SlideShare una empresa de Scribd logo

OpenVAS escaneo

Alonso Caballero
Alonso Caballero
Tecnología
1 de 18
Descargar para leer sin conexión
Webinar Gratuito OpenVAS Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 2 de Enero del 2014
¿Quién Soy? • Consultor e Instructor Independiente en Hacking Ético, Informática Forense y GNU/Linux. • Ex Integrante de RareGaZz y actual integrante de PeruSEC. • Ex Redactor en la Revista Linux+ DVD (ES). • • • Creador del II Reto Forense Digital Sudamericano - Chavín de Huantar 2012. Brainbench Certified Network Security, Brainbench Certified Computer Forensics (U.S.) & Brainbench Certified Linux Administration (General). CNHE, CNCF, CNHAW. Más de 11 años de experiencia en el área. • @Alonso_ReYDeS • pe.linkedin.com/in/alonsocaballeroquezada/
Evaluación de Vulnerabilidades Es el proceso de ubicar y reportar las vulnerabilidades. Esto proporcionar una manera de detectar y resolver los problemas de seguridad ante de que alguien o algo pueda explotarla. La razón de realizar este procedimiento es debido a que es un componente crítico la infraestructura de seguridad de varias organizaciones; pues la habilidad de realizar una instantánea de la seguridad de toda la red que apoya a un número de procesos de seguridad y administrativos. Cuando se descubre una nueva vulnerabilidad, se puede realizar una evaluación para descubrir los sistemas vulnerables, iniciar el proceso de la instalación de parches. Después de esto, se debe realizar otra evaluación para verificar que las vulnerabilidades se han solucionado. Este ciclo de evaluar, parchar y verificar se ha convertido en un método estándar; para manejar los temas de seguridad; en varias organizaciones.
Tipos de Evaluaciones 1. Evaluaciones de Host Estas herramientas requieren que el software sea instalado en cada sistema que se desea evaluar. Se evalúa vulnerabilidades a nivel del sistema como permisos de archivos inseguros, parches de software que faltan, políticas de seguridad que cumplen las normas, e instalaciones de puertas traseras o troyanos. 2. Evaluaciones de Red Implica localizar a todos los sistemas funcionando en la red, determinar los servicios de red utilizados, y analizarlos por probables vulnerabilidades. Este tipo de evaluaciones pueden ser escalables y eficientes en términos de requerimientos administrativos, y son el único método factible para estimar la seguridad de grandes y complejas redes de sistemas heterogeneos.
El Proceso de Evaluación Sin importar en gran medida cual es la solución utilizada para la evaluación de vulnerabilidades, es muy probable que se realice el mismo proceso de evaluación. 1. Detectar los Sistemas en Funcionamiento 2. Identificar los Sistemas en Funcionamiento 3. Enumerar los Servicios 4. Identificar los Servicios 5. Identificar las Aplicaciones 6. Identificar las Vulnerabilidades 7. Reportar las Vulnerabilidades
Dos Enfoques 1. Enfoque Administrativo Realiza una evaluación desde la perspectiva de un administrador del sistema autenticado. Se debe proporcionar a la herramienta un usuario y contraseña con estos privilegios. Estas credenciales se utilizarán para detectar parches ausentes, configuraciones inseguras y probables vulnerabilidades en el software del cliente (Como un cliente de correo o un navegador web.) 2. Enfoque Externo Toma la perspectiva de un intruso malicioso sin autenticación quien intenta irrumpir en la red. Este procedimiento es capaz de tomar decisiones sobre la seguridad del sistema únicamente mediante una combinación de huellas de la aplicación, identificación de versiones, e intentos de explotación. De esta manera se pueden detectar vulnerabilidades en un amplio rango de sistemas operativos y dispositivos.
¿Qué es OpenVAS? OpenVAS (Sistema Abierto para la Evaluación de Vulnerabilidades) está constituido por varios servicios y herramientas que proporcionan un escaneo de vulnerabilidades muy completo y poderoso, además de una solución para la administración de vulnerabilidades. El corazón de esta arquitectura asegurada con SSL orientada al servicio, es el Escaner OpenVAS. El muy eficiente escaner ejecuta los NVTs – Network Vulnerability Tests (Pruebas de Vulnerabilidad en Redes), los cuales son servidos con actualizaciones diarás mediante el OpenVAS NVT Feed o mediate el servicio comercial, con más de 30,000 en total. Todos los productos OpenVAS son Software Libre. Y la mayoría de componentes tienen licencia GNU/GPL. * OpenVAS: http://www.openvas.org/about.html
Características de OpenVAS OpenVAS Scanner: Escano de varios objetivos concurrentemente, OpenVAS Transfer Protocol, Soporte SSL. OpenVAS Manager: OpenVAS Management Protocol, Base de Datos SQL (sqlite) para las configuraciones y resultados, Tareas de escaneo concurrentes, Escaneos programados, Reportes en varios formatos (XML, HTML, etc.) OpenVAS Administrator: OpenVAS Administration Protocol, Manejo de usuarios, Vista del estado del “feed”, sincronización del feed. Greenbone Security Assistant: Cliente para OMP y OAP, HTTp y HTTPS, Servidor web propio (microhttpd), no se requiere un servidor web adicional, Sistema de ayuda integrado en línea. * Features Overview: http://www.openvas.org/software.html#feature_overview
Resumen de la Arquitectura de OpenVAS
El Manejador de OpenVAS Es el servicio central que consolida el escaneo de vulnerabilidades en una solución completa para la gestión de vulnerabilidades. El Manejador controla el Escaner mediante OTP - OpenVAS Transfer Protocol (Protocolo OpenVAS de Transferencia) y ofrece por si mismo OMP - OpenVAS Management Protocol (Protocolo de Gestión OpenVAS) basado en XML. Toda la inteligencia es implementada en el Manejador, así que es posible implementar varios tipos de clientes con un comportamiento similar, por ejemplo con relación al filtrado y ordenamiento de los resultados del escaneo. El Manejador también controla una base de datos SQL (basada en sqlite) donde se almacenan centralizadamente toda la configuración y resultados del escaneo. * http://www.openvas.org/software.html
El Manejador de OpenVAS (Cont.)
Clientes OpenVAS OpenVAS dispone de diferentes clientes OMP. “Greenbone Security Assistant” (GSA) el cual es un servicio web que ofrece una interfaz de usuario para navegadores web. Este utiliza XSL (Extensible Stylesheet Language) el cual convierte las respuestas OMP en HTML. The Greenbone Security Desktop (GSD) es un cliente OMP de escritorio basado en QT. Este funciona en diferentes versiones de Linux, Windows y otros sistemas operativos. OpenVAS CLI (Command-line interface) contiene la herramienta en línea de comando “omp” el cual permite crear procesos batch para dirigir el Manejador de OpenVAS
Clientes OpenVAS (Cont.) .
Más Sobre OpenVAS El Administrador de OpenVAS actúa como una herramienta en línea de comando o como un demonio completo de servicio ofreciendo el protocolo OpenVAS de administración (OAP). Las tareas más importantes son el manejo de usuario y el manejo del ”feed”. GSA soporta OAP y los usuarios con el rol de “Admin” pueden acceder a la funcionalidad OAP. La mayoría de las herramientas listadas anteriormente comparten la funcionalidad que es añadida en las Librerías OpenVAS. El Escaner OpenVAS ofrece el protocolo de comunicación OTP el cual permite el control de la ejecución del escaneo. Tradicionalmente los clientes OpenVAS de Escritorio y CLI actúa como un cliente OTP directo. OpenVAS oficialmente adopta OVAL (Open Vulnerability and Assessment Language), OVAL es un esfuerzo de la comunidad de seguridad de la información, para estandarizar la forma de valorar y reportar el estado de una máquina de los sistemas de cómputo. * OVAL: http://oval.mitre.org/
Curso Virtual de Hacking Ético Días: Grupo 1: Sábados 4, 11, 18 y 25 de Enero del 2014 Grupo 2: Domingos 5, 12, 19 y 26 de Enero del 2014 Horario: De 9:00am a 12:30m (UTC -05:00) Más Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Etico caballero.alonso@gmail.com @Alonso_ReYDeS http://pe.linkedin.com/in/alonsocaballeroquezada/ ReYDeS http://www.reydes.com
Demostraciones A continuación se presentan algunas demostraciones prácticas utilizando OpenVAS en Kali Linux.
Más Material Los invito a visualizar los 16 Webinars Gratuitos que he dictado durante todo el año 2013, sobre temas de Hacking Ético, Pruebas de Penetración, Hacking Aplicaciones Web e Informática Forense. http://www.reydes.com/d/?q=videos Pueden obtener todas las diapositivas utilizadas en los Webinars Gratuitos desde la siguiente página: http://www.reydes.com/d/?q=node/3 Pueden obtener todos los artículos y documentos que he publicado. http://www.reydes.com/d/?q=node/2 Mi blog: http://www.reydes.com/d/?q=blog/1
Webinar Gratuito ¡Muchas Gracias! Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 2 de Enero del 2014

Recomendados

Webinar Gratuito: OpenVAS
Webinar Gratuito: OpenVASWebinar Gratuito: OpenVAS
Webinar Gratuito: OpenVASAlonso Caballero
 
3.5 Nessus
3.5 Nessus3.5 Nessus
3.5 NessusMeztli Valeriano Orozco
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informaticagio_vani
 
Manual Nesus And Nmap
Manual Nesus And NmapManual Nesus And Nmap
Manual Nesus And NmapVictor Guana
 
Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessusnana nana
 
Informe proyecto nessus
Informe proyecto nessusInforme proyecto nessus
Informe proyecto nessusLethy Mendez
 
2. evaluacion de vulnerabilidades
2. evaluacion de vulnerabilidades2. evaluacion de vulnerabilidades
2. evaluacion de vulnerabilidadesJose Peña
 
Sad tema2 pen_test_iii
Sad tema2 pen_test_iiiSad tema2 pen_test_iii
Sad tema2 pen_test_iiiJesús Moreno León
 

Recomendados

Webinar Gratuito: OpenVAS
Webinar Gratuito: OpenVASWebinar Gratuito: OpenVAS
Webinar Gratuito: OpenVASAlonso Caballero
 
3.5 Nessus
3.5 Nessus3.5 Nessus
3.5 NessusMeztli Valeriano Orozco
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informaticagio_vani
 
Manual Nesus And Nmap
Manual Nesus And NmapManual Nesus And Nmap
Manual Nesus And NmapVictor Guana
 
Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessusnana nana
 
Informe proyecto nessus
Informe proyecto nessusInforme proyecto nessus
Informe proyecto nessusLethy Mendez
 
2. evaluacion de vulnerabilidades
2. evaluacion de vulnerabilidades2. evaluacion de vulnerabilidades
2. evaluacion de vulnerabilidadesJose Peña
 
Sad tema2 pen_test_iii
Sad tema2 pen_test_iiiSad tema2 pen_test_iii
Sad tema2 pen_test_iiiJesús Moreno León
 
Sólo imagina
Sólo imaginaSólo imagina
Sólo imaginaRich Carrera
 
Education; marriage and family
Education; marriage and familyEducation; marriage and family
Education; marriage and familyDaniel Gabadón-Estevan
 
-ES-PS-RS-YG_Catalog_2015v1_ForWeb_optimized
-ES-PS-RS-YG_Catalog_2015v1_ForWeb_optimized-ES-PS-RS-YG_Catalog_2015v1_ForWeb_optimized
-ES-PS-RS-YG_Catalog_2015v1_ForWeb_optimizedEmery Porter
 
VidcommX Video Email Ad Exchange Overview
VidcommX Video Email Ad Exchange OverviewVidcommX Video Email Ad Exchange Overview
VidcommX Video Email Ad Exchange OverviewGreenline Indo
 
Angelo State Softball vs. Tarleton State Notes
Angelo State Softball vs. Tarleton State NotesAngelo State Softball vs. Tarleton State Notes
Angelo State Softball vs. Tarleton State NotesAngeloStateSports
 
Amol Kunde resume
Amol Kunde resumeAmol Kunde resume
Amol Kunde resumeAmol kunde
 
Analysis of mortality patterns in the 2009 l'aquila earthquake
Analysis of mortality patterns in the 2009 l'aquila earthquakeAnalysis of mortality patterns in the 2009 l'aquila earthquake
Analysis of mortality patterns in the 2009 l'aquila earthquakeProf. David E. Alexander (UCL)
 
Presentación amavan p h
Presentación amavan p hPresentación amavan p h
Presentación amavan p heuromavan
 
Nachsommer Schweinfurt - Programm 2011
Nachsommer Schweinfurt - Programm 2011Nachsommer Schweinfurt - Programm 2011
Nachsommer Schweinfurt - Programm 2011s_boeck
 
ÖNCEL AKADEMİ : İSTATİSTİKSEL SİSMOLOJİ
ÖNCEL AKADEMİ : İSTATİSTİKSEL SİSMOLOJİ ÖNCEL AKADEMİ : İSTATİSTİKSEL SİSMOLOJİ
ÖNCEL AKADEMİ : İSTATİSTİKSEL SİSMOLOJİ Ali Osman Öncel
 
Zikit Review on iBeacon Technology (1st Israeli iBeacon Hackathon)
Zikit Review on iBeacon Technology (1st Israeli iBeacon Hackathon)Zikit Review on iBeacon Technology (1st Israeli iBeacon Hackathon)
Zikit Review on iBeacon Technology (1st Israeli iBeacon Hackathon)Idan Meir
 
Microblogging am Bsp. Twitter
Microblogging am Bsp. TwitterMicroblogging am Bsp. Twitter
Microblogging am Bsp. TwitterJuliaNiemann
 
Go Big
Go BigGo Big
Go BigSamiul Islam
 
Феромоны насекомых в защите растений
Феромоны насекомых в защите растенийФеромоны насекомых в защите растений
Феромоны насекомых в защите растенийAlianta INFONET
 
Sindrome hepatopulmonar
Sindrome hepatopulmonarSindrome hepatopulmonar
Sindrome hepatopulmonarFlávia Salame
 
Behnam Sarani - MSc Dissertation - Risk Management in PPP PFI Projects - 2010
Behnam Sarani - MSc Dissertation - Risk Management in PPP PFI Projects - 2010Behnam Sarani - MSc Dissertation - Risk Management in PPP PFI Projects - 2010
Behnam Sarani - MSc Dissertation - Risk Management in PPP PFI Projects - 2010Behnam Sarani
 
69 Marketing - Webchutney
69 Marketing - Webchutney69 Marketing - Webchutney
69 Marketing - WebchutneySidharth Rao
 
Cómo dar clase a los que no quieren
Cómo dar clase a los que no quierenCómo dar clase a los que no quieren
Cómo dar clase a los que no quierenCPR de Avilés - Occidente
 
Diwang Busko English Songs
Diwang Busko English SongsDiwang Busko English Songs
Diwang Busko English SongsMark Daniel Alcazar
 
CALCULO Y ANALISIS / Gabriel Larotonda
CALCULO Y ANALISIS / Gabriel LarotondaCALCULO Y ANALISIS / Gabriel Larotonda
CALCULO Y ANALISIS / Gabriel LarotondaBiblioteca Central FACET
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Herramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidadesHerramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidadesIñigo Asin Martinez
 

Más contenido relacionado

Destacado

-ES-PS-RS-YG_Catalog_2015v1_ForWeb_optimized
-ES-PS-RS-YG_Catalog_2015v1_ForWeb_optimized-ES-PS-RS-YG_Catalog_2015v1_ForWeb_optimized
-ES-PS-RS-YG_Catalog_2015v1_ForWeb_optimizedEmery Porter
 
VidcommX Video Email Ad Exchange Overview
VidcommX Video Email Ad Exchange OverviewVidcommX Video Email Ad Exchange Overview
VidcommX Video Email Ad Exchange OverviewGreenline Indo
 
Angelo State Softball vs. Tarleton State Notes
Angelo State Softball vs. Tarleton State NotesAngelo State Softball vs. Tarleton State Notes
Angelo State Softball vs. Tarleton State NotesAngeloStateSports
 
Amol Kunde resume
Amol Kunde resumeAmol Kunde resume
Amol Kunde resumeAmol kunde
 
Analysis of mortality patterns in the 2009 l'aquila earthquake
Analysis of mortality patterns in the 2009 l'aquila earthquakeAnalysis of mortality patterns in the 2009 l'aquila earthquake
Analysis of mortality patterns in the 2009 l'aquila earthquakeProf. David E. Alexander (UCL)
 
Presentación amavan p h
Presentación amavan p hPresentación amavan p h
Presentación amavan p heuromavan
 
Nachsommer Schweinfurt - Programm 2011
Nachsommer Schweinfurt - Programm 2011Nachsommer Schweinfurt - Programm 2011
Nachsommer Schweinfurt - Programm 2011s_boeck
 
ÖNCEL AKADEMİ : İSTATİSTİKSEL SİSMOLOJİ
ÖNCEL AKADEMİ : İSTATİSTİKSEL SİSMOLOJİ ÖNCEL AKADEMİ : İSTATİSTİKSEL SİSMOLOJİ
ÖNCEL AKADEMİ : İSTATİSTİKSEL SİSMOLOJİ Ali Osman Öncel
 
Zikit Review on iBeacon Technology (1st Israeli iBeacon Hackathon)
Zikit Review on iBeacon Technology (1st Israeli iBeacon Hackathon)Zikit Review on iBeacon Technology (1st Israeli iBeacon Hackathon)
Zikit Review on iBeacon Technology (1st Israeli iBeacon Hackathon)Idan Meir
 
Microblogging am Bsp. Twitter
Microblogging am Bsp. TwitterMicroblogging am Bsp. Twitter
Microblogging am Bsp. TwitterJuliaNiemann
 
Феромоны насекомых в защите растений
Феромоны насекомых в защите растенийФеромоны насекомых в защите растений
Феромоны насекомых в защите растенийAlianta INFONET
 
Sindrome hepatopulmonar
Sindrome hepatopulmonarSindrome hepatopulmonar
Sindrome hepatopulmonarFlávia Salame
 
Behnam Sarani - MSc Dissertation - Risk Management in PPP PFI Projects - 2010
Behnam Sarani - MSc Dissertation - Risk Management in PPP PFI Projects - 2010Behnam Sarani - MSc Dissertation - Risk Management in PPP PFI Projects - 2010
Behnam Sarani - MSc Dissertation - Risk Management in PPP PFI Projects - 2010Behnam Sarani
 
69 Marketing - Webchutney
69 Marketing - Webchutney69 Marketing - Webchutney
69 Marketing - WebchutneySidharth Rao
 

Destacado (20)

Sólo imagina
Sólo imaginaSólo imagina
Sólo imagina
 
Education; marriage and family
Education; marriage and familyEducation; marriage and family
Education; marriage and family
 
-ES-PS-RS-YG_Catalog_2015v1_ForWeb_optimized
-ES-PS-RS-YG_Catalog_2015v1_ForWeb_optimized-ES-PS-RS-YG_Catalog_2015v1_ForWeb_optimized
-ES-PS-RS-YG_Catalog_2015v1_ForWeb_optimized
 
VidcommX Video Email Ad Exchange Overview
VidcommX Video Email Ad Exchange OverviewVidcommX Video Email Ad Exchange Overview
VidcommX Video Email Ad Exchange Overview
 
Angelo State Softball vs. Tarleton State Notes
Angelo State Softball vs. Tarleton State NotesAngelo State Softball vs. Tarleton State Notes
Angelo State Softball vs. Tarleton State Notes
 
Amol Kunde resume
Amol Kunde resumeAmol Kunde resume
Amol Kunde resume
 
Analysis of mortality patterns in the 2009 l'aquila earthquake
Analysis of mortality patterns in the 2009 l'aquila earthquakeAnalysis of mortality patterns in the 2009 l'aquila earthquake
Analysis of mortality patterns in the 2009 l'aquila earthquake
 
Presentación amavan p h
Presentación amavan p hPresentación amavan p h
Presentación amavan p h
 
Nachsommer Schweinfurt - Programm 2011
Nachsommer Schweinfurt - Programm 2011Nachsommer Schweinfurt - Programm 2011
Nachsommer Schweinfurt - Programm 2011
 
ÖNCEL AKADEMİ : İSTATİSTİKSEL SİSMOLOJİ
ÖNCEL AKADEMİ : İSTATİSTİKSEL SİSMOLOJİ ÖNCEL AKADEMİ : İSTATİSTİKSEL SİSMOLOJİ
ÖNCEL AKADEMİ : İSTATİSTİKSEL SİSMOLOJİ
 
Zikit Review on iBeacon Technology (1st Israeli iBeacon Hackathon)
Zikit Review on iBeacon Technology (1st Israeli iBeacon Hackathon)Zikit Review on iBeacon Technology (1st Israeli iBeacon Hackathon)
Zikit Review on iBeacon Technology (1st Israeli iBeacon Hackathon)
 
Microblogging am Bsp. Twitter
Microblogging am Bsp. TwitterMicroblogging am Bsp. Twitter
Microblogging am Bsp. Twitter
 
Go Big
Go BigGo Big
Go Big
 
Феромоны насекомых в защите растений
Феромоны насекомых в защите растенийФеромоны насекомых в защите растений
Феромоны насекомых в защите растений
 
Sindrome hepatopulmonar
Sindrome hepatopulmonarSindrome hepatopulmonar
Sindrome hepatopulmonar
 
Behnam Sarani - MSc Dissertation - Risk Management in PPP PFI Projects - 2010
Behnam Sarani - MSc Dissertation - Risk Management in PPP PFI Projects - 2010Behnam Sarani - MSc Dissertation - Risk Management in PPP PFI Projects - 2010
Behnam Sarani - MSc Dissertation - Risk Management in PPP PFI Projects - 2010
 
69 Marketing - Webchutney
69 Marketing - Webchutney69 Marketing - Webchutney
69 Marketing - Webchutney
 
Cómo dar clase a los que no quieren
Cómo dar clase a los que no quierenCómo dar clase a los que no quieren
Cómo dar clase a los que no quieren
 
Diwang Busko English Songs
Diwang Busko English SongsDiwang Busko English Songs
Diwang Busko English Songs
 
CALCULO Y ANALISIS / Gabriel Larotonda
CALCULO Y ANALISIS / Gabriel LarotondaCALCULO Y ANALISIS / Gabriel Larotonda
CALCULO Y ANALISIS / Gabriel Larotonda
 

Similar a OpenVAS escaneo

Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Herramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidadesHerramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidadesIñigo Asin Martinez
 
Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuJosé Moreno
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesCarlos De la Cruz Riera
 
170787585-practica-0
170787585-practica-0 170787585-practica-0
170787585-practica-0xavazquez
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoFranciny Salles
 
Presentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesPresentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesOier Ardanaz
 
Administracion de redes y seguridad con Software Libre
Administracion de redes y seguridad con Software LibreAdministracion de redes y seguridad con Software Libre
Administracion de redes y seguridad con Software Libremiltonvf
 
MAQUINAS VIRTUALES Y PROTOCOLO DE AUTENTICACION.pptx
MAQUINAS VIRTUALES Y PROTOCOLO DE AUTENTICACION.pptxMAQUINAS VIRTUALES Y PROTOCOLO DE AUTENTICACION.pptx
MAQUINAS VIRTUALES Y PROTOCOLO DE AUTENTICACION.pptxalexanderramirez620370
 
Seguridad vs Software libre
Seguridad vs Software libreSeguridad vs Software libre
Seguridad vs Software libreHector L
 
Herramientas de-analisis-de-vulnerabilidades(1)
Herramientas de-analisis-de-vulnerabilidades(1)Herramientas de-analisis-de-vulnerabilidades(1)
Herramientas de-analisis-de-vulnerabilidades(1)inaki sanz
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 

Similar a OpenVAS escaneo (20)

Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
Herramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidadesHerramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidades
 
Grupo 5 - OPEN VAS.pptx
Grupo 5 - OPEN VAS.pptxGrupo 5 - OPEN VAS.pptx
Grupo 5 - OPEN VAS.pptx
 
Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de Ubuntu
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
 
170787585-practica-0
170787585-practica-0 170787585-practica-0
170787585-practica-0
 
Las mejores herramientas para realizar pruebas de software
Las mejores herramientas para realizar pruebas de softwareLas mejores herramientas para realizar pruebas de software
Las mejores herramientas para realizar pruebas de software
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker Ético
 
Presentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesPresentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidades
 
Administracion de redes y seguridad con Software Libre
Administracion de redes y seguridad con Software LibreAdministracion de redes y seguridad con Software Libre
Administracion de redes y seguridad con Software Libre
 
Herramientas
HerramientasHerramientas
Herramientas
 
MAQUINAS VIRTUALES Y PROTOCOLO DE AUTENTICACION.pptx
MAQUINAS VIRTUALES Y PROTOCOLO DE AUTENTICACION.pptxMAQUINAS VIRTUALES Y PROTOCOLO DE AUTENTICACION.pptx
MAQUINAS VIRTUALES Y PROTOCOLO DE AUTENTICACION.pptx
 
Capitulo2
Capitulo2Capitulo2
Capitulo2
 
Mrlooquer Rating
Mrlooquer RatingMrlooquer Rating
Mrlooquer Rating
 
Seguridad vs Software libre
Seguridad vs Software libreSeguridad vs Software libre
Seguridad vs Software libre
 
Métodos vulnerabilidad activos
Métodos vulnerabilidad activosMétodos vulnerabilidad activos
Métodos vulnerabilidad activos
 
Nagios
Nagios Nagios
Nagios
 
Herramientas de-analisis-de-vulnerabilidades(1)
Herramientas de-analisis-de-vulnerabilidades(1)Herramientas de-analisis-de-vulnerabilidades(1)
Herramientas de-analisis-de-vulnerabilidades(1)
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP Guatemala
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
 

Más de Alonso Caballero

Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebAlonso Caballero
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
 
Curso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoCurso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoAlonso Caballero
 
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Alonso Caballero
 
Curso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxCurso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxAlonso Caballero
 
Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Alonso Caballero
 
Curso Virtual Informática Forense
Curso Virtual Informática ForenseCurso Virtual Informática Forense
Curso Virtual Informática ForenseAlonso Caballero
 
Webinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyWebinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyAlonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebAlonso Caballero
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosAlonso Caballero
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 
Webinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsWebinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsAlonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebAlonso Caballero
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Alonso Caballero
 
Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Alonso Caballero
 
Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Alonso Caballero
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Alonso Caballero
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 

Más de Alonso Caballero (20)

Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking Web
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Curso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoCurso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking Ético
 
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
 
Curso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxCurso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali Linux
 
Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"
 
Curso Virtual Informática Forense
Curso Virtual Informática ForenseCurso Virtual Informática Forense
Curso Virtual Informática Forense
 
Webinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyWebinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con Autopsy
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de Comandos
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 
Webinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsWebinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus Essentials
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022
 
Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022
 
Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 

Último

TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)JuanStevenTrujilloCh
 
Trabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalTrabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalEmanuelCastro64
 
TECNOLOGIA 11-4.8888888888888888888888888
TECNOLOGIA 11-4.8888888888888888888888888TECNOLOGIA 11-4.8888888888888888888888888
TECNOLOGIA 11-4.8888888888888888888888888ElianaValencia28
 
Clasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxClasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxCarolina Bujaico
 
Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024anasofiarodriguezcru
 
TinkerCAD y figuras en 3D. Uso del programa TinkerCAD para crear fuguras.
TinkerCAD y figuras en 3D. Uso del programa TinkerCAD para crear fuguras.TinkerCAD y figuras en 3D. Uso del programa TinkerCAD para crear fuguras.
TinkerCAD y figuras en 3D. Uso del programa TinkerCAD para crear fuguras.radatoro1
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 
TENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdfTENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdfJoseAlejandroPerezBa
 
Trabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjskTrabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjskbydaniela5
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointValerioIvanDePazLoja
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaYeimys Ch
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar24roberto21
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024u20211198540
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfcristianrb0324
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdfBetianaJuarez1
 

Último (20)

TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)
 
Trabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalTrabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamental
 
TECNOLOGIA 11-4.8888888888888888888888888
TECNOLOGIA 11-4.8888888888888888888888888TECNOLOGIA 11-4.8888888888888888888888888
TECNOLOGIA 11-4.8888888888888888888888888
 
Clasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxClasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptx
 
Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024
 
TinkerCAD y figuras en 3D. Uso del programa TinkerCAD para crear fuguras.
TinkerCAD y figuras en 3D. Uso del programa TinkerCAD para crear fuguras.TinkerCAD y figuras en 3D. Uso del programa TinkerCAD para crear fuguras.
TinkerCAD y figuras en 3D. Uso del programa TinkerCAD para crear fuguras.
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 
TENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdfTENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdf
 
Trabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjskTrabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjsk
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power Point
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdf
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
 

OpenVAS escaneo

  • 1. Webinar Gratuito OpenVAS Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 2 de Enero del 2014
  • 2. ¿Quién Soy? • Consultor e Instructor Independiente en Hacking Ético, Informática Forense y GNU/Linux. • Ex Integrante de RareGaZz y actual integrante de PeruSEC. • Ex Redactor en la Revista Linux+ DVD (ES). • • • Creador del II Reto Forense Digital Sudamericano - Chavín de Huantar 2012. Brainbench Certified Network Security, Brainbench Certified Computer Forensics (U.S.) & Brainbench Certified Linux Administration (General). CNHE, CNCF, CNHAW. Más de 11 años de experiencia en el área. • @Alonso_ReYDeS • pe.linkedin.com/in/alonsocaballeroquezada/
  • 3. Evaluación de Vulnerabilidades Es el proceso de ubicar y reportar las vulnerabilidades. Esto proporcionar una manera de detectar y resolver los problemas de seguridad ante de que alguien o algo pueda explotarla. La razón de realizar este procedimiento es debido a que es un componente crítico la infraestructura de seguridad de varias organizaciones; pues la habilidad de realizar una instantánea de la seguridad de toda la red que apoya a un número de procesos de seguridad y administrativos. Cuando se descubre una nueva vulnerabilidad, se puede realizar una evaluación para descubrir los sistemas vulnerables, iniciar el proceso de la instalación de parches. Después de esto, se debe realizar otra evaluación para verificar que las vulnerabilidades se han solucionado. Este ciclo de evaluar, parchar y verificar se ha convertido en un método estándar; para manejar los temas de seguridad; en varias organizaciones.
  • 4. Tipos de Evaluaciones 1. Evaluaciones de Host Estas herramientas requieren que el software sea instalado en cada sistema que se desea evaluar. Se evalúa vulnerabilidades a nivel del sistema como permisos de archivos inseguros, parches de software que faltan, políticas de seguridad que cumplen las normas, e instalaciones de puertas traseras o troyanos. 2. Evaluaciones de Red Implica localizar a todos los sistemas funcionando en la red, determinar los servicios de red utilizados, y analizarlos por probables vulnerabilidades. Este tipo de evaluaciones pueden ser escalables y eficientes en términos de requerimientos administrativos, y son el único método factible para estimar la seguridad de grandes y complejas redes de sistemas heterogeneos.
  • 5. El Proceso de Evaluación Sin importar en gran medida cual es la solución utilizada para la evaluación de vulnerabilidades, es muy probable que se realice el mismo proceso de evaluación. 1. Detectar los Sistemas en Funcionamiento 2. Identificar los Sistemas en Funcionamiento 3. Enumerar los Servicios 4. Identificar los Servicios 5. Identificar las Aplicaciones 6. Identificar las Vulnerabilidades 7. Reportar las Vulnerabilidades
  • 6. Dos Enfoques 1. Enfoque Administrativo Realiza una evaluación desde la perspectiva de un administrador del sistema autenticado. Se debe proporcionar a la herramienta un usuario y contraseña con estos privilegios. Estas credenciales se utilizarán para detectar parches ausentes, configuraciones inseguras y probables vulnerabilidades en el software del cliente (Como un cliente de correo o un navegador web.) 2. Enfoque Externo Toma la perspectiva de un intruso malicioso sin autenticación quien intenta irrumpir en la red. Este procedimiento es capaz de tomar decisiones sobre la seguridad del sistema únicamente mediante una combinación de huellas de la aplicación, identificación de versiones, e intentos de explotación. De esta manera se pueden detectar vulnerabilidades en un amplio rango de sistemas operativos y dispositivos.
  • 7. ¿Qué es OpenVAS? OpenVAS (Sistema Abierto para la Evaluación de Vulnerabilidades) está constituido por varios servicios y herramientas que proporcionan un escaneo de vulnerabilidades muy completo y poderoso, además de una solución para la administración de vulnerabilidades. El corazón de esta arquitectura asegurada con SSL orientada al servicio, es el Escaner OpenVAS. El muy eficiente escaner ejecuta los NVTs – Network Vulnerability Tests (Pruebas de Vulnerabilidad en Redes), los cuales son servidos con actualizaciones diarás mediante el OpenVAS NVT Feed o mediate el servicio comercial, con más de 30,000 en total. Todos los productos OpenVAS son Software Libre. Y la mayoría de componentes tienen licencia GNU/GPL. * OpenVAS: http://www.openvas.org/about.html
  • 8. Características de OpenVAS OpenVAS Scanner: Escano de varios objetivos concurrentemente, OpenVAS Transfer Protocol, Soporte SSL. OpenVAS Manager: OpenVAS Management Protocol, Base de Datos SQL (sqlite) para las configuraciones y resultados, Tareas de escaneo concurrentes, Escaneos programados, Reportes en varios formatos (XML, HTML, etc.) OpenVAS Administrator: OpenVAS Administration Protocol, Manejo de usuarios, Vista del estado del “feed”, sincronización del feed. Greenbone Security Assistant: Cliente para OMP y OAP, HTTp y HTTPS, Servidor web propio (microhttpd), no se requiere un servidor web adicional, Sistema de ayuda integrado en línea. * Features Overview: http://www.openvas.org/software.html#feature_overview
  • 9. Resumen de la Arquitectura de OpenVAS
  • 10. El Manejador de OpenVAS Es el servicio central que consolida el escaneo de vulnerabilidades en una solución completa para la gestión de vulnerabilidades. El Manejador controla el Escaner mediante OTP - OpenVAS Transfer Protocol (Protocolo OpenVAS de Transferencia) y ofrece por si mismo OMP - OpenVAS Management Protocol (Protocolo de Gestión OpenVAS) basado en XML. Toda la inteligencia es implementada en el Manejador, así que es posible implementar varios tipos de clientes con un comportamiento similar, por ejemplo con relación al filtrado y ordenamiento de los resultados del escaneo. El Manejador también controla una base de datos SQL (basada en sqlite) donde se almacenan centralizadamente toda la configuración y resultados del escaneo. * http://www.openvas.org/software.html
  • 11. El Manejador de OpenVAS (Cont.)
  • 12. Clientes OpenVAS OpenVAS dispone de diferentes clientes OMP. “Greenbone Security Assistant” (GSA) el cual es un servicio web que ofrece una interfaz de usuario para navegadores web. Este utiliza XSL (Extensible Stylesheet Language) el cual convierte las respuestas OMP en HTML. The Greenbone Security Desktop (GSD) es un cliente OMP de escritorio basado en QT. Este funciona en diferentes versiones de Linux, Windows y otros sistemas operativos. OpenVAS CLI (Command-line interface) contiene la herramienta en línea de comando “omp” el cual permite crear procesos batch para dirigir el Manejador de OpenVAS
  • 14. Más Sobre OpenVAS El Administrador de OpenVAS actúa como una herramienta en línea de comando o como un demonio completo de servicio ofreciendo el protocolo OpenVAS de administración (OAP). Las tareas más importantes son el manejo de usuario y el manejo del ”feed”. GSA soporta OAP y los usuarios con el rol de “Admin” pueden acceder a la funcionalidad OAP. La mayoría de las herramientas listadas anteriormente comparten la funcionalidad que es añadida en las Librerías OpenVAS. El Escaner OpenVAS ofrece el protocolo de comunicación OTP el cual permite el control de la ejecución del escaneo. Tradicionalmente los clientes OpenVAS de Escritorio y CLI actúa como un cliente OTP directo. OpenVAS oficialmente adopta OVAL (Open Vulnerability and Assessment Language), OVAL es un esfuerzo de la comunidad de seguridad de la información, para estandarizar la forma de valorar y reportar el estado de una máquina de los sistemas de cómputo. * OVAL: http://oval.mitre.org/
  • 15. Curso Virtual de Hacking Ético Días: Grupo 1: Sábados 4, 11, 18 y 25 de Enero del 2014 Grupo 2: Domingos 5, 12, 19 y 26 de Enero del 2014 Horario: De 9:00am a 12:30m (UTC -05:00) Más Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Etico caballero.alonso@gmail.com @Alonso_ReYDeS http://pe.linkedin.com/in/alonsocaballeroquezada/ ReYDeS http://www.reydes.com
  • 16. Demostraciones A continuación se presentan algunas demostraciones prácticas utilizando OpenVAS en Kali Linux.
  • 17. Más Material Los invito a visualizar los 16 Webinars Gratuitos que he dictado durante todo el año 2013, sobre temas de Hacking Ético, Pruebas de Penetración, Hacking Aplicaciones Web e Informática Forense. http://www.reydes.com/d/?q=videos Pueden obtener todas las diapositivas utilizadas en los Webinars Gratuitos desde la siguiente página: http://www.reydes.com/d/?q=node/3 Pueden obtener todos los artículos y documentos que he publicado. http://www.reydes.com/d/?q=node/2 Mi blog: http://www.reydes.com/d/?q=blog/1
  • 18. Webinar Gratuito ¡Muchas Gracias! Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 2 de Enero del 2014