Universidad	
  Nacional	
  Autónoma	
  de	
  México	
  
Facultad	
  de	
  Contaduría	
  y	
  Administración	
  
Materia:	
...
Universidad	
  Nacional	
  Autónoma	
  de	
  México	
  
Facultad	
  de	
  Contaduría	
  y	
  Administración	
  
Materia:	
...
Universidad	
  Nacional	
  Autónoma	
  de	
  México	
  
Facultad	
  de	
  Contaduría	
  y	
  Administración	
  
Materia:	
...
Universidad	
  Nacional	
  Autónoma	
  de	
  México	
  
Facultad	
  de	
  Contaduría	
  y	
  Administración	
  
Materia:	
...
Universidad	
  Nacional	
  Autónoma	
  de	
  México	
  
Facultad	
  de	
  Contaduría	
  y	
  Administración	
  
Materia:	
...
Universidad	
  Nacional	
  Autónoma	
  de	
  México	
  
Facultad	
  de	
  Contaduría	
  y	
  Administración	
  
Materia:	
...
Universidad	
  Nacional	
  Autónoma	
  de	
  México	
  
Facultad	
  de	
  Contaduría	
  y	
  Administración	
  
Materia:	
...
Universidad	
  Nacional	
  Autónoma	
  de	
  México	
  
Facultad	
  de	
  Contaduría	
  y	
  Administración	
  
Materia:	
...
Universidad	
  Nacional	
  Autónoma	
  de	
  México	
  
Facultad	
  de	
  Contaduría	
  y	
  Administración	
  
Materia:	
...
Próxima SlideShare
Cargando en…5
×

Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus

2.792 visualizaciones

Publicado el

Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Materia: Seguridad en Redes
Tema: Detección de vulnerabilidades e intrusiones

Publicado en: Educación
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
2.792
En SlideShare
0
De insertados
0
Número de insertados
13
Acciones
Compartido
0
Descargas
95
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus

  1. 1. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Materia:  Seguridad  en  Redes   Tema:  Detección  de  vulnerabilidades  e  intrusiones     Elaboró:  Francisco  Medina  López     2015-­‐2   1   Actividad   No.   6.3:   Escaneo   de   vulnerabilidades  con  Nessus   Antecedentes     Una   vulnerabilidad   es   una   debilidad   que   puede   explotarse   para   causar   perdida   o   daño  a  un  sistema  de  información.     El  Análisis  de  Vulnerabilidades  es  un  proceso  que  permite  la  detección  proactiva  y   mitigación  de  vulnerabilidades  de  seguridad.       El   proceso   de   análisis   de   vulnerabilidades   típicamente   consiste   en   los   siguientes   pasos1:   1. Descubrimiento:  Descubrimiento  de  todos  los  activos  e  identificación  de  los   detalles  de  cada  elemento.   2. Priorización  de  los  activos:  Clasificación  de  los  activos  en  grupos  o  unidades   de   negocio.   Asignación   de   un   valor   de   negocio   a   los   grupos   de   activos   en   función  de  su  criticidad  para  la  operación  de  la  empresa.   3. Evaluación:  Determinación  de  un  perfil  de  riesgo  que  permita  enfocarse  en  la   eliminación  de  los  riesgos  con  base  en  la  criticidad  de  los  activos.   4. Informe:  Medición  del  nivel  de  riesgo  en  el  negocio,  asociado  con  los  activos  de   acuerdo  a  las  políticas  de  seguridad       Nessus  es  un  programa  de  escaneo  de  vulnerabilidades  multiplataforma  desarrollado   por   Renaud   Deraison   en   1998   y   liberado   inicialmente   bajo   la   licencia   de   software   libre2.     Hoy  en  día  es  el  esquema  de  licenciamiento  a  cambiado,  solo  esta  disponible  la  versión   para  el  hogar  como  freeware.     Objetivo     Instalar   el   escáner   de   vulnerabilidades   Nesuss   y   realizar   un   escaneo   de   vulnerabilidades  con  Nessus  desde  el  sistema  operativo  Kali  Linux.                                                                                                                       1  http://infosec.aragon.unam.mx/tematicas/view/6   2  http://www.tenable.com/products/nessus-­‐vulnerability-­‐scanner  2  http://www.tenable.com/products/nessus-­‐vulnerability-­‐scanner  
  2. 2. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Materia:  Seguridad  en  Redes   Tema:  Detección  de  vulnerabilidades  e  intrusiones     Elaboró:  Francisco  Medina  López     2015-­‐2   2     Instrucciones     Instala   el   escáner   de   vulnerabilidades   Nessus   en   el   sistema   operativo   Kali   Linux   siguiendo  los  pasos  indicados  a  continuación:     1. Iniciar  una  sesión  con  el  usuario  root  en  Kali  Linux.       Figura  No.  1:  Inicio  de  sesión  en  Kali  Linux     2. Desde   un   navegador   web,   descargar   el   programa   del   url:   http://www.tenable.com/products/nessus/select-­‐your-­‐operating-­‐system       Figura  No.  2:  Selección  del  sistema  operativo  
  3. 3. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Materia:  Seguridad  en  Redes   Tema:  Detección  de  vulnerabilidades  e  intrusiones     Elaboró:  Francisco  Medina  López     2015-­‐2   3     3. Normalmente   los   archivos   descargados   se   almacenan   en   el   directorio   Downloads.  Para  acceder  al  directorio  utilizar  el  comando:     cd  Downloads     4. Instalar  en  Kali  el  paquete  descargado,  al  momento  de  la  elaboración  de  este   documento   el   archivo   es   Nessus-­‐6.3.4-­‐debian6_amd64.deb.   Instalar   el   paquete   con  el  siguiente  comando:     dpkg  -­‐i  Nessus-­‐6.3.4-­‐debian6_amd64.deb       Figura  No.  3:  Instalación  de  Nessus  en  Kali  Linux     5. Usando   un   navegador   web,   registrarse   en   el   sitio     http://www.tenable.com/products/nessus/nessus-­‐plugins/obtain-­‐an-­‐ activation-­‐code   para   obtener   un   número   de   licencia   de   uso.   El   número   será   enviado  por  correo  electrónico.       6. Inicia  el  servicio  de  Nessus  con  el  comando:       /etc/init.d/nessusd  start       7. Abrir  un  navegador  web  y  entrar  a  la  url:  https://127.0.0.1:8834  
  4. 4. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Materia:  Seguridad  en  Redes   Tema:  Detección  de  vulnerabilidades  e  intrusiones     Elaboró:  Francisco  Medina  López     2015-­‐2   4     Figura  No.  4:  Entrando  a  Nessus     8. Añadir  una  excepción  de  seguridad.       Figura  No.  5:  Añadiendo  un  certificado    
  5. 5. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Materia:  Seguridad  en  Redes   Tema:  Detección  de  vulnerabilidades  e  intrusiones     Elaboró:  Francisco  Medina  López     2015-­‐2   5   9. Una  pantalla  de  bienvenida  es  mostrada,  dar  clic  en  el  botón  ‘Continuar’       Figura  No.  6:  Pantalla  de  bienvenida  de  Nessus.     10. Crear  un  usuario  para  uso  dentro  de  Nessus  y  dar  clic  en  el  botón  ‘Continuar’       Figura  No.  7:  Creación  de  un  usuario  en  Nessus.  
  6. 6. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Materia:  Seguridad  en  Redes   Tema:  Detección  de  vulnerabilidades  e  intrusiones     Elaboró:  Francisco  Medina  López     2015-­‐2   6     11. Registrar   Nessus   introduciendo   el   código   obtenido   en   el   paso   5   y   da   clic   en   ‘Continuar’         12. Después  de  unos  minutos  se  completa  el  proceso  de  instalación.        
  7. 7. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Materia:  Seguridad  en  Redes   Tema:  Detección  de  vulnerabilidades  e  intrusiones     Elaboró:  Francisco  Medina  López     2015-­‐2   7   Realiza  el  escaneo  de  vulnerabilidades  con  Nesuss:     Para  este  ejemplos  vamos  a  realizar  un  escaneo  de  vulnerabilidades  al  servidor  con   dirección  ip  10.4.27.239.    Recuerda  cambiar  e  el  dato  por  el  que  indique  el  profesor.     1. En   un   navegador   web,   abre   la   url:   https://127.0.0.1:8834/   e   introduce   los   datos  de  inicio  de  sesión  creados  en  el  punto  10  de  esta  documento.       Figura  No.  8:  Inicio  de  sesión  en  Nessus.   2.  Da   clic   en   la   opción   ‘New   Scan’   ,   posteriormente   selecciona   la   opción   ‘Web   Application  Test’.    
  8. 8. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Materia:  Seguridad  en  Redes   Tema:  Detección  de  vulnerabilidades  e  intrusiones     Elaboró:  Francisco  Medina  López     2015-­‐2   8     Figura  No.  9:  Tipos  de  escaneos  disponibles  en  Nessus.     3. Introducir  los  siguientes  datos  para  el  escaneo  de  vulnerabilidades:   a. Name:  10.4.27.239   b. Targets:  10.4.27.239   4. Dar  clic  en  el  botón  ‘Save’  para  iniciar  con  el  escaneo  de  vulnerabilidades.       Figura  No.  10:  Escaneo  de  vulnerabilidades  en  curso.     5. Da  clic  en  el  nombre  del  escaneo  para  ver  los  resultados  del  mismo.    
  9. 9. Universidad  Nacional  Autónoma  de  México   Facultad  de  Contaduría  y  Administración   Materia:  Seguridad  en  Redes   Tema:  Detección  de  vulnerabilidades  e  intrusiones     Elaboró:  Francisco  Medina  López     2015-­‐2   9     Figura  No.  11:  Reporte  web  de  un  escaneo  de  vulnerabilidades.     6. Exporta  un  reporte  en  formato  pdf  dando  clic  en  el  botón:  Export  -­‐>  PDF.     7. Introduce  los  siguientes  datos  y  da  clic  en  el  botón  Export:   a. Report:  Custom   b. Data:  Vulnerabilities   c. Group  by         Figura  No.  12:  Exportar  el  reporte  de  vulnerabilidades  en  formato  PDF.   8. Guarda  el  reporte  dando  clic  en  el  botón  ‘Save  File’     Figura  No.  13:  Reporte  de  vulnerabilidades  en  formato  PDF.    

×