Manual

Anuncio
GFI LANguard Network Security Scanner 5
Manual
Por GFI Software Ltd.
GFI SOFTWARE Ltd.
http://www.gfi.com
E-mail: [email protected]
La información de este documento esta sujeta a cambios sin previo
aviso. Las empresas, nombres, y datos utilizados en los ejemplos son
ficticios si no se hace mención de lo contrario. Ninguna parte del
documento puede ser reproducida o transmitida bajo ninguna forma o
medio, electrónico o mecánico, para ningún propósito, sin la expresa
autorización escrita de GFI SOFTWARE Ltd.
LANguard es copyright de GFI SOFTWARE Ltd. 2000-2004 GFI
SOFTWARE Ltd. Todos los derechos reservados.
Versión 5,0 – Ultima actualización 20 de Septiembre de 2004
Contenido
Introducción
5
Introducción a GFI LANguard Network Security Scanner ............................................. 5
Importancia de la Seguridad Interna de la Red............................................................. 5
Características clave ..................................................................................................... 6
Componentes de GFI LANguard N.S.S. ....................................................................... 7
Esquema de Licenciamiento ......................................................................................... 7
Instalar GFI LANguard Network Security Scanner
9
Requerimientos del Sistema.......................................................................................... 9
Procedimiento de Instalación ........................................................................................ 9
Introducir su Clave de Licencia después de la instalación.......................................... 11
Empezar: Realizar una Auditoria
13
Introducción a las Auditorias de Seguridad................................................................. 13
Realizar un Análisis ..................................................................................................... 13
Analizar los Resultados del Análisis............................................................................ 14
IP, Nombre de equipo, SO y Nivel de Service pack........................................15
Nodo Vulnerabilidades ....................................................................................15
Nodo de Vulnerabilidades Potenciales............................................................16
Recursos compartidos.....................................................................................17
Directiva de Contraseñas ................................................................................17
Registro ...........................................................................................................17
Directiva de auditoria de seguridad.................................................................18
Puertos abiertos ..............................................................................................19
Usuarios y Grupos ...........................................................................................20
Servicios ..........................................................................................................20
Estado de Actualizaciones de Seguridad P ....................................................20
Resultados Adicionales ............................................................................................... 20
Equipo..............................................................................................................20
Realizar análisis En el sitio (On site) y Fuera del sitio (Off site) ................................. 21
Análisis On Site ...............................................................................................21
Análisis Off Site ...............................................................................................21
Comparación de análisis on site y off site .......................................................22
Filtrar los resultados del análisis
23
Introducción ................................................................................................................. 23
Seleccionar el origen de los resultados del análisis.................................................... 24
Crear un filtro de análisis a medida ............................................................................. 24
Configurar GFI LANguard N.S.S.
27
Introducción a la configuración de GFI LANguard N.S.S. ........................................... 27
Perfiles de escaneo ..................................................................................................... 27
Puertos TCP/UDP analizados ..................................................................................... 28
Cómo agregar/editar/eliminar puertos.............................................................28
Datos del SO analizado............................................................................................... 29
Vulnerabilidades analizadas........................................................................................ 30
Tipos de Vulnerabilidades ...............................................................................30
LANguard Network Security Scanner Manual
Contenido • i
Descargar las últimas Vulnerabilidades de Seguridad....................................31
Actualizaciones de seguridad analizadas ................................................................... 31
Opciones de escáner................................................................................................... 32
Métodos de descubrimiento de red .................................................................33
Análisis Programados.................................................................................................. 34
Archivos de parámetros............................................................................................... 37
Utilizar GFI LANguard N.S.S. desde la línea de comando ......................................... 38
Despliegue de Actualizaciones de Seguridad
39
Introducción al despliegue de actualizaciones de seguridad ...................................... 39
El agente de implantación de actualizaciones ................................................39
Paso 1: Realizar un análisis de su red ........................................................................ 40
Paso 2: Seleccionar sobre qué equipos implantar las actualizaciones....................... 40
Paso 3: Seleccionar qué actualizaciones implantar .................................................... 41
Paso 4: Descargar los archivos de actualizaciones y service pack ............................ 42
Descargando las actualizaciones ....................................................................43
Paso 5: Parámetros de implantación de archivos de actualización ............................ 44
Paso 6: Implantar las actualizaciones ......................................................................... 44
Implantar software a medida ....................................................................................... 45
Paso 1: Seleccionar los equipos a los que instalar el
software/actualización .....................................................................................46
Paso 2: Especificar el software a implantar ....................................................46
Paso 3: Iniciar el proceso de implantación......................................................47
Opciones de implantación ........................................................................................... 48
Comparación de Resultados
49
¿Por qué Comparar Resultados?................................................................................ 49
Realizar una Comparación de Resultados interactivamente ...................................... 49
Realizar una Comparación con la Opción de Análisis Programados.......................... 50
Herramientas
51
Introducción ................................................................................................................. 51
DNS lookup.................................................................................................................. 51
Trace Route ................................................................................................................. 52
Whois Client................................................................................................................. 53
SNMP Walk ................................................................................................................. 53
SNMP Audit ................................................................................................................. 53
MS SQL Server Audit .................................................................................................. 54
Enumerar Equipos ....................................................................................................... 55
Lanzar un análisis de seguridad......................................................................55
Implantar actualizaciones a medida ................................................................55
Habilitar las Directivas de Auditoria.................................................................56
Enumerar Usuarios...................................................................................................... 56
Agregar comprobaciones de vulnerabilidad mediante condiciones
o scripts
57
Introducción ................................................................................................................. 57
Lenguaje VBscript de GFI LANguard N.S.S................................................................ 57
Agregar una comprobación de vulnerabilidad que utiliza un script a
medida ......................................................................................................................... 57
Paso 1: Cree el script ......................................................................................58
Paso 2: Agregue la nueva comprobación de vulnerabilidad: ..........................58
Agregar una comprobación de vulnerabilidad CGI ..................................................... 59
Agregar otras comprobaciones de vulnerabilidad ....................................................... 60
Resolución de problemas
65
Introducción ................................................................................................................. 65
Contenido • ii
LANguard Network Security Scanner Manual
Base de conocimientos ............................................................................................... 65
Solicitud de soporte vía e-mail .................................................................................... 65
Solicitud de soporte vía conversación web ................................................................. 66
Solicitudes de soporte telefónicas ............................................................................... 66
Foro Web ..................................................................................................................... 66
Notificaciones de versiones revisadas ........................................................................ 66
Indice
LANguard Network Security Scanner Manual
67
Contenido • iii
Introducción
Introducción a GFI LANguard Network Security Scanner
GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) es
una herramienta que permite a los administradores de red realizar
rápida y fácilmente una auditoria de seguridad de red. GFI LANguard
N.S.S. crea informes que pueden ser utilizados para resolver
problemas de seguridad de la red. Además puede realizar la
administración de actualizaciones de seguridad.
Al contrario que otros escáneres de seguridad, GFI LANguard N.S.S.
no creará un ‘bombardeo’ de información, que es virtualmente
imposible de seguir. En su lugar, ayudará a resaltar la información
más importante. Además proporciona hipervínculos a sitios de
seguridad para averiguar más sobre estas vulnerabilidades.
Utilizando análisis inteligentes, GFI LANguard N.S.S. recoge
información sobre los equipos como nombres de usuario y grupos,
que pueden incluir objetos para permitir acceso clandestino, recursos
compartidos de red y objetos similares encontrados en un Dominio
Windows.
Además de esto, GFI LANguard N.S.S. también identifica
vulnerabilidades específicas como problemas de configuración de
servidores FTP, exploits en Servidores Microsoft IIS y Apache Web o
problemas en la configuración de la política de seguridad NT, más
muchos otros potenciales problemas de seguridad.
Importancia de la Seguridad Interna de la Red
La seguridad interna de la red es, las más veces, menospreciada por
sus administradores. Muy a menudo, dicha seguridad incluso no
existe, permitiendo a un usuario acceder fácilmente al equipo de otro
usuario utilizando debilidades bien conocidas, relaciones de confianza
y opciones predeterminadas. La mayor parte de estos ataques
necesitan poca o ninguna habilidad, poniendo la integridad de una red
en riesgo.
La mayoría de los empleados no necesitan y no deben tener acceso
al resto de equipos, funciones administrativas, dispositivos de red,
etcétera. Sin embargo, debido a la cantidad de flexibilidad necesaria
para la función normal, las redes internas no pueden permitirse una
seguridad máxima. Por otro lado, sin ninguna seguridad, los usuarios
internos pueden ser una importante amenaza para muchas redes
corporativas.
Un usuario de la empresa ya tiene acceso a muchos recursos
internos y no necesita evitar cortafuegos u otros mecanismos de
seguridad que previenen que las fuentes no confiables, como
LANguard Network Security Scanner Manual
Introducción • 5
usuarios de Internet, accedan a la red interna. Dichos usuarios
internos, equipados con mucha habilidad, pueden penetrar
satisfactoriamente y conseguir derechos de administración remota de
red mientras que asegura que su abuso sea difícil de identificar o
incluso de detectar.
De hecho, el 80% de los ataques a la red se originan desde el interior
del cortafuegos (ComputerWorld, Enero 2002).
Una pobre seguridad de red también significa que, si un hacker
externo fuerza un equipo de su red, podrá acceder al resto de la red
interna más fácilmente. Esto habilitaría a un atacante sofisticado leer
y posiblemente filtrar correo y documentos confidenciales; equipos
basura, haciendo creer en pérdidas de información; y más. Por no
mencionar que entonces utilice su red y recursos para volverse e
iniciar el ataque a otros sitios, que cuando sean descubiertos le
apuntarán a usted y a su empresa, no al hacker.
La mayoría de ataques, contra vulnerabilidades conocidas, podrían
ser fácilmente resueltos y, por lo tanto, ser detenidos por los
administradores si conocieran la vulnerabilidad en primer lugar. La
función de GFI LANguard N.S.S. es ayudar a los administradores en
la identificación de estas vulnerabilidades.
Características clave
6 • Introducción
•
Encuentra servicios rufianes y puertos TCP y UDP abiertos
•
Detecta vulnerabilidades CGI, DNS, FTP, Correo, RPC y otras
•
Detecta usuarios pícaros o en “puertas traseras” (backdoors)
•
Detecta recursos compartidos abiertos
•
Enumeración de usuarios, servicios, etc.
•
Puede realizar Análisis Programados
•
Actualiza automáticamente las Comprobaciones de vulnerabilidad
de seguridad
•
Habilidad para detectar la falta de actualizaciones críticas y
service packs del sistema operativo.
•
Habilidad para detectar la falta de actualizaciones críticas y
service packs de aplicaciones soportadas.
•
Habilidad de comparar análisis, para enterarse de posibles nuevos
puntos de entrada
•
Habilidad para actualizar el SO (Sistemas Windows en Inglés) y
aplicaciones Office (Inglés, Francés, Alemán, Italiano, Español)
•
Identificación de Sistema operativo
•
Detección de anfitrión en directo
•
Resultados en HTML, XSL y XML
•
Auditoria SNMP y MS SQL
•
Lenguaje de comandos compatible Vbscript para construir
comprobaciones de vulnerabilidad a medida
LANguard Network Security Scanner Manual
Componentes de GFI LANguard N.S.S.
GFI LANguard N.S.S. está construido sobre una arquitectura de clase
empresarial y tiene los siguientes componentes.
GFI LANguard Network Security Scanner
Este es el principal interfaz del producto. Utilice esta aplicación para
ver los resultados del análisis en tiempo real, configurar las opciones
de análisis, perfiles, informes filtrados, uso de herramientas de
seguridad especializadas y más.
GFI LANguard N.S.S. servicio asistente
Este servicio inicia los análisis de red programados, e implantaciones
programadas de actualizaciones. Funciona en segundo plano.
GFI LANguard N.S.S. Servicio agente de actualizaciones
Este servicio se implanta en los equipos objetivo a los cuales hay que
instalar actualizaciones, service pack o aplicaciones y se encarga de
la instalación de los parches, service pack o aplicaciones.
GFI LANguard N.S.S. Depurador de Scripts
Utilice este módulo para escribir/depurar los scripts a medida que
haya creado.
Esquema de Licenciamiento
El esquema de licenciamiento de GFI LANguard N.S.S. se basa en el
número de equipos y dispositivos que desea analizar. Por ejemplo, la
licencia de 100 IP le permite analizar hasta 100 equipos o dispositivos
desde una única estación de trabajo/servidor de su red.
LANguard Network Security Scanner Manual
Introducción • 7
Instalar GFI LANguard Network
Security Scanner
Requerimientos del Sistema
La instalación de GFI LANguard Network Security Scanner requiere lo
siguiente:
•
Windows 2000/2003 o Windows XP
•
Internet Explorer 5.1 o superior
•
El Cliente de Redes Microsoft debe estar instalado.
•
NO puede estar ejecutándose software Cortafuegos Personal ni el
Cortafuegos de Conexión a Internet de Windows XP mientras se
realizan los análisis. Pueden bloquear la funcionalidad de GFI
LANguard N.S.S.
•
Para implantar parches en equipos remotos necesita tener
privilegios de administrador
Procedimiento de Instalación
1. Inicie el programa de instalación de LANguard Network Security
Scanner haciendo clic sobre el archivo lannetscan.exe. Confirme que
desea instalar GFI LANguard N.S.S. Comenzará el asistente de
instalación. Haga clic en Next.
2. Tras leer el Acuerdo de Licencia, haga clic en Yes para aceptar el
acuerdo y continuar la instalación.
3. La instalación le solicitará la información de usuario y la Clave de
Licencia
LANguard Network Security Scanner Manual
Instalar GFI LANguard Network Security Scanner • 9
Especifique las credenciales del administrador del dominio o utilice la cuenta local del sistema
4. La instalación le solicitará las credenciales del administrador del
dominio que serán utilizadas por el servicio LANguard N.S.S.
Attendant (que inicia los análisis programados). Introduzca las
credenciales necesarias y haga clic en Next.
Escoja la base de datos de respaldo
5. La instalación le solicitará que escoja la base de datos de respaldo
para GFI LANguard N.S.S. Escoja entre Microsoft Access o Microsoft
SQL Server/MSDE y haga clic en Next.
NOTA: SQL Server/MSDE debe ser instalado en modo mixto o modo
autentificación SQL. El modo de sólo autentificación NT no está
soportado.
10 • Instalar GFI LANguard Network Security Scanner
LANguard Network Security Scanner Manual
6. Si seleccionó Microsoft SQL Server/MSDE como base de datos de
respaldo, se le solicitará por las credenciales SQL utilizadas para
registrar en la base de datos. Haga clic en Next para continuar.
7. La instalación le solicitará una dirección de correo de administrador
y el nombre de su servidor de correo. Estas opciones serán utilizadas
para enviar alertas administrativas.
8. Escoja el destino de GFI LANguard N.S.S. y haga clic en Next. GFI
LANguard N.S.S. necesitará aproximadamente 40 MB de espacio
libre en disco.
9. Una vez GFI LANguard N.S.S. ha sido instalado, puede ejecutar
GFI LANguard Network Security Scanner desde el menú de inicio.
Introducir su Clave de Licencia después de la instalación
Si ha comprado GFI LANguard N.S.S., puede introducir su número de
serie en el nodo General > Licensing.
Si está evaluando GFI LANguard N.S.S., el producto expirará
después de 60 días (con clave de evaluación). Si entonces decide
comprar GFI LANguard N.S.S., solo tiene que introducir aquí la clave
de licencia sin tener que reinstalarlo.
Debe licenciar GFI LANguard N.S.S. para el número de equipo que
desea analizar, y el número de equipos desde los que desea
ejecutarlo. Si tiene 3 administradores utilizando GFI LANguard N.S.S.
entonces tiene que comprar 3 licencias.
Introducir la Clave de licencia no debe ser confundido con el proceso
de registrar los detalles de su empresa en nuestro sitio web. Esto es
importante, ya que nos permite darle soporte y avisarle sobre noticias
importantes sobre los productos. Registre en:
http://www.gfi.com/pages/regfrm.htm
Nota: Para descubrir cómo comprar GFI LANguard N.S.S., siga el
nodo General -> How to puchase.
LANguard Network Security Scanner Manual
Instalar GFI LANguard Network Security Scanner • 11
Empezar: Realizar una Auditoria
Introducción a las Auditorias de Seguridad
Una auditoria de recursos de red permite al administrador identificar
posibles riesgos dentro de la red. Hacerlo manualmente requiere
mucho tiempo, a cause de las tareas y procesos repetitivos, que
tienen que ser aplicados en cada equipo de la red. GFI LANguard
N.S.S. automatiza el proceso de una auditoria de seguridad e
identifica fácilmente vulnerabilidades comunes dentro de su red en un
corto tiempo.
Nota: Si su empresa utiliza cualquier tipo de Software de Detección
de Intrusos (IDS) entonces sea consciente de que el uso de
LANguard Network Security Scanner dejara fuera casi cualquier
cualidad. Si no es el único en encargarse del sistema IDS, asegúrese
de que el administrador de ese equipo o equipos sea consciente del
análisis que va a ser iniciado.
Junto con el aviso del software IDS debe ser consciente de que
muchos de los análisis se mostrarán en los archivos de registro a
todos los niveles. Registros Unix, servidores web, etc. mostrarán
todos los intentos del equipo LANguard Network Security Scanner. Si
no es el único administrador de su sitio asegúrese que los otros
administradores sean conscientes de los análisis que va a realizar.
Realizar un Análisis
El primer paso en el comienzo de la auditoria de una red es realizar
un análisis de los equipos y dispositivos de red actuales.
Para comenzar un nuevo análisis de red:
1. Haga clic en File -> New.
2. Seleccione qué analizar. Puede seleccionar lo siguiente:
a. Scan one Computer - Esto analizará un único equipo.
b. Scan Range of Computers – Esto analizará un rango
específico de IPs
c. Scan List of Computers - Esto analiza una lista de equipos
a medida. Los equipos se pueden agregar a la lista
seleccionándolos de una lista de equipos enumerados,
introduciéndolos uno a uno, o importando la lista de un
archivo de texto.
d. Scan a Domain – Esto analiza un dominio Windows
completo.
3. Dependiendo de lo que quiera analizar introduzca el inicio y final
del rango de la red a ser escaneado.
LANguard Network Security Scanner Manual
Empezar: Realizar una Auditoria • 13
4. Seleccione Start Scan.
Realizar un análisis
LANguard Network Security Scanner realizará el análisis ahora.
Primero detectará qué anfitriones/equipos están activos, y solo
analizará esos. Esto se hace utilizando sondas NETBIOS, ping ICMP
ping y consultas SNMP .
Si un dispositivo no responde a uno de éstas, GFI LANguard N.S.S.
asumirá, por ahora, que el dispositivo no existe en una IP específica o
que está actualmente inactivo.
Nota: Si quiere forzar un análisis sobre anfitriones que no responden,
vea el capítulo ‘Configurar opciones de análisis’ para información
sobre cómo configurar esto.
Analizar los Resultados del Análisis
14 • Empezar: Realizar una Auditoria
LANguard Network Security Scanner Manual
Analizar los resultados
Tras un análisis, los nodos aparecerán bajo cada equipo que GFI
LANguard N.S.S. encuentre. El panel de la izquierda listará todos los
equipos y dispositivos de red. Expandiendo uno de éstos se listará
una serie de nodos con la información encontrada para ese equipo o
dispositivo de red. Hacer clic sobre un nodo concreto mostrará la
información analizada en el panel de la derecha.
GFI LANguard N.S.S. encontrará cualquier dispositivo de red que esté
actualmente activo o cuando haga un sondeo de red. Dependiendo
del tipo de dispositivo y qué tipo de consultas responde se
determinará cómo GFI LANguard N.S.S. lo identifica y qué
información puede recuperar.
Una vez GFI LANguard N.S.S. ha finalizado su análisis del
equipo/dispositivo/red mostrará la siguiente información.
IP, Nombre de equipo, SO y Nivel de Service pack
Se mostrará la dirección IP del equipo/dispositivo. Entonces se
mostrará el nombre NetBIOS DNS, dependiendo del tipo de
dispositivo. GFI LANguard N.S.S. informará qué SO está corriendo
en el dispositivo y si es un Windows NT/2000/XP/2003 OS, mostrará
el nivel de service pack.
Nodo Vulnerabilidades
El nodo vulnerabilidades muestra los problemas de seguridad
detectados y le informa cómo resolverlos. Estas amenazas pueden
incluir actualizaciones de seguridad y service pack ausentes,
problemas HTTP, alertas NETBIOS, problemas de configuración,
etcétera.
Las vulnerabilidades se dividen en las siguientes secciones: Service
Packs Ausentes, Actualizaciones de Seguridad Ausentes,
Vulnerabilidades de Seguridad Altas, Vulnerabilidades de Seguridad
Medianas y Vulnerabilidades de Seguridad Bajas.
Bajo cada sección de vulnerabilidades Altas / Medianas / Bajas puede
encontrar mayor categorización de los problemas detectados
utilizando el siguiente agrupamiento: Abusos CGI, Vulnerabilidades
FTP, Vulnerabilidades DNS, Vulnerabilidades de Correo,
Vulnerabilidades RPC, Vulnerabilidades de Servicio, Vulnerabilidades
de Registro y Vulnerabilidades Varias.
Actualizaciones de seguridad ausentes GFI LANguard N.S.S.
comprueba la ausencia de actualizaciones de seguridad mediante la
comparación de las actualizaciones instaladas con las actualizaciones
disponibles para un producto concreto. Si al equipo le falta cualquier
actualización debería ver algo como esto:
LANguard Network Security Scanner Manual
Empezar: Realizar una Auditoria • 15
Primero le indica para qué producto es la actualización. Si lo expande,
le especificará que actualización está ausente y le dará un enlace del
que puede descargar la actualización.
Abusos CGI describe problemas relativos a Apache, Netscape, IIS y
otros servidores web.
Vulnerabilidades FTP, vulnerabilidades DNS, vulnerabilidades de
Correo, vulnerabilidades RPC y vulnerabilidades varias
proporcionan enlaces a Bugtraq u otros sitios de seguridad para que
pueda buscar más información sobre el problema encontrado por GFI
LANguard N.S.S.
Vulnerabilidades de servicio pueden ser varias cosas. Cualquier
cosa de los servicios en curso en el dispositivo en cuestión de
cuentas listadas en un equipo que nunca han sido utilizadas.
Vulnerabilidades de registro cubre la información tomada de un
equipo Windows cuando GFI LANguard N.S.S. hace su análisis inicial.
Proporcionará un enlace al sitio de Microsoft u otros sitios
relacionados con la seguridad que explica por qué estas opciones del
registro deberían ser cambiadas.
Vulnerabilidades de información son alertas agregadas a la base
de datos que son problemas suficientemente importantes para llamar
la atención de los administradores pero que no siempre es perjudicial
dejarlas abiertas.
Nodo de Vulnerabilidades Potenciales
El nodo de vulnerabilidades potenciales muestra potenciales
problemas de seguridad, información importantes, así como ciertas
comprobaciones que podrían no ser realizadas. Por ejemplo si no
pudiera determinarse que una actualización concreta está instalada,
se la listará bajo el nodo actualizaciones de seguridad no detectables.
Esas potenciales vulnerabilidades necesitan ser revisadas por el
administrador.
Nodo de vulnerabilidades potenciales
16 • Empezar: Realizar una Auditoria
LANguard Network Security Scanner Manual
Recursos compartidos
El nodo recursos compartidos lista todos los recursos compartidos de
un equipo y quién tiene acceso a un recurso compartido. Todos los
recursos compartidos de la red deben ser asegurados
adecuadamente. Los administradores deben asegurar que:
1. Ningún usuario está compartiendo todo su disco duro con otros
usuarios.
2. No se permite el acceso anónimo/no autentificado a recursos
compartidos.
3. Las carpetas de inicio o archivos de sistema similares no están
compartidas. Esto podría permitir que usuarios con menos
privilegios ejecuten código en los equipos objetivo.
Lo anterior es muy importante para todos los equipos, pero
especialmente para los equipos que son críticos para la integridad del
sistema, como el Controlador de Domino Público. Imagine un
administrador compartiendo la carpeta de inicio (o una carpeta que
contiene la carpeta de inicio) en el PDC para todos los usuarios.
Concedidos los permisos correctos, los usuarios pueden fácilmente
copiar ejecutables en la carpeta de inicio, que se ejecutarán en el
siguiente inicio de sesión del administrador.
Nota: Si está realizando el análisis validado como un administrador,
también verá los recursos compartidos administrativos, por ejemplo
“C$ - recurso compartido predeterminado”. Estos recursos
compartidos no estarán disponibles para los usuarios normales.
Con la forma en que Klez y otros nuevos virus están comenzando a
difundirse, a través del uso de recursos compartidos abiertos, todos
los recursos compartidos innecesarios deben ser desactivados, y
todos los recursos compartidos necesarios deben tener una
contraseña.
Directiva de Contraseñas
Este nodo le permite comprobar si la directiva de contraseñas es
segura. Por ejemplo habilitar un tiempo de vida máximo e historial de
contraseñas. La longitud mínima de contraseña debe ser algo práctico,
como 8 caracteres. Si tiene Windows 2000, puede habilitar una
directiva de contraseñas seguras, en toda la red, utilizando un GPO
(Objetos de Directiva de Grupo) en el Directorio Activo.
Registro
Este nodo proporciona información vital sobre el registro remoto.
Haga clic sobre el nodo Ejecutar para comprobar qué programas
lanzan automáticamente en el inicio.
Compruebe que los programas que se lanzan automáticamente no
son Troyanos o incluso programas válidos que proporcionan acceso
remoto en un equipo, si dicho software no está permitido en su red.
Cualquier software de Acceso Remoto puede terminar siendo una
puerta trasera que un potencial hacker puede utilizar para obtener
entrada.
LANguard Network Security Scanner Manual
Empezar: Realizar una Auditoria • 17
Directiva de auditoria de seguridad
Este nodo muestra qué directivas de auditoria de seguridad están
habilitadas en el equipo remoto. Se recomiendan las siguientes
directivas de auditoria:
Directiva de Auditoria
Correcto
Error
Auditar sucesos de inicio de
sesión
Si
Si
Administración de cuentas
Si
Si
Acceso del servicio de directorio
Si
Si
Sucesos de inicio de sesión de
cuenta
Si
Si
Acceso a objetos
Si
Si
Cambio de directivas
Si
Si
Uso de privilegios
No
No
Seguimiento de procesos
No
No
Sucesos del sistema
Si
Si
Puede habilitar la auditoria directamente desde GFI LANguard N.S.S.
Haga clic con el botón derecho sobre uno de los equipos del panel de
la izquierda y seleccione "Enable auditing". Esto hará aparecer el
asistente de administración de directiva de auditoria.
Especifique qué directivas de auditoria activar. Hay 7 directivas de
auditoria de seguridad en Windows NT y 9 en Windows 2000. Habilite
las directivas de auditoria deseadas en los equipos a ser
monitorizados. Haga clic en Next para activar las directivas de
auditoria.
Habilitar las Directivas de Auditoria en equipos remotos
18 • Empezar: Realizar una Auditoria
LANguard Network Security Scanner Manual
Ni no se encuentran errores, se mostrará la página final. Si ocurrió un
error entonces se mostrará otra página indicando los equipos en los
que falló la aplicación de las directivas.
Diálogo de resultados del asistente de directiva de auditoria
Puertos abiertos
El nodo puertos abiertos lista todos los puertos abiertos encontrados
en el equipo. (Esto se llama escaneo de puertos). GFI LANguard
N.S.S. hace un análisis de puertos selectivo, lo que significa que por
defecto no escanea los 65535 puertos TCP y UDP, sólo los puertos
que están configurados para analizar: Puede configurar los puertos
que debe analizar en Opciones de análisis. Para más información vea
el capítulo “Configurar las Opciones de Análisis, Configurar los
Puertos a Analizar”.
Cada puerto abierto representa un servicio/aplicación; si uno de estos
servicios puede ser “aprovechado”, el hacker podría obtener acceso a
ese equipo. Por lo tanto, es importante cerrar cualquier puerto que no
sea necesario.
Nota: En las Redes Windows, los puertos 135, 139 y 445 siempre
están abiertos.
GFI LANguard N.S.S. mostrará los puertos abiertos, y si el puerto se
considera puerto de Troyano conocido, GFI LANguard N.S.S. lo
mostrará en ROJO, de lo contrario el puerto se mostrará en VERDE.
Puede ver esto en la siguiente imagen:
Nota: Aunque un puerto se muestre en ROJO como posible puerto
de Troyano, eso no significa que un programa de puerta trasera esté
actualmente instalado en el equipo. Algunos programa válidos
LANguard Network Security Scanner Manual
Empezar: Realizar una Auditoria • 19
utilizarán los mismos puertos que algunos Troyanos conocidos. Un
programa anti-virus utiliza el mismo puerto conocido por la puerta
trasera NetBus. Por lo tanto compruebe siempre la información
proporcionada y realice pruebas en esos equipos.
Usuarios y Grupos
Estos nodos muestran los grupos locales y los usuarios locales
disponibles en el equipo. Verifique si hay usuarios de más, y
comprueba que la cuenta Invitado está deshabilitada. ¡Estos usuarios
y grupos pueden permitir el acceso por la puerta de atrás!
Algunos programas clandestinos rehabilitarán la cuenta Invitado y le
darán derechos Administrativos, por lo que compruebe los detalles del
nodo usuarios para ver la actividad de todas las cuentas y los
derechos que tienen.
Idealmente el usuario no debería estar utilizando una cuenta local
para iniciar sesión, sino que debería ser registrado en un Dominio o
una cuenta de Directorio Activo.
La última cosa importante a comprobar es asegurar que la contraseña
no es demasiado antigua.
Servicios
Se listan todos los servicios del equipo. Verifique que los servicios
que están en ejecución necesitan estarlo y deshabilite todos los
servicios que no sean necesarios. Sea consciente de que cada
servicio puede potencialmente ser un riesgo de seguridad y un
agujero en el sistema. Cerrando o desactivando los servicios que no
son necesarios se reducen automáticamente los riesgos de seguridad.
Estado de Actualizaciones de Seguridad P
Este nodo muestra qué actualizaciones están instaladas y registradas
en el equipo remoto.
Resultados Adicionales
Esta sección lista nodos y resultados adicionales, que puede
comprobar después de haber revisado antes los resultados más
importantes del análisis.
Nombres NETBIOS
En este nodo encontrará detalles sobre los servicios instalados en el
equipo.
Equipo
MAC – Esta es la dirección MAC del adaptador de red.
Nombre de usuario – Este es el nombre del usuario actualmente
registrado, o el nombre de usuario del equipo.
TTL – El valor Tiempo De Vida (TTL) se especifica para cada
dispositivo. Los valores principales son 32, 64, 128 y 255. En base a
estos valores y al TTL actual del paquete tendrá una idea de la
distancia (número de saltos de enrutador) entre el equipo GFI
LANguard N.S.S. y el equipo objetivo que fue analizado.
20 • Empezar: Realizar una Auditoria
LANguard Network Security Scanner Manual
Utilización del Equipo - Le dice si el equipo objetivo es una Estación
de Trabajo o un Servidor.
Dominio – Si el equipo objetivo es parte de un dominio, le dará una
lista de los Dominios de confianza.
Si no es parte de un Dominio le mostrará el Grupo de Trabajo del que
el equipo es parte.
LAN manager – Proporciona el LAN Manager en uso (y SO).
Sesiones
Muestra las direcciones IP de los equipos que estaban conectados al
equipo objetivo en el momento del análisis. En la mayoría de los
casos, sólo será el equipo que está ejecutando GFI LANguard N.S.S.
y ha recientemente hecho conexiones.
Nota: Debido al constante cambio de este valor, esta información no
se guarda en el informe, pero está aquí sólo para propósitos
informativos.
Dispositivos de Red
Proporciona una lista de dispositivos de red disponible en el equipo
objetivo.
TOD remoto
Hora del Día remota. Esta es la hora de red en el equipo objetivo, que
es habitualmente fijada por el Controlador de Dominio.
Realizar análisis En el sitio (On site) y Fuera del sitio (Off site)
Recomendamos que ejecute GFI LANguard N.S.S. de dos formas, los
llamados análisis On site y análisis Off site.
Análisis On Site
Prepare un equipo con LANguard Network Security Scanner instalado
en él. Haga un análisis de su red con una “sesión NULL’ (Seleccione
Null Session del cuadro desplegable).
Una vez está hecho el primer análisis cambie el valor del cuadro
desplegable a Currently logged on user (si tiene derechos
administrativos para su dominio), o como Alternative credentials que
tengan derechos administrativos para el Dominio o para el Directorio
Activo.
Guarde este segundo análisis para compararlo más adelante.
Con la ‘sesión NULL' puede ver lo que cualquier usuario haciendo una
conexión a su red vía conexión Null sería capaz de vez. El análisis
que tiene los derechos administrativos, le ayudará mostrándole todos
las actualizaciones de seguridad que están ausentes en el equipo.
Análisis Off Site
Si tiene una cuenta de marcado externo, o alta velocidad de acceso a
Internet que no esté ligado a su empresa querrá ahora dar la vuelta y
analizar su red desde el mundo exterior.
LANguard Network Security Scanner Manual
Empezar: Realizar una Auditoria • 21
Haga un análisis ‘sesión NULL’ de su red. Esto de dejará ver que
sería capaz de ver cualquiera desde Internet si/cuando analizan su
red. Things that may effect this are any firewalls your company or ISP
may have setup, or any rules at a router along the way that may drop
specific types of packets.
Guarde este análisis para una posterior comparación.
Comparación de análisis on site y off site
Ahora es momento de iniciar la búsqueda de información generada
por LANguard Network Security Scanner.
Si el análisis de sesión NULL de su red interna parece idéntico al
análisis de su red externa sea consciente de que da la impresión que
no hay cortafuegos o dispositivo de filtrado en su red. Esta es
probablemente una de las primeras cosas que debería examinar.
Por lo tanto, compruebe lo que realmente puede ver cualquier usuario
desde el mundo exterior. ¿Pueden ver sus Controladores de Dominio
y conseguir una lista de todas las cuentas de equipo?
¿Y sobre servidores Web, FTP, etc...?
En éste punto, usted está solo.
Podría necesitar iniciar las
comprobaciones de actualizaciones de Servidores Web, Servidores
FTP, etc.
También podría necesitar verificar y cambiar las
configuraciones de los servidores SMTP. Cada red es diferente. GFI
LANguard N.S.S. intenta ayudarle precisando los problemas y los
asuntos de seguridad y dirigirle a sitios que le ayudarán a resolver los
agujeros que encuentre.
Si encuentra servicios ejecutándose que no son necesarios,
asegúrese de deshabilitarlos. Cada servicio es un potencial riesgo de
seguridad que podría permitir a alguien el acceso no autorizado a su
red. Nuevos desbordadores de buffer y exploits son publicados cada
día e incluso aunque su red podría parecer ser segura hoy, podría no
ser el caso mañana.
Asegúrese de realizar los análisis de seguridad de tiempo en tiempo.
Esto no es algo que pueda hacer una vez y entonces olvidarlo.
Siempre hay algo nuevo ahí fuera, y una vez de nuevo, solo porque
estaba seguro hoy, nunca sabe qué hacker llegará mañana.
22 • Empezar: Realizar una Auditoria
LANguard Network Security Scanner Manual
Filtrar los resultados del análisis
Introducción
Una vez GFI LANguard N.S.S. ha realizado un análisis, mostrará los
resultados en el panel ‘Scan results’. Si ha analizado un gran número
de equipos, podría querer filtrar esos datos desde el nodo Scan filters.
Haciendo clic en este nodo y seleccionando un filtro existente
mostrará los resultados del análisis en base al filtro seleccionado. GFI
LANguard N.S.S. se entrega con varios filtros de análisis predefinidos.
Además puede hacer sus propios filtros de análisis a la medida.
Filtros de análisis
Los siguientes filtros de análisis están incluidos por defecto:
Informe completo: Muestra todos los datos recogidos en un análisis
relativos a la seguridad.
Vulnerabilidades [High Security]: Muestra problemas que necesitan
atención inmediata – service pack y parches ausentes,
vulnerabilidades de seguridad alta y puertos abiertos.
Vulnerabilidades [Medium Security]: Muestra problemas que
podrían necesitan ser destinados por el administrador –
vulnerabilidades de seguridad media, actualizaciones que no pueden
ser detectadas.
Vulnerabilidades[All]: Muestra todas las vulnerabilidades detectadas
– actualizaciones de seguridad ausentes, service packs ausentes,
LANguard Network Security Scanner Manual
Filtrar los resultados del análisis • 23
información potencial, parches que no pudieron ser detectados,
vulnerabilidades de seguridad bajas y altas.
Actualizaciones de seguridad y service packs ausentes: lista
todos los service pack y actualizaciones de seguridad ausentes en los
equipos analizados.
Puertos abiertos: lista todos los puertos TCP y UDP abiertos.
Recursos Compartidos Abiertos: lista
compartidos y quién ha accedido a ellos.
todos
los
recursos
Directiva de Auditoria: lista las opciones de directiva de auditoria de
cada equipo analizado.
Directiva de Contraseñas: lista las opciones activas de directiva de
auditoria de cada equipo analizado.
Grupos y usuarios: lista los usuarios y grupos detectados en cada
equipo analizado.
Propiedades del equipo: Muestra las propiedades de cada equipo.
Seleccionar el origen de los resultados del análisis
Por defecto, los filtros trabajarán sobre los datos del análisis actual.
Sin embargo es posible seleccionar un diferente archivo origen de
datos de los 'resultados de análisis' y aplicar los filtros a estos datos
(que están actualmente en archivo XML). Para hacerlo:
1. Vaya al nodo Scan filters en el programa analizador de seguridad
de GFI LANguard N.S.S.
2. Haga clic con el botón derecho y seleccione ‘Filter saved scan
results XML file…”
3. Seleccione el archivo XML que contenga los datos de resultados
de análisis.
4. Ahora todos los filtros mostrarán datos de los resultados de éste
archivo. En el nodo Scan Filters se mostrará el origen de los datos
analizados: Bien los datos de análisis en curso o bien el nombre
del archivo de resultados de análisis por el que está filtrando.
NOTA: Si el origen de datos de los filtros de análisis está situado en
“Current Scan", no se mostrarán resultados hasta que se realice un
análisis.
Crear un filtro de análisis a medida
Para crear un filtro de análisis a medida:
1. Haga clic con el botón derecho sobre el nodo GFI LANguard N.S.S.
> Security scanner > Scan Filters y seleccione New > Filter…
2. Esto abrirá el diálogo Scan Filter Properties.
24 • Filtrar los resultados del análisis
LANguard Network Security Scanner Manual
Filtros de análisis – Página general
3. Proporcione un nombre al filtro
4. Agregue cualquier condición que desea que el filtro aplique a los
datos de resultados del análisis utilizando el botón Add... Puede crear
múltiples condiciones para el filtro. Para cada condición debe
especificar la propiedad, la condición y el valor. Las propiedades
disponibles son Sistema Operativo, nombre de host, usuario
registrado, dominio, service pack, recurso compartido, etc.).
Diálogo de condiciones
5. Seleccione qué categorías de información desea ver en el filtro
desde la página ‘Report items’.
LANguard Network Security Scanner Manual
Filtrar los resultados del análisis • 25
6. Haga clic en Aceptar para crear el filtro.
Filtros de análisis – Página de elementos de informe
Este procedimiento creará un nuevo nodo permanente bajo el nodo
Scan Filters.
NOTA: Puede eliminar/personalizar cualquier filtro bajo el nodo Scan
Filters haciendo clic con el botón derecho sobre el filtro y
seleccionando Delete.../Properties dependiendo de la operación que
desee realizar.
Ejemplo 1 – Encuentre equipos con la ausencia de un parche
concreto
Quiere encontrar todos los equipos Windows a los que les falte la
actualización MS03-026. (este es la famosa actualización para el virus
blaster)
Defina el filtro como sigue:
1. Condición 1: El sistema operativo incluye Windows
2. Condición 2: Hot fix (actualización) no está instalada MS03-026
Ejemplo 2 – Listar todas las estaciones Sun con servidor web
Para listar todas las estaciones Sun que ejecutan un servidor web
sobre el puerto 80 defina las siguientes consultas:
1. El sistema operativo incluye SunOS
2. Puerto TCP abierto 80
26 • Filtrar los resultados del análisis
LANguard Network Security Scanner Manual
Configurar GFI LANguard N.S.S.
Introducción a la configuración de GFI LANguard N.S.S.
Puede configurar GFI LANguard N.S.S. desde el nodo de
configuración. Aquí puede configurar opciones de análisis, perfiles de
escaneo con diferentes opciones de análisis, análisis programados,
opciones de alertas y más.
Perfiles de escaneo
Perfiles de escaneo
Utilizando los perfiles de escaneo, puede configurar diferentes tipos
de análisis, y utilizar estos diferentes análisis para enfocarse en tipos
concretos de información por los que desea comprobar.
Un perfil de escaneo se crea desde el nodo Configuration > Scanning
profiles, haciendo clic con el botón derecho y seleccionando New >
Scan Profile…
Puede configurar las siguientes opciones para cada perfil:
1. Puertos TCP analizados
2. Puertos UDP analizados
3. Datos del SO analizado
4. Vulnerabilidades analizadas
LANguard Network Security Scanner Manual
Configurar GFI LANguard N.S.S. • 27
5. Actualizaciones de seguridad analizadas
6. Propiedades del escáner
Puertos TCP/UDP analizados
La etiqueta de puertos TCP/UDP analizados le permite especificar
qué puertos TCP y UDP desea analizar. Para habilitar un puerto
simplemente haga clic sobre la casilla junto al puerto.
Configurar los puertos a analizar en un perfil
Cómo agregar/editar/eliminar puertos
Si quiere agregar puertos TCP/UDP a medida, haga clic en el botón
agregar. Aparecerá el diálogo para agregar puertos.
28 • Configurar GFI LANguard N.S.S.
LANguard Network Security Scanner Manual
Imagen 1 – Agregar un puerto
Simplemente introduzca un número de puerto o un rango de puertos
así como una descripción del programa que se supone corre en ese
puerto. Si el programa asociado con este puerto es un Troyano, haga
clic en la casilla de verificación ‘Is a Trojan port'.
Si especifica que este es un puerto Troyano, el círculo verde / rojo
junto al puerto estará rojo.
Nota: Compruebe que está introduciendo este puerto en la ventana
de Protocolo correcta, TCP o UDP.
Puede editar o eliminar puertos haciendo clic sobre los botones Editar
o Eliminar.
Datos del SO analizado
La etiqueta de datos del SO analizado especifica la clase de
información que desea que GFI LANguard N.S.S. recoja del sistema
operativo durante el análisis. En estos momentos solo se soportan
datos de SO Windows, sin embargo el análisis de datos UNIX está en
desarrollo.
LANguard Network Security Scanner Manual
Configurar GFI LANguard N.S.S. • 29
Vulnerabilidades analizadas
Configurando las Vulnerabilidades a analizar
La etiqueta de vulnerabilidades analizadas lista todas las
vulnerabilidades que puede analizar GFI LANguard N.S.S. Puede
deshabilitar la comprobación de todas las vulnerabilidades
deseleccionando la casilla ‘Check for vulnerabilities’.
Por defecto, GFI LANguard N.S.S. analizará todas las
vulnerabilidades que conoce. Puede cambiar esto eliminando la
casilla junto a cada vulnerabilidad en particular.
Del panel de la derecha, puede cambiar las opciones de una
vulnerabilidad específica haciendo doble clic sobre ella. Puede
cambiar el nivel de seguridad de una comprobación de vulnerabilidad
concreta desde la opción “Security Level”.
Tipos de Vulnerabilidades
Las vulnerabilidades se dividen en las siguientes secciones:
Ausencia de Parches, Parches que no pueden ser detectados,
Abusos CGI, Vulnerabilidades FTP, Vulnerabilidades DNS,
Vulnerabilidades de Correo, Vulnerabilidades RPC, Vulnerabilidades
de Servicio, Vulnerabilidades de Registro, y Vulnerabilidades Varias.
Opciones avanzadas de comprobación de vulnerabilidad
Haga clic sobre el botón Advanced para abrir estas opciones.
•
Comprobaciones Internas – Estas incluyen comprobación de
contraseña ftp anónima, comprobación de contraseña débil, etc…
•
CGI Probing – Active las pruebas CGI si está ejecutando
servidores web que utilizan CGI. Opcionalmente puede especificar
un servidor proxy si usted está localizado tras un servidor proxy.
30 • Configurar GFI LANguard N.S.S.
LANguard Network Security Scanner Manual
•
Las nuevas vulnerabilidades son habilitadas por defecto Habilita/deshabilita las vulnerabilidades recientemente agregadas
para incluirlas en los análisis de todos los otros perfiles.
Descargar las últimas Vulnerabilidades de Seguridad
Para actualizar sus Vulnerabilidades de Seguridad, seleccione Help >
Check for updates desde el programa de escáner de GFI LANguard
N.S.S. Esto descargará las últimas vulnerabilidades de seguridad del
sitio web de GFI. También actualizará los archivos de huellas
utilizados para determinar qué SO está en un dispositivo.
NOTA: Al iniciar GFI LANguard N.S.S. puede descargar
automáticamente nuevas comprobaciones de vulnerabilidades desde
el sitio web de GFI. Puede configurar esto desde el nodo GFI
LANguard N.S.S. > General > Product Updates.
Actualizaciones de seguridad analizadas
Configure qué actualizaciones comprobar cuando analice con un perfil concreto.
Las actualizaciones de seguridad analizadas le permiten configurar si
este perfil en particular debe comprobar la ausencia de
actualizaciones de seguridad y/o service packs.
La etiqueta lista todas las actualizaciones que comprueba GFI
LANguard N.S.S. Puede deshabilitar la comprobación de
actualizaciones concretas para este perfil desmarcando la casilla
junto al boletín de la actualización.
La lista de actualizaciones se obtiene descargando la última lista de
actualizaciones del sitio web de GFI, que a su vez se obtiene de
Microsoft (mssecure.xml). GFI obtiene esta lista de actualizaciones de
Microsoft y comprueba su exactitud, ya que a veces contiene errores.
LANguard Network Security Scanner Manual
Configurar GFI LANguard N.S.S. • 31
Información ampliada de boletín
Para más información sobre un boletín concreto, haga doble clic
sobre el boletín o haga clic con el botón derecho y seleccione
Propiedades. Se le presentará con más detalle qué comprueba el
boletín y a qué está dirigido.
Opciones de escáner
En esta etiqueta puede configurar opciones relativas a cómo debe
realizar el análisis GFI LANguard N.S.S.
Propiedades del Escáner de Seguridad
32 • Configurar GFI LANguard N.S.S.
LANguard Network Security Scanner Manual
Métodos de descubrimiento de red
Esta sección trata qué métodos utiliza GFI LANguard N.S.S. para
descubrir equipos en la red.
La opción de consultas NETBIOS permite utilizar consultas
NETBIOS o SMB. Si el Cliente para Redes Microsoft está instalado
en el equipo Windows, o si Samba está instalado en un equipo Unix,
esos equipos responderán la consulta de tipo NetBIOS.
Puede incluir un ScopeID a la consulta NetBIOS. Esto solo es
necesario en algunos casos, en cuyos sistemas tengan un ScopeID.
Si su organización tiene un ScopeID situado sobre NetBIOS,
introdúzcalo aquí.
La opción consultas SNMP permite que sean enviados paquetes
SNMP con la cadena Comunidad que fue indicada en la pestaña
General. Si el dispositivo responde a esta consulta, GFI LANguard
N.S.S. solicitará el Identificador de Objeto del dispositivo y los
compara con una base de datos para determinar qué es éste servicio.
Ping Sweep hace un ping ICMP a cada dispositivo de red. (Vea
Nota: a continuación)
Descubrimiento Personalizado de Puerto TCP comprueba un
puerto abierto concreto en los equipos objetivo.
Nota: Cada uno de los anteriores tipos de consulta puede ser
desactivado, pero GFI LANguard N.S.S. depende de todas las
consultas para determinar el tipo de dispositivo y el SO operativo que
está ejecutando. Si escoge desactivar cualquiera de ellas, GFI
LANguard N.S.S. podría no ser fiable en su identificación.
Nota: Algunos cortafuegos personales bloquean un equipo de
incluso enviar ecos ICMP y por lo tanto no será detectado por GFI
LANguard N.S.S. Si cree que hay muchos equipos con cortafuegos
personales en su red, considere forzar un análisis de cada IP de su
red.
Opciones de descubrimiento de red
Los parámetros de descubrimiento de red le permiten adaptar la
detección de equipos, de forma que tenga la más fiable detección de
equipos en el menor tiempo posible. Los parámetros ajustables
incluyen
•
Retardo de análisis es el tiempo que GFI LANguard N.S.S.
espera entre envío de paquetes TCP/UDP. Por defecto es 100
ms. Dependiendo de su conexión y del tipo de red en que está
(LAN/WAN/MAN) podría necesitar ajustar estas opciones. Si lo
sitúa muy bajo podría congestionar su red con paquetes de GFI
LANguard N.S.S. Si lo sitúa muy alto se perderá mucho tiempo
que no es necesario.
•
Esperar Respuestas es el tiempo que actualmente esperará GFI
LANguard N.S.S. por una respuesta del dispositivo. Si está
ejecutándolo en una red lenta u ocupada podría necesitar
incrementar este tiempo de 500 ms a algo mayor.
•
Número de reintentos es el número de veces que GFI LANguard
N.S.S. hará cada tipo de análisis. Bajo circunstancias normales
esta opción no debe ser cambiada. Sea consciente, sin embargo,
LANguard Network Security Scanner Manual
Configurar GFI LANguard N.S.S. • 33
que si cambia esta opción, se ejecutará mediante ese tipo de
análisis (NETBIOS, SNMP e ICMP) ese número de veces.
•
Incluir equipos que no responden es una opción qué instruye al
escáner de seguridad de GFI LANguard N.S.S. para intentar
analizar un equipo qué no ha respondido a ningún método de
descubrimiento de red.
Opciones de Consulta NetBIOS
El efecto de utilizar un Scope ID NetBIOS es aislar un grupo de
equipos de la red que pueden comunicarse sólo con otros equipos
que tiene configurado el mismo Scope ID NetBIOS.
Los programas NetBIOS iniciados en un equipo que utiliza NetBIOS
Scope ID no pueden “ver” (recibir o enviar mensajes) programas
NetBIOS iniciados por un proceso en un equipo configurado con un
NetBIOS Scope ID diferente.
LNSS soporta NetBIOS Scope ID para ser capaz de analizar estos
equipos aislados que de otro modo serían inaccesibles.
Opciones de Consulta SNMP
La opción para Cargar números SNMP de empresa permitirá a GFI
LANguard N.S.S. extender el soporte en análisis SNMP. Si esto está
deshabilitado, los dispositivos conectados mediante SNMP que son
desconocidos pata GFI LANguard N.S.S. no informarán del fabricante
que se supone que es. Salvo que tenga problemas, es recomendable
dejar esta opción habilitada.
Por defecto la mayoría de dispositivos con SNMP habilitado utilizan la
cadena de comunidad por defecto ‘public’, pero por razones de
seguridad la mayoría de los administradores cambiarán esto por otra
cosa. Si ha cambiado el nombre de la comunidad SNMP por defecto
en sus dispositivos de red, querrá incluirlo a la lista que utiliza GFI
LANguard N.S.S.
Nota: Aquí puede incluir más de un nombre de comunidad SNMP.
Para cada nombre de comunidad adicional, la parte SNMP del
análisis tendrá que ejecutarse otra vez. Si tiene ‘public’ y ‘private’ en
la cadena de nombres de comunidad, el análisis SNMP se ejecutará
dos veces a través de todo el rango IP que le de. Irá a través suyo
una vez con la cadena 'public', y entonces de nuevo con la cadena
'private'.
Opciones de ventanas de actividad del escáner
Las opciones de salida le permiten configurar qué información se
mostrará en el panel de actividad del escáner. Es útil habilitarlo, sin
embargo habilitar 'Verbose' o 'Display packets' sólo con propósito
excepcional de depuración.
Análisis Programados
La característica de análisis programados le permite configurar
análisis que serán iniciados automáticamente en una fecha / hora
específicas. Los análisis programados también se pueden iniciar
periódicamente. Esto le permite iniciar un análisis concreto de noche
o temprano y se puede utilizar en conjunción con la característica de
34 • Configurar GFI LANguard N.S.S.
LANguard Network Security Scanner Manual
comparación de resultados, permitiéndole recibir un ‘informe de
cambios’ automáticamente en su buzón.
Por defecto todos los análisis programados se almacenan en la base
de datos. Opcionalmente puede guardar todos los resultados de
análisis programados en un archivo XML (uno por análisis
programado). Esto se puede realizar haciendo clic con el botón
derecho sobre el nodo Scheduled Scan, seleccionando propiedades,
habilitando la opción Save Scheduled Scan y especificando una ruta
para los archivos XML.
Configurar un análisis programado
Para crear un análisis programado
1. En el programa escáner de seguridad de GFI LANguard N.S.S.,
haga clic con el botón derecho sobre Configuración > Scheduled
scans > New > Scheduled scan…
2. Esto abrirá el diálogo New Scheduled Scan
LANguard Network Security Scanner Manual
Configurar GFI LANguard N.S.S. • 35
Crear un nuevo Análisis Programado
En el diálogo New scheduled scan puede configurar:
1. Objetivo del análisis: Especifique los nombres de equipo o rango
IP que desea analizar. Puede especificar el objetivo del análisis
como sigue
i. Nombre del anfitrión – por ejemplo JAVIERGCIA
ii. Dirección IP – por ejemplo 192.168.100.9
iii. Rango de IPs – por ejemplo 192.168.100.1 – 192.168.100.255
iv. Un archivo de texto con una lista de equipos - por ejemplo
file:c:\test.txt (ruta completa del archivo). Cada línea del
archivo debe contener cualquiera de los formatos u objetivos
especificados en (i), (ii) o (iii).
2. Perfil de escaneo. Seleccione el perfil de escaneo a ser utilizado
para este análisis programado.
3. Siguiente análisis: Indique fecha y hora a la que desea iniciar el
análisis
4. Realizar un análisis cada: Indique si desea que el análisis se
ejecute una vez o periódicamente.
5. Descripción: Esto es lo que se mostrará en la lista de análisis
programados
Haga clic en Aceptar para crear el análisis programado.
Para analizar/ver los resultados del un análisis programado, debe
especificar el archivo de resultados XML de ese análisis programado
en el nodo de filtros de análisis. Para hacerlo:
1. Haga clic con el botón derecho sobre el nodo principal “Scan
Filters” y seleccione “Filter saved scan results XML file..."
2. Especifique el archivo de resultados XML del análisis programado.
36 • Configurar GFI LANguard N.S.S.
LANguard Network Security Scanner Manual
3. El nodo filtros mostrará ahora datos del archivo de resultados del
análisis programado.
Archivos de parámetros
El nodo archivos de parámetros proporciona un interfaz directo para
editar varios archivos de parámetros basados en texto que utiliza GFI
LANguard N.S.S. Sólo los usuarios avanzados deberían modificar
estos archivos. Si estos archivos son editados incorrectamente,
afectará la fiabilidad de GFI LANguard N.S.S. cuando intente
determinar el tipo de dispositivo encontrado.
•
Ethercodes.txt - este archivo contiene una lista de direcciones
mac y los fabricantes asociados a los que les ha sido asignado
ese rango concreto.
•
ftp.txt – este archivo contiene una lista de estandartes de servidor
ftp que son utilizados internamente por LNSS para ayudar a
identificar qué SO está funcionando sobre ese equipo concreto en
base al servidor ftp que está ejecutando.
•
Identd.txt – este archivo contiene estandartes de identidad que
son utilizados internamente por LNSS para identificar el SO
utilizando la información de estandarte.
•
Object_ids.txt – este archivo tiene object_ids SNMP y a qué
fabricante y producto pertenecen. Cuando GFI LANguard N.S.S.
encuentra un dispositivo que responde a consultas SNMP
compara la información del Object ID del dispositivo con el
almacenado en este archivo.
•
Passwords.txt – este archivo tiene una lista de contraseñas que
son utilizadas para afirmar la debilidad de las contraseñas.
•
Rpc.txt – este archivo contiene un mapa entre los números de
servicio devueltos por el protocolo rpc y los nombres de servicio
asociados con ese número de servicio concreto. Cuando se
encuentran servicios RPC corriendo en un equipo (normalmente
Unix o Linux) la información recibida se compara con este archivo.
•
Smtp.txt – contiene una lista de estandartes y los SO asociados.
Como con los archivos de ftp y de identidad, estos estandartes
son utilizados internamente por LNSS para identificar el SO que
corre en el equipo objetivo.
•
Snmp-pass.txt – este archivo contiene una lista de cadenas de
comunidad que LNSS utiliza para identificar si están disponibles
en el servidor SNMP objetivo. Si están disponibles, estas cadenas
de comunidad serán reportadas por la herramienta de análisis
SNMP.
•
telnet.txt – De nuevo, un archivo que contiene varios estandartes
de servidores telnet utilizado por LNSS para identificar el SO que
se ejecuta en el equipo objetivo.
•
www.txt – Un archivo que contiene estandartes de servidores web
utilizados para identificar qué SO está funcionando sobre el
equipo objetivo.
•
Enterprise_numbers.txt – lista de OID (Identificadores de Objeto)
para códigos de relación de empresas (fabricante/universidad). Si
GFI LANguard N.S.S. no tiene la información específica sobre un
LANguard Network Security Scanner Manual
Configurar GFI LANguard N.S.S. • 37
dispositivo cuando lo encuentra (información proporcionada por el
archivo object_ids.txt), mirará la información específica del
fabricante devuelta y al menos proporcionará quién es el
fabricante del producto encontrado. Esta información está basada
en Códigos Empresariales Privados de Administración de Red
SMI,
que
pueden
ser
encontrados
en:
http://www.iana.org/assignments/enterprise-numbers
Utilizar GFI LANguard N.S.S. desde la línea de comando
Es posible invocar el proceso de análisis desde la línea de comando.
Esto le permite llamar al escáner desde cualquier aplicación o
simplemente sobre unas bases regulares con sus propias opciones a
medida.
Sintaxis:
lnsscmd
<Objetivo>
[/profile=NombreDePerfil]
[/report=RutaDeInformes]
[/output=RutaAlArchivoXML]
[/user=NombreDeUsuario
/password=contraseña]
[/email=DirecciónDeCorreo] [/DontShowStatus] [/?]
Leyenda:
Opcional /Profile: Perfil a utilizar para el análisis. Si no se especifica,
se utilizará el perfil activo en curso.
Opcional /Output: Ruta completa (incluyendo nombre de archivo) al
archivo xml de resultados de análisis.
Opcional /Report: Ruta completa (incluyendo nombre de archivo)
donde generar el archivo html del informe del análisis.
Opcional /User: Analiza el objetivo especificado utilizando
credenciales alternativas especificadas en los parámetros /User
/Password.
Opcional /Password: Analiza el objetivo especificado utilizando
credenciales alternativas especificadas en los parámetros /User
/Password.
la
y
la
y
Opcional /Email: Envía el informe resultante a esta dirección de
correo alternativa. Se utilizará el servidor de correo especificado en el
nodo LNSS\Configuration\Alerting Options.
Opcional /DontShowStatus: No muestra detalles del progreso del
análisis.
NOTA: Para rutas completas, y nombres de perfil, encierre el nombre
entre comillas dobles, por ejemplo, "Default", "C:\temp\test.xml".
Ejemplo:
lnsscmd.exe 127.0.0.1 /Profile="Default" /Output="c:\out.xml"
/Report="c:\result.html" /email="[email protected]"
Lo anterior hará que el escáner en línea de comandos realice un
análisis de seguridad en el equipo 127.0.0.1, con la salida al archivo
xml c:\out.xml, una vez el análisis esté completo generará el informe
html en c:\result.html y enviará el informe a la dirección de correo
[email protected].
38 • Configurar GFI LANguard N.S.S.
LANguard Network Security Scanner Manual
Despliegue de Actualizaciones de
Seguridad
Introducción al despliegue de actualizaciones de seguridad
Utilice la herramienta de implantación de actualizaciones de
seguridad para mantener al día sus equipos Windows NT, 2000, XP y
2003 con las últimas actualizaciones de seguridad y service packs.
Para implantar las actualizaciones y service packs, necesita seguir
estos pasos
Paso 1: Realizar un análisis de su red
Paso 2: Seleccionar sobre qué equipos implantar las actualizaciones
Paso 3: Seleccionar qué actualizaciones implantar
Paso 4: Descargar los archivos de actualizaciones y service pack
Paso 5: Parámetros de implantación de archivos de actualización
Paso 6: Implantar las actualizaciones
Para implantar actualizaciones de seguridad, debe tener
•
Derechos administrativos sobre el equipo que esté analizando.
•
NETBIOS debe estar habilitado en el equipo remoto.
El agente de implantación de actualizaciones
GFI LANguard N.S.S. 5 utiliza un agente de implantación de
actualizaciones, que se instala silenciosamente en el equipo remoto,
para implantar parches, service packs y software a medida. El agente
de implantación de actualizaciones consta de un servicio que ejecuta
la instalación a una hora programada dependiendo de los parámetros
de implantación indicados. Esta arquitectura es mucho más fiable que
sin utilizar un agente de implantación de actualizaciones. El agente de
implantación de actualizaciones se instala automáticamente sin
intervención del administrador.
Nota: Es común que Microsoft retire archivos de actualización.
Cuando esto ocurre, la información de esa actualización permanece
en el archivo mssecure.xml, ya que la actualización estaba disponible
en ese punto. Cuando esto ocurre, GFI LANguard N.S.S. informará de
la ausencia de la actualización, incluso aunque no pueda ser
instalada. Si no quiere ser informado sobre estos parches ausentes
necesitará deshabilitar la comprobación de ese boletín concreto
desde GFI LANguard N.S.S. > Configuration > Scanning Profiles >
Patches.
LANguard Network Security Scanner Manual
Despliegue de Actualizaciones de Seguridad • 39
Paso 1: Realizar un análisis de su red
GFI LANguard N.S.S. descubre la ausencia de actualizaciones y
service packs como parte del análisis de seguridad. Lo hace
comparando configuraciones del registro, firmas de fecha/hora de
archivos, e información de versión del equipo remoto. utilizando la
información proporcionada por Microsoft en el archivo mssecure.xml.
Primero GFI LANguard N.S.S. detecta qué productos están instalados
en el equipo objetivo para los que tiene información de
actualizaciones (por ejemplo Microsoft Office). Una vez ha hecho esto,
comprueba qué actualizaciones y service packs están disponibles
para ese producto y publica la información de la ausencia de la
actualización en el nodo Missing patches del nodo de
Vulnerabilidades de seguridad alta.
Ejemplo de ausencia de actualización en el árbol de resultados del análisis
Para cada service pack / actualización ausente GFI LANguard N.S.S.
reportará un enlace desde donde puede descargar el archivo de la
actualización así como otra información relativa a ese boletín.
Las actualizaciones que están ausentes definitivamente son
reportadas en los nodos "Missing patches and service packs" de los
resultados del análisis.
Las actualizaciones de las que no pueden ser confirmado si están
instaladas o no debido a la ausencia de información de detección son
reportados en el nodo “Potential vulnerabilities” de los resultados del
análisis.
Ejemplo de actualizaciones no detectables en el arbol de resultados del análisis
Paso 2: Seleccionar sobre qué equipos implantar las
actualizaciones
Tras analizar la red, la lista de service packs y actualizaciones
ausentes será listada en la ventana de resultados del análisis. Para
implantar las actualizaciones ausentes tiene que seleccionar qué
equipos quiere actualizar. Las actualizaciones se pueden implantar en
un equipo, todos los equipos o en los equipos seleccionados.
Para implantar actualizaciones ausentes en un equipo:
40 • Despliegue de Actualizaciones de Seguridad
LANguard Network Security Scanner Manual
Haga clic con el botón derecho sobre el equipo que desea actualizar >
Deploy Microsoft updates > [tipo de actualización] > This computer.
Para implantar actualizaciones ausentes en todos los equipos:
Haga clic con el botón derecho sobre cualquier equipo del arbol de
resultados > Deploy Microsoft updates > [tipo de actualización] > All
computers.
Para
implantar
seleccionados:
actualizaciones
ausentes
en
equipos
Utilice las casillas de verificación a la izquierda de los resultados del
análisis para seleccionar qué equipos desea actualizar. Haga clic con
el botón derecho sobre cualquier equipo del arbol de resultados >
Deploy Microsoft updates > [tipo de actualización] > Selected
Computers.
Indique en qué equipos quiere implantar las actualizaciones requeridas.
Paso 3: Seleccionar qué actualizaciones implantar
Una vez haya seleccionado los equipos objetivo en los que implantar
las actualizaciones de Microsoft, se le llevará al nodo Deploy
Microsoft patches. Este nodo muestra el detalle de los equipos
seleccionados y qué actualizaciones/service packs necesitan ser
implantador en esos equipos.
Tiene dos vistas en las que puede administrar las opciones de
implantación.
(1) Clasificado por equipos: Seleccione un equipo y vea qué
actualizaciones necesitan ser implantadas en él
(2) Clasificado por actualizaciones: Seleccione una actualización y
vea en qué equipos está ausente esa actualización.
LANguard Network Security Scanner Manual
Despliegue de Actualizaciones de Seguridad • 41
Nodo Deploy Microsoft patches
Por defecto se seleccionarán todas las actualizaciones para la
implantación. Si quiere que ciertas actualizaciones no sean
implantadas, deselecciónelas haciendo clic en la casilla junto a la
actualización.
Paso 4: Descargar los archivos de actualizaciones y service pack
Tras haber seleccionado las actualizaciones/service packs a ser
implantadas, los archivos apropiados conteniendo as actualizaciones
a ser implantadas necesitan ser descargados. Este es un proceso en
gran parte automático realizado por GFI LANguard N.S.S. y además
los sitúa en los directorios correctos dependiendo del producto y del
idioma del producto a actualizar.
GFI LANguard NSS muestra qué archivos de actualización necesitan ser descargados
GFI LANguard N.S.S. mostrará qué archivos necesitan ser
descargados en la lista de actualizaciones a implantar. Cada archivo
de actualización necesario será listado y estará en uno de los
siguientes estados, indicados por un icono en la lista de
actualizaciones ausentes:
Descargado
Descarga en curso
Esperando que el usuario navegue a la página web para hacer clic
sobre el enlace para descargar el archivo.
No descargado
42 • Despliegue de Actualizaciones de Seguridad
LANguard Network Security Scanner Manual
Descargando las actualizaciones
Las actualizaciones de Microsoft, listadas en el archivo mssecure.xml,
se pueden categorizar en tres tipos principales:
(1) Actualizaciones que tienen una dirección URL de descarga directa.
(2) Actualizaciones que necesitarán algo de navegación web para
descargar el archivo.
(3) Actualizaciones para las cuales no existe archivo.
Para descargar las actualizaciones para las cuales hay un enlace
directo:
Las actualizaciones para las que hay un enlace directo de descarga,
haga clic con el botón derecho sobre la actualización y seleccione
"Download File". La descarga se iniciará y cuando esté completada, el
archivo será colocado en el directorio correcto.
Para descargar actualizaciones para las cuales no hay enlace de
descarga sino sólo una página web de origen:
Cuando GFI LANguard N.S.S. detecta un archivo que necesita ser
descargado manualmente del sitio web de Microsoft, descargará la
página web objetivo en el área inferior de la herramienta de
implantación. Entonces será capaz de encontrar el enlace de
descarga apropiado y hacer clic sobre él. GFI LANguard N.S.S. estará
monitorizando esta sesión web y tan pronto como detecte que ha
hecho clic sobre un enlace de descarga directa iniciará la descarga de
ese archivo automáticamente. La navegación a través de la página
web será parte de la sesión de descarga. Si quiere cancelar la sesión
de descarga necesitará hacer clic sobre la actualización y seleccionar
“Cancel Download”. Una vez se completa la descarga, el archivo será
situado en el directorio correcto.
Descargar una actualización de una página web con el asistente de descarga.
LANguard Network Security Scanner Manual
Despliegue de Actualizaciones de Seguridad • 43
Paso 5: Parámetros de implantación de archivos de actualización
Opcionalmente, puede configurar parámetros alternativos de
implementación de una actualización en base a ella. Para hacerlo:
1. Haga clic con el botón derecho sobre el archivo de actualización y
seleccione “Propiedades”.
2. Opcionalmente indique una URL de origen de la descarga
alternativa
3. Opcionalmente indique parámetros de línea de comando para
utilizar durante la implantación
Puede comprobar qué boletín aplica una actualización haciendo clic
con el botón derecho sobre el archivo de actualización y
seleccionando “Bulletin Info…”
Propiedades del archivo de actualización
Paso 6: Implantar las actualizaciones
Tras haber seleccionado los equipos en los que implantar las
actualizaciones y descargadas las mismas, ¡está listo para la
implantación!
Haga clic en Start a la derecha de la parte inferior para iniciar la
implantación.
44 • Despliegue de Actualizaciones de Seguridad
LANguard Network Security Scanner Manual
Iniciar la implantación de actualizaciones haciendo clic sobre Start.
La implantación de las actualizaciones comenzará ahora. Puede
monitorizar el estado de la implantación de actualizaciones desde la
etiqueta Deployment status
Monitorizando el proceso de descarga
Implantar software a medida
La herramienta de implantación de software a medida es muy
conveniente para implantar rápidamente actualizaciones a medida
para software de toda la red, o incluso para instalar software en toda
la red. La herramienta de implantación de software a medida también
se utiliza frecuentemente para implantar actualizaciones de firmas de
LANguard Network Security Scanner Manual
Despliegue de Actualizaciones de Seguridad • 45
virus en toda la red. El proceso de implantación de software a medida
es muy similar al proceso de actualizar un equipo.
Implantar software a medida
Paso 1: Seleccionar los equipos a los que instalar el
software/actualización
1. vaya al nodo Deploy custom software del nodo Tools.
2. Haga clic en el botón Add para agregar un solo equipo, o haga clic
en el boton de selección para seleccionar un grupo de equipo a
los que implantar el software a medida.
Nota: También puede seleccionar a qué equipos implantar el software
a medida desde el nodo Security Scanner y el nodo Tools >
Enumerate Computers.
Paso 2: Especificar el software a implantar
Haga clic en el botón Add… de la sección “Patches:” para indicar el
lugar de origen del archivo y especificar cualquier parámetro de línea
de comando que necesite ser utilizado para la implantación del
archivo.
46 • Despliegue de Actualizaciones de Seguridad
LANguard Network Security Scanner Manual
Especificar el software a implantar
Opcionalmente puede programar la hora a la que la implantación
debe tener lugar.
Paso 3: Iniciar el proceso de implantación
Una vez ha especificado el software a implantar y los equipos a los
que implantarlo, puede iniciar el proceso de implantación haciendo
clic sobre el botón Start.
Implantar actualizaciones a medida indicando qué archivos implantar en qué equipos
LANguard Network Security Scanner Manual
Despliegue de Actualizaciones de Seguridad • 47
Opciones de implantación
Opciones de implantación
Puede configurar opciones de implantación explorando el botón de
opciones, localizado a la derecha de la pantalla. Aquí usted puede:
•
Configurar el servicio de agente de implantación para ejecutarse
bajo credenciales alternativas.
•
Reiniciar el equipo objetivo tras la implantación. Algunas
actualizaciones necesitan un reinicio tras la instalación. Marque
esta casilla si una o más actualizaciones de las que desea
implantar necesita un reinicio.
•
Avisar al usuario antes de la implantación: enviará un mensaje al
equipo objetivo antes de implantar las actualizaciones.
•
Detener servicios antes de la implantación: Esta opción detiene
los servicios IIS & MS SQL Server antes de la implantación.
•
Eliminar los archivos copiados en los equipos remotos después de
la implantación.
•
Configurar el número de hilos de implantación a utilizar
•
Configurar las condiciones de filtrado particulares a las cuales
implantar las actualizaciones (filtros de equipos)
NOTA: En la Herramienta de implantación de actualizaciones a
medida, los filtros de equipos no se aplicarán a equipos que no hayan
sido analizados por la herramienta del escáner de seguridad.
48 • Despliegue de Actualizaciones de Seguridad
LANguard Network Security Scanner Manual
Comparación de Resultados
¿Por qué Comparar Resultados?
Mediante auditorias regulares y comparación de resultados de
análisis previos obtendrá una idea de qué agujeros de seguridad
aparecen continuamente o son reabiertos por usuarios. Esto crea
una red más segura.
GFI LANguard Network Security Scanner le ayuda a hacerlo
permitiéndole comparar los resultados entre análisis. GFI LANguard
N.S.S. informará de las diferencias y le permitirá tomar medidas.
Puede comparan los resultados manualmente o mediante análisis
programados.
Realizar una Comparación de Resultados interactivamente
Siempre que GFI LANguard N.S.S. realiza un análisis programado
guarda los resultados al archivo XML del directorio Data\Reports del
directorio de instalación de GFI LANguard N.S.S.
Además puede guardar los resultados del análisis actual en un
archivo xml haciendo clic con el botón derecho sobre el nodo Security
Scanning y seleccionando ‘Save scan results to XML file…’.
Para comparar dos archivos XML de resultados de análisis:
1. Vaya a la herramienta de comparación de resultados bajo 'GFI
LANguard N.S.S. > Security Scanner > Result comparison'.
2. Seleccione dos archivos de resultados de análisis, realizados con
las mismas opciones y sobre el mismo conjunto de equipos, pero a
diferentes horas, y haga clic en 'Compare'.
LANguard Network Security Scanner Manual
Comparación de Resultados • 49
Comparando resultados
El resultado será algo parecido a la imagen anterior. Le dice qué ha
sido habilitado o deshabilitado y cualquier cambio en la red desde el
último análisis.
•
Los nuevos elementos le mostrarán cualquier cosa nueva que
ocurrió tras el primer análisis.
•
Los
elementos
eliminados
mostrarán
cualquier
dispositivo/problema que fue eliminado desde el primer análisis.
•
Los elementos cambiados mostrarán cualquier cosa que haya
cambiado, como un servicio habilitado o deshabilitado entre
análisis.
Realizar una Comparación con la Opción de Análisis Programados
En lugar de analizar manualmente su red cada día, semana o mes,
puede poner en marcha un análisis programado. Un análisis
programado se iniciará automáticamente en cierto momento y enviará
las diferencias entre los análisis al administrador. Por ejemplo: el
administrador puede configurar la característica de análisis
programados para realizar un análisis cada noche a las 23:00. El
servicio GFI LANguard N.S.S. attendant lanzará un análisis de
seguridad en el equipo(s) seleccionado(s) y guardará los resultados
en la base de datos central. Entonces, comparará los resultados
actuales con los resultados de la noche anterior e informará de las
diferencias, si las hay.
NOTA: Si esta es la primera vez que se realiza un análisis
programado o si no hay diferencias detectadas con el análisis anterior,
entonces GFI LANguard N.S.S. no le enviará el informe. Sólo recibirá
informe si algo ha cambiado.
50 • Comparación de Resultados
LANguard Network Security Scanner Manual
Herramientas
Introducción
Las siguientes herramientas pueden encontrarse bajo el menú Tools.
•
DNS Lookup
•
Whois Client
•
Trace Route
•
SNMP Walk
•
SNMP Audit
•
MS SQL Server Audit
•
Enumerar Equipos
DNS lookup
Esta herramienta resuelve el Nombre de Dominio a una dirección IP
correspondiente y además proporciona información sobre el nombre
de dominio, como si tiene registro MX, etc.
Herramienta DNS Lookup
Para obtener información sobre un nombre de dominio:
1. Vaya al nodo Herramientas > DNS lookup.
2. Indique el nombre a resolver
3. Indique la información a recuperar:
LANguard Network Security Scanner Manual
Herramientas • 51
•
Información básica – Es decir, nombre del anfitrión y la ip que
resuelve
•
Información de Host – Conocido técnicamente como la HINFO, y
habitualmente incluye información como el hardware y qué SO se
ejecuta sobre el dominio especificado (la mayoría de entradas
DNS no contienen esta información por razones de seguridad.)
•
Alias – devuelve información sobre qué Registros A podría tener
el Dominio.
•
Registros MX conocidos también como registros de
intercambiadores de coreo, muestra qué servidor(es) de correo y
en qué orden son responsables para este dominio.
•
son
Registros NS indican qué servidores de nombres
responsables para este dominio.
Además es posible indicar un servidor DNS alternativo.
Trace Route
Herramienta Trace route
Esta herramienta muestra la ruta de red que siguió GFI LANguard
N.S.S. para alcanzar el equipo objetivo. Cuando realiza la routa, cada
salto tiene un icono junto a él:
52 • Herramientas
•
Indica un salto exitoso tomado dentro de los parámetros
normales
•
Indica un salto exitoso, pero el tiempo necesario fue bastante
grande.
•
Indica un salto exitoso, pero el tiempo necesario fue
demasiado grande.
•
Indica que el salto provocó un time out. (es decir, tomó más de
1000ms)
LANguard Network Security Scanner Manual
Whois Client
Herramienta Whois
Esta herramienta buscará información sobre un dominio o dirección IP.
Puede seleccionar un servidor Whois específico desde el área de
opciones, o puede utilizar la opción ‘Default’ que seleccionará un
servidor por usted.
SNMP Walk
SNMP walk le permite recoger información SNMP. El panel de la
derecha contiene una lista de nombres simbolizando Object IDs sobre
el dispositivo. Para descubrir más sobre la información proporcionada
por SNMP walk, tendrá que comprobarlo con el fabricante. Algunos
fabricantes proporcionan importantes detalles sobre qué significa
cada trozo de información; otros, si bien sus dispositivos soportan
SNMP, no proporcionan ninguna información sobre ellos.
Para usar la utilidad, haga clic en Tools > SNMP walk. Introduzca la
dirección IP de un equipo o dispositivo que desee analizar/’walk'.
Nota: En la mayoría de los casos SNMP debe ser bloqueado en el
router/cortafuegos de forma de los usuarios de Internet no puedan
analizar su red mediante SNMP.
Es posible proporcionar cadenas de comunidad alternativas.
Nota: SNMP ayudará a los usuarios maliciosos a aprender mucho
sobre su sistema, haciendo los ataques mucho más sencillos. A
menos que se requiera este servicio es extremadamente
recomendable que SNMP esté desactivado.
SNMP Audit
La herramienta SNMP Audit, le permite realizar una auditoria SNMP
sobre un dispositivo y auditar cadenas de comunidad débiles.
LANguard Network Security Scanner Manual
Herramientas • 53
Algunos dispositivos de red tendrán cadenas de comunidad
alternativas o que no sean las por defecto. El archivo de diccionario
contiene una lista de las cadenas de comunidad más populares para
comprobar. El archivo por defecto que utiliza para los ataques del
diccionario se llama snmp-pass.txt. Puede agregar nuevos nombres
de comunidad en este archivo, o dirigir SNMP Audit para utilizar otro
archivo.
Para utilizar esta utilidad, introduzca la dirección IP del un equipo que
corra SNMP y haga clic en Retrieve.
MS SQL Server Audit
Esta herramienta le permite realizar una auditoria sobre una
instalación de Microsoft SQL Server. Puede auditar las cuentas SA,
así como todas las cuentas SQL
Por defecto utilizará el archivo de diccionario llamado passwords.txt.
Puede bien agregar nuevas contraseñas a este archivo, o dirigir la
utilidad a otro archivo de contraseñas.
Para correo una auditoria SQL Server, introduzca la dirección IP del
equipo que ejecuta MS SQL. Si quiere comprobar la contraseña de
todas las cuentas SQL, tiene que introducir un nombre de usuario y
contraseña para iniciar sesión en SQL para recuperar todas las
cuentas de usuario.
Herramienta SQL Accounts Audit
54 • Herramientas
LANguard Network Security Scanner Manual
Enumerar Equipos
Herramienta Enumerar Equipos
Esta utilidad buscará en su red Dominios y/o Grupos de Trabajo. Una
vez los haya encontrado, tendrá la habilidad de analizar eso Dominios
para adquirir la lista de equipos sobre ellos. Una vez ha realizado su
análisis enumerará cualquier SO que esté instalado sobre ese equipo,
y cualquier comentario que podría ser incluido a través de NETBIOS.
Los equipos pueden ser enumerados utilizando uno de los siguientes
métodos
•
Desde el Directorio Activo – Este método es mucho más rápido y
además enumerará los equipos que están actualmente apagados.
•
Utilizar el interfaz del Explorador de Windows – Este método es
más lento y no enumerará los equipos que estén apagados.
Puede indicar qué método utilizar desde la etiqueta ‘Information
Source’. Observe que necesitará realizar el análisis utilizando una
cuenta que tenga derechos de acceso al Directorio Activo.
Lanzar un análisis de seguridad
Una vez los equipos del dominio son enumerados puede lanzar un
análisis sobre los equipos seleccionados haciendo clic con el botón
derecho sobre cualquier de los equipos enumerados y seleccionar
‘Scan'.
Si quiere lanzar el análisis pero continuar utilizando la herramienta de
enumeración de equipos, seleccione “Scan in background"
Implantar actualizaciones a medida
Seleccione en qué equipos quiere implantar actualizaciones > Haga
clic con el botón derecho sobre cualquier equipo seleccionado >
Deploy Custom Patches.
LANguard Network Security Scanner Manual
Herramientas • 55
Habilitar las Directivas de Auditoria
Seleccione en qué equipos quiere habilitar las directivas de auditoria
> Haga clic con el botón derecho sobre cualquier equipo seleccionado
> Enable Auditing Policies... .
Enumerar Usuarios
La función Enumerar usuarios conecta al Directorio Activo y recupera
todos los usuarios y contactos del Directorio Activo.
56 • Herramientas
LANguard Network Security Scanner Manual
Agregar comprobaciones de
vulnerabilidad mediante condiciones o
scripts
Introducción
GFI LANguard N.S.S. le permite agregar
rápidamente
comprobaciones de vulnerabilidades a medida. Esto se puede hacer
de 2 formas: Escribiendo un script, o utilizando un conjunto de
condiciones. Sea cual sea el método que utilice, tendrá que agregar la
vulnerabilidad mediante el interfaz Security Scanner y especificar el
nombre del script o las condiciones que deben ser aplicadas.
Nota: Sólo Usuarios Expertos deben crear nuevas Vulnerabilidades,
ya
que
las
Vulnerabilidades
erróneamente
configuradas
proporcionarán positivos falsos o no proporcionarán ninguna
información de Vulnerabilidades.
Lenguaje VBscript de GFI LANguard N.S.S.
GFI LANguard N.S.S. incluye un lenguaje de scripts compatible con
VBscript. Este lenguaje ha sido creado para permitirle incluir
fácilmente comprobaciones a medida. Además permite a GFI incluir
rápidamente nuevas comprobaciones de vulnerabilidad y hacerlas
disponibles para la descarga. GFI LANguard N.S.S. incluye un editor
con destacadas capacidades de sintaxis y un depurador.
Para más información sobre cómo escribir scripts por favor refiérase
al archivo de ayuda ‘Scripting documentation’, accesible desde el
grupo de programas de GFI LANguard N.S.S.
NOTA IMPORTANTE: GFI no puede ofrecer ningún soporte en la
creación de scripts que no funcionen. Puede publicar cualquier
consulta que podría tener sobre el scripting con GFI LANguard N.S.S.
en los foros de GFI LANguard en http://forums.languard.com donde
podrá compartir scripts e ideas con otros usuarios de GFI LANguard
N.S.S.
Agregar una comprobación de vulnerabilidad que utiliza un script a
medida
Puede agregar comprobaciones de vulnerabilidad que utilicen scripts
a medida. Puede crear estos scripts a medida utilizando el
editor/depurador de GFI LANguard N.S.S. Para hacerlo:
LANguard Network Security Scanner ManualAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts • 57
Paso 1: Cree el script
1. Lance el Depurador de Scripts de GFI LANguard N.S.S. desde
Inicio > Programas > GFI LANguard Network Security Scanner >
Script Debugger
2. Archivo > Nuevo…
3. Cree un script. Como ejemplo, puede utilizar el siguiente script sin
valor e introducirlo en el depurador:
Function Main
echo "El script ha funcionado exitosamente"
Main = true
End Function
4. Guarde el archivo, por ejemplo “c:\myscript.vbs”
Paso 2: Agregue la nueva comprobación de vulnerabilidad:
1. Vaya al nodo GFI LANguard N.S.S. > Configuration > Scanning
Profiles.
2. Vaya a la etiqueta Scanned Vulnerabilities, y seleccione la
categoría bajo la que estará la nueva vulnerabilidad. Ahora haga clic
sobre el botón Add. Esto abrirá el diálogo New vulnerability check.
Agregar nueva comprobación de vulnerabilidad:
3. Ahora introduzca los detalles base como el nombre, descripción
corta, nivel de seguridad, URL (si es aplicable). Además puede
especificar cuanto llevará ejecutar esta comprobación.
4. Ahora haga clic con el botón derecho en la lista Trigger condition y
seleccione “Add check”
58 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scriptsLANguard Network Security Scanner Manual
5. Ahora seleccione ‘Script’ de la lista Check type.
Seleccionar el script que contiene el código de comprobación de vulnerabilidad
6. Especifique la localización del script "c:\myscript.vbs". Haga clic en
‘Add’ para agregar la vulnerabilidad. Será ejecutada la próxima vez
que un equipo sea analizado para buscar vulnerabilidades.
7. Para ponerlo a prueba, simplemente analice su equipo local y debe
ver el aviso de vulnerabilidad bajo la sección Miscellaneous del nodo
vulnerabilidades de los resultados del análisis.
Agregar una comprobación de vulnerabilidad CGI
También puede agregar vulnerabilidades sin escribir scripts. Por
ejemplo una comprobación de vulnerabilidad CGI. Para hacerlo:
1. Vaya al nodo GFI LANguard N.S.S. > Configuration > Scanning
Profiles.
2. Vaya a la etiqueta Scanned Vulnerabilities, y seleccione el nodo
CGI vulnerabilities. Ahora haga clic sobre el botón Add. Esto abrirá el
diálogo New CGI vulnerability check.
LANguard Network Security Scanner ManualAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts • 59
Crear una nueva vulnerabilidad CGI
3. Introduzca los detalles base como el nombre, descripción corta,
nivel de seguridad, URL (si es aplicable). Además puede especificar
cuanto llevará ejecutar esta comprobación.
4. Especifique HTTP method: los dos métodos que GFI LANguard
N.S.S. soporta en su sección CGI abuse son GET y HEAD.
5. Especificar URL to check: Esta es la URL que GFI LANguard
N.S.S. debe consultar.
6: Especifique la Return String: Esto es lo que GFI LANguard N.S.S.
debe buscar en la información devuelta para ver si el equipo es
vulnerable a este ataque.
Agregar otras comprobaciones de vulnerabilidad
También puede agregar vulnerabilidades sin escribir scripts. Utilizan
el mismo formato básico que las comprobaciones de vulnerabilidad
CGI, sin embargo puede indicar condiciones más complejas. Para
hacerlo:
1. Vaya al nodo GFI LANguard N.S.S. > Configuration > Scanning
Profiles.
2. Vaya a la etiqueta Scanner Vulnerabilities, y seleccione el tipo de
vulnerabilidad que desea agregar haciendo clic sobre la categoría
bajo la que estará la nueva vulnerabilidad. Ahora haga clic sobre el
botón Add. Esto abrirá el diálogo New vulnerability check.
60 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scriptsLANguard Network Security Scanner Manual
Crear una nueva Vulnerabilidad
3. Introduzca los detalles base como el nombre, descripción corta,
nivel de seguridad, URL (si es aplicable). Además puede especificar
cuanto llevará ejecutar esta comprobación.
4. Ahora debe especificar qué comprobar. Para agregar algo que
comprobar, haga clic con el botón derecho en la ventana Trigger
condition y agregue una nueva comprobación.
5. Puede especificar cualquiera de las siguientes cosas para
fundamentar una comprobación de vulnerabilidades:
•
•
Sistema Operativo
o
Es
o
No Es
Clave del Registro
o
o
Existe
No Existe
Nota: Sólo funciona bajo HKEY_LOCAL_MACHINE
•
Ruta del Registro
o
Existe
o No Existe
Nota: Sólo funciona bajo HKEY_LOCAL_MACHINE
•
Valor del Registro
o
Es Igual A
o
o
No Es Igual A
Es Menor Que
LANguard Network Security Scanner ManualAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts • 61
o
Es Mayor Que
Nota: Sólo funciona bajo HKEY_LOCAL_MACHINE
•
•
•
•
•
•
Service Pack
o
o
o
Es
No Es
Es Menor Que
o
Es Mayor Que
Hot fix
o Está Instalado
o
No Está Instalado
o
Está Instalado
o
No Está Instalado
IIS
Versión IIS
o
o
Es
No Es
o
o
Es Menor Que
Es Mayor Que
Servicio RPC
o
Está Instalado
o
No Está Instalado
Servicio NT
o
o
•
Servicio NT en ejecución
o Está en ejecución
o
•
•
o
Automático
o
Manual
o
Deshabilitado
Puerto (TCP)
o Está Abierto
Está Cerrado
Puerto UDP
o Está Abierto
o
•
No está en ejecución
Tipo de inicio de Servicio NT
o
•
Está Instalado
No Está Instalado
Está Cerrado
Estandarte FTP
o
Es
o
No Es
62 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scriptsLANguard Network Security Scanner Manual
Nota: Puede construir expresiones que comprueben Versión 1.0 a
1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea los
siguientes ejemplos.
•
Estandarte HTTP
o Es
o No Es
Nota: Puede construir expresiones que comprueben Versión
1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea
los siguientes ejemplos.
•
Estandarte SMTP
o
o
Es
No Es
Nota: Puede construir expresiones que comprueben Versión
1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea
los siguientes ejemplos.
•
Estandarte POP3
o
o
Es
No Es
Nota: Puede construir expresiones que comprueben Versión
1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea
los siguientes ejemplos.
•
Estandarte DNS
o
o
Es
No Es
Nota: Puede construir expresiones que comprueben Versión
1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea
los siguientes ejemplos.
•
Estandarte SSH
o
o
Es
No Es
Nota: Puede construir expresiones que comprueben Versión
1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea
los siguientes ejemplos.
•
Estandarte Telnet
o
o
Es
No Es
Nota: Puede construir expresiones que comprueben Versión
1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea
los siguientes ejemplos.
•
Script
o
o
Devuelve Cierto (1)
Devuelve Falso (0)
6. Cada opción anterior tiene su propio conjunto de criterios, como
puede ver, en los que puede estar basada la comprobación de
vulnerabilidad.
Si es demasiado general cuando cree una
comprobación de vulnerabilidad obtendrá demasiados informes falsos.
LANguard Network Security Scanner ManualAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts • 63
Por lo tanto si decide crear sus propias comprobaciones de
vulnerabilidad asegúrese de diseñarlas muy específicamente y ponga
mucha intención y planificación.
No está limitado sólo a las cosas anteriores para activar una
comprobación de vulnerabilidad, podría configurarlo para comprobar
varias condiciones, por ejemplo:
•
Comprobar el SO
•
Puerto XYZ
•
Estandarte “ABC”
•
Ejecutar LANS script QRS y comprobar la vulnerabilidad
Si se cumplen todos los criterios anteriores, entonces y sólo entonces,
se activará la comprobación de vulnerabilidad.
Nota: Construir expresiones le permitirá hacer una comprobación de
vulnerabilidad como esta que se utiliza para comprobar la versión de
Apache que se ejecuta sobre un equipo: ~.*Apache/(1\.([0-2]\.[09]|3\.([0-9][^0-9]|[0-1][0-9]|2[0-5]))|2\.0.([0-9][^0-9]|[0-2][0-9]|3[0-8])).
Para aquellos experimentados en C o Perl el formato anterior es muy
similar a lo que puede hacer en esos lenguajes. Hay muchas páginas
de ayuda en Internet sobre cómo utilizar esto. En los siguientes
ejemplos intentaremos guiar y explicarlos, pero si necesita más ayuda,
consulte el final de esta sección para hiperenlaces.
Si le gustaría ver un ejemplo/explicación sobre creación de nuevas
vulnerabilidades con script, lea “GFI LANguard N.S.S. scripting
documentation”.
64 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scriptsLANguard Network Security Scanner Manual
Resolución de problemas
Introducción
El capitulo de solución de problemas explica cómo se debe proceder
para resolver las consultas que tenga. Las principales fuentes de
información disponibles para los usuarios son:
1. El manual – la mayoría de los asuntos se solucionan leyendo el
manual.
2. La Base de Conocimientos de GFI – http://kbase.gfi.com.
3. El sitio de soporte de GFI – http://support.gfi.com
4. Contactando con el departamento de soporte de GFI en
[email protected]
5. Contactando al departamento de soporte de GFI utilizando
nuestro
servicio
de
soporte
en
tiempo
real
en
http://support.gfi.com/livesupport.asp
6. Contactando a nuestro departamento de soporte por teléfono.
Base de conocimientos
GFI mantiene una base de conocimientos, la cual incluye respuestas
a los problemas más comunes. Si tiene un problema, por favor
consulte primero la base de conocimientos. La base de conocimientos
siempre ha sido la más actualizada lista de preguntas de soporte y
parches.
La base de conocimientos puede encontrase en http://kbase.gfi.com
Solicitud de soporte vía e-mail
Si, después de usar la base de datos de conocimiento y el manual,
tiene cualquier problema que no puede resolver, puede contactar con
el departamento de soporte de GFI. La mejor forma de hacerlo es vía
e-mail, ya que se puede incluir información vital como un archivo
adjunto que nos permitirá solucionar los problemas que tiene mas
rápidamente.
El Troubleshooter, incluido en el grupo de programas, genera
automáticamente una serie de archivos necesarios por GFI para
proporcionarle soporte técnico. Los archivos incluirán parámetros de
configuración de FAXmaker. Para generar esos archivos, inicie el
troubleshooter y siga las instrucciones de la aplicación.
Además de recoger toda la información, le realiza también una serie
de preguntas. Por favor tómese el tiempo de responder estas
preguntas con precisión. Sin la información apropiada no nos será
posible diagnosticar su problema.
LANguard Network Security Scanner Manual
Resolución de problemas • 65
Vaya entonces al directorio support, localizado debajo del directorio
principal del programa, COMPRIMA los archivos en ZIP, y envíelos
a [email protected].
¡Asegúrese primero de tener registrado su producto en nuestro
sitio web, en http://www.gfi.com/pages/regfrm.htm!
Responderemos a su pregunta en 24 horas o menos, dependiendo de
su zona horaria.
Solicitud de soporte vía conversación web
También puede solicitar soporte a través del Soporte en directo
(webchat). Puede contactar al departamento de soporte de GFI
utilizando nuestro servicio de soporte en tiempo real en
http://support.gfi.com/livesupport.asp
¡Asegúrese primero de tener registrado su producto en nuestro
sitio web, en http://www.gfi.com/pages/regfrm.htm!
Solicitudes de soporte telefónicas
También puede contactar con GFI por teléfono para soporte técnico.
Por favor compruebe en nuestro sitio web de soporte los números
para llamar según dónde se encuentre, y el horario.
Sitio web de soporte:
http://support.gfi.com
¡Asegúrese primero de tener registrado su producto en nuestro
sitio web, en http://www.gfi.com/pages/regfrm.htm!
Foro Web
Hay disponible soporte usuario a usuario a través del foro web. El
foro se encuentra en:
http://forums.gfi.com/
Notificaciones de versiones revisadas
Le sugerimos encarecidamente que se suscriba a nuestra lista de
notificaciones de versiones revisadas. De esta forma, se le notificará
inmediatamente sobre las nuevas versiones del producto. Para
suscribirse vaya a:
http://support.gfi.com
66 • Resolución de problemas
LANguard Network Security Scanner Manual
X
XML 6
Indice
C
Contraseñas 6
D
Directiva de contraseñas 17
DNS lookup 51, 53, 54, 55,
56
G
grupos 5, 20
H
Hot fixes 20
HTML 6
L
Licencia 7
P
política de seguridad 5
Puertos abiertos 6
R
Recursos compartidos 5, 6,
17
Registro 17
Requerimientos del sistema
9
S
Servicios 6
Sistema Operativo 6
SNMP 14, 53
SNMP Audit 53
T
Traceroute 52
U
Usuarios 5, 19, 57
LANguard Network Security Scanner Manual
Resolución de problemas • 67
Descargar