Un pequeño how-to para instalar algunas herramientas de seguridad en un terminal GNU/Linux.
IMPORTANTE: El mal uso de estas herramientas puede concluír en situaciones de bloqueo, enlentecimiento e incluso denegación de servicio de las máquinas analizadas. Estas herramientas sólo deben ser lanzadas contra máquinas ajenas única y exclusivamente cuando sus responsables nos hayan autorizado a ello. Bajo ninguna circunstancia deben ser empleadas contra máquinas que no sean de nuestra propiedad sin consentimiento expreso por parte de sus propietarios, informando en cada caso de la actividad que vayamos a realizar.
A la hora de enumerar, nmap es la opción más habitual y frecuente.
1. Instalación
shernando@shernando:/$ sudo apt-get install nmap
2. La enumeración se hace directamente en consola. Los parámetros están listados en nmap -h. La manera elemental de enumerar es mediante la opción Increase verbosity level
shernando@shernando:/$ sudo nmap -v 192.168.1.1
Nessus es, probablemente, el escáner de vulnerabilidades más popular.
1. Instalar nessus, así como los paquetes habitualmente necesarios. Lo mínimo es instalar servidor, cliente y plugins. Ya se encarga apt de localizarnos los paquetes dependientes.
shernando@shernando:/$ sudo apt-get install nessus nessusd nessus-plugins
2. Localizamos el fichero de configuración del servidor nessus, y lo editamos según nuestras necesidades
shernando@shernando:/$ sudo find / -name «nessusd.conf»
/etc/nessus/nessusd.confshernando@shernando:/$ sudo nano /etc/nessus/nessusd.conf
3. Creamos un usuario para poder realizar los escaneos.
shernando@shernando:/$ sudo nessus-adduser
Using /var/tmp as a temporary file holderAdd a new nessusd user
———————-Login : shernando
Authentication (pass/cert) [pass] : pass
Login password :
Login password (again) :User rules
———-
nessusd has a rules system which allows you to restrict the hosts
that shernando has the right to test. For instance, you may want
him to be able to scan his own host only.Please see the nessus-adduser(8) man page for the rules syntax
Enter the rules for this user, and hit ctrl-D once you are done :
(the user can have an empty rules set)
default acceptLogin : shernando
Password : *******************
DN :
Rules :
default acceptIs that ok ? (y/n) [y] y
user added.
4. Lanzamos el servidor nessus
nessusd -D
5. Maneras de escanear hay, principalmente, dos. Vía consola (nessus -h) o empleando el cliente gráfico. Cada cual que elija la que más le guste :)
Nikto es un escáner de servidores Web. Como curiosidad, su nombre proviene de Star Wars.
1. Instalar nikto, así como los paquetes asociados (se instalan automáticamente: libnet-ssleay-perl y libwhisker-perl)
shernando@shernando:/$ sudo apt-get install nikto
2. Los escaneos básicos se hacen especificando el host de destino
shernando@shernando:/$ nikto -h host.a.analizar
Burpsuite es un conjunto de programas java para el análisis de servidores Web. Consta de proxy, spider, intruder y repeater. La versión gratuíta está limitada, siendo la versión completa de pago.
2. Desempaquetamos allí donde guardemos las aplicaciones
shernando@shernando:~/Aplicaciones$ tar -xzvf burpsuite_v1.01.tar.gz
3. Lanzamos el fichero java
java -jar burpsuite_v1.01.jar
En un entorno gráfico bastante amigable aparecerán las distintas opciones. En el menú help de la aplicación hay ayudas para todas las herramientas.
SECURITY AUDITOR’S RESEARCH ASSISTANT (S.A.R.A)
SARA es una herramienta para el análisis de seguridad en red. Se alimenta de la base de datos NVD (National Vulnerability Database).
shernando@shernando:~$ tar -xzvf sara-7.3.1.tgz
En el directorio inflado, ejecutamos los clásicos ./configure, make y make install, vigilando la salida de los comandos y la posible falta de componentes para la correcta compilación.
Una vez compilado, se genera un ejecutable llamado sara, que se lanza con el método tradicional
shernando@shernando:~$ sudo ./sara
Se abrirá una sesión en el navegador, en un socket aleatorio, en el que veremos en formato Web las distintas opciones. Las más importantes son Data Management, Target Selection, Data Analysis y Configuration Mgt.
Nagios es uno de los mejores sistemas de monitorización que hay para entornos UNIX. La instalación básica incluirá los ficheros de base y los plugins.
shernando@shernando:~$ sudo apt-get install nagios-common nagios-plugins
Durante este proceso es probable que se nos pida el modo de operación de Postfix, para enviar alertas, así como la clave de administración de Nagios, para el usuario nagiosadmin.
La instalación vía apt nos ahorra diversas configuraciones, especialmente las necesarias en httpd.conf. Ya estamos en condiciones de lanzar Nagios.
Nagios se utiliza cargando en el navegador la URL http://localhost/nagios.
La instalación apt muchas veces no genera correctamente los enlaces a los scripts CGI, de modo que es probable que haya que solucionar este tema a mano. En Google hay mucha información al respecto :)
El paquete harden-remote audit instalará de una tacada Nessus y Nagios, así como otras utilidades interesantes como satan, netsaint, dsniff, harden-nids, idswakeup y ettercap
shernando@shernando:~$ sudo apt-get install harden-remoteaudit
Cada aplicación tiene su ayuda.
Un saludo ;)
Grande Sergio!!!
Gran aporte.
Gracias
Dkode,
Disfrútalo con salud :)
¿Qué opinais de tripwire?. Por si alguien no lo conoce sirve para comprobar la integridad de ciertos archivos del sistema. Aún no lo he instalado, por miedo a picarme con él, jeje.
Por otro lado he oído hablar de chkrootkit, un detector de rootkits, ¿qué tal es?.
¿Algún IDS/NIDS recomendable?
Un saludo!!
a mi me parece muy bueno el chkrootkit aunque como en todas las herramientas siempre ay falsos positivos, el rkhunter es algo mas avanzado, el tripwire bueno cuestion de gustos no lo e probado mucho, te recomiendo el snort y una repasadita de iptables para aquello de armar tu firewall cualquier cosa me dices o mejor investiga primero.
lo que no me queda claro es el harden-remote ese no se pero son muchas herramientas y por alli lei q te desinstalaba algunas librerias asi q mucho cuidado no se instalara las q necesito por ahora, a otra cosa el nikto no se instala saben si esta disponible en los repos de debian es gpl o non-free
gracias