GFI LANguard Network Security Scanner 5 Manual Por GFI Software Ltd. GFI SOFTWARE Ltd. http://www.gfi.com E-mail: info@gfi.com La información de este documento esta sujeta a cambios sin previo aviso. Las empresas, nombres, y datos utilizados en los ejemplos son ficticios si no se hace mención de lo contrario. Ninguna parte del documento puede ser reproducida o transmitida bajo ninguna forma o medio, electrónico o mecánico, para ningún propósito, sin la expresa autorización escrita de GFI SOFTWARE Ltd. LANguard es copyright de GFI SOFTWARE Ltd. 2000-2004 GFI SOFTWARE Ltd. Todos los derechos reservados. Versión 5,0 – Ultima actualización 20 de Septiembre de 2004 Contenido Introducción 5 Introducción a GFI LANguard Network Security Scanner ............................................. 5 Importancia de la Seguridad Interna de la Red............................................................. 5 Características clave ..................................................................................................... 6 Componentes de GFI LANguard N.S.S. ....................................................................... 7 Esquema de Licenciamiento ......................................................................................... 7 Instalar GFI LANguard Network Security Scanner 9 Requerimientos del Sistema.......................................................................................... 9 Procedimiento de Instalación ........................................................................................ 9 Introducir su Clave de Licencia después de la instalación.......................................... 11 Empezar: Realizar una Auditoria 13 Introducción a las Auditorias de Seguridad................................................................. 13 Realizar un Análisis ..................................................................................................... 13 Analizar los Resultados del Análisis............................................................................ 14 IP, Nombre de equipo, SO y Nivel de Service pack........................................15 Nodo Vulnerabilidades ....................................................................................15 Nodo de Vulnerabilidades Potenciales............................................................16 Recursos compartidos.....................................................................................17 Directiva de Contraseñas ................................................................................17 Registro ...........................................................................................................17 Directiva de auditoria de seguridad.................................................................18 Puertos abiertos ..............................................................................................19 Usuarios y Grupos ...........................................................................................20 Servicios ..........................................................................................................20 Estado de Actualizaciones de Seguridad P ....................................................20 Resultados Adicionales ............................................................................................... 20 Equipo..............................................................................................................20 Realizar análisis En el sitio (On site) y Fuera del sitio (Off site) ................................. 21 Análisis On Site ...............................................................................................21 Análisis Off Site ...............................................................................................21 Comparación de análisis on site y off site .......................................................22 Filtrar los resultados del análisis 23 Introducción ................................................................................................................. 23 Seleccionar el origen de los resultados del análisis.................................................... 24 Crear un filtro de análisis a medida ............................................................................. 24 Configurar GFI LANguard N.S.S. 27 Introducción a la configuración de GFI LANguard N.S.S. ........................................... 27 Perfiles de escaneo ..................................................................................................... 27 Puertos TCP/UDP analizados ..................................................................................... 28 Cómo agregar/editar/eliminar puertos.............................................................28 Datos del SO analizado............................................................................................... 29 Vulnerabilidades analizadas........................................................................................ 30 Tipos de Vulnerabilidades ...............................................................................30 LANguard Network Security Scanner Manual Contenido • i Descargar las últimas Vulnerabilidades de Seguridad....................................31 Actualizaciones de seguridad analizadas ................................................................... 31 Opciones de escáner................................................................................................... 32 Métodos de descubrimiento de red .................................................................33 Análisis Programados.................................................................................................. 34 Archivos de parámetros............................................................................................... 37 Utilizar GFI LANguard N.S.S. desde la línea de comando ......................................... 38 Despliegue de Actualizaciones de Seguridad 39 Introducción al despliegue de actualizaciones de seguridad ...................................... 39 El agente de implantación de actualizaciones ................................................39 Paso 1: Realizar un análisis de su red ........................................................................ 40 Paso 2: Seleccionar sobre qué equipos implantar las actualizaciones....................... 40 Paso 3: Seleccionar qué actualizaciones implantar .................................................... 41 Paso 4: Descargar los archivos de actualizaciones y service pack ............................ 42 Descargando las actualizaciones ....................................................................43 Paso 5: Parámetros de implantación de archivos de actualización ............................ 44 Paso 6: Implantar las actualizaciones ......................................................................... 44 Implantar software a medida ....................................................................................... 45 Paso 1: Seleccionar los equipos a los que instalar el software/actualización .....................................................................................46 Paso 2: Especificar el software a implantar ....................................................46 Paso 3: Iniciar el proceso de implantación......................................................47 Opciones de implantación ........................................................................................... 48 Comparación de Resultados 49 ¿Por qué Comparar Resultados?................................................................................ 49 Realizar una Comparación de Resultados interactivamente ...................................... 49 Realizar una Comparación con la Opción de Análisis Programados.......................... 50 Herramientas 51 Introducción ................................................................................................................. 51 DNS lookup.................................................................................................................. 51 Trace Route ................................................................................................................. 52 Whois Client................................................................................................................. 53 SNMP Walk ................................................................................................................. 53 SNMP Audit ................................................................................................................. 53 MS SQL Server Audit .................................................................................................. 54 Enumerar Equipos ....................................................................................................... 55 Lanzar un análisis de seguridad......................................................................55 Implantar actualizaciones a medida ................................................................55 Habilitar las Directivas de Auditoria.................................................................56 Enumerar Usuarios...................................................................................................... 56 Agregar comprobaciones de vulnerabilidad mediante condiciones o scripts 57 Introducción ................................................................................................................. 57 Lenguaje VBscript de GFI LANguard N.S.S................................................................ 57 Agregar una comprobación de vulnerabilidad que utiliza un script a medida ......................................................................................................................... 57 Paso 1: Cree el script ......................................................................................58 Paso 2: Agregue la nueva comprobación de vulnerabilidad: ..........................58 Agregar una comprobación de vulnerabilidad CGI ..................................................... 59 Agregar otras comprobaciones de vulnerabilidad ....................................................... 60 Resolución de problemas 65 Introducción ................................................................................................................. 65 Contenido • ii LANguard Network Security Scanner Manual Base de conocimientos ............................................................................................... 65 Solicitud de soporte vía e-mail .................................................................................... 65 Solicitud de soporte vía conversación web ................................................................. 66 Solicitudes de soporte telefónicas ............................................................................... 66 Foro Web ..................................................................................................................... 66 Notificaciones de versiones revisadas ........................................................................ 66 Indice LANguard Network Security Scanner Manual 67 Contenido • iii Introducción Introducción a GFI LANguard Network Security Scanner GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) es una herramienta que permite a los administradores de red realizar rápida y fácilmente una auditoria de seguridad de red. GFI LANguard N.S.S. crea informes que pueden ser utilizados para resolver problemas de seguridad de la red. Además puede realizar la administración de actualizaciones de seguridad. Al contrario que otros escáneres de seguridad, GFI LANguard N.S.S. no creará un ‘bombardeo’ de información, que es virtualmente imposible de seguir. En su lugar, ayudará a resaltar la información más importante. Además proporciona hipervínculos a sitios de seguridad para averiguar más sobre estas vulnerabilidades. Utilizando análisis inteligentes, GFI LANguard N.S.S. recoge información sobre los equipos como nombres de usuario y grupos, que pueden incluir objetos para permitir acceso clandestino, recursos compartidos de red y objetos similares encontrados en un Dominio Windows. Además de esto, GFI LANguard N.S.S. también identifica vulnerabilidades específicas como problemas de configuración de servidores FTP, exploits en Servidores Microsoft IIS y Apache Web o problemas en la configuración de la política de seguridad NT, más muchos otros potenciales problemas de seguridad. Importancia de la Seguridad Interna de la Red La seguridad interna de la red es, las más veces, menospreciada por sus administradores. Muy a menudo, dicha seguridad incluso no existe, permitiendo a un usuario acceder fácilmente al equipo de otro usuario utilizando debilidades bien conocidas, relaciones de confianza y opciones predeterminadas. La mayor parte de estos ataques necesitan poca o ninguna habilidad, poniendo la integridad de una red en riesgo. La mayoría de los empleados no necesitan y no deben tener acceso al resto de equipos, funciones administrativas, dispositivos de red, etcétera. Sin embargo, debido a la cantidad de flexibilidad necesaria para la función normal, las redes internas no pueden permitirse una seguridad máxima. Por otro lado, sin ninguna seguridad, los usuarios internos pueden ser una importante amenaza para muchas redes corporativas. Un usuario de la empresa ya tiene acceso a muchos recursos internos y no necesita evitar cortafuegos u otros mecanismos de seguridad que previenen que las fuentes no confiables, como LANguard Network Security Scanner Manual Introducción • 5 usuarios de Internet, accedan a la red interna. Dichos usuarios internos, equipados con mucha habilidad, pueden penetrar satisfactoriamente y conseguir derechos de administración remota de red mientras que asegura que su abuso sea difícil de identificar o incluso de detectar. De hecho, el 80% de los ataques a la red se originan desde el interior del cortafuegos (ComputerWorld, Enero 2002). Una pobre seguridad de red también significa que, si un hacker externo fuerza un equipo de su red, podrá acceder al resto de la red interna más fácilmente. Esto habilitaría a un atacante sofisticado leer y posiblemente filtrar correo y documentos confidenciales; equipos basura, haciendo creer en pérdidas de información; y más. Por no mencionar que entonces utilice su red y recursos para volverse e iniciar el ataque a otros sitios, que cuando sean descubiertos le apuntarán a usted y a su empresa, no al hacker. La mayoría de ataques, contra vulnerabilidades conocidas, podrían ser fácilmente resueltos y, por lo tanto, ser detenidos por los administradores si conocieran la vulnerabilidad en primer lugar. La función de GFI LANguard N.S.S. es ayudar a los administradores en la identificación de estas vulnerabilidades. Características clave 6 • Introducción • Encuentra servicios rufianes y puertos TCP y UDP abiertos • Detecta vulnerabilidades CGI, DNS, FTP, Correo, RPC y otras • Detecta usuarios pícaros o en “puertas traseras” (backdoors) • Detecta recursos compartidos abiertos • Enumeración de usuarios, servicios, etc. • Puede realizar Análisis Programados • Actualiza automáticamente las Comprobaciones de vulnerabilidad de seguridad • Habilidad para detectar la falta de actualizaciones críticas y service packs del sistema operativo. • Habilidad para detectar la falta de actualizaciones críticas y service packs de aplicaciones soportadas. • Habilidad de comparar análisis, para enterarse de posibles nuevos puntos de entrada • Habilidad para actualizar el SO (Sistemas Windows en Inglés) y aplicaciones Office (Inglés, Francés, Alemán, Italiano, Español) • Identificación de Sistema operativo • Detección de anfitrión en directo • Resultados en HTML, XSL y XML • Auditoria SNMP y MS SQL • Lenguaje de comandos compatible Vbscript para construir comprobaciones de vulnerabilidad a medida LANguard Network Security Scanner Manual Componentes de GFI LANguard N.S.S. GFI LANguard N.S.S. está construido sobre una arquitectura de clase empresarial y tiene los siguientes componentes. GFI LANguard Network Security Scanner Este es el principal interfaz del producto. Utilice esta aplicación para ver los resultados del análisis en tiempo real, configurar las opciones de análisis, perfiles, informes filtrados, uso de herramientas de seguridad especializadas y más. GFI LANguard N.S.S. servicio asistente Este servicio inicia los análisis de red programados, e implantaciones programadas de actualizaciones. Funciona en segundo plano. GFI LANguard N.S.S. Servicio agente de actualizaciones Este servicio se implanta en los equipos objetivo a los cuales hay que instalar actualizaciones, service pack o aplicaciones y se encarga de la instalación de los parches, service pack o aplicaciones. GFI LANguard N.S.S. Depurador de Scripts Utilice este módulo para escribir/depurar los scripts a medida que haya creado. Esquema de Licenciamiento El esquema de licenciamiento de GFI LANguard N.S.S. se basa en el número de equipos y dispositivos que desea analizar. Por ejemplo, la licencia de 100 IP le permite analizar hasta 100 equipos o dispositivos desde una única estación de trabajo/servidor de su red. LANguard Network Security Scanner Manual Introducción • 7 Instalar GFI LANguard Network Security Scanner Requerimientos del Sistema La instalación de GFI LANguard Network Security Scanner requiere lo siguiente: • Windows 2000/2003 o Windows XP • Internet Explorer 5.1 o superior • El Cliente de Redes Microsoft debe estar instalado. • NO puede estar ejecutándose software Cortafuegos Personal ni el Cortafuegos de Conexión a Internet de Windows XP mientras se realizan los análisis. Pueden bloquear la funcionalidad de GFI LANguard N.S.S. • Para implantar parches en equipos remotos necesita tener privilegios de administrador Procedimiento de Instalación 1. Inicie el programa de instalación de LANguard Network Security Scanner haciendo clic sobre el archivo lannetscan.exe. Confirme que desea instalar GFI LANguard N.S.S. Comenzará el asistente de instalación. Haga clic en Next. 2. Tras leer el Acuerdo de Licencia, haga clic en Yes para aceptar el acuerdo y continuar la instalación. 3. La instalación le solicitará la información de usuario y la Clave de Licencia LANguard Network Security Scanner Manual Instalar GFI LANguard Network Security Scanner • 9 Especifique las credenciales del administrador del dominio o utilice la cuenta local del sistema 4. La instalación le solicitará las credenciales del administrador del dominio que serán utilizadas por el servicio LANguard N.S.S. Attendant (que inicia los análisis programados). Introduzca las credenciales necesarias y haga clic en Next. Escoja la base de datos de respaldo 5. La instalación le solicitará que escoja la base de datos de respaldo para GFI LANguard N.S.S. Escoja entre Microsoft Access o Microsoft SQL Server/MSDE y haga clic en Next. NOTA: SQL Server/MSDE debe ser instalado en modo mixto o modo autentificación SQL. El modo de sólo autentificación NT no está soportado. 10 • Instalar GFI LANguard Network Security Scanner LANguard Network Security Scanner Manual 6. Si seleccionó Microsoft SQL Server/MSDE como base de datos de respaldo, se le solicitará por las credenciales SQL utilizadas para registrar en la base de datos. Haga clic en Next para continuar. 7. La instalación le solicitará una dirección de correo de administrador y el nombre de su servidor de correo. Estas opciones serán utilizadas para enviar alertas administrativas. 8. Escoja el destino de GFI LANguard N.S.S. y haga clic en Next. GFI LANguard N.S.S. necesitará aproximadamente 40 MB de espacio libre en disco. 9. Una vez GFI LANguard N.S.S. ha sido instalado, puede ejecutar GFI LANguard Network Security Scanner desde el menú de inicio. Introducir su Clave de Licencia después de la instalación Si ha comprado GFI LANguard N.S.S., puede introducir su número de serie en el nodo General > Licensing. Si está evaluando GFI LANguard N.S.S., el producto expirará después de 60 días (con clave de evaluación). Si entonces decide comprar GFI LANguard N.S.S., solo tiene que introducir aquí la clave de licencia sin tener que reinstalarlo. Debe licenciar GFI LANguard N.S.S. para el número de equipo que desea analizar, y el número de equipos desde los que desea ejecutarlo. Si tiene 3 administradores utilizando GFI LANguard N.S.S. entonces tiene que comprar 3 licencias. Introducir la Clave de licencia no debe ser confundido con el proceso de registrar los detalles de su empresa en nuestro sitio web. Esto es importante, ya que nos permite darle soporte y avisarle sobre noticias importantes sobre los productos. Registre en: http://www.gfi.com/pages/regfrm.htm Nota: Para descubrir cómo comprar GFI LANguard N.S.S., siga el nodo General -> How to puchase. LANguard Network Security Scanner Manual Instalar GFI LANguard Network Security Scanner • 11 Empezar: Realizar una Auditoria Introducción a las Auditorias de Seguridad Una auditoria de recursos de red permite al administrador identificar posibles riesgos dentro de la red. Hacerlo manualmente requiere mucho tiempo, a cause de las tareas y procesos repetitivos, que tienen que ser aplicados en cada equipo de la red. GFI LANguard N.S.S. automatiza el proceso de una auditoria de seguridad e identifica fácilmente vulnerabilidades comunes dentro de su red en un corto tiempo. Nota: Si su empresa utiliza cualquier tipo de Software de Detección de Intrusos (IDS) entonces sea consciente de que el uso de LANguard Network Security Scanner dejara fuera casi cualquier cualidad. Si no es el único en encargarse del sistema IDS, asegúrese de que el administrador de ese equipo o equipos sea consciente del análisis que va a ser iniciado. Junto con el aviso del software IDS debe ser consciente de que muchos de los análisis se mostrarán en los archivos de registro a todos los niveles. Registros Unix, servidores web, etc. mostrarán todos los intentos del equipo LANguard Network Security Scanner. Si no es el único administrador de su sitio asegúrese que los otros administradores sean conscientes de los análisis que va a realizar. Realizar un Análisis El primer paso en el comienzo de la auditoria de una red es realizar un análisis de los equipos y dispositivos de red actuales. Para comenzar un nuevo análisis de red: 1. Haga clic en File -> New. 2. Seleccione qué analizar. Puede seleccionar lo siguiente: a. Scan one Computer - Esto analizará un único equipo. b. Scan Range of Computers – Esto analizará un rango específico de IPs c. Scan List of Computers - Esto analiza una lista de equipos a medida. Los equipos se pueden agregar a la lista seleccionándolos de una lista de equipos enumerados, introduciéndolos uno a uno, o importando la lista de un archivo de texto. d. Scan a Domain – Esto analiza un dominio Windows completo. 3. Dependiendo de lo que quiera analizar introduzca el inicio y final del rango de la red a ser escaneado. LANguard Network Security Scanner Manual Empezar: Realizar una Auditoria • 13 4. Seleccione Start Scan. Realizar un análisis LANguard Network Security Scanner realizará el análisis ahora. Primero detectará qué anfitriones/equipos están activos, y solo analizará esos. Esto se hace utilizando sondas NETBIOS, ping ICMP ping y consultas SNMP . Si un dispositivo no responde a uno de éstas, GFI LANguard N.S.S. asumirá, por ahora, que el dispositivo no existe en una IP específica o que está actualmente inactivo. Nota: Si quiere forzar un análisis sobre anfitriones que no responden, vea el capítulo ‘Configurar opciones de análisis’ para información sobre cómo configurar esto. Analizar los Resultados del Análisis 14 • Empezar: Realizar una Auditoria LANguard Network Security Scanner Manual Analizar los resultados Tras un análisis, los nodos aparecerán bajo cada equipo que GFI LANguard N.S.S. encuentre. El panel de la izquierda listará todos los equipos y dispositivos de red. Expandiendo uno de éstos se listará una serie de nodos con la información encontrada para ese equipo o dispositivo de red. Hacer clic sobre un nodo concreto mostrará la información analizada en el panel de la derecha. GFI LANguard N.S.S. encontrará cualquier dispositivo de red que esté actualmente activo o cuando haga un sondeo de red. Dependiendo del tipo de dispositivo y qué tipo de consultas responde se determinará cómo GFI LANguard N.S.S. lo identifica y qué información puede recuperar. Una vez GFI LANguard N.S.S. ha finalizado su análisis del equipo/dispositivo/red mostrará la siguiente información. IP, Nombre de equipo, SO y Nivel de Service pack Se mostrará la dirección IP del equipo/dispositivo. Entonces se mostrará el nombre NetBIOS DNS, dependiendo del tipo de dispositivo. GFI LANguard N.S.S. informará qué SO está corriendo en el dispositivo y si es un Windows NT/2000/XP/2003 OS, mostrará el nivel de service pack. Nodo Vulnerabilidades El nodo vulnerabilidades muestra los problemas de seguridad detectados y le informa cómo resolverlos. Estas amenazas pueden incluir actualizaciones de seguridad y service pack ausentes, problemas HTTP, alertas NETBIOS, problemas de configuración, etcétera. Las vulnerabilidades se dividen en las siguientes secciones: Service Packs Ausentes, Actualizaciones de Seguridad Ausentes, Vulnerabilidades de Seguridad Altas, Vulnerabilidades de Seguridad Medianas y Vulnerabilidades de Seguridad Bajas. Bajo cada sección de vulnerabilidades Altas / Medianas / Bajas puede encontrar mayor categorización de los problemas detectados utilizando el siguiente agrupamiento: Abusos CGI, Vulnerabilidades FTP, Vulnerabilidades DNS, Vulnerabilidades de Correo, Vulnerabilidades RPC, Vulnerabilidades de Servicio, Vulnerabilidades de Registro y Vulnerabilidades Varias. Actualizaciones de seguridad ausentes GFI LANguard N.S.S. comprueba la ausencia de actualizaciones de seguridad mediante la comparación de las actualizaciones instaladas con las actualizaciones disponibles para un producto concreto. Si al equipo le falta cualquier actualización debería ver algo como esto: LANguard Network Security Scanner Manual Empezar: Realizar una Auditoria • 15 Primero le indica para qué producto es la actualización. Si lo expande, le especificará que actualización está ausente y le dará un enlace del que puede descargar la actualización. Abusos CGI describe problemas relativos a Apache, Netscape, IIS y otros servidores web. Vulnerabilidades FTP, vulnerabilidades DNS, vulnerabilidades de Correo, vulnerabilidades RPC y vulnerabilidades varias proporcionan enlaces a Bugtraq u otros sitios de seguridad para que pueda buscar más información sobre el problema encontrado por GFI LANguard N.S.S. Vulnerabilidades de servicio pueden ser varias cosas. Cualquier cosa de los servicios en curso en el dispositivo en cuestión de cuentas listadas en un equipo que nunca han sido utilizadas. Vulnerabilidades de registro cubre la información tomada de un equipo Windows cuando GFI LANguard N.S.S. hace su análisis inicial. Proporcionará un enlace al sitio de Microsoft u otros sitios relacionados con la seguridad que explica por qué estas opciones del registro deberían ser cambiadas. Vulnerabilidades de información son alertas agregadas a la base de datos que son problemas suficientemente importantes para llamar la atención de los administradores pero que no siempre es perjudicial dejarlas abiertas. Nodo de Vulnerabilidades Potenciales El nodo de vulnerabilidades potenciales muestra potenciales problemas de seguridad, información importantes, así como ciertas comprobaciones que podrían no ser realizadas. Por ejemplo si no pudiera determinarse que una actualización concreta está instalada, se la listará bajo el nodo actualizaciones de seguridad no detectables. Esas potenciales vulnerabilidades necesitan ser revisadas por el administrador. Nodo de vulnerabilidades potenciales 16 • Empezar: Realizar una Auditoria LANguard Network Security Scanner Manual Recursos compartidos El nodo recursos compartidos lista todos los recursos compartidos de un equipo y quién tiene acceso a un recurso compartido. Todos los recursos compartidos de la red deben ser asegurados adecuadamente. Los administradores deben asegurar que: 1. Ningún usuario está compartiendo todo su disco duro con otros usuarios. 2. No se permite el acceso anónimo/no autentificado a recursos compartidos. 3. Las carpetas de inicio o archivos de sistema similares no están compartidas. Esto podría permitir que usuarios con menos privilegios ejecuten código en los equipos objetivo. Lo anterior es muy importante para todos los equipos, pero especialmente para los equipos que son críticos para la integridad del sistema, como el Controlador de Domino Público. Imagine un administrador compartiendo la carpeta de inicio (o una carpeta que contiene la carpeta de inicio) en el PDC para todos los usuarios. Concedidos los permisos correctos, los usuarios pueden fácilmente copiar ejecutables en la carpeta de inicio, que se ejecutarán en el siguiente inicio de sesión del administrador. Nota: Si está realizando el análisis validado como un administrador, también verá los recursos compartidos administrativos, por ejemplo “C$ - recurso compartido predeterminado”. Estos recursos compartidos no estarán disponibles para los usuarios normales. Con la forma en que Klez y otros nuevos virus están comenzando a difundirse, a través del uso de recursos compartidos abiertos, todos los recursos compartidos innecesarios deben ser desactivados, y todos los recursos compartidos necesarios deben tener una contraseña. Directiva de Contraseñas Este nodo le permite comprobar si la directiva de contraseñas es segura. Por ejemplo habilitar un tiempo de vida máximo e historial de contraseñas. La longitud mínima de contraseña debe ser algo práctico, como 8 caracteres. Si tiene Windows 2000, puede habilitar una directiva de contraseñas seguras, en toda la red, utilizando un GPO (Objetos de Directiva de Grupo) en el Directorio Activo. Registro Este nodo proporciona información vital sobre el registro remoto. Haga clic sobre el nodo Ejecutar para comprobar qué programas lanzan automáticamente en el inicio. Compruebe que los programas que se lanzan automáticamente no son Troyanos o incluso programas válidos que proporcionan acceso remoto en un equipo, si dicho software no está permitido en su red. Cualquier software de Acceso Remoto puede terminar siendo una puerta trasera que un potencial hacker puede utilizar para obtener entrada. LANguard Network Security Scanner Manual Empezar: Realizar una Auditoria • 17 Directiva de auditoria de seguridad Este nodo muestra qué directivas de auditoria de seguridad están habilitadas en el equipo remoto. Se recomiendan las siguientes directivas de auditoria: Directiva de Auditoria Correcto Error Auditar sucesos de inicio de sesión Si Si Administración de cuentas Si Si Acceso del servicio de directorio Si Si Sucesos de inicio de sesión de cuenta Si Si Acceso a objetos Si Si Cambio de directivas Si Si Uso de privilegios No No Seguimiento de procesos No No Sucesos del sistema Si Si Puede habilitar la auditoria directamente desde GFI LANguard N.S.S. Haga clic con el botón derecho sobre uno de los equipos del panel de la izquierda y seleccione "Enable auditing". Esto hará aparecer el asistente de administración de directiva de auditoria. Especifique qué directivas de auditoria activar. Hay 7 directivas de auditoria de seguridad en Windows NT y 9 en Windows 2000. Habilite las directivas de auditoria deseadas en los equipos a ser monitorizados. Haga clic en Next para activar las directivas de auditoria. Habilitar las Directivas de Auditoria en equipos remotos 18 • Empezar: Realizar una Auditoria LANguard Network Security Scanner Manual Ni no se encuentran errores, se mostrará la página final. Si ocurrió un error entonces se mostrará otra página indicando los equipos en los que falló la aplicación de las directivas. Diálogo de resultados del asistente de directiva de auditoria Puertos abiertos El nodo puertos abiertos lista todos los puertos abiertos encontrados en el equipo. (Esto se llama escaneo de puertos). GFI LANguard N.S.S. hace un análisis de puertos selectivo, lo que significa que por defecto no escanea los 65535 puertos TCP y UDP, sólo los puertos que están configurados para analizar: Puede configurar los puertos que debe analizar en Opciones de análisis. Para más información vea el capítulo “Configurar las Opciones de Análisis, Configurar los Puertos a Analizar”. Cada puerto abierto representa un servicio/aplicación; si uno de estos servicios puede ser “aprovechado”, el hacker podría obtener acceso a ese equipo. Por lo tanto, es importante cerrar cualquier puerto que no sea necesario. Nota: En las Redes Windows, los puertos 135, 139 y 445 siempre están abiertos. GFI LANguard N.S.S. mostrará los puertos abiertos, y si el puerto se considera puerto de Troyano conocido, GFI LANguard N.S.S. lo mostrará en ROJO, de lo contrario el puerto se mostrará en VERDE. Puede ver esto en la siguiente imagen: Nota: Aunque un puerto se muestre en ROJO como posible puerto de Troyano, eso no significa que un programa de puerta trasera esté actualmente instalado en el equipo. Algunos programa válidos LANguard Network Security Scanner Manual Empezar: Realizar una Auditoria • 19 utilizarán los mismos puertos que algunos Troyanos conocidos. Un programa anti-virus utiliza el mismo puerto conocido por la puerta trasera NetBus. Por lo tanto compruebe siempre la información proporcionada y realice pruebas en esos equipos. Usuarios y Grupos Estos nodos muestran los grupos locales y los usuarios locales disponibles en el equipo. Verifique si hay usuarios de más, y comprueba que la cuenta Invitado está deshabilitada. ¡Estos usuarios y grupos pueden permitir el acceso por la puerta de atrás! Algunos programas clandestinos rehabilitarán la cuenta Invitado y le darán derechos Administrativos, por lo que compruebe los detalles del nodo usuarios para ver la actividad de todas las cuentas y los derechos que tienen. Idealmente el usuario no debería estar utilizando una cuenta local para iniciar sesión, sino que debería ser registrado en un Dominio o una cuenta de Directorio Activo. La última cosa importante a comprobar es asegurar que la contraseña no es demasiado antigua. Servicios Se listan todos los servicios del equipo. Verifique que los servicios que están en ejecución necesitan estarlo y deshabilite todos los servicios que no sean necesarios. Sea consciente de que cada servicio puede potencialmente ser un riesgo de seguridad y un agujero en el sistema. Cerrando o desactivando los servicios que no son necesarios se reducen automáticamente los riesgos de seguridad. Estado de Actualizaciones de Seguridad P Este nodo muestra qué actualizaciones están instaladas y registradas en el equipo remoto. Resultados Adicionales Esta sección lista nodos y resultados adicionales, que puede comprobar después de haber revisado antes los resultados más importantes del análisis. Nombres NETBIOS En este nodo encontrará detalles sobre los servicios instalados en el equipo. Equipo MAC – Esta es la dirección MAC del adaptador de red. Nombre de usuario – Este es el nombre del usuario actualmente registrado, o el nombre de usuario del equipo. TTL – El valor Tiempo De Vida (TTL) se especifica para cada dispositivo. Los valores principales son 32, 64, 128 y 255. En base a estos valores y al TTL actual del paquete tendrá una idea de la distancia (número de saltos de enrutador) entre el equipo GFI LANguard N.S.S. y el equipo objetivo que fue analizado. 20 • Empezar: Realizar una Auditoria LANguard Network Security Scanner Manual Utilización del Equipo - Le dice si el equipo objetivo es una Estación de Trabajo o un Servidor. Dominio – Si el equipo objetivo es parte de un dominio, le dará una lista de los Dominios de confianza. Si no es parte de un Dominio le mostrará el Grupo de Trabajo del que el equipo es parte. LAN manager – Proporciona el LAN Manager en uso (y SO). Sesiones Muestra las direcciones IP de los equipos que estaban conectados al equipo objetivo en el momento del análisis. En la mayoría de los casos, sólo será el equipo que está ejecutando GFI LANguard N.S.S. y ha recientemente hecho conexiones. Nota: Debido al constante cambio de este valor, esta información no se guarda en el informe, pero está aquí sólo para propósitos informativos. Dispositivos de Red Proporciona una lista de dispositivos de red disponible en el equipo objetivo. TOD remoto Hora del Día remota. Esta es la hora de red en el equipo objetivo, que es habitualmente fijada por el Controlador de Dominio. Realizar análisis En el sitio (On site) y Fuera del sitio (Off site) Recomendamos que ejecute GFI LANguard N.S.S. de dos formas, los llamados análisis On site y análisis Off site. Análisis On Site Prepare un equipo con LANguard Network Security Scanner instalado en él. Haga un análisis de su red con una “sesión NULL’ (Seleccione Null Session del cuadro desplegable). Una vez está hecho el primer análisis cambie el valor del cuadro desplegable a Currently logged on user (si tiene derechos administrativos para su dominio), o como Alternative credentials que tengan derechos administrativos para el Dominio o para el Directorio Activo. Guarde este segundo análisis para compararlo más adelante. Con la ‘sesión NULL' puede ver lo que cualquier usuario haciendo una conexión a su red vía conexión Null sería capaz de vez. El análisis que tiene los derechos administrativos, le ayudará mostrándole todos las actualizaciones de seguridad que están ausentes en el equipo. Análisis Off Site Si tiene una cuenta de marcado externo, o alta velocidad de acceso a Internet que no esté ligado a su empresa querrá ahora dar la vuelta y analizar su red desde el mundo exterior. LANguard Network Security Scanner Manual Empezar: Realizar una Auditoria • 21 Haga un análisis ‘sesión NULL’ de su red. Esto de dejará ver que sería capaz de ver cualquiera desde Internet si/cuando analizan su red. Things that may effect this are any firewalls your company or ISP may have setup, or any rules at a router along the way that may drop specific types of packets. Guarde este análisis para una posterior comparación. Comparación de análisis on site y off site Ahora es momento de iniciar la búsqueda de información generada por LANguard Network Security Scanner. Si el análisis de sesión NULL de su red interna parece idéntico al análisis de su red externa sea consciente de que da la impresión que no hay cortafuegos o dispositivo de filtrado en su red. Esta es probablemente una de las primeras cosas que debería examinar. Por lo tanto, compruebe lo que realmente puede ver cualquier usuario desde el mundo exterior. ¿Pueden ver sus Controladores de Dominio y conseguir una lista de todas las cuentas de equipo? ¿Y sobre servidores Web, FTP, etc...? En éste punto, usted está solo. Podría necesitar iniciar las comprobaciones de actualizaciones de Servidores Web, Servidores FTP, etc. También podría necesitar verificar y cambiar las configuraciones de los servidores SMTP. Cada red es diferente. GFI LANguard N.S.S. intenta ayudarle precisando los problemas y los asuntos de seguridad y dirigirle a sitios que le ayudarán a resolver los agujeros que encuentre. Si encuentra servicios ejecutándose que no son necesarios, asegúrese de deshabilitarlos. Cada servicio es un potencial riesgo de seguridad que podría permitir a alguien el acceso no autorizado a su red. Nuevos desbordadores de buffer y exploits son publicados cada día e incluso aunque su red podría parecer ser segura hoy, podría no ser el caso mañana. Asegúrese de realizar los análisis de seguridad de tiempo en tiempo. Esto no es algo que pueda hacer una vez y entonces olvidarlo. Siempre hay algo nuevo ahí fuera, y una vez de nuevo, solo porque estaba seguro hoy, nunca sabe qué hacker llegará mañana. 22 • Empezar: Realizar una Auditoria LANguard Network Security Scanner Manual Filtrar los resultados del análisis Introducción Una vez GFI LANguard N.S.S. ha realizado un análisis, mostrará los resultados en el panel ‘Scan results’. Si ha analizado un gran número de equipos, podría querer filtrar esos datos desde el nodo Scan filters. Haciendo clic en este nodo y seleccionando un filtro existente mostrará los resultados del análisis en base al filtro seleccionado. GFI LANguard N.S.S. se entrega con varios filtros de análisis predefinidos. Además puede hacer sus propios filtros de análisis a la medida. Filtros de análisis Los siguientes filtros de análisis están incluidos por defecto: Informe completo: Muestra todos los datos recogidos en un análisis relativos a la seguridad. Vulnerabilidades [High Security]: Muestra problemas que necesitan atención inmediata – service pack y parches ausentes, vulnerabilidades de seguridad alta y puertos abiertos. Vulnerabilidades [Medium Security]: Muestra problemas que podrían necesitan ser destinados por el administrador – vulnerabilidades de seguridad media, actualizaciones que no pueden ser detectadas. Vulnerabilidades[All]: Muestra todas las vulnerabilidades detectadas – actualizaciones de seguridad ausentes, service packs ausentes, LANguard Network Security Scanner Manual Filtrar los resultados del análisis • 23 información potencial, parches que no pudieron ser detectados, vulnerabilidades de seguridad bajas y altas. Actualizaciones de seguridad y service packs ausentes: lista todos los service pack y actualizaciones de seguridad ausentes en los equipos analizados. Puertos abiertos: lista todos los puertos TCP y UDP abiertos. Recursos Compartidos Abiertos: lista compartidos y quién ha accedido a ellos. todos los recursos Directiva de Auditoria: lista las opciones de directiva de auditoria de cada equipo analizado. Directiva de Contraseñas: lista las opciones activas de directiva de auditoria de cada equipo analizado. Grupos y usuarios: lista los usuarios y grupos detectados en cada equipo analizado. Propiedades del equipo: Muestra las propiedades de cada equipo. Seleccionar el origen de los resultados del análisis Por defecto, los filtros trabajarán sobre los datos del análisis actual. Sin embargo es posible seleccionar un diferente archivo origen de datos de los 'resultados de análisis' y aplicar los filtros a estos datos (que están actualmente en archivo XML). Para hacerlo: 1. Vaya al nodo Scan filters en el programa analizador de seguridad de GFI LANguard N.S.S. 2. Haga clic con el botón derecho y seleccione ‘Filter saved scan results XML file…” 3. Seleccione el archivo XML que contenga los datos de resultados de análisis. 4. Ahora todos los filtros mostrarán datos de los resultados de éste archivo. En el nodo Scan Filters se mostrará el origen de los datos analizados: Bien los datos de análisis en curso o bien el nombre del archivo de resultados de análisis por el que está filtrando. NOTA: Si el origen de datos de los filtros de análisis está situado en “Current Scan", no se mostrarán resultados hasta que se realice un análisis. Crear un filtro de análisis a medida Para crear un filtro de análisis a medida: 1. Haga clic con el botón derecho sobre el nodo GFI LANguard N.S.S. > Security scanner > Scan Filters y seleccione New > Filter… 2. Esto abrirá el diálogo Scan Filter Properties. 24 • Filtrar los resultados del análisis LANguard Network Security Scanner Manual Filtros de análisis – Página general 3. Proporcione un nombre al filtro 4. Agregue cualquier condición que desea que el filtro aplique a los datos de resultados del análisis utilizando el botón Add... Puede crear múltiples condiciones para el filtro. Para cada condición debe especificar la propiedad, la condición y el valor. Las propiedades disponibles son Sistema Operativo, nombre de host, usuario registrado, dominio, service pack, recurso compartido, etc.). Diálogo de condiciones 5. Seleccione qué categorías de información desea ver en el filtro desde la página ‘Report items’. LANguard Network Security Scanner Manual Filtrar los resultados del análisis • 25 6. Haga clic en Aceptar para crear el filtro. Filtros de análisis – Página de elementos de informe Este procedimiento creará un nuevo nodo permanente bajo el nodo Scan Filters. NOTA: Puede eliminar/personalizar cualquier filtro bajo el nodo Scan Filters haciendo clic con el botón derecho sobre el filtro y seleccionando Delete.../Properties dependiendo de la operación que desee realizar. Ejemplo 1 – Encuentre equipos con la ausencia de un parche concreto Quiere encontrar todos los equipos Windows a los que les falte la actualización MS03-026. (este es la famosa actualización para el virus blaster) Defina el filtro como sigue: 1. Condición 1: El sistema operativo incluye Windows 2. Condición 2: Hot fix (actualización) no está instalada MS03-026 Ejemplo 2 – Listar todas las estaciones Sun con servidor web Para listar todas las estaciones Sun que ejecutan un servidor web sobre el puerto 80 defina las siguientes consultas: 1. El sistema operativo incluye SunOS 2. Puerto TCP abierto 80 26 • Filtrar los resultados del análisis LANguard Network Security Scanner Manual Configurar GFI LANguard N.S.S. Introducción a la configuración de GFI LANguard N.S.S. Puede configurar GFI LANguard N.S.S. desde el nodo de configuración. Aquí puede configurar opciones de análisis, perfiles de escaneo con diferentes opciones de análisis, análisis programados, opciones de alertas y más. Perfiles de escaneo Perfiles de escaneo Utilizando los perfiles de escaneo, puede configurar diferentes tipos de análisis, y utilizar estos diferentes análisis para enfocarse en tipos concretos de información por los que desea comprobar. Un perfil de escaneo se crea desde el nodo Configuration > Scanning profiles, haciendo clic con el botón derecho y seleccionando New > Scan Profile… Puede configurar las siguientes opciones para cada perfil: 1. Puertos TCP analizados 2. Puertos UDP analizados 3. Datos del SO analizado 4. Vulnerabilidades analizadas LANguard Network Security Scanner Manual Configurar GFI LANguard N.S.S. • 27 5. Actualizaciones de seguridad analizadas 6. Propiedades del escáner Puertos TCP/UDP analizados La etiqueta de puertos TCP/UDP analizados le permite especificar qué puertos TCP y UDP desea analizar. Para habilitar un puerto simplemente haga clic sobre la casilla junto al puerto. Configurar los puertos a analizar en un perfil Cómo agregar/editar/eliminar puertos Si quiere agregar puertos TCP/UDP a medida, haga clic en el botón agregar. Aparecerá el diálogo para agregar puertos. 28 • Configurar GFI LANguard N.S.S. LANguard Network Security Scanner Manual Imagen 1 – Agregar un puerto Simplemente introduzca un número de puerto o un rango de puertos así como una descripción del programa que se supone corre en ese puerto. Si el programa asociado con este puerto es un Troyano, haga clic en la casilla de verificación ‘Is a Trojan port'. Si especifica que este es un puerto Troyano, el círculo verde / rojo junto al puerto estará rojo. Nota: Compruebe que está introduciendo este puerto en la ventana de Protocolo correcta, TCP o UDP. Puede editar o eliminar puertos haciendo clic sobre los botones Editar o Eliminar. Datos del SO analizado La etiqueta de datos del SO analizado especifica la clase de información que desea que GFI LANguard N.S.S. recoja del sistema operativo durante el análisis. En estos momentos solo se soportan datos de SO Windows, sin embargo el análisis de datos UNIX está en desarrollo. LANguard Network Security Scanner Manual Configurar GFI LANguard N.S.S. • 29 Vulnerabilidades analizadas Configurando las Vulnerabilidades a analizar La etiqueta de vulnerabilidades analizadas lista todas las vulnerabilidades que puede analizar GFI LANguard N.S.S. Puede deshabilitar la comprobación de todas las vulnerabilidades deseleccionando la casilla ‘Check for vulnerabilities’. Por defecto, GFI LANguard N.S.S. analizará todas las vulnerabilidades que conoce. Puede cambiar esto eliminando la casilla junto a cada vulnerabilidad en particular. Del panel de la derecha, puede cambiar las opciones de una vulnerabilidad específica haciendo doble clic sobre ella. Puede cambiar el nivel de seguridad de una comprobación de vulnerabilidad concreta desde la opción “Security Level”. Tipos de Vulnerabilidades Las vulnerabilidades se dividen en las siguientes secciones: Ausencia de Parches, Parches que no pueden ser detectados, Abusos CGI, Vulnerabilidades FTP, Vulnerabilidades DNS, Vulnerabilidades de Correo, Vulnerabilidades RPC, Vulnerabilidades de Servicio, Vulnerabilidades de Registro, y Vulnerabilidades Varias. Opciones avanzadas de comprobación de vulnerabilidad Haga clic sobre el botón Advanced para abrir estas opciones. • Comprobaciones Internas – Estas incluyen comprobación de contraseña ftp anónima, comprobación de contraseña débil, etc… • CGI Probing – Active las pruebas CGI si está ejecutando servidores web que utilizan CGI. Opcionalmente puede especificar un servidor proxy si usted está localizado tras un servidor proxy. 30 • Configurar GFI LANguard N.S.S. LANguard Network Security Scanner Manual • Las nuevas vulnerabilidades son habilitadas por defecto Habilita/deshabilita las vulnerabilidades recientemente agregadas para incluirlas en los análisis de todos los otros perfiles. Descargar las últimas Vulnerabilidades de Seguridad Para actualizar sus Vulnerabilidades de Seguridad, seleccione Help > Check for updates desde el programa de escáner de GFI LANguard N.S.S. Esto descargará las últimas vulnerabilidades de seguridad del sitio web de GFI. También actualizará los archivos de huellas utilizados para determinar qué SO está en un dispositivo. NOTA: Al iniciar GFI LANguard N.S.S. puede descargar automáticamente nuevas comprobaciones de vulnerabilidades desde el sitio web de GFI. Puede configurar esto desde el nodo GFI LANguard N.S.S. > General > Product Updates. Actualizaciones de seguridad analizadas Configure qué actualizaciones comprobar cuando analice con un perfil concreto. Las actualizaciones de seguridad analizadas le permiten configurar si este perfil en particular debe comprobar la ausencia de actualizaciones de seguridad y/o service packs. La etiqueta lista todas las actualizaciones que comprueba GFI LANguard N.S.S. Puede deshabilitar la comprobación de actualizaciones concretas para este perfil desmarcando la casilla junto al boletín de la actualización. La lista de actualizaciones se obtiene descargando la última lista de actualizaciones del sitio web de GFI, que a su vez se obtiene de Microsoft (mssecure.xml). GFI obtiene esta lista de actualizaciones de Microsoft y comprueba su exactitud, ya que a veces contiene errores. LANguard Network Security Scanner Manual Configurar GFI LANguard N.S.S. • 31 Información ampliada de boletín Para más información sobre un boletín concreto, haga doble clic sobre el boletín o haga clic con el botón derecho y seleccione Propiedades. Se le presentará con más detalle qué comprueba el boletín y a qué está dirigido. Opciones de escáner En esta etiqueta puede configurar opciones relativas a cómo debe realizar el análisis GFI LANguard N.S.S. Propiedades del Escáner de Seguridad 32 • Configurar GFI LANguard N.S.S. LANguard Network Security Scanner Manual Métodos de descubrimiento de red Esta sección trata qué métodos utiliza GFI LANguard N.S.S. para descubrir equipos en la red. La opción de consultas NETBIOS permite utilizar consultas NETBIOS o SMB. Si el Cliente para Redes Microsoft está instalado en el equipo Windows, o si Samba está instalado en un equipo Unix, esos equipos responderán la consulta de tipo NetBIOS. Puede incluir un ScopeID a la consulta NetBIOS. Esto solo es necesario en algunos casos, en cuyos sistemas tengan un ScopeID. Si su organización tiene un ScopeID situado sobre NetBIOS, introdúzcalo aquí. La opción consultas SNMP permite que sean enviados paquetes SNMP con la cadena Comunidad que fue indicada en la pestaña General. Si el dispositivo responde a esta consulta, GFI LANguard N.S.S. solicitará el Identificador de Objeto del dispositivo y los compara con una base de datos para determinar qué es éste servicio. Ping Sweep hace un ping ICMP a cada dispositivo de red. (Vea Nota: a continuación) Descubrimiento Personalizado de Puerto TCP comprueba un puerto abierto concreto en los equipos objetivo. Nota: Cada uno de los anteriores tipos de consulta puede ser desactivado, pero GFI LANguard N.S.S. depende de todas las consultas para determinar el tipo de dispositivo y el SO operativo que está ejecutando. Si escoge desactivar cualquiera de ellas, GFI LANguard N.S.S. podría no ser fiable en su identificación. Nota: Algunos cortafuegos personales bloquean un equipo de incluso enviar ecos ICMP y por lo tanto no será detectado por GFI LANguard N.S.S. Si cree que hay muchos equipos con cortafuegos personales en su red, considere forzar un análisis de cada IP de su red. Opciones de descubrimiento de red Los parámetros de descubrimiento de red le permiten adaptar la detección de equipos, de forma que tenga la más fiable detección de equipos en el menor tiempo posible. Los parámetros ajustables incluyen • Retardo de análisis es el tiempo que GFI LANguard N.S.S. espera entre envío de paquetes TCP/UDP. Por defecto es 100 ms. Dependiendo de su conexión y del tipo de red en que está (LAN/WAN/MAN) podría necesitar ajustar estas opciones. Si lo sitúa muy bajo podría congestionar su red con paquetes de GFI LANguard N.S.S. Si lo sitúa muy alto se perderá mucho tiempo que no es necesario. • Esperar Respuestas es el tiempo que actualmente esperará GFI LANguard N.S.S. por una respuesta del dispositivo. Si está ejecutándolo en una red lenta u ocupada podría necesitar incrementar este tiempo de 500 ms a algo mayor. • Número de reintentos es el número de veces que GFI LANguard N.S.S. hará cada tipo de análisis. Bajo circunstancias normales esta opción no debe ser cambiada. Sea consciente, sin embargo, LANguard Network Security Scanner Manual Configurar GFI LANguard N.S.S. • 33 que si cambia esta opción, se ejecutará mediante ese tipo de análisis (NETBIOS, SNMP e ICMP) ese número de veces. • Incluir equipos que no responden es una opción qué instruye al escáner de seguridad de GFI LANguard N.S.S. para intentar analizar un equipo qué no ha respondido a ningún método de descubrimiento de red. Opciones de Consulta NetBIOS El efecto de utilizar un Scope ID NetBIOS es aislar un grupo de equipos de la red que pueden comunicarse sólo con otros equipos que tiene configurado el mismo Scope ID NetBIOS. Los programas NetBIOS iniciados en un equipo que utiliza NetBIOS Scope ID no pueden “ver” (recibir o enviar mensajes) programas NetBIOS iniciados por un proceso en un equipo configurado con un NetBIOS Scope ID diferente. LNSS soporta NetBIOS Scope ID para ser capaz de analizar estos equipos aislados que de otro modo serían inaccesibles. Opciones de Consulta SNMP La opción para Cargar números SNMP de empresa permitirá a GFI LANguard N.S.S. extender el soporte en análisis SNMP. Si esto está deshabilitado, los dispositivos conectados mediante SNMP que son desconocidos pata GFI LANguard N.S.S. no informarán del fabricante que se supone que es. Salvo que tenga problemas, es recomendable dejar esta opción habilitada. Por defecto la mayoría de dispositivos con SNMP habilitado utilizan la cadena de comunidad por defecto ‘public’, pero por razones de seguridad la mayoría de los administradores cambiarán esto por otra cosa. Si ha cambiado el nombre de la comunidad SNMP por defecto en sus dispositivos de red, querrá incluirlo a la lista que utiliza GFI LANguard N.S.S. Nota: Aquí puede incluir más de un nombre de comunidad SNMP. Para cada nombre de comunidad adicional, la parte SNMP del análisis tendrá que ejecutarse otra vez. Si tiene ‘public’ y ‘private’ en la cadena de nombres de comunidad, el análisis SNMP se ejecutará dos veces a través de todo el rango IP que le de. Irá a través suyo una vez con la cadena 'public', y entonces de nuevo con la cadena 'private'. Opciones de ventanas de actividad del escáner Las opciones de salida le permiten configurar qué información se mostrará en el panel de actividad del escáner. Es útil habilitarlo, sin embargo habilitar 'Verbose' o 'Display packets' sólo con propósito excepcional de depuración. Análisis Programados La característica de análisis programados le permite configurar análisis que serán iniciados automáticamente en una fecha / hora específicas. Los análisis programados también se pueden iniciar periódicamente. Esto le permite iniciar un análisis concreto de noche o temprano y se puede utilizar en conjunción con la característica de 34 • Configurar GFI LANguard N.S.S. LANguard Network Security Scanner Manual comparación de resultados, permitiéndole recibir un ‘informe de cambios’ automáticamente en su buzón. Por defecto todos los análisis programados se almacenan en la base de datos. Opcionalmente puede guardar todos los resultados de análisis programados en un archivo XML (uno por análisis programado). Esto se puede realizar haciendo clic con el botón derecho sobre el nodo Scheduled Scan, seleccionando propiedades, habilitando la opción Save Scheduled Scan y especificando una ruta para los archivos XML. Configurar un análisis programado Para crear un análisis programado 1. En el programa escáner de seguridad de GFI LANguard N.S.S., haga clic con el botón derecho sobre Configuración > Scheduled scans > New > Scheduled scan… 2. Esto abrirá el diálogo New Scheduled Scan LANguard Network Security Scanner Manual Configurar GFI LANguard N.S.S. • 35 Crear un nuevo Análisis Programado En el diálogo New scheduled scan puede configurar: 1. Objetivo del análisis: Especifique los nombres de equipo o rango IP que desea analizar. Puede especificar el objetivo del análisis como sigue i. Nombre del anfitrión – por ejemplo JAVIERGCIA ii. Dirección IP – por ejemplo 192.168.100.9 iii. Rango de IPs – por ejemplo 192.168.100.1 – 192.168.100.255 iv. Un archivo de texto con una lista de equipos - por ejemplo file:c:\test.txt (ruta completa del archivo). Cada línea del archivo debe contener cualquiera de los formatos u objetivos especificados en (i), (ii) o (iii). 2. Perfil de escaneo. Seleccione el perfil de escaneo a ser utilizado para este análisis programado. 3. Siguiente análisis: Indique fecha y hora a la que desea iniciar el análisis 4. Realizar un análisis cada: Indique si desea que el análisis se ejecute una vez o periódicamente. 5. Descripción: Esto es lo que se mostrará en la lista de análisis programados Haga clic en Aceptar para crear el análisis programado. Para analizar/ver los resultados del un análisis programado, debe especificar el archivo de resultados XML de ese análisis programado en el nodo de filtros de análisis. Para hacerlo: 1. Haga clic con el botón derecho sobre el nodo principal “Scan Filters” y seleccione “Filter saved scan results XML file..." 2. Especifique el archivo de resultados XML del análisis programado. 36 • Configurar GFI LANguard N.S.S. LANguard Network Security Scanner Manual 3. El nodo filtros mostrará ahora datos del archivo de resultados del análisis programado. Archivos de parámetros El nodo archivos de parámetros proporciona un interfaz directo para editar varios archivos de parámetros basados en texto que utiliza GFI LANguard N.S.S. Sólo los usuarios avanzados deberían modificar estos archivos. Si estos archivos son editados incorrectamente, afectará la fiabilidad de GFI LANguard N.S.S. cuando intente determinar el tipo de dispositivo encontrado. • Ethercodes.txt - este archivo contiene una lista de direcciones mac y los fabricantes asociados a los que les ha sido asignado ese rango concreto. • ftp.txt – este archivo contiene una lista de estandartes de servidor ftp que son utilizados internamente por LNSS para ayudar a identificar qué SO está funcionando sobre ese equipo concreto en base al servidor ftp que está ejecutando. • Identd.txt – este archivo contiene estandartes de identidad que son utilizados internamente por LNSS para identificar el SO utilizando la información de estandarte. • Object_ids.txt – este archivo tiene object_ids SNMP y a qué fabricante y producto pertenecen. Cuando GFI LANguard N.S.S. encuentra un dispositivo que responde a consultas SNMP compara la información del Object ID del dispositivo con el almacenado en este archivo. • Passwords.txt – este archivo tiene una lista de contraseñas que son utilizadas para afirmar la debilidad de las contraseñas. • Rpc.txt – este archivo contiene un mapa entre los números de servicio devueltos por el protocolo rpc y los nombres de servicio asociados con ese número de servicio concreto. Cuando se encuentran servicios RPC corriendo en un equipo (normalmente Unix o Linux) la información recibida se compara con este archivo. • Smtp.txt – contiene una lista de estandartes y los SO asociados. Como con los archivos de ftp y de identidad, estos estandartes son utilizados internamente por LNSS para identificar el SO que corre en el equipo objetivo. • Snmp-pass.txt – este archivo contiene una lista de cadenas de comunidad que LNSS utiliza para identificar si están disponibles en el servidor SNMP objetivo. Si están disponibles, estas cadenas de comunidad serán reportadas por la herramienta de análisis SNMP. • telnet.txt – De nuevo, un archivo que contiene varios estandartes de servidores telnet utilizado por LNSS para identificar el SO que se ejecuta en el equipo objetivo. • www.txt – Un archivo que contiene estandartes de servidores web utilizados para identificar qué SO está funcionando sobre el equipo objetivo. • Enterprise_numbers.txt – lista de OID (Identificadores de Objeto) para códigos de relación de empresas (fabricante/universidad). Si GFI LANguard N.S.S. no tiene la información específica sobre un LANguard Network Security Scanner Manual Configurar GFI LANguard N.S.S. • 37 dispositivo cuando lo encuentra (información proporcionada por el archivo object_ids.txt), mirará la información específica del fabricante devuelta y al menos proporcionará quién es el fabricante del producto encontrado. Esta información está basada en Códigos Empresariales Privados de Administración de Red SMI, que pueden ser encontrados en: http://www.iana.org/assignments/enterprise-numbers Utilizar GFI LANguard N.S.S. desde la línea de comando Es posible invocar el proceso de análisis desde la línea de comando. Esto le permite llamar al escáner desde cualquier aplicación o simplemente sobre unas bases regulares con sus propias opciones a medida. Sintaxis: lnsscmd <Objetivo> [/profile=NombreDePerfil] [/report=RutaDeInformes] [/output=RutaAlArchivoXML] [/user=NombreDeUsuario /password=contraseña] [/email=DirecciónDeCorreo] [/DontShowStatus] [/?] Leyenda: Opcional /Profile: Perfil a utilizar para el análisis. Si no se especifica, se utilizará el perfil activo en curso. Opcional /Output: Ruta completa (incluyendo nombre de archivo) al archivo xml de resultados de análisis. Opcional /Report: Ruta completa (incluyendo nombre de archivo) donde generar el archivo html del informe del análisis. Opcional /User: Analiza el objetivo especificado utilizando credenciales alternativas especificadas en los parámetros /User /Password. Opcional /Password: Analiza el objetivo especificado utilizando credenciales alternativas especificadas en los parámetros /User /Password. la y la y Opcional /Email: Envía el informe resultante a esta dirección de correo alternativa. Se utilizará el servidor de correo especificado en el nodo LNSS\Configuration\Alerting Options. Opcional /DontShowStatus: No muestra detalles del progreso del análisis. NOTA: Para rutas completas, y nombres de perfil, encierre el nombre entre comillas dobles, por ejemplo, "Default", "C:\temp\test.xml". Ejemplo: lnsscmd.exe 127.0.0.1 /Profile="Default" /Output="c:\out.xml" /Report="c:\result.html" /email="lnss@127.0.0.1" Lo anterior hará que el escáner en línea de comandos realice un análisis de seguridad en el equipo 127.0.0.1, con la salida al archivo xml c:\out.xml, una vez el análisis esté completo generará el informe html en c:\result.html y enviará el informe a la dirección de correo lnss@127.0.0.1. 38 • Configurar GFI LANguard N.S.S. LANguard Network Security Scanner Manual Despliegue de Actualizaciones de Seguridad Introducción al despliegue de actualizaciones de seguridad Utilice la herramienta de implantación de actualizaciones de seguridad para mantener al día sus equipos Windows NT, 2000, XP y 2003 con las últimas actualizaciones de seguridad y service packs. Para implantar las actualizaciones y service packs, necesita seguir estos pasos Paso 1: Realizar un análisis de su red Paso 2: Seleccionar sobre qué equipos implantar las actualizaciones Paso 3: Seleccionar qué actualizaciones implantar Paso 4: Descargar los archivos de actualizaciones y service pack Paso 5: Parámetros de implantación de archivos de actualización Paso 6: Implantar las actualizaciones Para implantar actualizaciones de seguridad, debe tener • Derechos administrativos sobre el equipo que esté analizando. • NETBIOS debe estar habilitado en el equipo remoto. El agente de implantación de actualizaciones GFI LANguard N.S.S. 5 utiliza un agente de implantación de actualizaciones, que se instala silenciosamente en el equipo remoto, para implantar parches, service packs y software a medida. El agente de implantación de actualizaciones consta de un servicio que ejecuta la instalación a una hora programada dependiendo de los parámetros de implantación indicados. Esta arquitectura es mucho más fiable que sin utilizar un agente de implantación de actualizaciones. El agente de implantación de actualizaciones se instala automáticamente sin intervención del administrador. Nota: Es común que Microsoft retire archivos de actualización. Cuando esto ocurre, la información de esa actualización permanece en el archivo mssecure.xml, ya que la actualización estaba disponible en ese punto. Cuando esto ocurre, GFI LANguard N.S.S. informará de la ausencia de la actualización, incluso aunque no pueda ser instalada. Si no quiere ser informado sobre estos parches ausentes necesitará deshabilitar la comprobación de ese boletín concreto desde GFI LANguard N.S.S. > Configuration > Scanning Profiles > Patches. LANguard Network Security Scanner Manual Despliegue de Actualizaciones de Seguridad • 39 Paso 1: Realizar un análisis de su red GFI LANguard N.S.S. descubre la ausencia de actualizaciones y service packs como parte del análisis de seguridad. Lo hace comparando configuraciones del registro, firmas de fecha/hora de archivos, e información de versión del equipo remoto. utilizando la información proporcionada por Microsoft en el archivo mssecure.xml. Primero GFI LANguard N.S.S. detecta qué productos están instalados en el equipo objetivo para los que tiene información de actualizaciones (por ejemplo Microsoft Office). Una vez ha hecho esto, comprueba qué actualizaciones y service packs están disponibles para ese producto y publica la información de la ausencia de la actualización en el nodo Missing patches del nodo de Vulnerabilidades de seguridad alta. Ejemplo de ausencia de actualización en el árbol de resultados del análisis Para cada service pack / actualización ausente GFI LANguard N.S.S. reportará un enlace desde donde puede descargar el archivo de la actualización así como otra información relativa a ese boletín. Las actualizaciones que están ausentes definitivamente son reportadas en los nodos "Missing patches and service packs" de los resultados del análisis. Las actualizaciones de las que no pueden ser confirmado si están instaladas o no debido a la ausencia de información de detección son reportados en el nodo “Potential vulnerabilities” de los resultados del análisis. Ejemplo de actualizaciones no detectables en el arbol de resultados del análisis Paso 2: Seleccionar sobre qué equipos implantar las actualizaciones Tras analizar la red, la lista de service packs y actualizaciones ausentes será listada en la ventana de resultados del análisis. Para implantar las actualizaciones ausentes tiene que seleccionar qué equipos quiere actualizar. Las actualizaciones se pueden implantar en un equipo, todos los equipos o en los equipos seleccionados. Para implantar actualizaciones ausentes en un equipo: 40 • Despliegue de Actualizaciones de Seguridad LANguard Network Security Scanner Manual Haga clic con el botón derecho sobre el equipo que desea actualizar > Deploy Microsoft updates > [tipo de actualización] > This computer. Para implantar actualizaciones ausentes en todos los equipos: Haga clic con el botón derecho sobre cualquier equipo del arbol de resultados > Deploy Microsoft updates > [tipo de actualización] > All computers. Para implantar seleccionados: actualizaciones ausentes en equipos Utilice las casillas de verificación a la izquierda de los resultados del análisis para seleccionar qué equipos desea actualizar. Haga clic con el botón derecho sobre cualquier equipo del arbol de resultados > Deploy Microsoft updates > [tipo de actualización] > Selected Computers. Indique en qué equipos quiere implantar las actualizaciones requeridas. Paso 3: Seleccionar qué actualizaciones implantar Una vez haya seleccionado los equipos objetivo en los que implantar las actualizaciones de Microsoft, se le llevará al nodo Deploy Microsoft patches. Este nodo muestra el detalle de los equipos seleccionados y qué actualizaciones/service packs necesitan ser implantador en esos equipos. Tiene dos vistas en las que puede administrar las opciones de implantación. (1) Clasificado por equipos: Seleccione un equipo y vea qué actualizaciones necesitan ser implantadas en él (2) Clasificado por actualizaciones: Seleccione una actualización y vea en qué equipos está ausente esa actualización. LANguard Network Security Scanner Manual Despliegue de Actualizaciones de Seguridad • 41 Nodo Deploy Microsoft patches Por defecto se seleccionarán todas las actualizaciones para la implantación. Si quiere que ciertas actualizaciones no sean implantadas, deselecciónelas haciendo clic en la casilla junto a la actualización. Paso 4: Descargar los archivos de actualizaciones y service pack Tras haber seleccionado las actualizaciones/service packs a ser implantadas, los archivos apropiados conteniendo as actualizaciones a ser implantadas necesitan ser descargados. Este es un proceso en gran parte automático realizado por GFI LANguard N.S.S. y además los sitúa en los directorios correctos dependiendo del producto y del idioma del producto a actualizar. GFI LANguard NSS muestra qué archivos de actualización necesitan ser descargados GFI LANguard N.S.S. mostrará qué archivos necesitan ser descargados en la lista de actualizaciones a implantar. Cada archivo de actualización necesario será listado y estará en uno de los siguientes estados, indicados por un icono en la lista de actualizaciones ausentes: Descargado Descarga en curso Esperando que el usuario navegue a la página web para hacer clic sobre el enlace para descargar el archivo. No descargado 42 • Despliegue de Actualizaciones de Seguridad LANguard Network Security Scanner Manual Descargando las actualizaciones Las actualizaciones de Microsoft, listadas en el archivo mssecure.xml, se pueden categorizar en tres tipos principales: (1) Actualizaciones que tienen una dirección URL de descarga directa. (2) Actualizaciones que necesitarán algo de navegación web para descargar el archivo. (3) Actualizaciones para las cuales no existe archivo. Para descargar las actualizaciones para las cuales hay un enlace directo: Las actualizaciones para las que hay un enlace directo de descarga, haga clic con el botón derecho sobre la actualización y seleccione "Download File". La descarga se iniciará y cuando esté completada, el archivo será colocado en el directorio correcto. Para descargar actualizaciones para las cuales no hay enlace de descarga sino sólo una página web de origen: Cuando GFI LANguard N.S.S. detecta un archivo que necesita ser descargado manualmente del sitio web de Microsoft, descargará la página web objetivo en el área inferior de la herramienta de implantación. Entonces será capaz de encontrar el enlace de descarga apropiado y hacer clic sobre él. GFI LANguard N.S.S. estará monitorizando esta sesión web y tan pronto como detecte que ha hecho clic sobre un enlace de descarga directa iniciará la descarga de ese archivo automáticamente. La navegación a través de la página web será parte de la sesión de descarga. Si quiere cancelar la sesión de descarga necesitará hacer clic sobre la actualización y seleccionar “Cancel Download”. Una vez se completa la descarga, el archivo será situado en el directorio correcto. Descargar una actualización de una página web con el asistente de descarga. LANguard Network Security Scanner Manual Despliegue de Actualizaciones de Seguridad • 43 Paso 5: Parámetros de implantación de archivos de actualización Opcionalmente, puede configurar parámetros alternativos de implementación de una actualización en base a ella. Para hacerlo: 1. Haga clic con el botón derecho sobre el archivo de actualización y seleccione “Propiedades”. 2. Opcionalmente indique una URL de origen de la descarga alternativa 3. Opcionalmente indique parámetros de línea de comando para utilizar durante la implantación Puede comprobar qué boletín aplica una actualización haciendo clic con el botón derecho sobre el archivo de actualización y seleccionando “Bulletin Info…” Propiedades del archivo de actualización Paso 6: Implantar las actualizaciones Tras haber seleccionado los equipos en los que implantar las actualizaciones y descargadas las mismas, ¡está listo para la implantación! Haga clic en Start a la derecha de la parte inferior para iniciar la implantación. 44 • Despliegue de Actualizaciones de Seguridad LANguard Network Security Scanner Manual Iniciar la implantación de actualizaciones haciendo clic sobre Start. La implantación de las actualizaciones comenzará ahora. Puede monitorizar el estado de la implantación de actualizaciones desde la etiqueta Deployment status Monitorizando el proceso de descarga Implantar software a medida La herramienta de implantación de software a medida es muy conveniente para implantar rápidamente actualizaciones a medida para software de toda la red, o incluso para instalar software en toda la red. La herramienta de implantación de software a medida también se utiliza frecuentemente para implantar actualizaciones de firmas de LANguard Network Security Scanner Manual Despliegue de Actualizaciones de Seguridad • 45 virus en toda la red. El proceso de implantación de software a medida es muy similar al proceso de actualizar un equipo. Implantar software a medida Paso 1: Seleccionar los equipos a los que instalar el software/actualización 1. vaya al nodo Deploy custom software del nodo Tools. 2. Haga clic en el botón Add para agregar un solo equipo, o haga clic en el boton de selección para seleccionar un grupo de equipo a los que implantar el software a medida. Nota: También puede seleccionar a qué equipos implantar el software a medida desde el nodo Security Scanner y el nodo Tools > Enumerate Computers. Paso 2: Especificar el software a implantar Haga clic en el botón Add… de la sección “Patches:” para indicar el lugar de origen del archivo y especificar cualquier parámetro de línea de comando que necesite ser utilizado para la implantación del archivo. 46 • Despliegue de Actualizaciones de Seguridad LANguard Network Security Scanner Manual Especificar el software a implantar Opcionalmente puede programar la hora a la que la implantación debe tener lugar. Paso 3: Iniciar el proceso de implantación Una vez ha especificado el software a implantar y los equipos a los que implantarlo, puede iniciar el proceso de implantación haciendo clic sobre el botón Start. Implantar actualizaciones a medida indicando qué archivos implantar en qué equipos LANguard Network Security Scanner Manual Despliegue de Actualizaciones de Seguridad • 47 Opciones de implantación Opciones de implantación Puede configurar opciones de implantación explorando el botón de opciones, localizado a la derecha de la pantalla. Aquí usted puede: • Configurar el servicio de agente de implantación para ejecutarse bajo credenciales alternativas. • Reiniciar el equipo objetivo tras la implantación. Algunas actualizaciones necesitan un reinicio tras la instalación. Marque esta casilla si una o más actualizaciones de las que desea implantar necesita un reinicio. • Avisar al usuario antes de la implantación: enviará un mensaje al equipo objetivo antes de implantar las actualizaciones. • Detener servicios antes de la implantación: Esta opción detiene los servicios IIS & MS SQL Server antes de la implantación. • Eliminar los archivos copiados en los equipos remotos después de la implantación. • Configurar el número de hilos de implantación a utilizar • Configurar las condiciones de filtrado particulares a las cuales implantar las actualizaciones (filtros de equipos) NOTA: En la Herramienta de implantación de actualizaciones a medida, los filtros de equipos no se aplicarán a equipos que no hayan sido analizados por la herramienta del escáner de seguridad. 48 • Despliegue de Actualizaciones de Seguridad LANguard Network Security Scanner Manual Comparación de Resultados ¿Por qué Comparar Resultados? Mediante auditorias regulares y comparación de resultados de análisis previos obtendrá una idea de qué agujeros de seguridad aparecen continuamente o son reabiertos por usuarios. Esto crea una red más segura. GFI LANguard Network Security Scanner le ayuda a hacerlo permitiéndole comparar los resultados entre análisis. GFI LANguard N.S.S. informará de las diferencias y le permitirá tomar medidas. Puede comparan los resultados manualmente o mediante análisis programados. Realizar una Comparación de Resultados interactivamente Siempre que GFI LANguard N.S.S. realiza un análisis programado guarda los resultados al archivo XML del directorio Data\Reports del directorio de instalación de GFI LANguard N.S.S. Además puede guardar los resultados del análisis actual en un archivo xml haciendo clic con el botón derecho sobre el nodo Security Scanning y seleccionando ‘Save scan results to XML file…’. Para comparar dos archivos XML de resultados de análisis: 1. Vaya a la herramienta de comparación de resultados bajo 'GFI LANguard N.S.S. > Security Scanner > Result comparison'. 2. Seleccione dos archivos de resultados de análisis, realizados con las mismas opciones y sobre el mismo conjunto de equipos, pero a diferentes horas, y haga clic en 'Compare'. LANguard Network Security Scanner Manual Comparación de Resultados • 49 Comparando resultados El resultado será algo parecido a la imagen anterior. Le dice qué ha sido habilitado o deshabilitado y cualquier cambio en la red desde el último análisis. • Los nuevos elementos le mostrarán cualquier cosa nueva que ocurrió tras el primer análisis. • Los elementos eliminados mostrarán cualquier dispositivo/problema que fue eliminado desde el primer análisis. • Los elementos cambiados mostrarán cualquier cosa que haya cambiado, como un servicio habilitado o deshabilitado entre análisis. Realizar una Comparación con la Opción de Análisis Programados En lugar de analizar manualmente su red cada día, semana o mes, puede poner en marcha un análisis programado. Un análisis programado se iniciará automáticamente en cierto momento y enviará las diferencias entre los análisis al administrador. Por ejemplo: el administrador puede configurar la característica de análisis programados para realizar un análisis cada noche a las 23:00. El servicio GFI LANguard N.S.S. attendant lanzará un análisis de seguridad en el equipo(s) seleccionado(s) y guardará los resultados en la base de datos central. Entonces, comparará los resultados actuales con los resultados de la noche anterior e informará de las diferencias, si las hay. NOTA: Si esta es la primera vez que se realiza un análisis programado o si no hay diferencias detectadas con el análisis anterior, entonces GFI LANguard N.S.S. no le enviará el informe. Sólo recibirá informe si algo ha cambiado. 50 • Comparación de Resultados LANguard Network Security Scanner Manual Herramientas Introducción Las siguientes herramientas pueden encontrarse bajo el menú Tools. • DNS Lookup • Whois Client • Trace Route • SNMP Walk • SNMP Audit • MS SQL Server Audit • Enumerar Equipos DNS lookup Esta herramienta resuelve el Nombre de Dominio a una dirección IP correspondiente y además proporciona información sobre el nombre de dominio, como si tiene registro MX, etc. Herramienta DNS Lookup Para obtener información sobre un nombre de dominio: 1. Vaya al nodo Herramientas > DNS lookup. 2. Indique el nombre a resolver 3. Indique la información a recuperar: LANguard Network Security Scanner Manual Herramientas • 51 • Información básica – Es decir, nombre del anfitrión y la ip que resuelve • Información de Host – Conocido técnicamente como la HINFO, y habitualmente incluye información como el hardware y qué SO se ejecuta sobre el dominio especificado (la mayoría de entradas DNS no contienen esta información por razones de seguridad.) • Alias – devuelve información sobre qué Registros A podría tener el Dominio. • Registros MX conocidos también como registros de intercambiadores de coreo, muestra qué servidor(es) de correo y en qué orden son responsables para este dominio. • son Registros NS indican qué servidores de nombres responsables para este dominio. Además es posible indicar un servidor DNS alternativo. Trace Route Herramienta Trace route Esta herramienta muestra la ruta de red que siguió GFI LANguard N.S.S. para alcanzar el equipo objetivo. Cuando realiza la routa, cada salto tiene un icono junto a él: 52 • Herramientas • Indica un salto exitoso tomado dentro de los parámetros normales • Indica un salto exitoso, pero el tiempo necesario fue bastante grande. • Indica un salto exitoso, pero el tiempo necesario fue demasiado grande. • Indica que el salto provocó un time out. (es decir, tomó más de 1000ms) LANguard Network Security Scanner Manual Whois Client Herramienta Whois Esta herramienta buscará información sobre un dominio o dirección IP. Puede seleccionar un servidor Whois específico desde el área de opciones, o puede utilizar la opción ‘Default’ que seleccionará un servidor por usted. SNMP Walk SNMP walk le permite recoger información SNMP. El panel de la derecha contiene una lista de nombres simbolizando Object IDs sobre el dispositivo. Para descubrir más sobre la información proporcionada por SNMP walk, tendrá que comprobarlo con el fabricante. Algunos fabricantes proporcionan importantes detalles sobre qué significa cada trozo de información; otros, si bien sus dispositivos soportan SNMP, no proporcionan ninguna información sobre ellos. Para usar la utilidad, haga clic en Tools > SNMP walk. Introduzca la dirección IP de un equipo o dispositivo que desee analizar/’walk'. Nota: En la mayoría de los casos SNMP debe ser bloqueado en el router/cortafuegos de forma de los usuarios de Internet no puedan analizar su red mediante SNMP. Es posible proporcionar cadenas de comunidad alternativas. Nota: SNMP ayudará a los usuarios maliciosos a aprender mucho sobre su sistema, haciendo los ataques mucho más sencillos. A menos que se requiera este servicio es extremadamente recomendable que SNMP esté desactivado. SNMP Audit La herramienta SNMP Audit, le permite realizar una auditoria SNMP sobre un dispositivo y auditar cadenas de comunidad débiles. LANguard Network Security Scanner Manual Herramientas • 53 Algunos dispositivos de red tendrán cadenas de comunidad alternativas o que no sean las por defecto. El archivo de diccionario contiene una lista de las cadenas de comunidad más populares para comprobar. El archivo por defecto que utiliza para los ataques del diccionario se llama snmp-pass.txt. Puede agregar nuevos nombres de comunidad en este archivo, o dirigir SNMP Audit para utilizar otro archivo. Para utilizar esta utilidad, introduzca la dirección IP del un equipo que corra SNMP y haga clic en Retrieve. MS SQL Server Audit Esta herramienta le permite realizar una auditoria sobre una instalación de Microsoft SQL Server. Puede auditar las cuentas SA, así como todas las cuentas SQL Por defecto utilizará el archivo de diccionario llamado passwords.txt. Puede bien agregar nuevas contraseñas a este archivo, o dirigir la utilidad a otro archivo de contraseñas. Para correo una auditoria SQL Server, introduzca la dirección IP del equipo que ejecuta MS SQL. Si quiere comprobar la contraseña de todas las cuentas SQL, tiene que introducir un nombre de usuario y contraseña para iniciar sesión en SQL para recuperar todas las cuentas de usuario. Herramienta SQL Accounts Audit 54 • Herramientas LANguard Network Security Scanner Manual Enumerar Equipos Herramienta Enumerar Equipos Esta utilidad buscará en su red Dominios y/o Grupos de Trabajo. Una vez los haya encontrado, tendrá la habilidad de analizar eso Dominios para adquirir la lista de equipos sobre ellos. Una vez ha realizado su análisis enumerará cualquier SO que esté instalado sobre ese equipo, y cualquier comentario que podría ser incluido a través de NETBIOS. Los equipos pueden ser enumerados utilizando uno de los siguientes métodos • Desde el Directorio Activo – Este método es mucho más rápido y además enumerará los equipos que están actualmente apagados. • Utilizar el interfaz del Explorador de Windows – Este método es más lento y no enumerará los equipos que estén apagados. Puede indicar qué método utilizar desde la etiqueta ‘Information Source’. Observe que necesitará realizar el análisis utilizando una cuenta que tenga derechos de acceso al Directorio Activo. Lanzar un análisis de seguridad Una vez los equipos del dominio son enumerados puede lanzar un análisis sobre los equipos seleccionados haciendo clic con el botón derecho sobre cualquier de los equipos enumerados y seleccionar ‘Scan'. Si quiere lanzar el análisis pero continuar utilizando la herramienta de enumeración de equipos, seleccione “Scan in background" Implantar actualizaciones a medida Seleccione en qué equipos quiere implantar actualizaciones > Haga clic con el botón derecho sobre cualquier equipo seleccionado > Deploy Custom Patches. LANguard Network Security Scanner Manual Herramientas • 55 Habilitar las Directivas de Auditoria Seleccione en qué equipos quiere habilitar las directivas de auditoria > Haga clic con el botón derecho sobre cualquier equipo seleccionado > Enable Auditing Policies... . Enumerar Usuarios La función Enumerar usuarios conecta al Directorio Activo y recupera todos los usuarios y contactos del Directorio Activo. 56 • Herramientas LANguard Network Security Scanner Manual Agregar comprobaciones de vulnerabilidad mediante condiciones o scripts Introducción GFI LANguard N.S.S. le permite agregar rápidamente comprobaciones de vulnerabilidades a medida. Esto se puede hacer de 2 formas: Escribiendo un script, o utilizando un conjunto de condiciones. Sea cual sea el método que utilice, tendrá que agregar la vulnerabilidad mediante el interfaz Security Scanner y especificar el nombre del script o las condiciones que deben ser aplicadas. Nota: Sólo Usuarios Expertos deben crear nuevas Vulnerabilidades, ya que las Vulnerabilidades erróneamente configuradas proporcionarán positivos falsos o no proporcionarán ninguna información de Vulnerabilidades. Lenguaje VBscript de GFI LANguard N.S.S. GFI LANguard N.S.S. incluye un lenguaje de scripts compatible con VBscript. Este lenguaje ha sido creado para permitirle incluir fácilmente comprobaciones a medida. Además permite a GFI incluir rápidamente nuevas comprobaciones de vulnerabilidad y hacerlas disponibles para la descarga. GFI LANguard N.S.S. incluye un editor con destacadas capacidades de sintaxis y un depurador. Para más información sobre cómo escribir scripts por favor refiérase al archivo de ayuda ‘Scripting documentation’, accesible desde el grupo de programas de GFI LANguard N.S.S. NOTA IMPORTANTE: GFI no puede ofrecer ningún soporte en la creación de scripts que no funcionen. Puede publicar cualquier consulta que podría tener sobre el scripting con GFI LANguard N.S.S. en los foros de GFI LANguard en http://forums.languard.com donde podrá compartir scripts e ideas con otros usuarios de GFI LANguard N.S.S. Agregar una comprobación de vulnerabilidad que utiliza un script a medida Puede agregar comprobaciones de vulnerabilidad que utilicen scripts a medida. Puede crear estos scripts a medida utilizando el editor/depurador de GFI LANguard N.S.S. Para hacerlo: LANguard Network Security Scanner ManualAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts • 57 Paso 1: Cree el script 1. Lance el Depurador de Scripts de GFI LANguard N.S.S. desde Inicio > Programas > GFI LANguard Network Security Scanner > Script Debugger 2. Archivo > Nuevo… 3. Cree un script. Como ejemplo, puede utilizar el siguiente script sin valor e introducirlo en el depurador: Function Main echo "El script ha funcionado exitosamente" Main = true End Function 4. Guarde el archivo, por ejemplo “c:\myscript.vbs” Paso 2: Agregue la nueva comprobación de vulnerabilidad: 1. Vaya al nodo GFI LANguard N.S.S. > Configuration > Scanning Profiles. 2. Vaya a la etiqueta Scanned Vulnerabilities, y seleccione la categoría bajo la que estará la nueva vulnerabilidad. Ahora haga clic sobre el botón Add. Esto abrirá el diálogo New vulnerability check. Agregar nueva comprobación de vulnerabilidad: 3. Ahora introduzca los detalles base como el nombre, descripción corta, nivel de seguridad, URL (si es aplicable). Además puede especificar cuanto llevará ejecutar esta comprobación. 4. Ahora haga clic con el botón derecho en la lista Trigger condition y seleccione “Add check” 58 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scriptsLANguard Network Security Scanner Manual 5. Ahora seleccione ‘Script’ de la lista Check type. Seleccionar el script que contiene el código de comprobación de vulnerabilidad 6. Especifique la localización del script "c:\myscript.vbs". Haga clic en ‘Add’ para agregar la vulnerabilidad. Será ejecutada la próxima vez que un equipo sea analizado para buscar vulnerabilidades. 7. Para ponerlo a prueba, simplemente analice su equipo local y debe ver el aviso de vulnerabilidad bajo la sección Miscellaneous del nodo vulnerabilidades de los resultados del análisis. Agregar una comprobación de vulnerabilidad CGI También puede agregar vulnerabilidades sin escribir scripts. Por ejemplo una comprobación de vulnerabilidad CGI. Para hacerlo: 1. Vaya al nodo GFI LANguard N.S.S. > Configuration > Scanning Profiles. 2. Vaya a la etiqueta Scanned Vulnerabilities, y seleccione el nodo CGI vulnerabilities. Ahora haga clic sobre el botón Add. Esto abrirá el diálogo New CGI vulnerability check. LANguard Network Security Scanner ManualAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts • 59 Crear una nueva vulnerabilidad CGI 3. Introduzca los detalles base como el nombre, descripción corta, nivel de seguridad, URL (si es aplicable). Además puede especificar cuanto llevará ejecutar esta comprobación. 4. Especifique HTTP method: los dos métodos que GFI LANguard N.S.S. soporta en su sección CGI abuse son GET y HEAD. 5. Especificar URL to check: Esta es la URL que GFI LANguard N.S.S. debe consultar. 6: Especifique la Return String: Esto es lo que GFI LANguard N.S.S. debe buscar en la información devuelta para ver si el equipo es vulnerable a este ataque. Agregar otras comprobaciones de vulnerabilidad También puede agregar vulnerabilidades sin escribir scripts. Utilizan el mismo formato básico que las comprobaciones de vulnerabilidad CGI, sin embargo puede indicar condiciones más complejas. Para hacerlo: 1. Vaya al nodo GFI LANguard N.S.S. > Configuration > Scanning Profiles. 2. Vaya a la etiqueta Scanner Vulnerabilities, y seleccione el tipo de vulnerabilidad que desea agregar haciendo clic sobre la categoría bajo la que estará la nueva vulnerabilidad. Ahora haga clic sobre el botón Add. Esto abrirá el diálogo New vulnerability check. 60 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scriptsLANguard Network Security Scanner Manual Crear una nueva Vulnerabilidad 3. Introduzca los detalles base como el nombre, descripción corta, nivel de seguridad, URL (si es aplicable). Además puede especificar cuanto llevará ejecutar esta comprobación. 4. Ahora debe especificar qué comprobar. Para agregar algo que comprobar, haga clic con el botón derecho en la ventana Trigger condition y agregue una nueva comprobación. 5. Puede especificar cualquiera de las siguientes cosas para fundamentar una comprobación de vulnerabilidades: • • Sistema Operativo o Es o No Es Clave del Registro o o Existe No Existe Nota: Sólo funciona bajo HKEY_LOCAL_MACHINE • Ruta del Registro o Existe o No Existe Nota: Sólo funciona bajo HKEY_LOCAL_MACHINE • Valor del Registro o Es Igual A o o No Es Igual A Es Menor Que LANguard Network Security Scanner ManualAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts • 61 o Es Mayor Que Nota: Sólo funciona bajo HKEY_LOCAL_MACHINE • • • • • • Service Pack o o o Es No Es Es Menor Que o Es Mayor Que Hot fix o Está Instalado o No Está Instalado o Está Instalado o No Está Instalado IIS Versión IIS o o Es No Es o o Es Menor Que Es Mayor Que Servicio RPC o Está Instalado o No Está Instalado Servicio NT o o • Servicio NT en ejecución o Está en ejecución o • • o Automático o Manual o Deshabilitado Puerto (TCP) o Está Abierto Está Cerrado Puerto UDP o Está Abierto o • No está en ejecución Tipo de inicio de Servicio NT o • Está Instalado No Está Instalado Está Cerrado Estandarte FTP o Es o No Es 62 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scriptsLANguard Network Security Scanner Manual Nota: Puede construir expresiones que comprueben Versión 1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea los siguientes ejemplos. • Estandarte HTTP o Es o No Es Nota: Puede construir expresiones que comprueben Versión 1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea los siguientes ejemplos. • Estandarte SMTP o o Es No Es Nota: Puede construir expresiones que comprueben Versión 1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea los siguientes ejemplos. • Estandarte POP3 o o Es No Es Nota: Puede construir expresiones que comprueben Versión 1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea los siguientes ejemplos. • Estandarte DNS o o Es No Es Nota: Puede construir expresiones que comprueben Versión 1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea los siguientes ejemplos. • Estandarte SSH o o Es No Es Nota: Puede construir expresiones que comprueben Versión 1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea los siguientes ejemplos. • Estandarte Telnet o o Es No Es Nota: Puede construir expresiones que comprueben Versión 1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea los siguientes ejemplos. • Script o o Devuelve Cierto (1) Devuelve Falso (0) 6. Cada opción anterior tiene su propio conjunto de criterios, como puede ver, en los que puede estar basada la comprobación de vulnerabilidad. Si es demasiado general cuando cree una comprobación de vulnerabilidad obtendrá demasiados informes falsos. LANguard Network Security Scanner ManualAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts • 63 Por lo tanto si decide crear sus propias comprobaciones de vulnerabilidad asegúrese de diseñarlas muy específicamente y ponga mucha intención y planificación. No está limitado sólo a las cosas anteriores para activar una comprobación de vulnerabilidad, podría configurarlo para comprobar varias condiciones, por ejemplo: • Comprobar el SO • Puerto XYZ • Estandarte “ABC” • Ejecutar LANS script QRS y comprobar la vulnerabilidad Si se cumplen todos los criterios anteriores, entonces y sólo entonces, se activará la comprobación de vulnerabilidad. Nota: Construir expresiones le permitirá hacer una comprobación de vulnerabilidad como esta que se utiliza para comprobar la versión de Apache que se ejecuta sobre un equipo: ~.*Apache/(1\.([0-2]\.[09]|3\.([0-9][^0-9]|[0-1][0-9]|2[0-5]))|2\.0.([0-9][^0-9]|[0-2][0-9]|3[0-8])). Para aquellos experimentados en C o Perl el formato anterior es muy similar a lo que puede hacer en esos lenguajes. Hay muchas páginas de ayuda en Internet sobre cómo utilizar esto. En los siguientes ejemplos intentaremos guiar y explicarlos, pero si necesita más ayuda, consulte el final de esta sección para hiperenlaces. Si le gustaría ver un ejemplo/explicación sobre creación de nuevas vulnerabilidades con script, lea “GFI LANguard N.S.S. scripting documentation”. 64 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scriptsLANguard Network Security Scanner Manual Resolución de problemas Introducción El capitulo de solución de problemas explica cómo se debe proceder para resolver las consultas que tenga. Las principales fuentes de información disponibles para los usuarios son: 1. El manual – la mayoría de los asuntos se solucionan leyendo el manual. 2. La Base de Conocimientos de GFI – http://kbase.gfi.com. 3. El sitio de soporte de GFI – http://support.gfi.com 4. Contactando con el departamento de soporte de GFI en soporte@gfihispana.com 5. Contactando al departamento de soporte de GFI utilizando nuestro servicio de soporte en tiempo real en http://support.gfi.com/livesupport.asp 6. Contactando a nuestro departamento de soporte por teléfono. Base de conocimientos GFI mantiene una base de conocimientos, la cual incluye respuestas a los problemas más comunes. Si tiene un problema, por favor consulte primero la base de conocimientos. La base de conocimientos siempre ha sido la más actualizada lista de preguntas de soporte y parches. La base de conocimientos puede encontrase en http://kbase.gfi.com Solicitud de soporte vía e-mail Si, después de usar la base de datos de conocimiento y el manual, tiene cualquier problema que no puede resolver, puede contactar con el departamento de soporte de GFI. La mejor forma de hacerlo es vía e-mail, ya que se puede incluir información vital como un archivo adjunto que nos permitirá solucionar los problemas que tiene mas rápidamente. El Troubleshooter, incluido en el grupo de programas, genera automáticamente una serie de archivos necesarios por GFI para proporcionarle soporte técnico. Los archivos incluirán parámetros de configuración de FAXmaker. Para generar esos archivos, inicie el troubleshooter y siga las instrucciones de la aplicación. Además de recoger toda la información, le realiza también una serie de preguntas. Por favor tómese el tiempo de responder estas preguntas con precisión. Sin la información apropiada no nos será posible diagnosticar su problema. LANguard Network Security Scanner Manual Resolución de problemas • 65 Vaya entonces al directorio support, localizado debajo del directorio principal del programa, COMPRIMA los archivos en ZIP, y envíelos a soporte@gfihispana.com. ¡Asegúrese primero de tener registrado su producto en nuestro sitio web, en http://www.gfi.com/pages/regfrm.htm! Responderemos a su pregunta en 24 horas o menos, dependiendo de su zona horaria. Solicitud de soporte vía conversación web También puede solicitar soporte a través del Soporte en directo (webchat). Puede contactar al departamento de soporte de GFI utilizando nuestro servicio de soporte en tiempo real en http://support.gfi.com/livesupport.asp ¡Asegúrese primero de tener registrado su producto en nuestro sitio web, en http://www.gfi.com/pages/regfrm.htm! Solicitudes de soporte telefónicas También puede contactar con GFI por teléfono para soporte técnico. Por favor compruebe en nuestro sitio web de soporte los números para llamar según dónde se encuentre, y el horario. Sitio web de soporte: http://support.gfi.com ¡Asegúrese primero de tener registrado su producto en nuestro sitio web, en http://www.gfi.com/pages/regfrm.htm! Foro Web Hay disponible soporte usuario a usuario a través del foro web. El foro se encuentra en: http://forums.gfi.com/ Notificaciones de versiones revisadas Le sugerimos encarecidamente que se suscriba a nuestra lista de notificaciones de versiones revisadas. De esta forma, se le notificará inmediatamente sobre las nuevas versiones del producto. Para suscribirse vaya a: http://support.gfi.com 66 • Resolución de problemas LANguard Network Security Scanner Manual X XML 6 Indice C Contraseñas 6 D Directiva de contraseñas 17 DNS lookup 51, 53, 54, 55, 56 G grupos 5, 20 H Hot fixes 20 HTML 6 L Licencia 7 P política de seguridad 5 Puertos abiertos 6 R Recursos compartidos 5, 6, 17 Registro 17 Requerimientos del sistema 9 S Servicios 6 Sistema Operativo 6 SNMP 14, 53 SNMP Audit 53 T Traceroute 52 U Usuarios 5, 19, 57 LANguard Network Security Scanner Manual Resolución de problemas • 67