herramientas de control y seguimiento

Datos del Profesor: Ing. Jesús Vílchez Sandoval

CIP 129615 email:[email protected]

http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094

Coordinador de la Oficina de Calidad y Acreditación - FIEM

mailto:[email protected]

Ing. Jesús Vílchez Sandoval

Herramientas

CONTROL Y MONITOREO Basado en la presentación del Mg. Jean del Carpio

NMAP SNORT NESSUS

Contenido

© Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados

Mapeador de Redes NMAP

Nmap (“mapeador de redes”) es una herramienta de código abierto para exploración de red y auditoría de seguridad. Se diseñó para analizar rápidamente grandes redes, aunque funciona muy bien contra equipos individuales. Nmap utiliza paquetes IP "crudos" («raw») en formas originales para determinar qué equipos se encuentran disponibles en una red, qué servicios (nombre y versión de la aplicación) ofrecen, qué sistemas operativos (y sus versiones) ejecutan, qué tipo de filtros de paquetes o cortafuegos se están utilizando así como docenas de otras características.

Mapeador de Redes NMAP

Aunque generalmente se utiliza Nmap en auditorías de seguridad, muchos administradores de redes y sistemas lo encuentran útil para realizar tareas rutinarias, como puede ser el inventariado de la red, la planificación de actualización de servicios y la monitorización del tiempo que los equipos o servicios se mantiene activos.

Sintaxis de NMAP

nmap [–s<tipo paquete>] [–p <puertos>] [–<otras opciones>] <dirección destino> TCP connect scan: nmap –sT <destino> TCP SYN scan: nmap –sS <destino> TCP ACK scan: nmap –sA <destino> y nmap –sW <destino> TCP FIN scan: nmap –sF <destino> TCP Null scan: nmap –sN <destino> TCP Xmas scan: nmap –sX <destino> UDP scan: nmap –sU <destino> RPC scan: nmap –sR <destino> TCP reverse ident scan: nmap –I <destino> ICMP echo scan: nmap –sP <destino> IP protocol scan: nmap –sO <destino> Operative System scan: nmap –O <destino> Slow scan: nmap --scan_delay <milisegundos> <destino> Fragmentation scan: nmap –f <destino>

Sintaxis de NMAP

nmap [–s<tipo paquete>] [–p <puertos>] [–<otras opciones>] <dirección destino> FTP bounce scan: nmap –b <[usuario:contraseña@]direcciónFTP[:puerto]> <destino> Spoofed scan: nmap -S <origen> <destino> Decoy scan: nmap -D <señuelo1 [,señuelo2][,ME],...> <destino> Dumb host scan: nmap –sI <intermedio[:puerto]> <destino> Random scan: nmap --randomize_hosts <destino> (por defecto, los puertos destino ya están en orden aleatorio)

Sintaxis de NMAP - Avanzado

Uso: nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos} ESPECIFICACIÓN DE OBJETIVO: Se pueden indicar nombres de sistema, direcciones IP, redes, etc. Ej: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254 -iL <archivo_entrada>: Lee una lista de sistemas/redes del archivo. -iR <número de sistemas>: Selecciona objetivos al azar --exclude <sist1[,sist2][,sist3],...>: Excluye ciertos sistemas o redes --excludefile <fichero_exclusión>: Excluye los sistemas indicados en el fichero


Uso: nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos} TÉCNICAS DE ANÁLISIS: -sS/sT/sA/sW/sM: Análisis TCP SYN/Connect() /ACK/Window/Maimon -sN/sF/sX: Análisis TCP Null, FIN, y Xmas --scanflags <indicador>: Personalizar los indicadores TCP a utilizar -sI <sistema zombi[:puerto_sonda]>: Análisis pasivo («Idle», N. del T.) -sO: Análisis de protocolo IP -b <servidor ftp rebote>: Análisis por rebote FTP


Uso: nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos} ESPECIFICACIÓN DE PUERTOS Y ORDEN DE ANÁLISIS: -p <rango de puertos>: Sólo sondear los puertos indicados Ej: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080 -F: Rápido - Analizar sólo los puertos listados en el archivo nmap-services -r: Analizar los puertos secuencialmente, no al azar.


Uso: nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos} DETECCIÓN DE SISTEMA OPERATIVO: -O: Activar la detección de sistema operativo (SO) --osscan-limit: Limitar la detección de SO a objetivos prometedores --osscan-guess: Adivinar el SO de la forma más agresiva


Uso: nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos} TEMPORIZADO Y RENDIMIENTO: -T[0-5]: Seleccionar plantilla de temporizado (los números altos son más rápidos) --min-hostgroup/max-hostgroup <tamaño>: Paralelizar los sondeos --min-parallelism/max-parallelism <msegs>: Paralelización de sondeos --min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout <msegs>: Indica el tiempo de ida y vuelta de la sonda --max-retries <reintentos>: Limita el número máximo de retransmisiones de las sondas de análisis de puertos --host-timeout <msegs>: Abandonar un objetivo pasado este tiempo --scan-delay/--max-scan-delay <msegs>: Ajusta el retraso entre sondas


Ejemplos: nmap -v -A scanme.nmap.org nmap -v -sP 192.168.0.0/16 10.0.0.0/8 nmap -v -iR 10000 -P0 -p 80 # nmap -A -T4 scanme.nmap.org saladejuegos

2 SNORT

SNORT - Funcionamiento

SNORT - Funcionamiento

• NIDS gratuito de alta performance. • Monitorea redes Ethernet/Fast Ethernet y ATM. • Permite capturar la alerta y el paquete que la causó.

Esquema de Software

Reporte

Ataques

3 NESSUS

Análisis de Vulnerabilidades: NESSUS

NESSUS: Instalación

Instalación única • Seleccionar “Ubunt 9.10/Ubuntu 10.04 (32 bits)” • Registrarse para envió de código de activación • Descargar archivo según distribución linux

• Nessus-4.4.X-ubuntu910_i386.deb • Disponible para todos los sistemas Unix y MS Windows

• Instalar archivo descargado. • SCAN-ERROR • Too many live hosts scanned in a row while on a

HomeFeed -please upgrade to a ProfessionalFeed • Nessus ID : 19506 • Reducing max_hosts to 16 (HomeFeed).


Agregando el primer usuario administrador


Registro y Actualización de Plugins

Cliente NESSUS

Ejecución NESSUS

Servidor /etc/init.d/nessusd start (Comprobar con netstat -nap | grep nessus ) Cliente https://127.0.0.1:8834/

Política NESSUS

? Preguntas

SEGURIDAD EN REDES FIN SESION

herramientas de control y seguimiento

Documents