|
|
This article is available in: English Castellano Deutsch Francais Portugues Russian Turkce |
por Georges Tarbouriech <georges.t(at)linuxfocus.org> Sobre el autor: Georges es un viejo usuario de Unix. El piensa que la seguridad informática es el principal desafío en este siglo. Taducido al español por: Leo Trujillo Gomez <aleogom(at)prodigy.net.mx> Contenidos:
|
Resumen:
Nessus es un escáner de seguridad libre disponible en http://www.nessus.org. El proyecto fue iniciado y es mantenido por Renaud Deraison. La versión estable, al momento de escribir este artículo es la 1.09 y la versión experimental la 1.14. El software es liberado bajo GPL y mucha gente contribuye en el proyecto, especialmente para plugins... En tanto que muchas personas se benefician del trabajo de nessus sin siquiera mencionar el nombre (más de esto al final del artículo). Nessus trabaja en muchos sabores de Unix, ya sea como cliente o servidor, y en Win32 como un cliente. Demos un vistazo a esta gran herramienta.
Visitando http://www.nessus.org, puede obtener esta estupenda pieza de software. Dado que nessus está disponible como cliente para Win32, obviamente consideraremos la versión Posix en este artículo.
Para usar nessus, necesita al menos nmap y Gtk (juego de herramientas de Gimp). Los enlaces para esas herramientas son proporcionados en el sitio web de nessus. Sin embargo, puesto que puede usar nessus desde la línea de comandos, Gtk no es obligatorio.
Puede obtener nessus en tres diferentes formas: la buena, la mala y la fea.
La buena, es la forma estándar, esa en la que descarga los archivos del sitio ftp que tenga más cercano. Tendrá cuatro archivos: las librerías nessus, librerías nasl, el núcleo de nessus y los plugins. Una vez desempacados, los tendrá que compilar e instalar como es usual: ./configure, make, make install, siguiendo el orden de los archivos citados anteriormente.. Si tiene una versión de nessus previa instalada en su máquina, tendrá que removerla. Para hacer esto, nessus proporciona un archivo de comandos (script) de desinstalación que será usado después del primer "./configure", el que esta en las librerías nessus. Ejecute este script antes de escribir "make". Haga lo mismo para cada paquete (excepto ejecutar otra vez el script de desinstalación), y habrá terminado. La forma mala, consiste en ejecutar un script descargable llamado nessus-installer.sh. Entonces escriba "sh nessus-installer.sh" para autoinstalar el paquete. Los cuatro paquetes viene en uno solo.
La forma fea : tan pronto como lynx este instalado en su máquina y usted conectado a internet, solo escriba "lynx-source http://install.nessus.org | sh" y eso es todo. Usted NO necesita ser root para hacer esto.
Obviamente, la forma recomendada es la "buena"... bien, si usted descargo nessus, ¡ suponemos que la seguridad es una preocupación ! Dado que hablamos de la preocupación, no olvide descargar la suma de verificación (cheksum) MD5.
Nessus viene con diferentes utilidades (nasl, un lenguaje de script, nessus-adduser, nessus-build...). Cada una de estas utilidades tiene su propia página de manual (man), tanto para el cliente como el servidor. Más documentación está disponible dentro de la distribución (README, INSTALL,...) o en el sitio web de nessus.
Vamos a hacer las cosas sencillas para entender, usaremos ejemplos de la versión de nessus para X11, que es la que usa Gtk.
El servidor nessusdPara iniciar nessus, necesitará obviamente ejecutar el demonio del servidor, nessusd. Cuando se inicia el demonio por primera vez, usted tendrá que declarar un nombre de usuario y contraseña, usando el comando nessus-adduser. Si el paquete de las librerías ha sido compilado con la opción "--enable-cipher" (que es recomendada, ¡ mas no obligatoria !), una llave secreta será generada. Esta llave puede ser protegida con una contraseña. Muchas opciones están disponibles cuando se inicia el servidor y usted las encontrará a todas en la página man de nessusd.
De allí puede crear la base de datos de usuarios y las reglas correspondientes. Es decir, quién está autorizado para ejecutar el demonio del servidor. quién está autorizado para escanear (una máquina, una red...). Las reglas son de la forma "aceptar" (accept) o "denegar" (deny) seguido por la dirección de red IP, con su correspondiente máscara de red.
Por ejemplo : accept 192.168.1.0/24, permite que el usuario pruebe la red 192.168.1 completa.
También es posible solamente definir un único usuario sin ninguna regla en absoluto. Si desea permitir a varios usuarios ejecutar nessusd tendrá que ser cuidadoso sobre lo que les permite hacer a ellos. No puede dejar que todo mundo haga cualquier cosa en su red, ¿Puede hacerlo?
Por último, nessus cuenta con un archivo de configuración que (usualmente) se encuentra en /usr/local/etc/nessus/nessusd.conf. Puede cambiar el contenido de este archivo manualmente, tan pronto como usted sepa que es lo que está haciendo.
Usted puede, entonces, iniciar el cliente nessus para conectarse al servidor nessusd. Para ejecutar el cliente, basta con escribir "nessus &" en un intérprete de comandos. Entonces se abre la ventana de configuración, después se le pregunta la contraseñá mencionada anteriormente. Esta ventana le proporciona a usted siete pestañas.
La primera de ellas es llamada "nessusd host". Desde la que puede conectarse al anfitrión nessusd dando clic en el botón "Log in". Naturalmente, esto supone que usted esta autorizado para conectarse como tal usuario, en otras palabras, su nombre de usuario esta declarado en la base de datos de usuario.
Cuando usted inicia el escáner, nessus abre una ventana desplegando el estado del barrido. Por ejemplo, supongamos que está probando una red completa, llamada 192.168.1.0/24. Ocho máquinas (anfitriones) serán desplegadas de inmediato, mostrando cual plugin está usando para cada máquina junto a un indicador de progreso. Aquí está como aparece :
Los plugins son el "corazón" de nessus. Ellos son las pruebas de seguridad, esto significa descubrir una vulnerabilidad determinada. NASL (Nessus Attack Sripting Language) es un leguaje recomendado para escribir pruebas de seguridad. Encontrará mucho sobre NASL dirigiéndose a este URL: NASL.
. Consecuentemente, si usted quiere contribuir al proyecto nessus escribiendo plugins, este es el sitio donde encontrará la información correcta. Al momento de escribir esto, ¡ existen 756 plugins en la base de datos de nessus !
Existen aproximadamente 20 familias de plugins : puertas traseras, denegación de servicio, lograr accesos root remotamente... Como ya lo mencionamos, cada plugin reporta información. Diciéndole qué esta incorrecto y que debería hacer usted para corregir el problema.
Nosotros no podemos hablar acerca de los plugins sin mencionar CVE (Common Vulnerabilities and Exposures - Riesgos y vulnerabilidades comunes). Es una enorme base de datos de información disponible en http://cve.mitre.org. Allí encontrará todo acerca de los riesgos de seguridad conocidos. Otro estupendo lugar de compartición de conocimiento. Tal sitio web es la referencia absoluta que usted debe visitar.
Por supuesto, hay mucho que decir acerca de los plugins de nessus, pero un libro podría no ser suficiente. Una buena manera de entender cómo ellos trabajan, y cómo están escritos es leerlos desde su directorio /usr/local/lib/nessus/plugins. Gracias de nuevo a Renaud Deraison y los colaboradores por este estupendo trabajo.
Aún si este título suena como el Monte Pyton, desafortunadamente, no hay humorismo en él. Las tres o cuatro personas que están leyendo mis artículos saben acerca de mis usuales frases fuera de tema : ¡ esta vez, esta es una sección entera ! Esto es realmente Fuera de Tema, esta es otra historia. Veamos.
Dado que yo estoy muy interesado en la seguridad de las computadoras, frecuentemente visito los sitios web dedicados a ella. Puede ser para aprender nuevas vulnerabilidades o descubrir nuevas herramientas de seguridad. Casualmente, encontré algunos productos basados en servicios de escaneo en Línea. De hecho, ellos se llaman a sí mismos (al menos por ahora) ASP (Application Service Provider - Provedor de servico de aplicación). Si usted va un poco más allá , rápidamente descubrirá que el motor que está detrás del servicio es nessus. Hasta el momento, todo bien. Sin embargo, cuando usted trata de encontrar la información explícita no puede ver la palabra "nessus". ¡ De tal manera que me siento herido !
Mucha gente trabajando para la comunidad del Software Libre, hacen este trabajo para que sea libre de cargo y no como sustento. El único pago que ellos obtienen es llamado : Crédito. nessus es liberado bajo GPL. Esto es, todo Mundo puede usar el producto, modificarlo, adaptarlo... con la condición de que el autor(es) original sea mencionado. Desde luego, esta licencia dice mucha más que eso. Si usted no sabe qué es la GPL, puede verla aquí.
Para mí, esto parece como un robo. Quiero decir, yo no necesito una licencia para acreditar el trabajo de otras personas. Tengo mucho respeto hacia aquellas personas que trabajan por la Libertad (casi siempre) y lo comparten con una comunidad. Ellos merecen el reconocimiento de esa comunidad. Esto es especialmente cierto cuando la gente trata de hacer dinero del trabajo de algún otro. Usted puede llamar a eso respeto, reconocimiento, o no importa como. El hecho es, que esas palabras parecen haber perdido su significado. Seguramente, podríamos decir que la GPL es la causa de tales comportamientos. Con ASP, usted no tiene en cuenta como vender el software. Según el país, la GPL puede que no tenga valor legal.
Una solución podría ser que los usuarios de los servicios ASPs soliciten el nombre del motor de escaneo que hace el verdadero trabajo. La respuesta dada sería al menos decir si la gente que proporciona el servicio es "honesta". Si no responden o si dicen que ellos "inventaron" el motor (en el cual usted identifica como nessus), ¡ sencillamente ya no lo use ! En lugar de eso instale nessus (el verdadero), en todo caso será mas seguro.
Pero, una vez más, ¿ nosotros necesitamos una licencia para decir "Gracias" a la gente que ha hecho posible este gran y estupendo trabajo ? Y, por cierto, Renaud Deraison no quiere cambiar la licencia de nessus : nessus seguirá estando bajo GPL.
Lo siento por esta larga disgresión, pero creo que esto debería ser dicho.
A pesar de la última sección, lo que hay que recordar de este artículo es que nessus es un estándar de alta calidad. Es un software bastante impresionante. Usado en conjunción con nmap, se convierte en algo que debe tener cuando la seguridad es una preocupación. Es una herramienta muy responsable, que se mejora cada día. Gracias a Renaud y amigos por su constante actualización de plugins.
Hoy, un administrador de sistemas no puede trabajar sin nessus y nmap. Estas herramientas son capaces de encontrar vulnerabilidades que usted pensaba estaban resueltas. Esto es verdad para muchos de los Sistemas Operativos que se encuentran en su red. Y cuando usted sepa que algunos Sistemas Operativos son como cribas, nessus le permitirá a usted relajarse un poco.
Aún más, nessus puede ayudarle a entender la forma que una red (o una máquina) puede ser comprometida.
Si lee cuidadosamente los reportes que le proveé, tómelos en cuenta y haga las correcciones apropiadas. Usted mejorará mucho la seguridad de esa red (o máquina). De nuevo, yo dije "mejorar" : su red no puede ser 100% segura simplemente porque usted ejecute nessus. El camino de la seguridad es muy amplio y estamos lejos del final de él.
Una vez más, gracias a la comunidad del Software Libre por este trabajo acerca de la seguridad.
En cuanto a aquellas simpáticas personas que hacen dinero del trabajo de los miembros de esta comunidad de Software Libre, yo quisiera agregar algo. Decir "Gracias" no es una vergüenza. Ser honesto no es horrible ¿O sí? Si esta clase de comportamientos crece, el riesgo es el fín de la comunidad o un gran cambio en el licenciamiento (¡ y probablemente más y más patentes !). En ambos casos, se hará cargo de sí mismo y las cosas se volverán más difíciles para usted. Y desafortunadamente, nosotros no seremos capaces de usar software libre de ningún modo. Esto no significa que será capaz de vender el de usted. ¡ meditelo !
¿No vivimos en una época maravillosa?
|
Contactar con el equipo de LinuFocus © Georges Tarbouriech, FDL LinuxFocus.org Pinchar aquí para informar de algún problema o enviar comentarios a LinuxFocus |
Información sobre la traducción:
|
2001-11-05, generated by lfparser version 2.21