2. ¿ Qué es una herramienta de análisis de
vulnerabilidades ?
● Las vulnerabilidades son puntos débiles del software que permiten que un atacante comprometa la
integridad, disponibilidad o confidencialidad del mismo. Algunas de las vulnerabilidades más severas
permiten que los atacantes ejecuten código arbitrario, denominadas vulnerabilidades de seguridad,
en un sistema comprometido.
● Las herramientas de análisis de vulnerabilidades permiten identificar muchos de los principales
agujeros de seguridad que ponen en riesgo los sistemas de una red, y generalmente con tan sólo unos
cuantos movimientos de ratón.
3. ¿ Qué es una herramienta de análisis de
vulnerabilidades ?
● Existen muchos tipos de herramientas, como las que veremos a continuación. Muchas de estas
herramientas tienen un mismo fin, y muchas tienen un empleo muy parecido. Encontramos
herramientas como Nassus, Ethereal o Snort, las tres analizan riesgos, o vulnerabilidades. Las
explicamos a continuación:
4. Tipos de herramientas de análisis de
vulnerabilidades
● Nessus: Nessus es un escáner de seguridad remoto para Linux, BSD, Solaris y Otros Unix. Está basado en
plug-in(s), tiene una interfaz basada en GTK, y realiza más de 1200 pruebas de seguridad remotas. Permite
generar reportes en HTML, XML, LaTeX, y texto ASCII; también sugiere soluciones para los problemas de
seguridad
● Ethereal: Ethereal es un analizador de protocolos de red para Unix y Windows, y es libre {free}. Nos permite
examinar datos de una red viva o de un archivo de captura en algún disco. Se puede examinar
interactivamente la información capturada, viendo información de detalles y sumarios por cada paquete.
Ethereal tiene varias características poderosas, incluyendo un completo lenguaje para filtrar lo que querramos
ver y la habilidad de mostrar el flujo reconstruído de una sesión de TCP. Incluye una versión basada en texto
llamada tethereal.
5. Tipos de herramientas de análisis de
vulnerabilidades
● Snort: Es una sistema de detección de intrusiones de red de poco peso (para el sistema), capaz de realizar
análisis de tráfico en tiempo real y registro de paquetes en redes con IP. Puede realizar análisis de protocolos,
búsqueda/identificación de contenido y puede ser utilizado para detectar una gran varidad de ataques y
pruebas, como por ej. buffer overflows, escaneos indetectables de puertos {"stealth port scans"}, ataques a
CGI, pruebas de SMB {"SMB Probes"}, intentos de reconocimientos de sistema operativos {"OS fingerprinting"}
y mucho más. Snort utilizar un lenguaje flexible basado en reglas para describir el tráfico que debería
recolectar o dejar pasar, y un motor de detección modular. Mucha gente también sugirió que la Consola de
Análisis para Bases de Datos de Intrusiones (Analysis Console for Intrusion Databases, ACID) sea utilizada
con Snort.
6. Nessus
● Qué es: Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste
en un demonio o diablo, nessusd, que realiza el escaneo en el sistema objetivo, y nessus, el cliente (basado
en consola o gráfico) que muestra el avance e informa sobre el estado de los escaneos. Desde consola
nessus puede ser programado para hacer escaneos programados con cron.
● Cómo funciona: En operación normal, nessus comienza escaneando los puertos con nmap o con su propio
escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para atacarlo. Las
pruebas de vulnerabilidad, disponibles como una larga lista de plugins, son escritos en NASL (Nessus Attack
Scripting Language, Lenguaje de Scripting de Ataque Nessus por sus siglas en inglés), un lenguaje scripting
optimizado para interacciones personalizadas en redes.Opcionalmente, los resultados del escaneo pueden ser
exportados como informes en varios formatos, como texto plano, XML, HTML, y LaTeX. Los resultados
también pueden ser guardados en una base de conocimiento para referencia en futuros escaneos de
vulnerabilidades.Algunas de las pruebas de vulnerabilidades de Nessus pueden causar que los servicios o
sistemas operativos se corrompan y caigan. El usuario puede evitar esto desactivando "unsafe test" (pruebas
no seguras) antes de escanear.
● Actualmente existen dos versiones: "Home" y "Work" Esta última de pago y sin restricciones.
7. Ethereal
● Qué es: Ahora conocido como Wireshark, es un analizador de protocolos utilizado para realizar análisis y
solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una
herramienta didáctica. Cuenta con todas las características estándar de un analizador de protocolos de forma
únicamente hueca.
● Cómo funciona: La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica y
muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través
de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la
configuración en modo promiscuo. También incluye una versión basada en texto llamada tshark.Permite
examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la información
capturada, a través de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para
filtrar lo que queremos ver y la habilidad de mostrar el flujo reconstruido de una sesión de TCP.
● Wireshark es software libre, y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles,
incluyendo Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Android, y Mac OS X, así como en Microsoft
Windows.
8. Snort
● Qué es: Snort es un sistema de detección de intrusos en red, libre y gratuito. Ofrece la capacidad de
almacenamiento de bitácoras en archivos de texto y en bases de datos abiertas, como MySQL. Implementa un
motor de detección de ataques y escaneo de puertos que permite registrar, alertar y responder ante cualquier
anomalía previamente definida.
● Cómo funciona: Este IDS implementa un lenguaje de creación de reglas flexible, potente y sencillo. Durante
su instalación, provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP, ataques web, CGI,
Nmap, entre otros. Puede funcionar como sniffer y registro de paquetes. Cuando un paquete coincide con
algún patrón establecido en las reglas de configuración, se logea. Así se sabe cuándo, de dónde y cómo se
produjo el ataque. Snort tiene una base de datos de ataques que se actualiza constantemente a través de
internet. Los usuarios pueden crear firmas basadas en las características de los nuevos ataques de red y
enviarlas a la lista de correo de firmas de Snort, esta ética de comunidad y compartir ha convertido a Snort en
uno de los IDS basados en red más populares, actualizados y robustos.
10. ¡ Gracias por ver esta presentación !
Gracias por prestar atención a esto, y espero que te haya servido para aprender un poco más sobre algunas
herramientas de análisis de vulnerabilidades.