Skip to content

Herramientas de seguridad. Instalando nmap, Nessus, Nikto, Burpsuite, SARA, Nagios y harden-remoteaudit en GNU/Linux

Publicado por Sergio Hernando el 11 marzo 2007

Un pequeño how-to para instalar algunas herramientas de seguridad en un terminal GNU/Linux.

IMPORTANTE: El mal uso de estas herramientas puede concluír en situaciones de bloqueo, enlentecimiento e incluso denegación de servicio de las máquinas analizadas. Estas herramientas sólo deben ser lanzadas contra máquinas ajenas única y exclusivamente cuando sus responsables nos hayan autorizado a ello. Bajo ninguna circunstancia deben ser empleadas contra máquinas que no sean de nuestra propiedad sin consentimiento expreso por parte de sus propietarios, informando en cada caso de la actividad que vayamos a realizar.

NMAP

A la hora de enumerar, nmap es la opción más habitual y frecuente.

1. Instalación

shernando@shernando:/$ sudo apt-get install nmap

2. La enumeración se hace directamente en consola. Los parámetros están listados en nmap -h. La manera elemental de enumerar es mediante la opción Increase verbosity level

shernando@shernando:/$ sudo nmap -v 192.168.1.1

NESSUS

Nessus es, probablemente, el escáner de vulnerabilidades más popular.

1. Instalar nessus, así como los paquetes habitualmente necesarios. Lo mínimo es instalar servidor, cliente y plugins. Ya se encarga apt de localizarnos los paquetes dependientes.

shernando@shernando:/$ sudo apt-get install nessus nessusd nessus-plugins

2. Localizamos el fichero de configuración del servidor nessus, y lo editamos según nuestras necesidades

shernando@shernando:/$ sudo find / -name "nessusd.conf"
/etc/nessus/nessusd.conf

shernando@shernando:/$ sudo nano /etc/nessus/nessusd.conf

3. Creamos un usuario para poder realizar los escaneos.

shernando@shernando:/$ sudo nessus-adduser
Using /var/tmp as a temporary file holder

Add a new nessusd user
----------------------

Login : shernando
Authentication (pass/cert) [pass] : pass
Login password :
Login password (again) :

User rules
----------
nessusd has a rules system which allows you to restrict the hosts
that shernando has the right to test. For instance, you may want
him to be able to scan his own host only.

Please see the nessus-adduser(8) man page for the rules syntax

Enter the rules for this user, and hit ctrl-D once you are done :
(the user can have an empty rules set)
default accept

Login : shernando
Password : *******************
DN :
Rules :
default accept

Is that ok ? (y/n) [y] y
user added.

4. Lanzamos el servidor nessus

nessusd -D

5. Maneras de escanear hay, principalmente, dos. Vía consola (nessus -h) o empleando el cliente gráfico. Cada cual que elija la que más le guste :)

NIKTO

Nikto es un escáner de servidores Web. Como curiosidad, su nombre proviene de Star Wars.

1. Instalar nikto, así como los paquetes asociados (se instalan automáticamente: libnet-ssleay-perl y libwhisker-perl)

shernando@shernando:/$ sudo apt-get install nikto

2. Los escaneos básicos se hacen especificando el host de destino

shernando@shernando:/$ nikto -h host.a.analizar

BURPSUITE

Burpsuite es un conjunto de programas java para el análisis de servidores Web. Consta de proxy, spider, intruder y repeater. La versión gratuíta está limitada, siendo la versión completa de pago.

1. Descargamos burpsuite

2. Desempaquetamos allí donde guardemos las aplicaciones

shernando@shernando:~/Aplicaciones$ tar -xzvf burpsuite_v1.01.tar.gz

3. Lanzamos el fichero java

java -jar burpsuite_v1.01.jar

En un entorno gráfico bastante amigable aparecerán las distintas opciones. En el menú help de la aplicación hay ayudas para todas las herramientas.

SECURITY AUDITOR'S RESEARCH ASSISTANT (S.A.R.A)

SARA es una herramienta para el análisis de seguridad en red. Se alimenta de la base de datos NVD (National Vulnerability Database).

shernando@shernando:~$ tar -xzvf sara-7.3.1.tgz

En el directorio inflado, ejecutamos los clásicos ./configure, make y make install, vigilando la salida de los comandos y la posible falta de componentes para la correcta compilación.

Una vez compilado, se genera un ejecutable llamado sara, que se lanza con el método tradicional

shernando@shernando:~$ sudo ./sara

Se abrirá una sesión en el navegador, en un socket aleatorio, en el que veremos en formato Web las distintas opciones. Las más importantes son Data Management, Target Selection, Data Analysis y Configuration Mgt.

NAGIOS

Nagios es uno de los mejores sistemas de monitorización que hay para entornos UNIX. La instalación básica incluirá los ficheros de base y los plugins.

shernando@shernando:~$ sudo apt-get install nagios-common nagios-plugins

Durante este proceso es probable que se nos pida el modo de operación de Postfix, para enviar alertas, así como la clave de administración de Nagios, para el usuario nagiosadmin.

La instalación vía apt nos ahorra diversas configuraciones, especialmente las necesarias en httpd.conf. Ya estamos en condiciones de lanzar Nagios.

Nagios se utiliza cargando en el navegador la URL http://localhost/nagios.

La instalación apt muchas veces no genera correctamente los enlaces a los scripts CGI, de modo que es probable que haya que solucionar este tema a mano. En Google hay mucha información al respecto :)

HARDEN-REMOTEAUDIT

El paquete harden-remote audit instalará de una tacada Nessus y Nagios, así como otras utilidades interesantes como satan, netsaint, dsniff, harden-nids, idswakeup y ettercap

shernando@shernando:~$ sudo apt-get install harden-remoteaudit

Cada aplicación tiene su ayuda.

Un saludo ;)

Be Sociable, Share!

Categoría/s → Auditoria

4 comentarios
  1. 12 marzo 2007

    Grande Sergio!!!
    Gran aporte.
    Gracias

  2. 12 marzo 2007

    Dkode,

    Disfrútalo con salud :)

  3. 3 mayo 2007
    alex permalink

    ¿Qué opinais de tripwire?. Por si alguien no lo conoce sirve para comprobar la integridad de ciertos archivos del sistema. Aún no lo he instalado, por miedo a picarme con él, jeje.

    Por otro lado he oído hablar de chkrootkit, un detector de rootkits, ¿qué tal es?.

    ¿Algún IDS/NIDS recomendable?

    Un saludo!!

  4. 16 junio 2009

    a mi me parece muy bueno el chkrootkit aunque como en todas las herramientas siempre ay falsos positivos, el rkhunter es algo mas avanzado, el tripwire bueno cuestion de gustos no lo e probado mucho, te recomiendo el snort y una repasadita de iptables para aquello de armar tu firewall cualquier cosa me dices o mejor investiga primero.

    lo que no me queda claro es el harden-remote ese no se pero son muchas herramientas y por alli lei q te desinstalaba algunas librerias asi q mucho cuidado no se instalara las q necesito por ahora, a otra cosa el nikto no se instala saben si esta disponible en los repos de debian es gpl o non-free

    gracias

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS