialesS coonccccnnncccnnnicocnnccncncnconnnnnnnnnnnnnnnrnnnnnrnnannrnnnnnrnnnnrrnnnnnrnannns 21 Soluci n de Dro DISIMAS oivicnidnenidan ido aio 22 Proleceion del AAA a 24 Por qu debo proteger el analizador cononnccnnncccoonononononacononcnconncnonononecononcn conan rnnnnnnnenanarenananennnanenenenro 24 Qu significa bloquear un analizador ooooooccccccnnncnnccccconccnnnccncnnnnanncnnnnnnnnnnc rn nnnnnnnn nr rrnnnnnnn nr rr nnnnnnnnrrrnnnnan 24 Implementaci n segura de auditor as de SSH de UNiX coonncccnnncicnnnnccconacccnnnncconanonononnnnnnnnnnrnnannnennnannnnans 24 Auditorias Seguras EN WINDOWS vedad cias 24 Para obtener m s informaci n s sssssnnunnnnunrrnnnnrnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nenna mennan nnnm ennnen 25 Acerca de Tenable Network Security A e aa 27 Introducci n Este documento describe c mo realizar an lisis de red autenticados con el analizador de vulnerabilidades Nessus de Tenable Network Security Los an lisis de red autenticados permiten que una auditor a de red remota obtenga datos basados en host tales como configuraciones de sistemas operativos y revisiones faltantes Env e sus comentarios o sugerencias por correo electr nico a supportOtenable com Nessus apr
15. Nunca use contrase as de SSH para realizar an lisis remotos Si analiza una red todo lo que los usuarios malintencionados o adversarios deber an hacer es ejecutar un demonio de SSH modificado y registrar el nombre de usuario y contrase a intentados Aunque tenga una combinaci n nica de nombre de usuario y contrase a para cada host el uso de contrase as est ticas sigue siendo vulnerable a la explotaci n Si inicia sesi n en un servidor con una contrase a en un sistema que se ha visto comprometido existe la posibilidad de que le roben la contrase a porque la contrase a en s atraviesa la conexi n SSH Una vez que se tiene propiedad sobre el servidor remoto el atacante puede sustituir el demonio SSH con el propio y as registrar las contrase as de conexiones entrantes Auditor as seguras en Windows Si la opci n Only use NTLMv2 Use s lo NTLMv2 est deshabilitada es posible en teor a enga ar a Nessus para que intente iniciar sesi n en un servidor de Windows con credenciales del dominio a trav s del protocolo NTLM versi n 1 Esto proporciona al atacante remoto la capacidad de usar un hash que se haya obtenido por medio de Nessus Es posible que este hash pueda descifrarse para revelar el nombre de usuario o la contrase a Tambi n se lo puede usar para iniciar sesi n directamente en otros servidores Obligue a Nessus a usar NTLMv2 habilitando la opci n Only use NTLMv2 Use s lo NTLMv2 al momento de
16. Windows Para configurarla se debe proporcionar la direcci n IP de Kerberos Domain Controller en realidad la direcci n IP de Servidor de Active Directory de Windows NTLMSSP NT Lan Manager Security Support Provider y LMv2 Si un esquema de seguridad ampliado tales como Kerberos o SPNEGO no es admitido o falla Nessus intentar iniciar sesi n a trav s de la autenticaci n NTLMSSP LMv2 Si esta acci n no da resultado Nessus intentar iniciar sesi n mediante la autenticaci n NTLM Nombres de usuario contrase as y dominios de Windows El campo de dominio de SMB es opcional y Nessus podr iniciar sesi n con las credenciales de dominio sin este campo El nombre de usuario la contrase a y el dominio opcional hacen referencia a una cuenta que el equipo de destino conoce Por ejemplo si se proporciona el nombre de usuario joesmith y la contrase a my4x4mp13 un servidor de Windows primero busca este nombre de usuario en la lista de usuarios del sistema local y luego determina si pertenece a un dominio de este El verdadero nombre de dominio solo es necesario si un nombre de cuenta que se encuentra en el dominio es distinto del que posee el equipo Es perfectamente posible tener una cuenta de Administrador en un servidor de Windows y en el dominio En este caso para iniciar sesi n en el servidor local el nombre de usuario del Administrador se usa junto con la contrase a de esa cuenta Para iniciar sesi n en el
17. ad con Nessus gu a de alto nivel para comprender y ejecutar las comprobaciones de compatibilidad con Nessus y SecurityCenter Nessus Compliance Checks Reference Referencia para comprobaciones de compatibilidad con Nessus gu a completa de la sintaxis de las comprobaciones de compatibilidad con Nessus Nessus v2 File Format Formato de archivos Nessus v2 describe la estructura del formato de archivos nessus que se introdujo a trav s de Nessus 3 2 y NessusClient 3 2 Nessus 5 0 REST Protocol Specification Especificaci n del protocolo REST en Nessus 5 0 describe la interfaz y el protocolo REST en Nessus Nessus 5 and Antivirus Nessus 5 y los antivirus describe c mo interact an con Nessus varios de los paquetes de software de seguridad m s utilizados y ofrece consejos y soluciones para permitir una mejor coexistencia con el software sin comprometer su seguridad u obstaculizar sus tareas de an lisis de vulnerabilidades Nessus 5 and Mobile Device Scanning Nessus 5 y el an lisis de dispositivos m viles describe c mo Nessus se integra con el Servidor de Active Directory de Windows y servidores de administraci n de dispositivos m viles para identificar los dispositivos m viles en uso en la red Nessus 5 0 and Scanning Virtual Machines Nessus 5 0 y el an lisis de m quinas virtuales describe c mo el analizador de vulnerabilidades Nessus de Tenable Network Security puede utilizarse para auditar la configuraci n de las pla
18. as los ejemplos y las pr cticas recomendadas se resaltan con este s mbolo y con letras blancas en cuadros de texto azules Descripci n general de las comprobaciones con credenciales de Nessus El analizador Nessus de Tenable es un eficaz analizador de vulnerabilidades de red con una amplia base de datos de plugins complementos que comprueban una amplia variedad de vulnerabilidades que podr an explotarse de forma remota Adem s del an lisis remoto el analizador Nessus tambi n puede usarse para detectar exposiciones locales Objetivo El an lisis externo de vulnerabilidades de redes es til para obtener una instant nea temporal de los servicios de red ofrecidos y de las vulnerabilidades que pueden contener Sin embargo solo se trata de una perspectiva externa Es importante determinar qu servicios locales se encuentran en ejecuci n e identificar exposiciones de seguridad a ataques locales u opciones de configuraci n que podr an exponer el sistema a ataques externos que tal vez no sean detectados por un an lisis externo En una evaluaci n de vulnerabilidades de red com n se realiza un an lisis remoto de los puntos de presencia externos y se realiza un an lisis in situ dentro de la red Ninguno de estos an lisis puede determinar las exposiciones locales en el sistema de destino Parte de la informaci n obtenida se basa en la informaci n de banner mostrada la cual puede ser no concluyente o incorrecta Mediante el uso de cre
19. asegurarse de que admita el algoritmo correcto Privilegios de usuario Para lograr la m xima eficacia el usuario de SSH debe tener la capacidad de ejecutar cualquier comando del sistema En los sistemas de Unix esto se conoce como privilegios root ra z Si bien es posible ejecutar algunas comprobaciones tales como niveles de revisi n con el acceso sin privilegios las comprobaciones de compatibilidad totales que auditan la configuraci n del sistema y los permisos de archivos requieren el acceso root ra z Por tal motivo se recomienda enf ticamente que se usen las claves de SSH en lugar de las credenciales cuando sea posible Requisitos de configuraci n de Kerberos Si se usa Kerberos sshd debe configurarse con la compatibilidad de Kerberos para verificar el ticket con el KDC Para que esto funcione las b squedas inversas de DNS deben configurarse correctamente El m todo de interacci n Kerberos debe ser gssapi with mic Habilitaci n de comprobaciones de seguridad locales de SSH en Unix Esta secci n tiene la finalidad de ofrecer un procedimiento de alto nivel para habilitar SSH entre los sistemas que est n involucrados en las comprobaciones con credenciales de Nessus No est destinada a cumplir la funci n de un tutorial detallado de SSH Se supone que el lector cuenta con conocimientos previos de los comandos del sistema de Unix Generaci n de las claves p blica y privada de SSH El primer paso consiste en gene
20. count Control UAC Control de cuentas de usuario de Windows tambi n puede deshabilitarse pero no se recomienda Para desactivar completamente el UAC abra el Panel de control seleccione User Accounts Cuentas de usuario y luego en Turn User Account Control On or Off Activar o desactivar el Control de cuentas de usuario seleccione Off Desactivar Opcionalmente puede a adir una nueva clave de registro denominada LocalAccountTokenFilterPolicy y establecer su valor en 1 Esta clave debe crearse en el registro en la siguiente ubicaci n HKLMISOFTWAREAMicrosoftXWindowslCurrentVersionlPoliciesisystemlLocalAccountTokenFil terPolicy Para obtener m s informaci n sobre esta opci n de registro consulte la MSDN 766945 KB Configuraci n de Nessus para inicios de sesi n en Windows Interfaz de usuario de Nessus A https localhost 3834 htmI5 html O Nessus vulnerability scanner 2 E Abra un explorador web y con ctese a la interfaz de usuario del analizador Nessus tal como se muestra en la figura anterior y haga clic en la ficha Policies Directivas Cree una nueva directiva o modifique una directiva actual y seleccione la ficha Credentials Credenciales que se encuentra a la izquierda Seleccione Windows credentials Credenciales de Windows del men desplegable que se encuentra en la parte superior como se muestra a continuaci n 20 Credentials Windows c
21. denciales seguras es posible que el analizador Nessus obtenga acceso local para analizar el sistema de destino sin necesidad de un agente Esto puede facilitar el an lisis de una red muy grande para determinar las exposiciones locales o las infracciones de compatibilidad El problema de seguridad m s com n de una organizaci n es que las revisiones de seguridad no se apliquen en el momento apropiado Los an lisis con credenciales de Nessus pueden determinar r pidamente cu les sistemas tienen instalaciones de revisi n desactualizadas Esto tiene una especial importancia cuando se hace p blica una nueva vulnerabilidad y la gerencia ejecutiva desea una respuesta r pida sobre el efecto que puede tener en la organizaci n Otro aspecto importante para las organizaciones es determinar la compatibilidad con las directivas del sitio las normas de la industria tales como los criterios de referencia del Center for Internet Security CIS o la legislaci n tal como Sarbanes Oxley SOX Gramm Leach Bliley GLBA o HIPAA Las organizaciones que aceptan informaci n de tarjetas de cr dito deben demostrar la compatibilidad con los Est ndares de seguridad de datos de la industria de tarjetas de pago Payment Card Industry Data Security Standards PCI DSS Hubo bastantes casos sumamente difundidos en los que qued expuesta la informaci n de tarjetas de cr dito de millones de clientes Esto representa una p rdida financiera significativa para
22. dominio tambi n se usar a el nombre de usuario del Administrador pero con la contrase a y el nombre del dominio Independientemente de las credenciales que se usen Nessus siempre intenta iniciar sesi n en un servidor de Windows con las siguientes combinaciones e Administrador sin contrase a e Un nombre de usuario y contrase a aleatorios para comprobar las cuentas de invitados e Ning n nombre de usuario ni contrase a para comprobar las sesiones nulas Comprobaciones con credenciales en plataformas de Unix El proceso descrito en esta secci n le permite realizar comprobaciones de seguridad locales en los sistemas basados en Unix como Linux Solaris Mac OS X El demonio de SSH que se usa en este ejemplo es OpenSSH Si cuenta con una variante comercial de SSH es posible que su procedimiento sea ligeramente distinto Para habilitar las comprobaciones de seguridad locales se pueden usar dos m todos b sicos 1 Uso de un par de claves privada p blica de SSH 2 Credenciales de usuario y acceso a sudo o credenciales para acceso a su Requisitos previos Requisitos de configuraci n de SSH Nessus 5 admite los algoritmos blowfish CBC AESXXX CBC AES128 AES192 y AES256 3DES CBC y AES CTR Algunas variantes comerciales de SSH no admiten el algoritmo blowfish posiblemente por motivos de exportaci n Tambi n es posible configurar un servidor SSH para aceptar solo algunos tipos de cifrado Compruebe su servidor SSH para
23. elaci n de confianza por la que un usuario puede iniciar sesi n en cada uno de los hosts de Unix desde los analizadores Nessus Si la seguridad de los analizadores Nessus se ve comprometida se deben generar nuevos pares de claves p blica privada de SSH 14 Comprobaciones con credenciales en plataformas de Windows Requisitos previos Privilegios de usuario Un error muy com n consiste en crear una cuenta local que no tiene suficientes privilegios para iniciar sesi n en forma remota ni para realizar ninguna acci n til De manera predeterminada Windows asignar a las nuevas cuentas locales privilegios de invitado si inician sesi n en forma remota De este modo se impide que las auditor as de vulnerabilidades remotas se realicen correctamente Otro error com n es ampliar el acceso que obtienen los usuarios invitados De este modo se reduce la seguridad del servidor Windows Habilitaci n de inicios de sesi n en Windows para auditor as locales y remotas El aspecto m s importante en cuanto a las credenciales de Windows es que la cuenta que se usa para realizar las comprobaciones debe tener privilegios para acceder a todas las entradas de registro y los archivos requeridos y en muchos casos esto significa privilegios administrativos Si a Nessus no se le proporcionan las credenciales para una cuenta administrativa a lo sumo puede usarse en la realizaci n de comprobaciones del registro para verificar las revisiones S
24. en Submit Enviar que se encuentra en la parte inferior de la ventana para finalizar la configuraci n La nueva directiva de an lisis se a adir a la lista de directivas de an lisis administradas L nea de comandos de Nessus Unix La compatibilidad de Nessus para comprobaciones basadas en hosts se encuentra disponible en Nessus 2 2 0 y versiones posteriores y requiere que la compatibilidad con SSL est compilada Ejecute el comando nessusd d para asegurarse de tener la versi n correcta y las bibliotecas SSL de la siguiente manera nessusd d Leori ecin ns a a a aeea ts Nes SUS oO I RA O0 ror ino laS ee compiled with gee ens ton ai A OO o Red Har a an Current setup Moe es5b x80 nasl e Ol libnessus Ral Sisi is sol ose ele Sl a Co Mie canoa Running as euid O Magic hash 49edd1433ffad7b87b446a4201faeedf pens sk Operas 009 ts aa o Uso de archivos nessus Nessus cuenta con capacidad para guardar directivas de an lisis configuradas destinos de red e informes como archivos nessus La secci n presentada anteriormente Interfaz de usuario de Nessus describe c mo crear un archivo nessus que contiene credenciales de SSH Para obtener instrucciones sobre c mo ejecutar un an lisis de l neas de comandos mediante el archivo nessus consulte la Nessus User Guide Gu a del usuario de Nessus disponible en http www tenable com products nessus documentation Uso
25. es en el directorio de aplicaci n principal de Nessus que se encuentra en el sistema que ejecuta Nessus C Program Files Tenable Nessus de manera predeterminada y luego copien la clave p blica en los sistemas de destino seg n sea necesario Esto facilita la administraci n de los archivos de las claves p blica y privada Creaci n de una cuenta de usuario y configuraci n de la clave de SSH En todo sistema de destino que se analizar con las comprobaciones de seguridad locales cree una nueva cuenta de usuario dedicada a Nessus Esta cuenta de usuario debe tener exactamente el mismo nombre en todos los sistemas En este documento el usuario se denominar nessus pero es posible usar cualquier nombre Una vez que haya creado la cuenta para el usuario aseg rese de que la cuenta no tenga ninguna contrase a v lida establecida En los sistemas Linux las nuevas cuentas de usuario est n bloqueadas de manera predeterminada a menos que se haya establecido expl citamente una contrase a inicial Si usa una cuenta para la que se hab a establecido una contrase a use el comando passwd 1 para bloquear la cuenta Tambi n debe crear bajo el directorio principal de la nueva cuenta el directorio para mantener la clave p blica A los fines de este ejercicio el directorio ser home nessus ssh A continuaci n se presenta un ejemplo para los sistemas Linux passwd 1 nessus cd home nessus mkdir ssh Pa
26. eso a este archivo solo funcionar con una cuenta de administrador local si la directiva Network access Sharing and security model for local accounts Acceso a la red modelo de seguridad y uso compartido para cuentas locales se cambia a Classic local users authenticate as themselves Cl sico los usuarios locales se autentican como tales Una auditor a para compatibilidad con SCAP requiere enviar un ejecutable al host remoto En los sistemas que ejecutan software de seguridad por ejemplo McAfee Host Intrusion Prevention este puede bloquear o poner en cuarentena el ejecutable necesario para la auditor a En estos sistemas se debe hacer una excepci n para el host o el ejecutable enviado Tecnolog as usadas El desaf o de realizar un an lisis con credenciales consiste en lograr que la provisi n de las credenciales privilegiadas al analizador se haga autom ticamente y de una forma segura Se frustrar a definitivamente el objetivo de detectar exposiciones de seguridad si al hacerlo se produjera una exposici n a n mayor Nessus admite el uso de varios m todos seguros para resolver este problema tanto en plataformas de Unix como de Windows Sistemas de Unix En los sistemas de Unix Nessus usa programas basados en la versi n 2 del protocolo Shell seguro SSH por ejemplo OpenSSH Solaris SSH etc para las comprobaciones basadas en hosts Este mecanismo permite cifrar los datos que se encuentran en tr nsito para im
27. i bien este es un m todo v lido para determinar si una revisi n se encuentra instalada es incompatible con algunas herramientas de administraci n de revisiones de terceros que pueden omitir el establecimiento de la clave en la directiva Si Nessus tiene privilegios administrativos comprobar efectivamente la versi n de la biblioteca de v nculos din micos d11 en el host remoto lo cual es mucho m s preciso Configuraci n de una cuenta local Para configurar un servidor de Windows independiente con las credenciales que se usar n que no forme parte de un dominio simplemente cree una cuenta nica como administrador Aseg rese de que la configuraci n de esta cuenta no est definida de la manera predeterminada t pica como Guest only local users authenticate as guest Solo invitado los usuarios locales se autentican como invitados En su lugar cambie a la configuraci n Classic local users authenticate as themselves Cl sico los usuarios locales se autentican como tales Para configurar el servidor con el fin de permitir inicios de sesi n desde una cuenta de dominio debe invocarse el modelo de seguridad Classic Cl sico Para realizar esta acci n siga estos pasos 1 Abra Group Policy Directiva de grupo para ello haga clic en start inicio luego haga clic en Run Ejecutar escriba gpedit msc y luego haga clic en OK Aceptar 2 Seleccione Computer Configuration Co
28. inistrative Templates Network Network Connections Windows FirewalllDomain Profile Configuraci n del equipo Directivas Plantillas administrativas lRed Conexiones de redlFirewall de Windows Perfil de dominio Nota la raz n principal por la que est configurado el Perfil de dominio y no el perfil est ndar es que el Perfil de dominio se aplicar solo cuando Windows determine que est conectado a una red que es parte del dominio del que es miembro El perfil est ndar se aplicar cuando los hosts no puedan determinar si se encuentra en una red parte del dominio o en una red p blica por lo que minimizar la exposici n a los puertos WMI disminuir el riesgo Seleccione Windows Firewall Define inbound program exceptions Firewall de Windows definir excepciones de programas entrantes y luego haga clic derecho y seleccione Edit Editar o haga doble clic en l con el mouse Seleccione Enabled Habilitado Haga clic en Show Mostrar En las definiciones de Program Exceptions Excepciones de programas escriba o Y windirY isystem32lwobeminsecapp exe enable wmi o Y windir isystem32Mdllhost exe enable ddlhost o Nota en las entradas anteriores es el caracter comod n para permitir que cualquier direcci n IP en el dominio se conecte a estos servicios puede hacer esto m s seguro permitiendo solo las direcciones IP o intervalos en los que las herramientas de administrador se conecten al puerto o donde se encuentre la direcci
29. istema que aloja la clave p blica Establezca los permisos del directorio home nessus ssh y del archivo authorized keys chown R nessus nessus nessus ssh chmod 0600 nessus ssh authorized keys chmod 0700 nessus ssh Repita este proceso en todos los sistemas que se probar n para realizar comprobaciones de SSH debe comenzar conforme a la secci n anterior Creaci n de una cuenta de usuario y configuraci n de la clave de SSH Realice una prueba para asegurarse de que las cuentas y las redes est n configuradas correctamente Desde el analizador Nessus use el comando simple de Unix id para ejecutar el siguiente comando ssh i home test nessus ssh key nessus 192 1 1 44 id uid 252 nessus gid 250 tns groups 250 tns Si proporciona informaci n sobre el usuario de nessus en forma correcta significa que el intercambio de claves se realiz correctamente Configuraci n de Nessus para comprobaciones basadas en hosts de SSH Interfaz de usuario de Nessus Si a n no lo hizo realice una copia segura de los archivos de las claves privada y p blica en el sistema que usar para acceder al analizador Nessus https localhost 3834 htmI5 html O Nessus vulnerability scanner 2 a Abra un explorador web y con ctese a la interfaz de usuario del analizador Nessus tal como se mostr anteriormente y haga clic en la ficha Policies Directivas Cree una nue
30. l an lisis Esta acci n impide que un servidor de Windows hostil use NTLM y reciba un hash NTLMv2 puede usar la SMB Signing Firma SMB Aseg rese de que la SMB Signing Firma SMB est habilitada en todos sus servidores de Windows para impedir que los servidores que reciban un hash de un an lisis Nessus vuelvan a usarlo Adem s aseg rese de imponer una directiva que exija el uso de contrase as seguras que no puedan descifrarse con facilidad a trav s de ataques por diccionario con herramientas como John the Ripper y LOphtCrack Tenga en cuenta que ha habido distintos tipos de ataques contra la seguridad de Windows para extraer hashes de equipos con el fin de volver a usarlos en servidores hostiles SMB Signing Firma SMB a ade una capa de seguridad para impedir estos ataques de tipo Man in the middle intermediarios 24 Para obtener m s informaci n Tenable ha producido una variedad de otros documentos en los que se detallan la instalaci n implementaci n configuraci n operaci n del usuario y pruebas generales de Nessus Nessus 5 2 Installation and Configuration Guide Gu a de instalaci n y configuraci n de Nessus 5 2 instrucciones paso a paso sobre la instalaci n y la configuraci n Nessus 5 2 User Guide Gu a del usuario de Nessus instrucciones sobre c mo configurar y operar la interfaz de usuario de Nessus Nessus Compliance Checks Comprobaciones de compatibilid
31. los bancos responsables de restituir pagos y cuantiosas multas o p rdida de la capacidad de aceptaci n de tarjetas de cr dito por parte del procesador o el comerciante perjudicado Nivel de acceso Los an lisis con credenciales pueden realizar cualquier operaci n que pueda hacer un usuario local El nivel de an lisis depende de los privilegios que se le hayan otorgado a la cuenta de usuario que Nessus est configurado para usar Los usuarios que no tienen privilegios pero que cuentan con acceso local en los sistemas de Unix pueden determinar problemas de seguridad b sicos tales como entradas y niveles de revisi n en el archivo etc passwd Para obtener informaci n m s detallada como datos de configuraci n del sistema o permisos de archivos para todo el sistema se requiere una cuenta con privilegios root ra z Los an lisis con credenciales en los sistemas de Windows requieren que se use una cuenta de administrador Varias actualizaciones de software y boletines de Microsoft han provocado que la lectura del registro para determinar el nivel de revisi n de software no sea confiable sin los privilegios de administrador Es necesario contar con acceso administrativo para realizar una lectura directa del sistema de archivos Esto permite que Nessus se instale en un equipo y realice un an lisis de archivos directo para determinar el verdadero nivel de revisi n de los sistemas que se encuentran en evaluaci n En Windows XP Pro el acc
32. ndows o SSH no permitieron que el an lisis inicie sesi n en el host remoto P Qu otros problemas pueden presentarse en las comprobaciones de hosts R Hay varias cosas que pueden bloquear el acceso A continuaci n se presentan algunas que deben tenerse en cuenta e Firewalls de red que filtran el puerto 22 para SSH en Unix o el puerto 445 para Windows e Firewalls basados en hosts que bloquean las conexiones a los puertos mencionados e En los sistemas de Unix los administradores que trasladan SSH a otros puertos que no sean el 22 e Algunos sistemas de prevenci n de intrusi n de red y host que impiden el acceso remoto e El equipo que est analizando no es un servidor de Unix o Windows y podr a ser una impresora enrutador m quina de fax o dispositivo de pantalla de video P Estoy probando conexiones SSH desde el indicador de shell de hosts de destino de an lisis hasta el sistema Nessus para garantizar que haya una conectividad correcta Veo que se demora en conectarse por qu R Lo m s probable es que esto se deba a que el sistema realiza una b squeda de DNS cuando DNS tiene una configuraci n err nea Si su sitio usa DNS comun quese con su administrador de DNS para abordar problemas de configuraci n Uno de los aspectos que podr a causar problemas es la falta de zonas de b squeda inversa Para probar las b squedas de DNS realice lo siguiente host IP _ADRR_OF NESSUS SERVER Si tiene instalado dig tambi n se p
33. nfiguraci n del equipo gt Windows Settings Configuraci n de Windows gt Security Settings Configuraci n de seguridad gt Local Policies Directivas locales gt Security Options Opciones de seguridad 3 En la lista de directivas abra Network access Sharing and security model for local accounts Acceso de red modelo de seguridad y uso compartido para cuentas locales 4 En este cuadro de di logo seleccione Classic local users authenticate as themselves Cl sico los usuarios locales se autentican como tales y luego haga clic en OK Aceptar para guardarlo Esto permitir que los usuarios locales del dominio se autentiquen como tales aunque en realidad no sean f sicamente locales en tal servidor Si no se realiza esta acci n todos los usuarios remotos incluidos los usuarios reales del dominio se autenticar n como invitado y es probable que no tengan las credenciales suficientes para realizar una auditor a remota Tenga en cuenta que la herramienta gpedit msc no est disponible en algunas versiones como Windows 7 Home que no es compatible con Tenable Configuraci n de una cuenta de dominio para an lisis autenticados Para crear una cuenta de dominio para auditor as remotas basadas en hosts de un servidor de Windows en primer lugar el servidor debe ser Windows Vista Windows XP Pro Windows 2003 Windows 2008 Windows 7 o Windows 8 y debe formar parte de un dominio Debe
34. nnnnnnnrnnnnnnnos 7 ls A A 8 Requisitos de configuraci n de KerberOS ooocccoccccccnccccccoonconcnonononnnnonnronnnnnonrnnnnnnnnnnnnnrnnnnnnnnrnnnnrnnnnnnnnrnnnanos 8 Habilitaci n de comprobaciones de seguridad locales de SSH en UNIX cooocanccccnnncciconccacocconcanoncnnannnonnnnnas 8 Generaci n de las claves p blica y privada de SSH oocccccccncccccnonocnccncnnnnncnononnnonnnnonnnnnnnnnnnoncnnnonnnonarnnnnnnns 8 Creaci n de una cuenta de usuario y configuraci n de la clave de SSH occoncccccnccccnnccnccncncnannnnnnnnncnonanonos 8 EJIDO eE E E E E o E 9 Configuraci n de Nessus para comprobaciones basadas en hosts de SSH 00cccconncccconccccncncnonanaconnanns 10 Interfaz de usuario de NeSSUS ocooccccccoccconcococononcnonnnorocononrncnnonrnonnnnnrnnnnnrrennnnnnrnnnnnnrnnnnnnrnnrnnncnnnnnncnnenanennnns 10 Linea de comandos de Nessus UND arenosos alacena lead buds 13 Usode archivos NESSUS tie 13 Uso d archivos MESS inte 13 Uso de credenciales de SSH con Tenable SecurityCenter ooccconnccnocconocconoconncnonacenannnnannnnnronanrnnarenannnnanas 14 Comprobaciones con credenciales en plataformas de WiNndOWS occoncconnnccnnincnconacenacconanonanonans 15 REQUISIOS PIES ci 15 HA A AA e e E o E E 15 Habilitaci n de inicios de sesi n en Windows para auditor as locales y remotas ooccconcccncnccnononnonar 15 Configuraci n de una cuenta lOCAl oocccconcococcncconnnononnncnnnnonncnnonnnnnnnnnnnnnnnonnnnonnrnnnnnn
35. nnnnrnnnnnnnnnnrnnonans 15 Configuraci n de una cuenta de dominio para an lisis autenticados ccocccocnconnccnnconnconnnonnconnnonnnononos 15 Paso 1 crear un grupo de Seguridad ccccccoooncnnccccconcnonononononnnnnnonnnnnnnonnnnnnnnnnnnnrnnnnnnnnnrnnnnnnnnnrnnnnnnnnnrnnnnrnnnnrinnnnnnas 16 Paso 2 cree una directiva de grupo snscinserrasito ii 16 Paso 3 configure la directiva para agregar el grupo Nessus Local Access Acceso local a Nessus como Administrators AdMINIStadores aecacoonioiiscioc ie tai 16 Paso 4 garantice que los puertos correspondientes est n abiertos en el firewall para que Nessus se conecte al 1 A E e e e a o OS UU A 16 Permiso de WMI en el Firewall de Windows XP y 2008 ooocccoocccncccccoccconccononccononononccononononcnnnnnonannrnnononancnnnenonanenos 16 Permiso de WMI en el Firewall de Windows Vista 7 8 2008 2008R2 y 2012 occcocccccccccccccncconcncconcnoconenononenos 18 Paso o VINCUIAr GRO csi tico E E E A E AR EEEN 18 Configuraci n en Windows XP y 2003 ooccccoccccoccccccccnccccnoconnnnoncnonnnononnnnnnnnnnnnnnnnnnnnnnnnnnnnnrnnnnnnnonnrnnnnnninnnos 18 Configuraci n en Windows 2008 Vista y 7 cocooccccoccnccccnccoccnncocnnononnnnnnnnnonnnonnnnnnnnnnonnrnnnnnnnonnrnnnnnnnnnnnnnnnons 19 Configuraci n de Nessus para inicios de sesi n en Windows ocncccocncccnncncccnncnnnonnnacncnannnonnnnnnnnannnnnnannns 20 mterlaz d usuario de NesSUS isa citada dit 20 Linea de Comandos de
36. os servicios que requieren autenticaci n de Kerberos Los usuarios obtienen autenticaci n de Kerberos al solicitar un ticket de concesi n de tickets Ticket Granting Ticket TGT Cuando a un usuario se le concede un TGT puede usarlo para solicitar tickets de servicio desde el KDC y as poder utilizar otros servicios basados en Kerberos Kerberos usa el protocolo de cifrado DES Data Encryption Standard Est ndar de cifrado de datos en modo CBC Cipher Block Chain Encadenamiento de bloques de cifrado para cifrar todas las comunicaciones La implementaci n de Nessus de la autenticaci n Kerberos para SSH admite los algoritmos de cifrado aes cbc y aes ctr A continuaci n se presenta una descripci n general del modo en que Nessus interact a con Kerberos e El usuario final proporciona la IP del KDC e nessusd le pregunta a sshd si admite la autenticaci n Kerberos e sshd responde que s e nessusd Solicita el TGT de Kerberos junto con la identificaci n de inicio de sesi n y la contrase a e Kerberos le vuelve a enviar un ticket a nessusd e nessusdle da el ticket a sshd e nessusd inicia sesi n Sistemas de Windows Nessus admite distintos m todos de autenticaci n para sistemas basados en Windows Cada uno de estos m todos requiere un nombre de usuario contrase a y nombre de dominio a veces es opcional para la autenticaci n LANMAN El m todo de autenticaci n Lanman se sol a usar en Windows NT y en las primeras
37. ovecha la capacidad de iniciar sesi n en hosts de Unix remotos a trav s del protocolo Shell seguro SSH Para hosts de Windows Nessus usa una variedad de tecnolog as de autenticaci n de Microsoft Tenga en cuenta que Nessus tambi n usa el Protocolo simple de administraci n de redes SNMP para realizar consultas sobre informaci n y versiones a enrutadores y conmutadores Si bien este es un tipo de comprobaciones locales no se menciona en este documento Este documento hace amplia referencia a Nessus pero los conceptos b sicos tambi n son v lidos para SecurityCenter de Tenable Est ndares y convenciones En toda la documentaci n los nombres de archivo demonios y archivos ejecutables se indican con fuente courier negrita por ejemplo gunzip httpd y etc passwd Las opciones de l neas de comandos y las palabras clave tambi n se indican con fuente courier negrita Los ejemplos de l neas de comandos pueden incluir o no el indicador de la l nea de comandos y el texto de salida de los resultados del comando Los ejemplos de l neas de comandos mostrar n el comando ejecutado en courier negrita para indicar lo que el usuario escribi mientras que el resultado de muestra generado por el sistema se indicar en courier normal Este es un ejemplo de ejecuci n del comando pwd de Unix pwd home test A Las consideraciones y notas importantes se resaltan con este s mbolo y cuadros de texto grises Las sugerenci
38. pedir que los detecten los programas husmeadores detectores de paquetes sniffers Nessus es compatible con tres tipos de m todos de autenticaci n para usar con SSH nombre de usuario y contrase a claves p blicas privadas y Kerberos Nombre de usuario y contrase a Si bien lo admite Tenable no recomienda el uso de un nombre de usuario y contrase a para la autenticaci n con SSH Las contrase as est ticas est n sujetas a ataques de tipo Man in the middle intermediarios y por fuerza bruta cuando se han usado durante un per odo prolongado Claves p blicas privadas El cifrado de clave p blica tambi n conocido como cifrado de clave asim trica brinda un mecanismo de autenticaci n m s seguro mediante el uso de un par de claves una p blica y otra privada En la criptograf a asim trica la clave p blica se usa para cifrar datos y la clave privada se usa para descifrarlos El uso de claves p blica y privada es una forma m s segura y flexible para la autenticaci n de SSH Nessus admite los formatos de clave DSA y RSA Kerberos Kerberos desarrollado por Project Athena del MIT es una aplicaci n de cliente servidor que usa un protocolo de cifrado de clave sim trica En el cifrado sim trico la clave que se usa para cifrar los datos es igual a la clave que se usa para descifrar los datos Las organizaciones usan un Centro de distribuci n de claves Key Distribution Center KDC que contiene todos los usuarios y l
39. ra los sistemas Solaris 10 Sun ha mejorado el comando passwd 1 para distinguir entre las cuentas bloqueadas y las cuentas sin inicio de sesi n La finalidad es garantizar que una cuenta de usuario que se haya bloqueado no pueda usarse para ejecutar comandos por ejemplo los trabajos cron Las cuentas sin inicio de sesi n solo se usan para ejecutar comandos y no admiten una sesi n de inicio interactiva Estas cuentas tienen el token s mbolo NP en el campo de contrase a de etc shadow Para establecer una cuenta sin inicio de sesi n y crear el directorio de clave p blica de SSH en Solaris 10 ejecute los siguientes comandos passwd N nessus grep nessus etc shadow Mess le NE T o cd export home nessus mkdir ssh Ahora una vez creada la cuenta de usuario debe transferir la clave al sistema colocarla en el directorio correspondiente y establecer los permisos correctos Ejemplo Desde el sistema que contiene las claves realice una copia segura de la clave p blica en el sistema que se analizar para realizar comprobaciones de host como se muestra a continuaci n 192 1 1 44 es un sistema remoto de ejemplo que se probar con las comprobaciones en host Tambi n se puede copiar el archivo desde el sistema que tiene instalado Nessus con el comando FTP seguro sftp Tenga en cuenta que el archivo del sistema de destino debe nombrarse authorized _keys Vuelva al s
40. rar un par de claves privada p blica para que el analizador Nessus las use Este par de claves puede generarse desde cualquiera de los sistemas de Unix con cualquier cuenta de usuario Sin embargo es importante que las claves pertenezcan al usuario de Nessus definido Para generar el par de claves use ssh keygen y guarde la clave en un lugar seguro En el siguiente ejemplo las claves se generan en una instalaci n Red Hat ES 3 ssh keygen t dsa Cencrat ing pPUDIIC private ose key paoir Enter file in which to save the key Users test ssh id dsa home test Nessus ssh key Enter passphrase empty for no passphrase Enter same passphrase again YOU centrica riton nas Deen eave dim home test Nessus ssh key Your public key has been saved in home test Nessus ssh key pub The key fingerprint 1s 0o das raso ces Di di Son las a Sion li ea No transfiera la clave privada a ning n sistema que no sea el que ejecuta el servidor Nessus Cuando ssh keygen le solicite una frase de contrase a introduzca una frase segura o bien presione dos veces la tecla Return Intro es decir no establezca ninguna frase de contrase a Si se especifica una frase de contrase a se la debe especificar en las opciones Policies Directivas gt Credentials Credenciales gt SSH settings Configuraci n de SSH a fin de que Nessus use la autenticaci n basada en claves Se sugiere que los usuarios de Nessus Windows copien las dos clav
41. redentials Compliance Credential Type Windows credentials ha SMB account admin SME password AILLLLLT SME domain optional SME password type Password T Additional SMB account 1 Additional SMIB password 1 Additional SME domain optional 1 Especifique el nombre de cuenta de SMB la contrase a y el dominio opcional Al llegar a este punto haga clic en Submit Enviar que se encuentra en la parte inferior de la ventana para finalizar la configuraci n La nueva directiva de an lisis se a adir a la lista de directivas de an lisis administradas L nea de comandos de Nessus Unix Uso de archivos nessus Nessus cuenta con capacidad para guardar directivas de an lisis configuradas destinos de red e informes como archivos nessus La secci n presentada anteriormente Interfaz de usuario de Nessus describe c mo crear un archivo nessus que contiene credenciales de Windows Para obtener instrucciones sobre c mo ejecutar un an lisis de l neas de comandos mediante el archivo nessus consulte la Nessus User Guide Gu a del usuario de Nessus disponible en http www tenable com products nessus documentation Uso de archivos nessusrc Si crea un archivo nessusrc en forma manual existen tres entradas que permiten realizar la configuraci n de nombre de usuario contrase a y dominio opcional como se muestra a continuaci n ocio no on Sn ME e Losa O e oa ose sola Sula
42. sea que usen e Haga clic derecho en la directiva Nessus Scan GPO GPO de an lisis de Nessus y seleccione Edit Editar e Expanda Computer configuration Policies Windows Settings Security Settings Restricted Groups Configuraci n del equipo Directivas Configuraci n de Windows Configuraci n de seguridad Grupos restringidos e En el panel izquierdo en Restricted Groups Grupos restringidos haga clic derecho y seleccione Add Group Agregar grupo e Enel cuadro de di logo Add Group Agregar grupo seleccione browse explorar y escriba Nessus Local Access Acceso local a Nessus luego haga clic en Check Names Verificar nombres e Haga clic en OK Aceptar dos veces para cerrar el cuadro de di logo e Haga clic en Add Agregar en This group is a member of Este grupo es miembro de e Agregue el grupo Administrators Administradores e Haga clic en OK Aceptar dos veces Paso 4 garantice que los puertos correspondientes est n abiertos en el firewall para que Nessus se conecte al host Nessus utiliza SMB Bloque de mensajes del servidor y WMI Instrumentaci n de administraci n de Windows por esto es necesario asegurarnos de que el Firewall de Windows permita acceso al sistema Permiso de WMI en el Firewall de Windows XP y 2003 e Haga clic derecho en la directiva Nessus Scan GPO GPO de an lisis de Nessus y seleccione Edit Editar Expanda Computer configuration Policiesl Adm
43. su an lisis Nessus a Verbose Detallado De esta manera se mostrar cualquier mensaje de diagn stico o error mientras esta secuencia de comandos se encuentre en ejecuci n Para las auditor as de Windows las secuencias de comandos smb_login nasl y smb registry access nasl indican si la identificaci n de inicio de sesi n y contrase a proporcionadas durante el an lisis funcionaron y si fue posible leer el registro remoto smb_registry full access nasl advierte solo si no fue posible leer completamente el registro La observaci n de los resultados de las comprobaciones basadas en hosts para las auditor as de un servidor Windows mostrar c mo funcionaron las credenciales Adem s la secuencia de comandos hostlevel check failed nasl detecta si las credenciales de Windows o SSH no permitieron que el an lisis inicie sesi n en el host remoto 22 P C mo s si el an lisis local no est funcionando R En los sistemas de Windows los eventos de error de inicio de sesi n se generar n en el servidor Si se encuentra en uso un controlador de dominio los eventos de error de inicio de sesi n tambi n se guardar n en esa ubicaci n En los sistemas de Unix los errores de inicio de sesi n aparecer n en los registros del sistema por ejemplo var log messages a menos que un controlador Kerberos remoto se encuentre en uso Adem s la secuencia de comandos hostlevel check failed nasl detecta si las credenciales de Wi
44. taformas virtuales y tambi n el software que se est ejecutando en ellas Strategic Anti malware Monitoring with Nessus PVS and LCE Supervisi n estrat gica anti malware con Nessus PVS y LCE describe c mo la plataforma USM de Tenable puede detectar una amplia variedad de software malicioso e identificar y determinar la gravedad de las infecciones de malware Patch Management Integration Integraci n de administraci n de revisiones este documento describe c mo Nessus y SecurityCenter pueden aprovechar credenciales en los sistemas de administraci n de revisiones IBM TEM Microsoft WSUS y SCCM VMware Go y Red Hat Network Satellite para ejecutar auditor as de revisiones en sistemas para los que pueda no haber credenciales disponibles para el analizador Nessus Real Time Compliance Monitoring Supervisi n de compatibilidad en tiempo real describe el modo en que pueden usarse las soluciones de Tenable para colaborar con el cumplimiento de distintos tipos de normas gubernamentales y financieras Tenable Products Plugin Families Familias de plugins de productos de Tenable ofrece una descripci n y un resumen de las familias de plugins para Nessus el Log Correlation Engine Motor de correlaci n de registros de eventos y el Passive Vulnerability Scanner Analizador pasivo de vulnerabilidades 25 e SecurityCenter Administration Guide Gu a de administraci n de SecurityCenter Estos son otros recursos en l nea e Foro
45. tenable network security Comprobaciones con credenciales Nessus para Unix y Windows 17 de enero de 2014 Revisi n 32 ndice INNFA a 4 Est ndares y COnvencioneS sssssssnnnnnrnnnnnrnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn mennan nn nnnnnnnnnn nnn nnn nennen nnen n nennen nennen 4 Descripci n general de las comprobaciones con credenciales de NesSsSuS coocccocnccconcconnnccnanccnonnnenannnos 4 A A e 4 EVE o AA yy o E o A 5 Tecnolog as USADAS occcoccccccnccocnnnonnnnnnon ocn RR enn eran rrnnnennrnenaninnns 5 Sistemas de UR asicana isbn do acidos 5 Nombre de usuario y CONTAS NA cncicnsiicioiicie isis 6 Claves p blicaS priVadaS cooooonncccnnnccccnnonnncnnnnnnnnnnnnnnnnnn nro RR RR RR Eoia Ta SA ES 6 A EEE E eS RE A 6 Sistemas de WINdGOWS era ias 6 CANTAN oc 6 NTCENMSANTENIVA tdci etoio 6 A e ES o o e E O O IA 6 SPNE O A e e PU Pe e UE EE 0 A 7 A Ag e E OO o EA 7 NTLMSSP NT Lan Manager Security Support Provider y LMv2 ooocccccnccccccconnccnnncccnnnnonnconnnnonononanncnnnnnnnnnnos 7 Nombres de usuario contrase as y dominios de WiNdOWS occcccooccncccoccnnccnncnnconanennnnoncnnononcnnnonancnnononrnnonancnncnnas 7 Comprobaciones con credenciales en plataformas de UNIX ooncconcconncococcnncconoconacenncnonanonanennnnonanes 7 REQUISITOS DEMI aii AA AAA AA A AAA 7 Requisitos de configuraci n de SSH occcccccncccccncnocncnonnnonncncnncnononnnnnnrnnnnnnnnnnrnnnnnnnnnnrnnnnnnnnnnnnnnnrn
46. tyCenter Para usar las credenciales de SSH con SecurityCenter cargue las claves p blica y privada de SSH en la consola de SecurityCenter No las instale directamente en los analizadores Nessus ya que SecurityCenter descarga estas credenciales en el analizador Nessus cuando se inicia el an lisis A continuaci n se presenta un ejemplo de una parte de la pantalla Edit Scan Options Editar opciones de an lisis al editar las opciones de una directiva Los ltimos tres campos se usan para especificar una cuenta y las claves p blica y privada de SSH espec ficas que se usar n al realizar pruebas La clave p blica de SSH debe colocarse en cada host de Unix al que se le realizar n las comprobaciones locales SH Username SoH Public Key SoH Private Kery SecurityCenter incluye varias directivas de vulnerabilidades predefinidas que tienen habilitadas todas las comprobaciones locales para cada sistema operativo individual Sin embargo estas directivas deben copiarse y luego tener a adido un par espec fico de claves p blica privada de SSH as como una cuenta de usuario espec fica para que puedan usarse en forma operativa Los pares de claves p blica privada de SSH son administrados por SecurityCenter y se trasladar n a cada analizador Nessus administrado Una vez que estas claves p blicas de SSH est n instaladas en los hosts Unix deseados y las claves privadas est n instaladas bajo SecurityCenter se crea una r
47. uditor a que se ha a adido al archivo etc sudoers en el sistema que se analizar La contrase a proporcionada es la misma que para la cuenta audit auditor a no la contrase a ra z Las claves de SSH se corresponden con las claves generadas para la cuenta audit auditor a Compliance Credentials SSH settings Credential Type 55H settings r 55H user name root 55H password unsafe 55H public key to use ssh_key pub X 55H private key to use ssh_key X Passphrase for 55H key Elevate privileges with Nothing la Privilege elevation binary path directory su login Escalation account root Si usa Kerberos debe configurar un analizador Nessus para autenticarlo en un KDC En el men desplegable seleccione Kerberos configuration Configuraci n de Kerberos como se muestra a continuaci n Compliance Credentials Kerberos configuration Credential Type Kerberos configuration w Kerberos Key Distribution Center KOC Kerberos KDE Port ga Kerberos KDC Transport tcp ha Kerberos Realm 55H only 12 El puerto de KDC predeterminado es 88 y el protocolo de transporte predeterminado es udp El otro valor para el transporte es tcp Por ltimo el nombre Kerberos Realm y la direcci n IP del KDC son obligatorios A Tenga en cuenta que ya debe tener un entorno Kerberos establecido para usar este m todo de autenticaci n Al llegar a este punto haga clic
48. uede comprobar con lo siguiente dig x IP_ADRR OF NESSUS SERVER Si su sitio no usa DNS los siguientes pasos omitir n el intento de realizar b squedas de DNS 1 Edite el archivo etc nsswitch conf para que las l neas de hosts tengan la leyenda hosts files Nota es posible que esto no se aplique a todas las versiones de OpenSSH 2 A ada el IP o el nombre del servidor que ejecuta Nessus en el archivo etc hosts del sistema 3 Para configurar el servidor OpenSSH remoto para que no realice b squedas de DNS en un host debe definir lo siguiente UseDNS no en el archivo sshd_config para la versi n 3 8 el valor predeterminado es yes s VerifyReverseMapping no 23 Protecci n del analizador Por qu debo proteger el analizador Si configura un analizador Nessus para que use credenciales para iniciar sesi n en un servidor de Unix o Windows su sistema tendr credenciales que un usuario malintencionado podr a aprovechar Para evitar esto no solo debe llevar a cabo pr cticas seguras y adecuadas con el sistema operativo en el que se ejecuta su analizador sino que tambi n debe saber c mo un adversario puede enga ar al analizador para que divulgue informaci n de seguridad Qu significa bloquear un analizador El analizador Nessus ideal se manejar a completamente desde una consola del sistema sin aceptar ninguna conexi n de red desde un host remoto Tal sistema tendr a la
49. va directiva o modifique una directiva actual y seleccione la ficha Credentials Credenciales que se encuentra a la izquierda Seleccione SSH settings Configuraci n de SSH del men desplegable que se encuentra en la parte superior como se muestra a continuaci n New Advanced Policy Credentials 55H settings Credential Type 55H settings r 55H user name raven 55H password unsafe EEE 55H public key to use Add File 55H private key to use Add File Passphrase for 55H key Elevate privileges with su sudo ha Privilege elevation binary path directory su login Escalation account root Escalation password ALLLLLILILLLLLTILILLILILI Para el elemento SSH user name Nombre de usuario de SSH introduzca el nombre de la cuenta que est dedicada a Nessus en cada uno de los sistemas de destino de an lisis De manera predeterminada se establece como root Si usa una contrase a para SSH introd zcala en la casilla SSH password Contrase a de SSH Si usa las claves de SSH en lugar de una contrase a recomendado haga clic en el bot n Select Seleccionar que se encuentra junto a la casilla denominada SSH public key to use Clave p blica de SSH a usar y busque el archivo de clave p blica en el sistema local Para el elemento SSH private key to use Clave privada de SSH a usar haga clic en el bot n Select Seleccionar y busque el archivo de clave privada que est
Download Pdf Manuals
Related Search