herramientas de control y seguimiento
TRANSCRIPT
![Page 1: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/1.jpg)
Datos del Profesor: Ing. Jesús Vílchez Sandoval
CIP 129615 email:[email protected]
http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094
Coordinador de la Oficina de Calidad y Acreditación - FIEM
![Page 2: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/2.jpg)
Ing. Jesús Vílchez Sandoval
Herramientas
CONTROL Y MONITOREO Basado en la presentación del Mg. Jean del Carpio
![Page 3: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/3.jpg)
NMAP SNORT NESSUS
Contenido
© Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados
![Page 4: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/4.jpg)
NMAP
![Page 5: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/5.jpg)
Mapeador de Redes NMAP
Nmap (“mapeador de redes”) es una herramienta de código abierto para exploración de red y auditoría de seguridad. Se diseñó para analizar rápidamente grandes redes, aunque funciona muy bien contra equipos individuales. Nmap utiliza paquetes IP "crudos" («raw») en formas originales para determinar qué equipos se encuentran disponibles en una red, qué servicios (nombre y versión de la aplicación) ofrecen, qué sistemas operativos (y sus versiones) ejecutan, qué tipo de filtros de paquetes o cortafuegos se están utilizando así como docenas de otras características.
![Page 6: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/6.jpg)
Mapeador de Redes NMAP
Aunque generalmente se utiliza Nmap en auditorías de seguridad, muchos administradores de redes y sistemas lo encuentran útil para realizar tareas rutinarias, como puede ser el inventariado de la red, la planificación de actualización de servicios y la monitorización del tiempo que los equipos o servicios se mantiene activos.
![Page 7: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/7.jpg)
Sintaxis de NMAP
nmap [–s<tipo paquete>] [–p <puertos>] [–<otras opciones>] <dirección destino> TCP connect scan: nmap –sT <destino> TCP SYN scan: nmap –sS <destino> TCP ACK scan: nmap –sA <destino> y nmap –sW <destino> TCP FIN scan: nmap –sF <destino> TCP Null scan: nmap –sN <destino> TCP Xmas scan: nmap –sX <destino> UDP scan: nmap –sU <destino> RPC scan: nmap –sR <destino> TCP reverse ident scan: nmap –I <destino> ICMP echo scan: nmap –sP <destino> IP protocol scan: nmap –sO <destino> Operative System scan: nmap –O <destino> Slow scan: nmap --scan_delay <milisegundos> <destino> Fragmentation scan: nmap –f <destino>
![Page 8: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/8.jpg)
Sintaxis de NMAP
nmap [–s<tipo paquete>] [–p <puertos>] [–<otras opciones>] <dirección destino> FTP bounce scan: nmap –b <[usuario:contraseña@]direcciónFTP[:puerto]> <destino> Spoofed scan: nmap -S <origen> <destino> Decoy scan: nmap -D <señuelo1 [,señuelo2][,ME],...> <destino> Dumb host scan: nmap –sI <intermedio[:puerto]> <destino> Random scan: nmap --randomize_hosts <destino> (por defecto, los puertos destino ya están en orden aleatorio)
![Page 9: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/9.jpg)
Sintaxis de NMAP - Avanzado
Uso: nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos} ESPECIFICACIÓN DE OBJETIVO: Se pueden indicar nombres de sistema, direcciones IP, redes, etc. Ej: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254 -iL <archivo_entrada>: Lee una lista de sistemas/redes del archivo. -iR <número de sistemas>: Selecciona objetivos al azar --exclude <sist1[,sist2][,sist3],...>: Excluye ciertos sistemas o redes --excludefile <fichero_exclusión>: Excluye los sistemas indicados en el fichero
![Page 10: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/10.jpg)
Sintaxis de NMAP - Avanzado
Uso: nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos} TÉCNICAS DE ANÁLISIS: -sS/sT/sA/sW/sM: Análisis TCP SYN/Connect() /ACK/Window/Maimon -sN/sF/sX: Análisis TCP Null, FIN, y Xmas --scanflags <indicador>: Personalizar los indicadores TCP a utilizar -sI <sistema zombi[:puerto_sonda]>: Análisis pasivo («Idle», N. del T.) -sO: Análisis de protocolo IP -b <servidor ftp rebote>: Análisis por rebote FTP
![Page 11: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/11.jpg)
Sintaxis de NMAP - Avanzado
Uso: nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos} ESPECIFICACIÓN DE PUERTOS Y ORDEN DE ANÁLISIS: -p <rango de puertos>: Sólo sondear los puertos indicados Ej: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080 -F: Rápido - Analizar sólo los puertos listados en el archivo nmap-services -r: Analizar los puertos secuencialmente, no al azar.
![Page 12: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/12.jpg)
Sintaxis de NMAP - Avanzado
Uso: nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos} DETECCIÓN DE SISTEMA OPERATIVO: -O: Activar la detección de sistema operativo (SO) --osscan-limit: Limitar la detección de SO a objetivos prometedores --osscan-guess: Adivinar el SO de la forma más agresiva
![Page 13: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/13.jpg)
Sintaxis de NMAP - Avanzado
Uso: nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos} TEMPORIZADO Y RENDIMIENTO: -T[0-5]: Seleccionar plantilla de temporizado (los números altos son más rápidos) --min-hostgroup/max-hostgroup <tamaño>: Paralelizar los sondeos --min-parallelism/max-parallelism <msegs>: Paralelización de sondeos --min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout <msegs>: Indica el tiempo de ida y vuelta de la sonda --max-retries <reintentos>: Limita el número máximo de retransmisiones de las sondas de análisis de puertos --host-timeout <msegs>: Abandonar un objetivo pasado este tiempo --scan-delay/--max-scan-delay <msegs>: Ajusta el retraso entre sondas
![Page 14: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/14.jpg)
Sintaxis de NMAP - Avanzado
Ejemplos: nmap -v -A scanme.nmap.org nmap -v -sP 192.168.0.0/16 10.0.0.0/8 nmap -v -iR 10000 -P0 -p 80 # nmap -A -T4 scanme.nmap.org saladejuegos
![Page 15: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/15.jpg)
2 SNORT
![Page 16: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/16.jpg)
SNORT
![Page 17: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/17.jpg)
SNORT - Funcionamiento
![Page 18: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/18.jpg)
SNORT - Funcionamiento
• NIDS gratuito de alta performance. • Monitorea redes Ethernet/Fast Ethernet y ATM. • Permite capturar la alerta y el paquete que la causó.
![Page 19: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/19.jpg)
Esquema de Software
![Page 20: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/20.jpg)
Reporte
![Page 21: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/21.jpg)
Ataques
![Page 22: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/22.jpg)
3 NESSUS
![Page 23: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/23.jpg)
Análisis de Vulnerabilidades: NESSUS
![Page 24: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/24.jpg)
NESSUS: Instalación
Instalación única • Seleccionar “Ubunt 9.10/Ubuntu 10.04 (32 bits)” • Registrarse para envió de código de activación • Descargar archivo según distribución linux
• Nessus-4.4.X-ubuntu910_i386.deb • Disponible para todos los sistemas Unix y MS Windows
• Instalar archivo descargado. • SCAN-ERROR • Too many live hosts scanned in a row while on a
HomeFeed -please upgrade to a ProfessionalFeed • Nessus ID : 19506 • Reducing max_hosts to 16 (HomeFeed).
![Page 25: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/25.jpg)
NESSUS: Instalación
![Page 26: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/26.jpg)
NESSUS: Instalación
Agregando el primer usuario administrador
![Page 27: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/27.jpg)
NESSUS: Instalación
Registro y Actualización de Plugins
![Page 28: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/28.jpg)
Cliente NESSUS
![Page 29: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/29.jpg)
Ejecución NESSUS
Servidor /etc/init.d/nessusd start (Comprobar con netstat -nap | grep nessus ) Cliente https://127.0.0.1:8834/
![Page 30: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/30.jpg)
Política NESSUS
![Page 31: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/31.jpg)
Política NESSUS
![Page 32: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/32.jpg)
? Preguntas
![Page 33: Herramientas de control y seguimiento](https://reader034.vdocuments.net/reader034/viewer/2022052301/5585aa38d8b42a711a8b4e01/html5/thumbnails/33.jpg)
SEGURIDAD EN REDES FIN SESION