GFI LANguard Network Security Scanner 7 Manual · definiciones lanzados por sus compañías. Donde...

GFI LANguard Network Security Scanner 7

Manual

Por GFI Software Ltd.

http://www.gfi.com

Email: [email protected] La información de este documento esta sujeta a cambios sin previo aviso. Las empresas, nombres, y datos utilizados en los ejemplos son ficticios si no se hace mención de lo contrario. Ninguna parte del documento puede ser reproducida o transmitida bajo ninguna forma o medio, electrónico o mecánico, para ningún propósito, sin la expresa autorización escrita de GFI SOFTWARE Ltd. LANguard es copyright de GFI SOFTWARE Ltd. 2000-2006 GFI SOFTWARE Ltd. Todos los derechos reservados. Versión 7,0 – Ultima actualización 17.05.06

GFI LANguard Network Security Scanner Contenido • i

Contenido

Introducción 1 Introducción a GFI LANguard Network Security Scanner .............................................1 Importancia de la seguridad interna de la red ...............................................................2 Características clave......................................................................................................3 Componentes de GFI LANguard N.S.S. ........................................................................4 Esquema de licenciamiento ...........................................................................................7

Instalar GFI LANguard Network Security Scanner 9 Requerimientos del sistema...........................................................................................9

Consideraciones del Firewall ............................................................................9 Procedimiento de instalación .........................................................................................9 Introducir su clave de licencia después de la instalación ............................................13

Empezar: Realizar una auditoría 15 Introducción..................................................................................................................15

Sobre los perfiles de escaneo (lista de comprobaciones/pruebas de vulnerabilidades) ..............................................15 Credenciales de acceso para acceder al ordenador(es) objetivo............................................................................................................16 Consideraciones importantes .........................................................................16

Realizar un análisis de seguridad usando los ajustes por defecto..............................17 Realizar un análisis usando diferentes (por defecto) perfiles de análisis .........................................................................................................................19 Realizar un análisis usando credenciales de inicio alternativas..................................20 Iniciar análisis de seguridad directamente desde la barra de herramientas ................................................................................................................21

Empezar: Analizar los resultados del análisis de seguridad 23 Introducción..................................................................................................................23 Analizar los resultados del análisis ..............................................................................24

Vulnerabilidades .............................................................................................25 Vulnerabilidades potenciales ..........................................................................29 Recursos compartidos abiertos ......................................................................30 Ajustes de directiva de contraseñas ...............................................................31 Ajustes del Registro ........................................................................................32 Ajustes de la directiva de auditoría de seguridad...........................................32 Puertos abiertos..............................................................................................35 Usuarios y grupos ...........................................................................................36 Usuarios logados ............................................................................................37 Servicios en marcha .......................................................................................37 Procesos remotos en marcha.........................................................................38 Aplicaciones instaladas...................................................................................39 Dispositivos de red..........................................................................................40 Dispositivos USB.............................................................................................41 Información de los dispositivos no autorizados como vulnerabilidades de alta seguridad. ................................................................42 Estado de parcheo de errores del sistema. ....................................................42 Nombres NETBIOS.........................................................................................42

ii • Contenido GFI LANguard Network Security Scanner

Detalles del ordenador objetivo analizado......................................................43 Sesiones activas .............................................................................................44 Hora del día remota ........................................................................................45 Unidades locales.............................................................................................45

Guardar y cargar resultados de análisis 47 Introducción..................................................................................................................47 Guardar resultados de análisis en un archivo externo (XML) .....................................47 Cargar resultados de análisis guardados ....................................................................48

Cargar análisis guardados desde base de datos de respaldo .......................48 Cargar resultados de análisis guardados desde un archivo externo (XML) .................................................................................................49

Filtrar los resultados del análisis 51 Introducción..................................................................................................................51 Aplicar un filtro en un análisis ......................................................................................52 Crear un filtro de análisis a medida .............................................................................53

Configurar GFI LANguard N.S.S. 59 Introducción..................................................................................................................59 Perfiles de Análisis.......................................................................................................59 Análisis Programados ..................................................................................................60

Crear un análisis programado........................................................................61 Configurar las opciones de notificación de resultados ...................................63

Perfiles de Equipo........................................................................................................64 Sobre el fichero de autenticación de Clave Privada SSH ..............................64 Crear un nuevo perfil de equipo......................................................................65 Cambiar las propiedades de un perfil de equipo ............................................66 Utilizar los perfiles de equipos en un análisis .................................................66

Archivos de Parámetros...............................................................................................67 Opciones de Mantenimiento de Base de Datos ..........................................................68

Introducción.....................................................................................................68 Configurar su base de datos de respaldo.......................................................69 Almacenar los resultados del análisis en una base de datos de respaldo Microsoft Access .........................................................................70 Mantenimiento de base de datos – administrar los resultados de análisis guardados .....................................................................................72 Mantenimiento de la base de datos – opciones avanzadas...........................73

Perfiles de Análisis 75 Introducción..................................................................................................................75 Perfiles de análisis en acción.......................................................................................77

Analizar su equipo local usando el ‘Perfil de Análisis Default'........................77 Analizar su equipo local usando el ‘Perfil de Análisis Applications' ....................................................................................................77

Crear un nuevo perfil de análisis .................................................................................78 Personalizar un perfil de análisis .................................................................................80 Configurar las opciones de análisis de puertos TCP/UDP ..........................................80

Habilitar/deshabilitar el análisis de Puertos TCP............................................80 Habilitar/deshabilitar el análisis de Puertos UDP ...........................................81 Personalizar la lista de puertos TCP/UDP a analizar .....................................81 Agregar un Nuevo puerto TCP/UDP a la lista ................................................81 Cómo editar o eliminar un puerto....................................................................82

Configurar las opciones de recogida de datos del SO ................................................83 Personalizar los parámetros de Recogida de Datos del SO ..........................83

Configurar las opciones de análisis de vulnerabilidades.............................................84 Habilitar/deshabilitar el análisis de vulnerabilidad ..........................................84 Personalizar la lista de vulnerabilidades a analizar ........................................85

GFI LANguard Network Security Scanner Contenido • iii

Personalizar las propiedades de las comprobaciones de vulnerabilidad..................................................................................................85 Comprobaciones de vulnerabilidad - opciones avanzadas ............................87

Configurar las opciones de análisis de parches ..........................................................88 Habilitar/deshabilitar las comprobaciones de detección de parches ausentes............................................................................................88 Personalizar la lista de parches de software a analizar .................................89 Utilizar la facilidad de búsqueda del boletín de información...........................89

Configurar las opciones del análisis de seguridad ......................................................90 Configurar las opciones de análisis de dispositivos conectados.................................91

Habilitar/deshabilitar comprobaciones de dispositivos de red instalados ........................................................................................................93 Componer una lista de dispositivos de red no autorizados ............................94 Componer una lista de dispositivos de red seguros.......................................94 Configurar las opciones avanzadas de análisis de dispositivos de red ..........................................................................................95 Habilitar/deshabilitar comprobaciones por dispositivos USB conectados......................................................................................................96 Componer una lista de dispositivos USB no autorizados...............................96 Componer una lista de dispositivos USB seguros..........................................97

Configurar las opciones de análisis de aplicaciones ...................................................97 Habilitar/deshabilitar comprobaciones de aplicaciones instaladas ........................................................................................................98 Componer una lista de aplicaciones no autorizadas ......................................99 Componer una lista de aplicaciones seguras ...............................................100 Habilitar/deshabilitar comprobaciones de aplicaciones de seguridad ......................................................................................................100 Personalizar la lista de aplicaciones de seguridad para el análisis ..........................................................................................................101 Configurar las aplicaciones de seguridad – opciones avanzadas.....................................................................................................102

Actualizaciones de programa GFI LANguard N.S.S. 103 Introducción................................................................................................................103 Comprobar la versión de las actualizaciones actualmente instaladas ......................104 Descargar actualizaciones de software desde Microsoft en diferentes idiomas.......................................................................................................................105 Iniciar las actualizaciones de programa manualmente..............................................106 Comprobar la disponibilidad de actualizaciones de software al inicio del programa..............................................................................................................107 Configurar que actualizaciones a comprobar al inicio del programa.........................108

Administración de parches: Implementar Actualizaciones de Microsoft109 Introducción................................................................................................................109

Sobre el agente de implementación de parches ..........................................109 Sobre los parches revisados.........................................................................110 Administración de parches multilingüe .........................................................111

Seleccionar los equipos objetivo donde se implementarán los parches ......................................................................................................................111

Implementar actualizaciones ausentes en un equipo...................................112 Implementar actualizaciones en un rango de equipos .................................112 Implementar actualizaciones ausentes en todos los equipos ......................112

Seleccionar qué parches implantar............................................................................113 Descargar los archivos de actualizaciones y service pack........................................114

Parar las descargas activas..........................................................................115 (Opcional) Configurar parámetros de implementación del fichero de parche alternativos.....................................................................................................116 Implantar las actualizaciones.....................................................................................117

Iniciar el proceso de implementación de parches.........................................117

iv • Contenido GFI LANguard Network Security Scanner

Administración de parches: Implantar software a medida 119 Introducción................................................................................................................119 Seleccionar los objetivos para la implementación de software/parches a medida........................................................................................120 Enumerar el software a implementar .........................................................................121 Iniciar el proceso de implantación..............................................................................122

Programar la implementación de software ...................................................122 Opciones de implantación..........................................................................................123

Opciones de antes de la implementación.....................................................123 Opciones de después de la implementación ................................................124 Opciones de implementación avanzadas .....................................................125

Comparación de resultados 127 Introducción................................................................................................................127 Comparar resultados del análisis interactivamente ...................................................127

Configurar que información será reportada ..................................................128 Generar un Informe de Comparación de Resultados...................................129

Monitor de Estado de GFI LANguard N.S.S. 131 Ver operaciones programadas...................................................................................131

Visualizar el progreso de análisis programados ...........................................131 Visualizar el progreso de implementaciones programadas..........................132

Herramientas 133 Introducción................................................................................................................133 DNS lookup ................................................................................................................133 Trace Route ...............................................................................................................135 Whois Client ...............................................................................................................136 SNMP Walk................................................................................................................137 Herramienta de auditoría SNMP................................................................................138 Herramienta Microsoft SQL Server Audit...................................................................138 Herramienta Enumerar Equipos ................................................................................139

Iniciar un análisis de seguridad.....................................................................140 Implantar actualizaciones a medida .............................................................140 Habilitar las directivas de auditoria ...............................................................140

Herramienta enumerara usuarios ..............................................................................141

Utilizar GFI LANguard N.S.S. desde la línea de comandos 143 Utilizar ‘lnsscmd.exe’ – la herramienta de análisis en línea de comandos...................................................................................................................143

Ejemplo: Cómo lanzar un análisis de un equipo objetivo desde la herramienta en línea de comandos................................................144

Utilizar ‘deploycmd.exe’ – la herramienta de línea de comandos de implementación de parches .......................................................................................145

Ejemplo: Cómo lanzar un proceso de implementación de parches desde la herramienta en línea de comandos..................................146

Agregar comprobaciones de vulnerabilidad mediante condiciones o scripts a medida 147

Introducción................................................................................................................147 Lenguaje VBscript de GFI LANguard N.S.S. .............................................................147 Módulo SSH de GFI LANguard N.S.S. ......................................................................148

Palabras clave:..............................................................................................148 Agregar una comprobación de vulnerabilidad que utiliza un script VB (.vbs) a medida ..........................................................................................................149

Paso 1: Cree el script....................................................................................149

GFI LANguard Network Security Scanner Contenido • v

Paso 2: Agregue la nueva comprobación de vulnerabilidad: .......................150 Agregar una comprobación de vulnerabilidad que utiliza un script shell a medida ............................................................................................................151

Paso 1: Cree el script....................................................................................152 Paso 2: Agregue la nueva comprobación de vulnerabilidad: .......................152

Agregar una comprobación de vulnerabilidad CGI....................................................153 Agregar otras comprobaciones de vulnerabilidad .....................................................156

Miscelánea 161 Habilitar NetBIOS en un equipo de red .....................................................................161 Instalar el componente Cliente para redes Microsoft en Windows 2000 o superior ..........................................................................................................162 Configurar los Ajustes de la Directiva de Contraseñas en un Dominio Basado en Directorio Activo.......................................................................................163 Ver los Ajustes de la Directiva de Contraseñas de un Dominio Basado en Directorio Activo.......................................................................................167

Resolución de problemas 169 Introducción................................................................................................................169 Base de Conocimientos .............................................................................................169 Solicitar soporte mediante correo electrónico............................................................169 Solicitud de soporte vía conversación web................................................................170 Solicitudes de soporte telefónicas .............................................................................170 Foro Web ...................................................................................................................170 Notificaciones de versiones revisadas.......................................................................170

Indice 171

GFI LANguard Network Security Scanner Introducción • 1

Introducción

Introducción a GFI LANguard Network Security Scanner GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) es una herramienta de auditoría de seguridad, la cual proactivamente informa, y soporta la reparación de las vulnerabilidades de red puntualmente. Durante una auditoria de seguridad, GFI LANguard N.S.S. escanea toda su red, IP por IP, y le alerta sobre debilidades descubiertas en su red(es). Utilizando una combinación de las funciones del sistema operativo con las características que ofrece GFI LANguard N.S.S., usted puede proactivamente encargarse de los incidentes de seguridad detectados. Por ejemplo, los casos de seguridad se pueden detectar proactivamente cerrando puertos innecesarios, cerrando recursos compartidos, así como instalando service packs y parches de seguridad antes de que personas malintencionadas puedan explotarlos. Por defecto, GFI LANguard N.S.S. le permite realizar auditorias de seguridad en ordenadores basados tanto en Windows como en Linux. Durante una auditoría, el motor de escaneo recopila varias informaciones hardware y software de los equipos escaneados. Esto incluye el nivel de service pack de cada equipo objetivo, dispositivos potencialmente vulnerables tales como puntos de acceso inalámbricos y dispositivos USB, aplicaciones instaladas, así como recursos compartidos abiertos y puertos abiertos. El escáner también enumera ajustes de configuración específicos del SO tales como los ajustes del registro y los detalles de configuración de la política de contraseñas que ayudan en la identificación de los problemas de seguridad comunes relacionados con un sistema operativo configurado inadecuadamente (tal como un SO funcionando con los ajustes por defecto) GFI LANguard N.S.S. también está equipado con algoritmos que comprueban la presencia de software de seguridad particular (es decir, aplicaciones antivirus y antispyware) así como también asegurarse que están funcionando con los últimos archivos de definiciones lanzados por sus compañías. Donde sea aplicable, el motor de escaneo también chequeará para que las características importantes de seguridad tal como el análisis en tiempo real están habilitadas en las aplicaciones antivirus y antispyware permitiéndole asegurarse que las soluciones de seguridad implementadas en su red están funcionando eficazmente. Con una simple instalación, GFI LANguard N.S.S. también soporta la administración de parches para sistemas operativos que no están en inglés. Esto significa que puede descargar automáticamente actualizaciones de Microsoft ausentes en una variedad de idiomas e implementarlos en toda la red. Usted también puede utilizar el motor

2 • Introducción GFI LANguard Network Security Scanner

de implementación de parches para instalar remotamente software personalizado así como también parches de terceras partes (no Microsoft) en toda la red (por ejemplo actualizaciones de definiciones de antivirus).

Importancia de la seguridad interna de la red La seguridad interna de la red es con mucha frecuencia subestimada por sus administradores. De hecho, en ciertos entornos dicha seguridad incluso no existe, permitiendo a un usuario acceder fácilmente al equipo de otro usuario utilizando debilidades bien conocidas, relaciones de confianza y opciones predeterminadas. La mayor parte de estos ataques necesitan poca o ninguna habilidad, poniendo la integridad de una red en riesgo. Debido a la cantidad de flexibilidad necesaria para la función normal, las redes internas no pueden permitirse una seguridad máxima. Por otro lado, sin ninguna seguridad, los usuarios internos pueden ser una importante amenaza para muchas redes corporativas. Según el Centro de Coordinación CERT de la Universidad Carnegie Mellon en USA:

“Una ‘intrusión de un miembro’ es un compromiso de una red, sistema o base de datos que es cometido por una persona que tiene (o tenía) acceso legitimo a la red, sistema o datos. Estos ‘miembros’ pueden incluir empleados actuales o anteriores, empleados a tiempo parcial, socios de negocio, consultores y contratistas.” - Computer Weekly.

Un usuario dentro de la compañía ya tiene acceso a muchos recursos internos sin necesidad de saltarse firewalls u otros mecanismos de seguridad. De hecho, estas medidas de seguridad son generalmente utilizadas para prevenir a fuentes externas no confiables, tales como usuarios de Internet, del acceso a la red interna. Sin embargo, las mayores amenazas vienen desde usuarios internos. Un usuario interno, equipados con habilidades de hacking, pueden penetrar satisfactoriamente y conseguir derechos de administración de red mientras que asegura que su abuso sea difícil de identificar o incluso de detectar. La Encuesta de Seguridad y Crimen Informático recopilada en 2003 por el Computer Security Institute y el FBI descubrió que aproximadamente el 65% de los encuestados reportó al menos un incidente de seguridad involucrando a una persona de confianza. Una seguridad de red pobre puede también permitir a usuarios malintencionados penetrar en un sistema de la red para acceder al resto de la red interna más fácilmente. Esto habilitaría a un atacante sofisticado leer y posiblemente filtrar correo y documentos confidenciales; borrar datos y dañar ordenadores – llevando a pérdidas de información importante y más. Intrusos rencorosos pueden también utilizar su red y recursos de red para dar un rodeo y atacar (o espiar) otros sitios (es decir retransmisión del ataque). De esta forma, todas las evidencias del ataque conducirán de vuelta a usted y su compañía, sin exponer la propia identidad del hacker. La mayoría de las vulnerabilidades se pueden parchear fácilmente y los ataques frente abusos conocidos se pueden parar fácilmente por los administradores si tienen conocimiento de ellos a tiempo. ¡GFI


LANguard N.S.S. asiste a los administradores en la identificación de esas vulnerabilidades!

Características clave • Encuentra servicios rufianes y puertos TCP y UDP abiertos. • Detecta vulnerabilidades conocidas CGI, DNS, FTP, Correo, RPC

y otras. • Detecta usuarios pícaros o en “puertas traseras” (backdoors) • Detecta recursos compartidos abiertos y lista quién tiene acceso a

estos recursos incluyendo sus respectivos permisos. • Enumera grupos, incluyendo los miembros del grupo durante el

análisis del equipo objetivo. • Enumera dispositivos USB conectados a los equipos objetivo (por

ejemplo, Apple iPod, y otros dispositivos de almacenamiento portátil).

• Enumera dispositivos de red e identifica si esos dispositivos son con Cable, Inalámbricos o Virtuales.

• Enumera servicios y su respectivo estado. • Enumera procesos remotos en marcha. • Enumera aplicaciones instaladas. • Comprueba que los ficheros de firmas de las aplicaciones de

seguridad (antivirus y antispyware) soportadas están actualizados. Cuando sea aplicable el escáner de seguridad también examinará los ajustes configuración del software de seguridad (por ejemplo, al antivirus BitDefender) en marcha para verificar si las características clave tales como el análisis en tiempo real está habilitado.

• Programación de análisis de seguridad de red y presentación de informes por correo a la finalización.

• Análisis de seguridad y recogida de datos del SO para sistemas operativos Windows.

• Análisis de seguridad y recogida de datos del SO para sistemas operativos Linux mediante SSH.

• Inicio de sesión a objetivos remotos Linux mediante cadenas de credenciales de inicio de sesión convencionales así como mediante autenticación de Clave Pública (es decir, utilizando ficheros SSH de Clave Pública/Privada).

• Auto actualización – Se descarga automáticamente los archivos de definición de las últimas comprobaciones de seguridad, información de parches ausentes en el indicio del programa.

• Soporta la administración de parches para sistemas operativos Windows 2000/XP/2003, Microsoft Office XP o superior, Microsoft Exchange 2000 y Microsoft SQL Server 2000 o superior.

• Soporta la administración de parches para sistemas operativos multilingües


• Le permite guardar los resultados del análisis de seguridad en base de datos de respaldo Microsoft Access o Microsoft SQL Server y ficheros XML.

• Manda un informe al administrador cuando termina un análisis programado con un detalle completo del resultado del análisis y/o los cambios detectados identificados entre análisis sucesivos.

• Detección de equipos activos e identificación del Sistema Operativo.

• Auditoria SNMP. • Auditoría Microsoft SQL. • Depurador de scripts que puede utilizar para crear y depurar

comprobaciones de seguridad personalizadas. Las comprobaciones se han creado utilizando un lenguaje de script compatible con VBscript.

• Soporta multihilo (es decir, permite el análisis de múltiples equipos a la vez).

• Incluye herramientas en línea de comando que le permiten analizar e implementar actualizaciones/parches de software y aplicaciones de terceros sin lanzar el interfaz de usuario de GFI LANguard N.S.S. Estas herramientas en línea de comando se pueden utilizar directamente desde la línea de comandos, a través de aplicaciones de terceros así como también scrips personalizados y archivos de procesamiento por lotes.

Componentes de GFI LANguard N.S.S. GFI LANguard N.S.S. está construido en una arquitectura que permite con gran fiabilidad y escalabilidad dar servicio a medias y grandes redes. GFI LANguard N.S.S. consiste en cinco componentes principales que son: • Interfaz de usuario/configuración de GFI LANguard N.S.S. • GFI LANguard N.S.S. Servicio Asistente • Monitor de Estado de GFI LANguard N.S.S. • GFI LANguard N.S.S. Servicio Agente de actualizaciones • GFI LANguard N.S.S. Depurador de Scripts.


Interfaz de usuario/configuración de GFI LANguard N.S.S.

Imagen 1 – Interfaz de configuración de GFI LANguard N.S.S.

Inicie GFI LANguard N.S.S. desde Inicio Programas GFI LANguard Network Security Scanner 7.0 LANguard Network Security Scanner. Utilice esta aplicación para: • Lanzar análisis de seguridad de red y sesiones de implementación

de parches. • Ver los resultados del análisis de seguridad guardados y en

tiempo real. • Configurar las opciones de análisis, perfiles de análisis y filtros de

informes. • Utilizar las herramientas de administración de seguridad de red

especializadas.

GFI LANguard N.S.S. servicio asistente Este es el servicio en segundo plano que arranca las operaciones programadas. Estas incluyen análisis de seguridad de red programados y operaciones de implementación de parches programadas.

GFI LANguard N.S.S. servicio agente de actualizaciones Este es el servicio en segundo plano que maneja la implementación de parches, service packs y actualizaciones de software en los equipos objetivo.


GFI LANguard N.S.S. Depurador de Scripts

Imagen 2 - GFI LANguard N.S.S. Depurador de Scripts

Este módulo le permite escribir y depurar scripts personalizados utilizando un lenguaje compatible con VBScript. Utilice este módulo para crear scripts para comprobaciones de vulnerabilidades personalizadas. Estas comprobaciones se pueden incluir en GFI LANguard N.S.S. para análisis personalizados de objetivos de red. Lance el Depurador de Scripts de GFI LANguard N.S.S. desde Inicio Programas GFI LANguard Network Security Scanner 7.0

LNSS Script Debugger


Monitor de Estado de GFI LANguard N.S.S.

Imagen 3 - Monitor de GFI LANguard N.S.S.

Utilice este módulo para supervisar el estado de los análisis programados y las sesiones de implantación de actualización de software programadas. Además, desde este módulo puede detener operaciones programadas que todavía no se hayan ejecutado. Lance el Monitor de Estado de GFI LANguard N.S.S. desde Inicio Programas GFI LANguard Network Security Scanner 7.0 LNSS Status Monitor.

Esquema de licenciamiento El esquema de licenciamiento de GFI LANguard N.S.S. se basa en el número de equipos y dispositivos que desea analizar. Por ejemplo, la licencia de 100 IP le permite analizar hasta 100 equipos o dispositivos desde una única estación de trabajo/servidor de su red. Para más información sobre el licenciamiento de GFI LANguard N.S.S. visite: http://www.gfi.com/pricing/pricelist.aspx?product=LANSS.

GFI LANguard Network Security Scanner Instalar GFI LANguard Network Security Scanner • 9

Instalar GFI LANguard Network Security Scanner

Requerimientos del sistema Instale GFI LANguard Network Security Scanner en un equipo que cumpla los siguientes requerimientos: • Sistema operativo Windows 2000 (SP4) / XP (SP2) / 2003. • Internet Explorer 5.1 o superior. • Componente Cliente para Redes Microsoft - (incluido por defecto

en Windows 95 o superior) NOTA: Para más información sobre como instalar el componente Cliente para Redes de Microsoft refiérase a la sección ‘Instalar el componente Cliente para Redes de Microsoft en Windows 2000 o superior’ en el capítulo ‘Miscelánea’.

• Secure Shell (SSH) - (incluido por defecto en cada distribución del SO Linux).

Consideraciones del Firewall Los firewalls instalados en el servidor u ordenador(es) objetivo interferirán con las operaciones de GFI LANguard N.S.S. Usted debe: • Deshabilita el software firewall en el servidor/equipo(s) objetivo. • Utilizar las políticas de dominio de Windows Internet Connection

Firewall para configurar los puertos y servicios necesarios requeridos por GFI LANguard N.S.S. para operar correctamente. Para más información sobre como configurar las políticas del Directorio Activo para soportar el análisis de/desde equipos que funcionan bajo el Firewall de conexión a Internet de Windows (XP SP2 o 2003 SP1) visite: http://kbase.gfi.com/showarticle.asp?id=KBID002177.

Procedimiento de instalación 1. Lance el asistente de instalación de GFI LANguard Network Security Scanner haciendo doble clic en languardnss7.exe. Tan pronto como se muestre el dialogo de bienvenida, haga clic en Next para iniciar la instalación. 2. En el diálogo de licencia, lea el acuerdo de licencia atentamente. Seleccione la opción ‘Accept the Licensing agreement’ y haga clic en Next para continuar. 3. Especifique el nombre de usuario completo, el nombre de la empresa y la clave de licencia. Si esta evaluando el producto, deje el

10 • Instalar GFI LANguard Network Security Scanner GFI LANguard Network Security Scanner

la clave de licencia por defecto (es decir “Evaluation”). Haga clic en Next para continuar.

Imagen 4 Especifique las credenciales del administrador del dominio o utilice la cuenta local del sistema

4. Especifique la cuenta de servicio bajo la cual correrá GFI LANguard N.S.S. Haga clic en Next para continuar. IMPORTANTE: GFI LANguard N.S.S. debe funcionar con credenciales administrativas. Es recomendable proveer los detalles de una cuenta de Administrador del Dominio o Administrador de la Empresa. Esto se requiere porque GFI LANguard N.S.S. muy probablemente necesitará derechos administrativos para acceder a los equipos objetivo en su red. No obstante, no es obligatorio proveer detalles de cuenta de Administrador del Dominio/Empresa para todos los equipos objetivo, puesto que se pueden proveer credenciales separadas desde el interfaz e configuración después de la instalación (nodo Configuration Computer Profiles ).


Imagen 5 – Elegir la base de datos de respaldo

5. Especifique que base de datos de respaldo se usará para almacenar los resultados/información del análisis. Puede elegir entre Microsoft Access, Microsoft SQL Server 7/2000 o MSDE. Haga clic en Next para continuar. NOTA 1: El uso de la base de datos de respaldo Microsoft Access se recomienda para redes pequeñas. Para redes medianas y grandes, se recomienda el uso de Microsoft SQL Server 7/2000 como base de datos de respaldo. NOTA 2: MSDE puede manejar hasta 2 GB de datos mientras que Microsoft SQL Server es capaz de manejar grandes volúmenes de datos eficientemente y sin limitaciones.


Imagen 6 – Especificar los detalles del servidor SQL

6. Si se selecciona Microsoft SQL Server como base de datos de respaldo, especifique las credenciales de inicio que se usarán para logarse en la base de datos. Puede utilizar tanto cuentas de usuario de SQL Server así como autenticación Windows NT para acceder a la base de datos. Haga clic en Next para continuar. NOTA: Cuando utilice autenticación Windows NT, asegúrese que los servicios de GFI LANguard N.S.S. están funcionando bajo cuentas de usuario que tengan los derechos administrativos de acceso necesarios y privilegios para logarse y manejar las bases de datos de SQL Server.


Imagen 7 – Especificar la dirección de correo de alertas y los detalles del servidor de correo

7. Especifique los datos del servidor SMTP/correo (Nombre/IP y Puerto) así como la dirección de correo genérica para el envío de notificaciones administrativas. Haga clic en Next para continuar. 8. Especifique la ruta de instalación de GFI LANguard N.S.S. y haga clic en Next. La instalación necesitará aproximadamente 40 MB de espacio libre en disco. 9. Haga clic en Finish para finalizar la instalación.

Introducir su clave de licencia después de la instalación Si ha comprado GFI LANguard N.S.S., introduzca su clave de licencia en el nodo General Licensing (no se requiere reinstalción/reconfiguración) NOTA 1: Por defecto, GFI LANguard N.S.S. tiene un periodo de evaluación sin restricción y completamente funcional de 10 días. Si los datos provistos en el formulario de descarga son correctos, recibirá por correo electrónico un clave de licencia que le permite evaluar GFI LANguard N.S.S. durante 30 días. NOTA 2: La licencia de GFI LANguard N.S.S. se basa en: • Número de ordenadores/IPs en los que correrá GFI LANguard

Network Security Scanner. • Número de ordenadores/IPs que desee analizar. Por ejemplo, si quiere instalar GFI LANguard N.S.S. en un servidor, y va a analizar una red de 20 equipos objetivo, usted debe comprar una licencia de 25 IP. NOTA 3: Introducir la Clave de Licencia no debe ser confundido con el proceso de registrar los detalles de su empresa en nuestro sitio web. Esto es importante ya que nos permite darle soporte y avisarle sobre noticias importantes sobre los productos. Puede registrarse y


obtener su cuenta de cliente de GFI en: http://www.gfi.com/pages/regfrm.htm NOTA 4: Para descubrir cómo comprar GFI LANguard N.S.S., siga el nodo General How to puchase.

GFI LANguard Network Security Scanner Empezar: Realizar una auditoría • 15

Empezar: Realizar una auditoría

Introducción Una auditoría de recursos de red permite al administrador identificar y evaluar posibles riesgos dentro de la red. Hacer esto manualmente implica una tediosa serie de repetitivas y lentas tareas que deben ser realizadas concienzudamente en cada uno y todos los equipos de la red. GFI LANguard automatiza el proceso de auditoria de seguridad y analiza remotamente ordenadores en busca de vulnerabilidades conocidas, desconfiguraciones comunes y otros potenciales problemas de seguridad en un relativamente corto periodo de de tiempo. La información recogida durante el proceso de análisis se utiliza posteriormente para ayudar al rastreo y mitigación de los problemas de seguridad que se han identificado. La información típica que se enumera durante el proceso del análisis de seguridad incluye: • EL nivel de service packs del ordenador. • Parches de seguridad ausentes • Puntos de acceso inalámbrico • Dispositivos USB • Recursos compartidos abiertos • Puertos abiertos • Servicio/aplicaciones activas en equipo(s) objetivo. • Entradas clave del registro • Contraseñas débiles • Usuarios y grupos Para realizar una auditoria de seguridad el motor de análisis requiere que le especifique tres parámetros primarios: 1. Ordenador(es) objetivo para analizar de problemas de seguridad 2. Perfil de Escaneo a utilizar (especifique que comprobaciones/pruebas de vulnerabilidad se harán contra los objetivos especificados). 3. Los detalles de autenticación a utilizar para logarse en el ordenador(es) objetivo.

Sobre los perfiles de escaneo (lista de comprobaciones/pruebas de vulnerabilidades) Antes de empezar un análisis debe especificar que comprobaciones/pruebas de vulnerabilidades van a correr contra el objetivo(s) seleccionado. Esto se requiere porque GFI LANguard N.S.S. contiene multitud de comprobaciones de vulnerabilidades que se pueden lanzar en su

16 • Empezar: Realizar una auditoría GFI LANguard Network Security Scanner

infraestructura de red. Aunque muchas de estas comprobaciones de vulnerabilidad se pueden lanzar sobre todos los ordenadores de la red, hay algunas comprobaciones 'especializadas' las cuales tienen un rol específico y por lo tanto sus resultados dependen de los servicios que están en marcha en ese ordenador(es) objetivo particular así como también del tipo de análisis de seguridad deseado que necesita realizar. Por ejemplo, las comprobaciones de vulnerabilidades CGI necesitan ser lanzadas solo cuando se analicen servidores Web. En GFI LANguard N.S.S. las comprobaciones de vulnerabilidad que se lanzarán contra un objetivo en un análisis de seguridad están especificadas en plantillas llamadas ‘Scanning Profiles’. Estos perfiles de análisis mantienen los 'parámetros/instrucciones del análisis' que el motor de análisis seguirá durante una auditoria de seguridad, es decir, las comprobaciones de vulnerabilidad que deberán ser ejecutadas contra los objetivos así como la información que se recogerá de de esos objetivos. Para más información acerca de los perfiles de análisis, refiérase al capítulo ‘Perfiles de Análisis' en este manual. Para análisis de seguridad bien balanceado utilice la opción ‘Default Scanning Profile’.

Credenciales de acceso para acceder al ordenador(es) objetivo Durante un análisis de seguridad, para algunos tipos de recogida de información/pruebas de vulnerabilidad, GFI LANguard N.S.S. necesita iniciarse remotamente en cada ordenador objetivo. Por defecto GFI LANguard N.S.S. utiliza el contexto de seguridad del usuario bajo el que está funcionando. También puede especificar credenciales de inicio alternativas para lanzar un análisis bajo un contexto de seguridad diferente del usuario actualmente iniciado. Aunque lo citado anteriormente debería ajustarse a la mayoría de necesidades de análisis usted puede encontrarse situaciones que se inicia en algunos ordenadores objetivo con una cuenta administrativa particular y sobre otros ordenadores objetivos con una cuenta administrativa totalmente diferente. Para satisfacer esta situación GFI LANguard N.S.S. le permite configurar perfiles de ordenador para objetivos diferentes que están localizados en su red. Utilice los perfiles de ordenador para indicar las credenciales de inicio usar cuando se inicie en un ordenador objetivo aun cuando un análisis de seguridad está corriendo bajo un contexto de seguridad diferente. Por ejemplo, puede usar los perfiles de ordenador para asegurarse que el ordenador FILESERVER se analiza siempre con la cuenta EMPRESA\fileserveradmin y que el ordenador WEBSERVER se analiza siempre con la cuenta EMPRESA\webserveradmin. Para más información sobre los perfiles de ordenador refiérase a la sección ‘Perfiles de Equipo’ el en capítulo ‘Configurar GFI LANguard N.S.S.’ en este manual.

Consideraciones importantes 1. Por favor tenga en cuenta que si su empresa lanza algún tipo de Software de Detección de Intrusos (IDS) durante el análisis, GFI


LANguard N.S.S. saltará una multitud de alertas IDS y alertas de intrusión en esas aplicaciones. Si usted no es el responsable del sistema IDS, asegúrese de informar a la persona al cargo sobre cualquier análisis de seguridad planeado. 2. Junto con las alertas del software IDS, debe ser consciente de que muchos de los análisis se mostrarán en los archivos de registro a todos los niveles. Registros UNIX, servidores web, etc. mostrarán los intentos de intrusión realizados por el del equipo LANguard Network Security Scanner. Si no es el único administrador de su sitio asegúrese que los otros administradores sean conscientes de los análisis que va a realizar.

Realizar un análisis de seguridad usando los ajustes por defecto Con una simple instalación, GFI LANguard N.S.S. incluye unos ajustes de configuración por defecto los cuales le permiten lanzar un análisis (básico) inmediato justo después de que termine la instalación. Para un análisis por defecto usted solo debe indicar que ordenador(es) objetivo desea auditar. Por defecto, GFI LANguard N.S.S.: • Se autenticará en los objetivos utilizando las credenciales de la

cuenta de usuario actualmente logado (es decir, las credenciales bajo las cuales está corriendo GFI LANguard N.S.S.).

• Utilizará una lista de comprobaciones de seguridad por defecto las cuales está preconfiguradas en el perfil de análisis 'Default'. Este es uno de los perfiles de análisis por defecto que se venden junto GFI LANguard N.S.S.

Para realizar su primer análisis, por favor hágalo como sigue: 1. Haga clic en File New.

Imagen 8 – Seleccionando el tipo de análisis de seguridad

2. Seleccione el tipo de análisis que desea realizar seleccionando una de las siguientes opciones: • Scan single computer… - Seleccione esta opción para analizar

un solo ordenador. • Scan range of Computers… – Seleccione esta opción para

analizar un rango de ordenadores específico. • Scan list of Computers… – Seleccione esta opción para analizar

una lista de ordenadores personalizada. • Scan a Domain… – Seleccione esta opción para analizar un

dominio Windows completo. NOTA: Por ahora, usted puede ignorar la opción Scheduled Scan. Esta opción se utiliza para configurar análisis de vulnerabilidad los


cuales se ejecutarán automáticamente en un día/hora específica. Los análisis programados se describen con más detalles en el capítulo ‘Configurar GFI LANguard N.S.S.’ en este manual.

Imagen 9 – Diálogos de opciones de Nuevo Análisis.

3. Especifique los detalles de los objetivos solicitados (es decir, nombre, IP, rango de IPs o nombre de dominio). 4. Haga clic en el botón OK para iniciar su análisis por defecto.

Sobre el proceso de análisis GFI LANguard Network Security iniciará el proceso de análisis primero identificando los objetivos que están disponibles para el análisis (es decir, los ordenadores objetivo que están encendidos y accesibles de la red). Esto se hace enviando automáticamente peticiones a los objetivos objetivo utilizando consultas NETBIOS, ping ICMP y consultas SNMP. Si un equipo objetivo no responde a esas consultas, GFI LANguard N.S.S. asumirá que ese dispositivo está actualmente apagado o que no existe en la dirección IP especificada. Por defecto, GFI LANguard N.S.S. NO analizará ordenadores objetivo que no respondan a las peticiones del análisis. Después que se establezca la conexión al ordenador objetivo, el motor de análisis ejecutará las comprobaciones de vulnerabilidad específicas o por defecto. Durante un análisis por defecto el motor de análisis ejecutará automáticamente una lista de comprobaciones de vulnerabilidad preconfiguradas y genéricas las cuales evaluarán múltiples áreas de su red por debilidades específicas. Más adelante aprenderá como lanzar comprobaciones más específicas


seleccionando, personalizando o creando diferentes perfiles de análisis.

Realizar un análisis usando diferentes (por defecto) perfiles de análisis

Aparte del perfil de análisis por defecto, GFI LANguard N.S.S. se entrega con una amplia lista de perfiles de análisis diferentes cada uno de los cuales está preconfigurado para realizar comprobaciones de vulnerabilidad específicas o más especializadas. La posibilidad de tener diferentes perfiles de análisis es para minimizar los cambios de configuración requeridos antes de todos los análisis utilizando plantillas de análisis de vulnerabilidad ya configuradas. Es este análisis de vulnerabilidad, especificará dos parámetros primarios: • Los objetivos que desea analizar. • El perfil de análisis (es decir, las comprobaciones/pruebas de

vulnerabilidad) que se lanzarán contra sus objetivos. Por defecto, GFI LANguard N.S.S. se autenticará en los objetivos utilizando las credenciales de la cuenta de usuario actualmente logado (es decir, las credenciales bajo las cuales está corriendo GFI LANguard N.S.S.). Para lanzar una auditoria de red usando un perfil de análisis diferente: 1. Haga clic en File New. 2. Seleccione el tipo de análisis que desea realizar (por ejemplo, Scan single computer). 3. Especifique los detalles de los objetivos solicitados (es decir, nombre, IP, rango de IPs o nombre de dominio).

Imagen 10 – Diálogo de Nuevo Análisis. Seleccionando un perfil de análisis diferente


4. Desde la lista desplegable 'Scan Profile' en la parte de abajo del diálogo, seleccione el perfil de análisis que se utilizará para este análisis de seguridad de red. Por ejemplo, seleccione ‘Missing Patches’ para realizar un análisis de red que compruebe y enumere los parches de Microsoft ausentes así como también los objetivos en los cuales faltan esos parches. 5. Haga clic en el botón OK para iniciar su análisis.

Realizar un análisis usando credenciales de inicio alternativas Cuando se realiza un análisis de seguridad GFI LANguard N.S.S. debe autenticarse en el equipo(s) objetivo. Esto se requiere para que el motor de análisis tenga habilitados los permisos para ejecutar las comprobaciones de vulnerabilidad configuradas contra el objetivo y obtener la información del sistema requerida. GFI LANguard N.S.S. se autentica en los objetivos logándose ‘físicamente’ en el ordenador(es) utilizando las credenciales de una cuenta con derechos administrativos. Esta no necesita ser obligatoriamente una cuenta de Administrador del Dominio o Administrador de la Empresa, sin embargo esta cuenta de usuario necesita tener privilegios administrativos en el equipo(s) objetivo. Sistemas diferentes a menudo requieren diferentes métodos de autenticación. Por ejemplo, los sistemas Linux a menudo piden un fichero de clave privada en lugar de la contraseña convencional. GFI LANguard N.S.S soporta ambos métodos. Para más información sobre los métodos de autenticación refiérase a la sección ‘Perfiles de Equipo’’ el en capítulo ‘Configurar GFI LANguard N.S.S.’ en este manual. Para lanzar una auditoría de seguridad usando credenciales de inicio específicas:

Imagen 11 – Barra de herramientas de nuevo análisis de GFI LANguard N.S.S.: Lista desplegable de métodos de autenticación

1. Desde la lista desplegable de credenciales en la barra de herramientas de GFI LANguard N.S.S., especifique el método de autenticación a usar en esta auditoría de seguridad seleccionando una de las siguientes opciones: • ‘Currently Logged-On User’ – Seleccione esta opción para

autenticarse en los equipos objetivo utilizando las credenciales de cuenta Windows NT (es decir, usando la cuenta bajo la que esta corriendo GFI LANguard N.S.S.).

• ‘Null Session’ – Seleccione esta opción intentar conectar a los equipos objetivo sin autenticación. Des esta forma, puede


identificar a que información pueden acceder usuarios no autenticados (internos/externos).

• ‘Alternative credentials’ – Seleccione esta opción para autenticarse a los equipos objetivo utilizando credenciales específicas. Especifique esas credenciales en los campos provistos ‘Username' y ‘Password’ al lado de esta lista desplegable.

• ‘SSH Private Key’ – Seleccione esta opción para autenticarse en equipos basados en Linux utilizando un nombre de usuario y un fichero de clave privada en lugar de la contraseña (es decir, a través de autenticación de Clave Pública). NOTA: Para más información sobre autenticación de Clave Pública refiérase a la sección ‘Sobre el fichero SSH de Clave Privada’ el en capítulo ‘Configurar GFI LANguard N.S.S.’ en este manual.

2. Haga clic en File New. 3. Seleccione el tipo de análisis que desea realizar (por ejemplo, Scan single computer). 4. Especifique los detalles de los objetivos solicitados (es decir, nombre, IP, rango de IPs o nombre de dominio). 5. Desde la lista desplegable 'Scan Profile' en la parte de abajo del diálogo, seleccione el perfil de análisis que se utilizará para este análisis de seguridad de red. 6. Haga clic en el botón OK para iniciar su análisis.

Iniciar análisis de seguridad directamente desde la barra de herramientas

Para lanzar una auditoría de seguridad de res desde la barra de herramientas:

Imagen 12 – Barra de herramientas de nuevo análisis de GFI LANguard N.S.S.

1. Desde la lista desplegable de credenciales en la barra de herramientas de GFI LANguard N.S.S., seleccione el método de autenticación a usar y si es necesario especifique las credenciales respectivas en los campos adyacentes.

Imagen 13 – Barra de herramientas de detalles de objetivo de GFI LANguard N.S.S.


2. En la lista desplegable 'Scan Target' de abajo, especifique los objetivos que se analizarán (por ejemplo, TMJason, 130.12.1.20-130.12.1.30, etc.). 3. Desde la lista desplegable ‘Profile’ seleccione el perfil de análisis que se utilizará para este análisis de seguridad de red. 4. Haga clic en el botón Scan para iniciar su análisis de vulnerabilidad de red.

GFI LANguard Network Security Scanner Empezar: Analizar los resultados del análisis de seguridad • 23

Empezar: Analizar los resultados del análisis de seguridad

Introducción Después de que se complete un análisis de seguridad, GFI LANguard N.S.S. genera y muestra los resultados del análisis en una ventana dedicada dentro del interfaz de configuración. Los resultados del análisis están organizados por tipo en diferentes categorías. La cantidad de categorías de resultados y el tipo de información recogida durante un análisis de seguridad depende enteramente del tipo de comprobaciones que han sido lanzadas contra los objetivos así como también de los parámetros que han sido configurados en el perfil de análisis que se ha usado durante la auditoría. Por lo tanto, usted obtendrá por supuesto diferentes categorías de resultados del análisis por cada perfil de análisis diferente que utilice para auditar su red. Para más información acerca de los perfiles de análisis refiérase a la sección ‘Perfiles de Análisis' más adelante en este manual. También puede lanzar filtros en sus resultados del análisis y mostrar solo los detalles del resultado del análisis específicos. Esto se consigue aplicando ‘Scan Filtres' a esta información. Para más información acerca de los filtros de análisis, refiérase al capítulo ‘Filtrar los resultados del análisis’ en este manual.

24 • Empezar: Analizar los resultados del análisis de seguridad GFI LANguard Network Security Scanner

Analizar los resultados del análisis

Imagen 14 – Interfaz de configuración de GFI LANguard N.S.S.: Analizando los resultados del análisis

Utilice la información presentada en la sección ‘Scanned computers’ (panel del medio) para navegar por los resultados de los ordenadores analizados. Los resultados del análisis de seguridad están organizados en un número de sub-nodos de categoría. Estoa pueden ser fácilmente usados para investigar e identificar los problemas de seguridad en los objetivos analizados. Los resultados del análisis están organizados en las siguientes categorías: • Vulnerabilidades • Vulnerabilidades potenciales • Shares • Aplicaicones • Dispositvos de red • Dispositivos USB • Directiva de contraseñas • Directiva de auditoría de seguridad • Registro • Puertos TCP abiertos • System patching status • Nombres NETBIOS • Equipo • Grupos • Usuarios • Usuarios logados


• Sesiones • Servicios • Procesos • Time of day remoto (TOD) • Unidades locales Para ver los datos de los resultados del análisis recogidos durante un análisis de seguridad, haga clic en la categoría de interés. La información se muestra en el panel ‘Scan Results’ (a la derecha).

Vulnerabilidades

Imagen 15 – El nodo de Vulnerabilidades

Haga clic en el sub-nodo Vulnerabilities para ver las vulnerabilidades de seguridad identificadas en el equipo objetivo. Las vulnerabilidades se agrupan por tipo y gravedad en cinco categorías principales: • Service packs ausentes • Parches ausentes • Vulnerabilidades de seguridad altas • Vulnerabilidades de seguridad medias • Vulnerabilidades de seguridad bajas

Vulnerabilidades Service packs ausentes Un Service Pack (SP) es un programa de software que corrige un conjunto de defectos conocidos o añade nuevas características a sistemas operativos y aplicaciones GFI LANguard N.S.S. comprueba por actualizaciones de software de Microsoft ausentes comparando la versión actualmente instalada de los service packs en los ordenadores objetivo con los mismos realizados actualmente disponibles por el fabricante.


Imagen 16 – Árbol de resudados de Service Packs Ausentes

NOTA: GFI LANguard N.S.S. es capaz de comprobar las actualizaciones de software ausentes y service packs en varios productos Microsoft. Para una lista completa de productos soportados vaya a http://kbase.gfi.com/showarticle.asp?id=KBID002573. Los detalles mostrados en el árbol de resultados de esta categoría incluyen: • ‘Product name’ y ‘Service Pack Number'. • ‘URL:’ El enlace URL al artículo de la Base de Conocimiento

o a otra documentación de soporte relacionada con el service pack ausente detectado.

• ‘Release date:’ La fecha de liberación del service pack reportado.

Para acceder a información más detallada del service pack ausente, haga clic derecho sobre el service pack en particular y seleccione More details ….

Imagen 17 – Service pack ausente: Diálogo de información del boletín

Esto levantará el diálogo 'Bulletin Info' del respectivo service pack. La información mostrada en este boletín incluye: • El QNumber. Este es un número ID único que se asigna por

Microsoft a cada actualización de software para propósitos de identificación.

• La fecha de liberación del boletín/service pack. • Una descripción larga del service pack y sus contenidos. • La lista de SO/Aplicaciones a los que se aplica el service pack.


• El enlace URL a más información acerca del service pack respectivo.

• El nombre del archivo del service pack y el tamaño del archivo relativo.

• La URL desde donde puede descargar manualmente ese service pack.

Vulnerabilidades Parches ausentes Un parche es una actualización que se ha liberado por una compañía de software para contrarrestar un problema técnico/de seguridad. Es muy común por los atacantes explotar estas vulnerabilidades conocidas para obtener acceso a la red. Dejar de parchear los sistemas objetivos le hace vulnerable a un ataque con un resultado de pérdida de tiempo de negocio y/o datos. GFI LANguard N.S.S. analiza los ordenadores objetivo para asegurarse que todas las actualizaciones de seguridad relevantes liberadas por Microsoft están instaladas.

Imagen 18 – Parches ausentes detectados durante el análisis del objetivo

Los parches ausentes descubiertos durante el análisis de un objetivo se listan bajo la categoría 'Missing Patches'. Los detalles mostrados en el árbol de resultados de esta categoría incluyen: • ‘Patch ID’ y ‘Product name’. • ‘Bugtraq ID/URL:’ El ID y la URL del artículo de la Base de

Conocimiento de Microsoft respectivo. • ‘Severity:’ – El efecto que el parche tiene sobre el nivel de

seguridad de un dispositivo de red. • ‘Date Posted:’ – La fecha de liberación del parche ausente. Para acceder a información más detallada, haga clic derecho sobre parche particular y seleccione More details....Esto levantará el


diálogo 'Bulletin Info' que contiene detalles adicionales del parche de software respectivo. NOTA: GFI LANguard N.S.S. es capaz de comprobar las actualizaciones de software ausentes y service packs en varios productos Microsoft. Para una lista completa de productos soportados vaya a http://kbase.gfi.com/showarticle.asp?id=KBID002573.

Vulnerabilidades Vulnerabilidades seguridad alta, media y baja

Imagen 19 -Error! No sequence specified. Vulnerabilidades seguridad alta, media y baja

Los sub-nodos 'High', 'Medium' y ‘Low security vulnerabilities’ contienen información acerca de debilidades descubiertas durante la prueba de un dispositivo de red. Estas vulnerabilidades se organizan en 8 grupos: • Abusos CGI. • Vulnerabilidades.FTP. • Vulnerabilidades DNS. • Vulnerabilidades de correo. • Vulnerabilidades RCP. • Vulnerabilidades de Servicio. • Vulnerabilidades de Registro. • Vulnerabilidades Misc/Linux/UNIX. El contenido de cada grupo se describa abajo:

• Abusos CGI Este grupo contiene detalles de vulnerabilidades de seguridad (tales como problemas de desconfiguración) descubiertos en servidores web analizados. Los servidores web soportados incluyen Apache, Netscape, y Microsoft I.I.S. La información listada en esta sección incluye: o ‘Vulnerability check name’ (por ejemplo, Imported_IIS:

FrontPage Check)


o ‘Description:’ – Una descripción corta de la vulnerabilidad respectiva.

o ‘Bugtraq ID/URL:’ – El ID del artículo(s) de la Base de Conocimiento de Microsoft relevante y la URL para más información sobre la vulnerabilidad.

• Vulnerabilidades FTP, DNS, Correo, RPC y Misc/Linux/UNIX Estos grupos incluyen detalles de la debilidades de seguridad descubiertas durante el análisis de objetivos de red particulares tales como servidores FTP, servidores DNS, y servidores de correo SMTP/POP3/IMAP. La información mostrada en estas secciones incluyen los enlaces a los artículos de la Base de Conocimiento de Microsoft u otra documentación de soporte relacionada con la vulnerabilidad.

• Vulnerabilidades de servicio Este grupo incluye detalles de vulnerabilidades de seguridad asociadas a servicios que están funcionando en los dispositivos de red analizados. Otros detalles enumerados en esta sección incluyen cuentas no utilizadas que siguen estando activas y accesibles en los ordenadores objetivo analizados.

• Vulnerabilidades de Registro. Este grupo incluye detalles de las vulnerabilidades descubiertas en los ajustes del registro de un dispositivo de red analizado. Los detalles mostrados en esta categoría incluyen enlaces a documentación de soporte así como una descripción corta de la vulnerabilidad respectiva.

Vulnerabilidades potenciales

Imagen 20 – El nodo de vulnerabilidades potenciales


Haga clic en el sub-nodo Potential vulnerabilities para ver los elementos del análisis de resultados que son clasificados como posibles debilidades de red. Estos elementos del resultado del análisis, a pesar de que no están clasificados como vulnerabilidades, requieren su meticulosa atención dado que pueden ser explotados durante un ataque por usuarios malintencionados. Por ejemplo, durante un análisis de seguridad GFI LANguard N.S.S. enumerará todos los módems que están instalados y configurados en el ordenador objetivo. Si estos módems no están en uso o conectados a la línea de teléfono, no son una amenaza para su red (es decir, no es una vulnerabilidad). Por otro lado, si estos módems están en uso y conectados se pueden usar por sus usuarios de red para obtener acceso no autorizado y no monitorizado a Internet. Esto podría mas adelante permitirles saltarse su firewall y otros cualesquiera ajustes de seguridad de Internet implementados (por ejemplo, análisis de virus, clasificación de sitios y bloqueo de contenido) así como también generar altas facturas telefónicas a la compañía. En adición a lo de arriba, los hackers podrían detectar tales conexiones y sacar provecho de ellas para obtener acceso no controlado a su sistema de la red a través de esta ruta no monitorizada. Como resultado, GFI LANguard N.S.S. considera a los módems instalados como potenciales amenazas y los enumera en una categoría dedicada (es decir, el sub-nodo 'Potential Vulnerability') para su atención y análisis.

Recursos compartidos abiertos Haga clic en el sub-nodo Shares para ver todos los recursos compartidos en un ordenador objetivo.

Imagen 21 – Nodo Shares

En libertad hay varios gusanos y virus (por ejemplo, Klez, Bugbear, Elkern y Lovgate) que se dispersan utilizando recursos compartidos abiertos detectados en los ordenadores de la red.


GFI LANguard N.S.S. enumera las propiedades de todos los recursos compartidos descubiertos en su red. Utilice estos datos para asegurarse que: 1. Ningún usuario está compartiendo todos sus discos duros con otros usuarios. 2. No está permitido el acceso anónimo/sin autenticar a los recursos y que están establecidos los permisos de acceso apropiados. 3. Las carpetas de inicio del sistema o archivos del sistema similares no están compartidos ya que estas podrían permitir a usuarios con pocos privilegios ejecutar código en ordenadores objetivo. 4. Ningún usuario tiene recursos compartidos innecesarios o sin uso. Por cada recurso compartido abierto detectado la siguiente información se recoge del ordenador objetivo: • El nombre del recurso compartido • El directorio que es compartido en el ordenador objetivo • Permisos del recurso compartido y derechos de acceso • Permisos y derechos de acceso NTFS NOTA: Todos los ordenadores Windows tiene recursos compartidos administrativos (C$, D$, E$ etc) los cuales GFI LANguard N.S.S. por defecto enumerará durante el análisis del ordenador objetivo. Como estos pueden ser irrelevantes para su auditoría de seguridad usted puede configurar GFI LANguard N.S.S. para que no reporte tales recursos administrativos. Para más información sobre como realizar esto refiérase a la sección ‘Personalizar los parámetros de Obtención de Datos del SO' en el capítulo 'Perfiles de Análisis’ en este manual.

Ajustes de directiva de contraseñas

Imagen 22 – El nodo Password policy

Haga clic en el sub-nodo Password Policy para ver los ajustes de la directiva de contraseñas del ordenador(es) objetivo analizado. Las políticas de seguridad de Windows 2000/XP/2003 proveen un conjunto de reglas que se pueden configurar para todas las cuentas


de usuario para protegerle contra ataques de adivinación de contraseñas por fuerza bruta. Tales políticas incluyen las políticas de control de bloqueo así como políticas de aplicación de dureza de contraseñas. Estas son esenciales para la aplicación de una red segura tal y como hacen muy difícil para un atacante localizar un enlace débil en base a su usuario. Las vulnerabilidades típicas en una infraestructura de TI incluyen contraseñas débiles las cuales se hacen con pocos caracteres por ejemplo, contraseñas en blanco o por defecto, o contraseñas iguales al nombre de usuario. Utilice la directiva de contraseñas que obtiene GFI LANguard N.S.S. de los ordenadores objetivo analizados para identificar vulnerabilidades de configuración en su red.

Ajustes del Registro Haga clic en el sub-nodo Registry para ver los valores de importantes claves del registro configurado en su ordenador objetivo.

Imagen 23 – Nodo Registry

Examinando los valores en el nodo Run, puede comprobar que programas están configurados para iniciarse automáticamente al inicio del sistema. Esta información le permite identificar Troyanos, aplicaciones autorizadas o no autorizadas así como también aplicaciones válidas que pueden proveer acceso remoto a su red. Cualquier tipo de software que esté funcionando sin su orden expresa desde el menú inicio debe ser anotado y comprobado por su validez. No hacerlo puede proveer una oportunidad de entrada a su sistema.

Ajustes de la directiva de auditoría de seguridad Haga clic en el sub-nodo Security Audit Policy para ver los ajustes de la directiva de auditoría de seguridad configurada en un ordenador objetivo analizado.


Una parte importante de cualquier plan de seguridad es la posibilidad de monitorizar y auditar los sucesos que ocurren en su red. Estos registros de sucesos están frecuentemente indicados para identificar agujeros o brechas de seguridad. Identificando los intentos e impidiéndoles convertirse en brechas de su sistema de seguridad es crítico En Windows, puede utilizar las ‘Políticas de Grupo’ para establecer una directiva de auditoría que pueda rastrear las actividades del usuario o los eventos del sistema en registros específicos. Mientras analiza, GFI LANguard N.S.S. extrae los ajustes de la directiva de auditoría de seguridad actualmente configurada del equipo(s) objetivo. Utilice esta información para identificar si las políticas de auditoría están configuradas correctamente en sus equipos de red. GFI recomienda que configure los ajustes de la política de auditoría de sus equipos de la red como sigue:

Directiva de Auditoría Correcto Error Auditar sucesos de inicio de sesión Si Si

Administración de cuentas Si Si Acceso del servicio de directorio Si Si

Sucesos de inicio de sesión de cuenta Si Si

Acceso a objetos Si Si Cambio de directivas Si Si Uso de privilegios No No Seguimiento de procesos No No Sucesos del sistema Si Si

También puede configurar remotamente los ajustes de la política de auditoría de los equipos objetivo directamente desde el interfaz de configuración de GFI LANguard N.S.S. Esto se hace como sigue: 1. Desde el panel ’Scanned Computers’ (en el centro), haga clic derecho sobre el equipo objetivo respectivo y seleccione Enable auditing on This computer. Esto lanzará el ‘Asistente de Administración de la Política de Auditoría’. Haga clic en Next para proceder con la configuración. NOTA 1: Para configurar remotamente las políticas de auditoría en una selección de equipos objetivo, haga clic derecho sobre cualquier ordenador objetivo (que está listado en panel del medio) y seleccione Enable auditing on Selected computers. NOTA 2: Para configurar las políticas de auditoría en todos los equipos de listados en el panel 'Scanned Computers' (en el medio), haga clic derecho sobre cualquier equipo objetivo y seleccione Enable auditing on All computers.


Imagen 24 – El asistente de Administración de la Política de Auditoría

2. Seleccione/deseleccione las casillas de verificación de las políticas de auditoría que desee ajustar en los equipos objetivo seleccionados. Por ejemplo, para registrar los sucesos correctos, seleccione la casilla de verificación ‘Successful’ de la política de auditoría correspondiente. Haga clic en Next para iniciar el proceso de configuración de la política de auditoría en el equipo(s) objetivo remoto.

Imagen 25 - Diálogo de resultados del asistente de directiva de auditoría


3. Se mostrará ahora un diálogo que muestra los resultados de la configuración de la política de auditoría. Haga clic en Next para proceder con la última etapa del procedo de configuración. 4. Haga clic en Finish para cerrar el 'Asistente de Administración de la Política de Auditoría'.

Puertos abiertos Haga clic en el sub-nodo Open Ports para ver una lista de puertos que son detectados como abiertos para escuchar en un ordenador objetivo analizado.

Imagen 26 – El nodo Open TCP ports

Los puertos abiertos representan servicios activos y aplicaciones que pueden ser explotados por usuarios malintencionados para obtener acceso al ordenador. Es muy importante dejar sólo los puertos que usted sabe que son necesarios par alas funciones centrales/básicas de sus servicios de red. Todos los demás puertos se deben cerrar. Por defecto GFI LANguard N.S.S. está configurado para usar el 'Perfil de Análisis por Defecto'. A través del uso de ese perfil de análisis, no se comprueban los 65535 puertos TCP y UDP ya que esto podría tardar mucho tiempo en completarse por cada ordenador objetivo. Cuando utilice el ‘Perfil de Análisis Default', GFI LANguard N.S.S. realiza comprobaciones en los puertos más comúnmente explotados por los hackers, virus, spyware y malware. Use el perfil de análisis 'Full TCP y UDP Port Scan’ para lanzar un comprobación íntegra de los puertos abiertos en todos los objetivos. Para más información sobre como lanzar auditorías de seguridad utilizando diferentes perfiles de análisis refiérase a la sección ‘Perfiles de análisis en acción' del capítulo 'Perfiles de Análisis' en este manual. Para más información sobre como personalizar un perfil de análisis refiérase a la sección ‘Crear un nuevo perfil de análisis’ en el capítulo ‘Perfiles de Análisis’ en este manual.


Impresión digital de los servicios Además de detectar si el puerto está o no abierto, GFI LANguard N.S.S. utiliza tecnología de reconocimiento de la impresión digital de los servicios para analizar los servicios que están funcionando tras los puertos abiertos detectados. Mediante el reconocimiento de los servicios puede asegurar que no tiene lugar un secuestro del puerto. Por ejemplo, puede verificar que tras el puerto 21 de un equipo concreto hay un servidor FTP funcionando y no un servidor HTTP.

Información de puerto peligroso

Imagen 27 – Resultados del Análisis: Los puertos peligrosos están marcados en ROJO

Cuando un puerto comúnmente explotado es encontrado abierto, GFI LANguard N.S.S., le marcará en rojo. Hay que tener cuidado si un puertos es mostrado en rojo, esto no significa que es al 100% un backdoor. Actualmente con la variedad de software lanzado es muy común que un programa válido utilice los mismo puertos que algunos Troyanos conocidos.

Usuarios y grupos Haga clic en el sub-nodo Users para ver todas las cuentas de usuario locales en el ordenador objetivo(s). Haga clic en el sub-nodo

Groups para ver todos los grupos locales en el ordenador objetivo(s) analizado. ¡Utilice esta información para identificar usuarios y grupos granujas o inutilizados que pueden permitir el acceso a visitantes desautorizados! Estos incluyen la cuenta 'Invitado' y otros usuarios y grupos en desuso u obsoletos. Algunos backdoors re-habilitan la cuenta 'Invitado' y la conceden derechos administrativos. Utilice los detalles enumerados en el sub-nodo Users de los resultados del análisis para inspeccionar los privilegios de acceso asignados a cada cuenta de usuario. NOTA: Los usuarios no deberían utilizar cuentas locales para iniciar sesión en un ordenador de red. Para mejor seguridad, los usuarios deberían iniciar sesión en los ordenadores de red utilizando una cuenta de ‘Dominio’ o 'Directorio Activo’.


Usuarios logados Haga clic en el sub-nodo Logged on Users para acceder a la lista de usuarios que están logados localmente (vía inicio de sesión interactivo) o remotamente (vía conexión remota de red) en el ordenador objetivo analizado.

Imagen 28 – Nodo usuarios logados

Por cada usuario logado detectado, se recoge la siguiente información (dependiendo de la aplicabilidad). • Nombre de usuario logado • ‘Time and Date of the Logon’ – La hora y fecha cuando el

usuario se ha logado en el ordenador objetivo. • ‘Time elapsed since their logon’ – Cuanto tiempo el usuario a

estado logado en este ordenador. • ‘Number of programs running’ – El número de programas que el

usuario logado interactivamente ha lanzado a la hora del análisis. • ‘Idle time’ – Cuanto tiempo ha estado inactiva la conexión

remota del usuario (es decir, completamente inactiva). • ‘Client type’ – La plataforma/sistema operativo que el usuario

remoto utilizó para conectar al equipo objetivo. • ‘Transport’ – El nombre del servicio que se ha usado para

iniciar la conexión remota entre el ordenador remoto y el ordenador objetivo (por ejemplo, NetBios.Smb, Terminal Service, Escritorio Remoto).

Servicios en marcha Haga clic en el sub-nodo Services para acceder a la lista de servicios que están en marcha en el equipo(s) objetivo durante el análisis de seguridad. Utilice esta información para identificar los procesos en marcha desconocidos/innecesarios es su equipo(s) de red.


NOTA: Cada servicio en marcha puede ser un potencial punto flaco de la seguridad en su sistema de red. Por esta razón, nosotros recomendamos que cierre/deshabilite todas las aplicaciones y servicios que estén funcionando en su red. Este ejercicio endurece automáticamente su red reduciendo los puntos de entrada a través de los cuales un atacante puede penetrar en su sistema.

Procesos remotos en marcha Haga clic en el sub-nodo Remote Proceses para acceder a la lista de procesos que están en marcha en el equipo objetivo durante un análisis.

Imagen 29 – Lista de procesos en marcha enumerados durante un análisis.

Durante el análisis de seguridad, GFI LANguard N.S.S. recoge información varia en los procesos que están en marcha en los equipos objetivo analizados. Los detalles enumerados durante el análisis de seguridad incluyen: • Nombre del Proceso • ID del Proceso • Ruta • Usuario • PPID • Dominio • Línea de Comando • Handle Count • Thread Count • Prioridad.


Aplicaciones instaladas

Imagen 30 – Lista de aplicaciones instaladas enumerados durante un análisis de ordenador.

Haga clic sobre el sub-nodo Applications para acceder a la lista completa de aplicaciones que están instaladas en un ordenador objetivo analizado. Las aplicaciones descubiertas están organizadas en tres grupos: • Aplicaciones antivirus • Aplicaciones antispyware • Aplicaciones generales. Los grupos de aplicaciones antivirus y aplicaciones antispyware contienen la lista de aplicaciones de seguridad instaladas en un ordenador objetivo analizado. Los detalles enumerados en estos grupos incluyen: • Nombre de la aplicación. • ‘Real time protection:’ – Indica si la protección en tiempo real

esta habilitada o deshabilitadas en una aplicación antivirus. • ‘Up to date:’ – Indica si los archivos de firmas del

antivirus/antispyware de una aplicación de seguridad están actualizados. Esto se logra comprobando (donde sea aplicable) el indicador de estado de fichero de firmas en una aplicación.

• ‘Last update:’ – Muestra la fecha y la hora de la última actualización de firmas de antivirus/antispyware.

• ‘Version:’ – Muestra el número de versión de la aplicación de seguridad.

• ‘Publisher:’ – Muestra los detalles del fabricante. El grupo de Aplicaciones generales contiene la lista de aplicaciones de propósito general instaladas en un ordenador objetivo analizado. Estas incluyen todos los programas de software que no están clasificados como productos antivirus o antispyware tales como Adobe Acrobat Reader y GFI LANguard Network Security Scanner.


Los detalles enumerados en el grupo de Aplicaciones Generales incluyen: • Nombre de la aplicación. • ‘Version:’ – Muestra el número de versión de la aplicación. • ‘Publisher:’ – Muestra los detalles del fabricante.

Dispositivos de red Haga clic en el sub-nodo Network Devices para acceder a la lista de dispositivos/componentes de red (por ejemplo, tarjetas de red cableadas e inalámbricas) que están instaladas en un ordenador objetivo analizado. Utilice esta información para analizar e identificar dispositivos no autorizados conectados en su red. Los dispositivos de red, especialmente los inalámbricos, se convierten en una fuente principal de fuga de información en las organizaciones. ¡Se debe tener especial cuidado para asegurar que solo están conectados dispositivos inalámbricos autorizados en su infraestructura de red!

Imagen 31 – Dispositivos de red enumerados durante una sesión de análisis de seguridad

GFI LANguard N.S.S. identifica todos los dispositivos de su red incluyendo los físicos e inalámbricos. La información enumerada en el sub-nodo Network Devices está organizada en cuatro grupos principales: • Dispositivos físicos (Con cable) • Dispositivos inalámbricos • Dispositivos virtuales • Dispositivos Software Cada grupo incluye varios detalles sobre el dispositivo detectado incluyendo: • Dirección MAC


• Dirección(es) IP Asignadas • Anfitrión (Host) • Dominio • Datos DHCP • WEP (donde esté disponible) • SSID (donde esté disponible) • Gateway • Estado.

Dispositivos USB

Imagen 32 - Lista de dispositivos USB detectados en un objetivo analizado

Haga clic en el sub-nodo USB Devices para acceder a la lista de dispositivos USB conectados al ordenador(es) objetivo. Use la información recogida en este sub-nodo para identificar dispositivos USB no autorizados conectados actualmente al ordenador(es) objetivo analizado. Estos dispositivos no autorizados pueden incluir dispositivos de almacenamiento portátil tales como el Apple iPod, o Creative Zen así como también dispositivos inalámbricos USB y llaves Bluetooth.


Información de los dispositivos no autorizados como vulnerabilidades de alta seguridad.

Imagen 33 - Dispositivo USB peligroso clasificado como una Vulnerabilidad de Alta Seguridad

GFI LANguard N.S.S se puede configurar para distinguir entre dispositivos USB autorizados y no autorizados. Para más información, refiérase a la sección ‘Hacer una lista de dispositivos de red no autorizados' en el capítulo 'Perfiles de Análisis' en este manual.

Estado de parcheo de errores del sistema.

Imagen 34 – La lista de parches ausentes e instalados enumerados durante el análisis de un ordenador objetivo

Haga clic sobre el nodo System patching status para una visión general del estado de parcheo de un ordenador objetivo.

Nombres NETBIOS Haga clic en el sub-nodo NETBIOS names para acceder a la lista de nombres NetBIOS enumerados durante un análisis de un ordenador objetivo.


Cada ordenador en una red tiene un único nombre NetBIOS. El nombre NetBIOS es una dirección de 16 bytes que permite identificar los recursos NetBIOS en la red. Los nombres NETBIOS se mapean satisfactoriamente a una dirección IP utilizando resolución de nombre NetBIOS. Durante el proceso de detección, GFI LANguard N.S.S. consulta la identidad y disponibilidad de un ordenador de red objetivo usando NetBIOS. Si esta disponible, el ordenador objetivo responderá a la petición enviando el nombre NetBIOS respectivo.

Detalles del ordenador objetivo analizado

Imagen 35 – El nodo Computer

Haga clic en el sub-nodo Computer para acceder a detalles particulares sobre el ordenador objetivo analizado. Los detalles enumerados en este nodo incluyen: • ‘MAC:’ – Muestra la dirección MAC de la tarjeta de red que el

ordenador objetivo está usando para conectarse a la red. • ‘Time To Live (TTL):’ – Muestra el máximo número de saltos de

red permitidos antes que un paquete de datos expire/se descarte. En base a este valor, puede identificar la distancia (es decir, el número de saltos del enrutador) entre el ordenador corriendo GFI LANguard N.S.S. y el ordenador objetivo recientemente analizado. Los valores TTL típicos abarcan 32, 64, 128 y 255.

• ‘Network Role:’ – Denota si el ordenador objetivo analizado es una Estación de trabajo o un Servidor.

• ‘Domain:’ – Indica los detalles del dominio/grupo de trabajo. Cuando se analizan objetivos que son parte de un dominio, este campo muestra la lista de dominios de confianza. Si el ordenador objetivo analizado no es parte de un dominio, este campo mostrará el nombre del respectivo Grupo de Trabajo.


• ‘LAN Manager:’ – Muestra el tipo de sistema operativo y LAN Manager en uso (por ejemplo, Windows 2000 LAN Manager).

• ‘Language:’ – Muestra el idioma configurado en el ordenador objetivo analizado (por ejemplo, Inglés).

Sesiones activas

Imagen 36 – El nodo Sessions

Haga clic en el sub-nodo Sessions para acceder a la lista de sistemas que están conectados remotamente al ordenador objetivo durante el análisis. Los detalles mostrados en este sub-nodo incluyen: • ‘Computer:’ – La Dirección IP del sistema que está conectado

remotamente al ordenador objetivo analizado. • ‘Username:’ – El usuario logado. • ‘Open files:’ – El número de archivos accedidos durante la

sesión. • ‘Connection time:’ – La duración de la sesión, es decir, el

tiempo (en segundos) que el usuario ha estado conectado remotamente al ordenador objetivo analizado.

• ‘Idle Time:’ – El tiempo total (en segundos) durante el cual la conexión ha estado inactiva.

• ‘Client type’ – La plataforma/sistema operativo que el ordenador logado remotamente (es decir, el ordenador cliente) está corriendo.

• ‘Transport’ – El nombre del servicio que se ha usado para iniciar la conexión remota entre el ordenador cliente y el ordenador objetivo (por ejemplo, NetBios.Smb).

NOTA: LA información enumerada en este sub-nodo también incluye los detalles de la conexión remota de la sesión de análisis recién realizada por GFI LANguard N.S.S., es decir, la IP del ordenador


donde está funcionando GFI LANguard N.S.S., las credenciales de inicio, etc.

Hora del día remota Haga clic en el sub-nodo Remote TOD (time of the day) para ver la hora de la red que se ha leído del ordenador objetivo durante en análisis. Esta hora se establece generalmente en los equipos de red por el controlador de dominio respectivo.

Unidades locales Haga clic sobre el sub-nodo Local Drives para ver la lista completa de unidades físicas que están accesibles en el ordenador objetivo analizado. La información enumerada en este sub-nodo incluye la letra de unidad, el espacio en disco total y el espacio en disco disponible.

GFI LANguard Network Security Scanner Guardar y cargar resultados de análisis • 47

Guardar y cargar resultados de análisis

Introducción Por defecto, GFI LANguard N.S.S. guarda automáticamente los resultados del análisis en una base de datos de respaldo Microsoft Access o Microsoft SQL Server. Sin embargo, a través de una configuración posterior también puede guardar los resultados del análisis en un archivo XML externo. Los resultados de análisis guardados se pueden re-cargar desde ficheros XML y la base de datos de respaldo en el interfaz de usuario de GFI LANguard N.S.S. para un procesamiento posterior. Por ejemplo, puede recargar los resultados del análisis para comparar o para implementar parches ausentes ya descubiertos en objetivos particulares sin re-analizar el sistema de la red.

Guardar resultados de análisis en un archivo externo (XML) Una vez GFI LANguard N.S.S. completa un análisis de seguridad, los resultados se guardan automáticamente en la base de datos de respaldo. Para guardar estos resultados en un archivo XML externo: 1. Vaya a File Save scan results… 2. Indique el nombre del fichero XML donde se almacenarán los resultados (por ejemplo, ScanResult_11052006.xml). 3. Haga clic en Save.

48 • Guardar y cargar resultados de análisis GFI LANguard Network Security Scanner

Cargar resultados de análisis guardados

Cargar análisis guardados desde base de datos de respaldo

Imagen 37 – Resultados de análisis recargados

GFI LANguard N.S.S. puede almacenar los resultados de análisis en una base de datos de respaldo Microsoft Access o Microsoft SQL Server. En el mismo fichero de base de datos, por defecto, GFI LANguard N.S.S. guardará los resultados de análisis de los 10 últimos análisis realizados al mismo objetivo con el mismo perfil de análisis. NOTA: Puede cambiar el número de resultados de análisis guardados desde el nodo Database Maintenance a través de la pestaña Manage Saved Scan Results. Para más información refiérase a la sección ‘Administrar los resultados de análisis guardados' en el capítulo 'Opciones de Mantenimiento de la Base de Datos’. Para cargar resultados del análisis guardados desde la base de datos de respaldo: 1. Haga clic derecho sobre el nodo Security Scanner (default) y seleccione Load saved scan results from… Database. Esto abrirá el diálogo de resultados de análisis guardados.

GFI LANguard Network Security Scanner Guardar y cargar resultados de análisis • 49

Imagen 38 – Diálogo Resultados de Análisis Guardados

2. Seleccione los resultados de análisis que desee cargar. 3. Haga clic en OK.

Cargar resultados de análisis guardados desde un archivo externo (XML) Para cargar resultados de análisis guardados desde un archivo XML externo: 1. Haga clic derecho sobre el nodo Security Scanner (default) y seleccione Load saved scan results from… XML…. Esto abrirá el diálogo de resultados de análisis XML guardados. 2. Seleccione los resultados de análisis que desee cargar. 3. Haga clic en OK.

GFI LANguard Network Security Scanner Filtrar los resultados del análisis • 51

Filtrar los resultados del análisis

Introducción Después de un análisis de seguridad, usted puede filtrar los resultados del análisis y solo mostrar la información que desee analizar. Por ejemplo, puede filtrar la información recogida durante un análisis y solo mostrar los detalles relativos a equipos con vulnerabilidades de seguridad altas.

Imagen 39 – Nodos de filtros de análisis

Para filtrar los resultados del análisis, debe aplicar un 'Filtro de Análisis' sobre los datos recogidos en el análisis de seguridad. Los filtros de análisis son consultas que extraen y muestran detalles específicos de los resultados del análisis. GFI LANguard N.S.S. se entrega con varios filtros predefinidos. Estos incluyen: • Informe completo: Muestra todos los datos recogidos en un

análisis relativos a la seguridad. • Vulnerabilidades [Alta Seguridad]: Muestra problemas

críticos que necesitan atención inmediata tales como service pack y parches ausentes, vulnerabilidades de seguridad alta y puertos abiertos.

• Vulnerabilidades [Media Seguridad]: Muestra problemas que podrían necesitar ser atendidas por el administrador tales como amenazas medianas o parches de vulnerabilidad media.

52 • Filtrar los resultados del análisis GFI LANguard Network Security Scanner

• Vulnerabilidades [Todas]: Muestra todas las vulnerabilidades Altas y Medias descubiertas durante un análisis de seguridad tales como parches y service packs ausentes.

• Actualizaciones de seguridad y service packs ausentes: Muestra todos los service packs y parches ausentes descubiertos en el equipo(s) analizado(s).

• Dispositivos importantes - USB: Muestra todos los dispositivos USB conectados al ordenador(es) objetivo analizado.

• Important devices – Wireless: Muestra todos las tarjetas de red inalámbricas, (PCI y USB) conectadas al ordenador(es) objetivo analizado.

• Puertos abiertos: Muestra todos los puertos TCP y UDP abiertos descubiertos en el ordenador(es) objetivo.

• Puertos abiertos: Muestra todos los puertos abiertos y los derechos de acceso respectivos.

• Directiva de Auditoría: Muestra los ajustes de la política de auditoría del ordenador(es) objetivo analizado.

• Directiva de Contraseñas: Muestra los ajustes de la directiva de contraseñas activa en el ordenador(es) objetivo analizado.

• Grupos y usuarios: Muestra los usuarios y grupos detectados en el ordenador(es) objetivo analizado.

• Propiedades del equipo: Muestra las propiedades de cada equipo.

• Aplicaciones instaladas: Muestra todas las aplicaciones instaladas (incluyendo software de seguridad) descubiertas durante el análisis de un equipo objetivo.

• Non-updated security Software: Muestra solo las aplicaciones de seguridad instaladas (es decir, software anti- que tengan actualizaciones pendientes y archivos de definición de firmas desactualizados.

NOTA: También puede crear nuevos filtros de análisis o personalizar los filtros de análisis por defecto de encima.

Aplicar un filtro en un análisis Para aplicar un filtro de resultados de análisis en los resultados del análisis de seguridad: 1. Lance y complete un análisis de seguridad en su red o cargue los resultados de análisis de escaneos previos desde su base de datos o fichero XML.


Imagen 40 – Filtros de análisis: Full report

2. Expanda los nodos Security Scanner Scan filter. 3. Seleccione el filtro que quiera activar (por ejemplo, Vulnerabilities all).

Crear un filtro de análisis a medida Para crear un filtro de análisis a medida: 1. Haga clic derecho sobre el nodo Security Scanner Scan filter y seleccione New Filter… . Esto abrirá el diálogo de propiedades de nuevo filtro de análisis.


Imagen 41 – El diálogo de propiedades de nuevo Filtro de análisis: Pestaña General

2. En la pestaña General que se abre por defecto, especifique el nombre del nuevo filtro de análisis.

Imagen 42 – Dialogo de propiedades del filtro

3. Haga clic en Add y seleccione la propiedad del filtro requerida desde la lista provista (por ejemplo, Operating System). La propiedad


del filtro define que tipo de información se extraerá de los resultados del análisis (es decir, el área de interés del filtro de análisis). 4. Haga clic en Next para continuar.

Imagen 43 – Diálogo de propiedades de la condición del filtro

5. Seleccione la condición del filtro requerida desde la lista desplegable ‘Conditions’ y especifique el valor del filtro. El valor del filtro es la cadena de referencia que utilizará este filtro conforme a la condición especificada para extraer información desde los resultados del análisis. 6. Haga clic en Add para continuar. NOTA: Puede crear múltiples condiciones de filtro para cada filtro de análisis. Esto le permite crear poderosos filtros que aíslan más exactamente la información de los resultados del análisis que podría querer analizar.


Imagen 44 – El diálogo de propiedades del nuevo Filtro de Análisis: Pestaña de elementos de informe

7. Haga clic en la pestaña Report Items: 8. Seleccione los sub-nodos/categorías de información que se mostrarán en el interfaz de configuración al final del proceso de filtrado. 9. Haga clic en OK para crear el filtro. El nuevo filtro se añadirá como nuevo sub-nodo permanente bajo el nodo Security Scanner Scan filtres. NOTA: Para borrar o personalizar un filtro de análisis, haga clic derecho en el filtro objetivo y seleccione Delete… o Properties respectivamente.

Ejemplo 1 – Crear un filtro que muestre todos los ordenadores que les falte un determinado parche En este ejemplo, crearemos un filtro que liste todos los ordenadores basados en Windows que les falte el parche MS03-026 (es decir, el parche del virus blaster). 1. Haga clic derecho sobre el nodo Security Scanner Scan filter y seleccione New Filter…. Esto abrirá el diálogo de propiedades de nuevo filtro de análisis. 2. En el campo del nombre del filtro escriba ‘Parche Blaster Ausente’. 3. Haga clic en el botón Add. 4. Seleccione la opción ‘Operating System’ y después haga clic en Next.


Imagen 45 – Dialogo de condiciones del filtro

5. Desde la lista desplegable de condiciones seleccione 'Includes' y en el campo valor escriba 'Windows'. 6. Haga clic en el botón Add para agregar la condición al filtro.

Imagen 46 – El diálogo de propiedades del nuevo Filtro de Análisis: Pestaña General

7. Desde el diálogo de propiedades de nuevo filtro de análisis, haga clic en Add para crear otra condición de filtro en la cual


especificaremos el nombre del parche requerido (es decir, MS03-026). 8. Desde la lista de propiedades del filtro, seleccione ‘Patch’ y después haga clic en Next. 9. Desde la lista desplegable de condiciones seleccione 'is not installed' y en el campo valor escriba 'MS03-026’. 10. Haga clic en el botón Add para incluir esta condición al filtro de análisis. 11. Haga clic en OK para finalizar la configuración y crear el filtro. El nuevo filtro se agrega como un nuevo sub-nodo permanente. (Security Scanner Scan filter Missing Blaster Patch).

Ejemplo 2 – Crear un filtro que liste todas las estaciones Sun con servidor web Para crear un filtro que liste todas las estaciones Sun que ejecuten un servidor web en el puerto 80, realice los siguientes pasos: 1. Haga clic derecho sobre el nodo Security Scanner Scan filter y seleccione New Filter…. Esto abrirá el diálogo de propiedades de nuevo filtro de análisis. 2. En el campo nombre del filtro escriba 'Servidores web en WS Sun en el puerto 80' 3. Haga clic en el botón Add. 4. Desde la lista de propiedades del filtro seleccione ‘Operating System’ y después haga clic en Next. 5. Desde la lista desplegable de condiciones seleccione 'Includes' y en el campo valor escriba 'Sun OS'. 6. Haga clic en el botón Add. 7. Desde el diálogo de propiedades, haga clic en el botón Add para agregar otra condición del filtro. 8. Seleccione ‘TCP Port’ y haga clic en Next. Esto mostrará de nuevo el diálogo de condiciones del filtro. 9. Desde la lista desplegable de condiciones seleccione 'is open' y en el campo valor escriba '80'. 10. Haga clic en el botón Add para incluir esta condición al filtro de análisis. 11. Haga clic en OK para finalizar la configuración y crear el filtro. El nuevo filtro se agrega como un nuevo sub-nodo permanente. (Security Scanner Scan filter Sun WS web servers on port 80).

GFI LANguard Network Security Scanner Configurar GFI LANguard N.S.S. • 59

Configurar GFI LANguard N.S.S.

Introducción Todas las opciones de configuración de GFI LANguard N.S.S. son accesibles a través de un conjunto de sub-nodos incluidos bajo el nodo Configuration. Estas son: • El nodo Scanning profiles • El nodo Scheduled scans • El nodo Computer profiles • El nodo Alerting options • El nodo Parameter files • El nodo Database maintenance options Use los nodos mencionados arriba para: • Personalizar los perfiles de análisis de seguridad por defecto. • Agregar nuevos perfiles de análisis con diferentes opciones de

análisis. • Configurar los análisis de seguridad programados • Configurar las opciones de avisos por correo de GFI LANguard

N.S.S. • Configurar la base de datos de respaldo a usar.

Perfiles de Análisis Los Perfiles de Análisis son plantillas preconfiguradas las cuales definen la manera de llevar a cabo el análisis de vulnerabilidades (por ejemplo, qué comprobaciones de vulnerabilidad se ejecutarán durante un análisis de un ordenador objetivo). Estos perfiles proveen de las pruebas de vulnerabilidad y los parámetros que el motor de análisis requiere para realizar una auditoría de seguridad contra los objetivos seleccionados. GFI LANguard N.S.S. soporta múltiples perfiles de análisis. De hecho se vende con un número de perfiles de análisis por defecto que puede usar para realizar análisis de vulnerabilidad generales o especializados a objetivos. Además, puede personalizar esos perfiles de análisis por defecto añadiendo o eliminando comprobaciones de vulnerabilidad así como también personalizar los parámetros operacionales respectivos. También puede crear nuevos perfiles de análisis personalizados los cuales cubran su infraestructura de red y necesidades de análisis, Para más información sobre como crear, configurar y personalizar los perfiles de análisis, refiérase al capítulo ‘Perfiles de Análisis' en este manual.

60 • Configurar GFI LANguard N.S.S. GFI LANguard Network Security Scanner

Análisis Programados Utilice el sub-nodo Configuration Scheduled Scans para configurar análisis que automáticamente son ejecutados periódicamente o en un día/hora específico. Esto le permite ejecutar automáticamente análisis particulares por la noche o por la mañana temprano en bases regulares. Las opciones de configuración de 'Scheduled Scan' están organizadas en 2 pestañas; la pestaña Result Saving y la pestaña Results Notifications. Para acceder a esas pestañas haga clic derecho sobre Configuration Scheduled Scans y seleccione Properties. Esto abrirá el diálogo de configuración de Análisis Programados.

Imagen 47 – El diálogo de configuración de Análisis Programados

Por defecto, todos los resultados de los análisis programados se almacenan en la base de datos de respaldo. Utilice la pestaña Result Saving para configurar las propiedades de los análisis programados y almacenar los resultados de los análisis programados a un fichero XML o HTML específico (un archivo por análisis programado). GFI LANguard N.S.S. también se puede configurar para que envíe automáticamente informes del análisis programado a un dirección/destinatario de correo (por ejemplo, al Administrador) al final de un análisis programado. Utilice la pestaña Results notifications para especificar que informes enviar y la dirección de correo de destino. GFI LANguard N.S.S. puede enviar por correo automáticamente 2 tipos de informes; el informe ‘Full Scan’ y el informe ‘Results Comparison’.


Crear un análisis programado

Imagen 48 – Lista de Análisis Programados configurados

Para crear un análisis programado: 1. Haga clic derecho en el sub-nodo Configuration Scheduled Scans y seleccione New Scheduled scan… Esto abrirá el diálogo de configuración de ‘Nuevo Análisis Programado’.

Imagen 49 – Diálogo de Nuevo Análisis Programado

2. En la pestaña General la cuál se abre por defecto, especifique los equipos objetivo (nombre del host, IP y rango de IPs). 3. Seleccione el perfil de análisis que se usará para este análisis programado y especifique una descripción del análisis programado. 4. Si este análisis programado se ejecutará periódicamente, especifique la frecuencia a la cuál se lanzará el análisis. 5. Especifique la fecha y la hora a la que comenzará el análisis programado.


6. Si se requieren credenciales de inicio alternativas, haga clic en la pestaña Logon Credentials. 7. Desde la lista desplegable provista, seleccione una de las siguientes opciones: • ‘Alternative Credentials’ – Seleccione esta opción para

autenticarse a los equipos objetivo utilizando un nombre de usuario y contraseña específicos.

• ‘SSH Private Key’ – Seleccione esta opción para autenticarse a equipos objetivos basados en Linux utilizando la autenticación de Clave Privada. Especifique el nombre de usuario y el fichero de ‘Clave Privada’ en los campos provistos.

NOTA: Alternativamente, puede configurar los análisis programados para que cojan los detalles de autenticación directamente desde los Perfiles de Ordenador. Para habilitar esta característica seleccione la opción ‘Use data from computer profiles’. Para más información acerca de los perfiles de ordenador, refiérase a la sección ‘Perfiles de Ordenador' más adelante en este capítulo. 8. Haga clic en OK para salvar sus ajustes.

Configurar las opciones de guardado de los resultados del análisis

Imagen 50 – Diálogo de propiedades de Análisis Programados

Por defecto, los resultados de los análisis programados se almacenan en la Base de Datos de Respaldo Microsoft Access o Microsoft SQL. Sin embargo, también puede enviar los resultados del análisis a un archivo de informe XML o HTML. Estos archivos se pueden usar mas adelante para operaciones de comparación de informes. Para almacenar los resultados del análisis en un archivo XML/HTML:


1. Haga clic derecho sobre el sub-nodo Configuration Scheduled Scans y seleccione Properties. Esto abrirá el diálogo de propiedades de análisis programados. 2. Para guardar los resultados del análisis en un fichero XML, seleccione la opción ‘Save scheduled scan results to XML file’ y especifique el nombre y la ruta del fichero XML. 3. Para guardar los resultados del análisis en un fichero HTML, seleccione la opción ‘Generate and save scan result HTML reports to:’ y especifique el nombre y la ruta del fichero HTML. 4. Haga clic en OK para guardar los ajustes.

Configurar las opciones de notificación de resultados

Imagen 51 – Propiedades de Análisis Programado: Pestaña de Notificación de resultados

GFI LANguard N.S.S. se puede configurar para enviar informes de los análisis programados a un destinatario particular a través de correo. Los informes que pueden ser enviados incluyen el informe ‘Full Scan Results’ y el informe ‘Results comparison report’. El informe ‘Full Scan Results’ contiene los resultados del análisis programado que acaba de ser completado. El informe ‘Result Comparison’ incluye los cambios/diferencias identificadas entre los resultados del último análisis y los resultados del análisis anterior. NOTA: El informe ‘Results Comparison' no se enviará por correo al administrador si no existen diferencias entre los resultados del análisis comparados o si está lanzando su primer análisis programado. Para especificar que informes se enviarán por correo después de un análisis programado:


1. Haga clic derecho sobre el sub-nodo Configuration Scheduled Scans y seleccione Properties. Esto abrirá el diálogo de propiedades de análisis programados. 2. Haga clic en la pestaña Results Notifications. 3. Seleccione el informe(s) que será enviado por correo cuando se complete el análisis de correo. 4. Haga clic en OK para guardar sus ajustes. NOTA: Utilice en nodo Configuration Alerting Options para realizar cambios en los ajustes del servidor de correo o la dirección de correo del administrador.

Perfiles de Equipo Utilice el sub-nodo Configuration Computer Profiles para especificar y almacenar las credenciales de inicio de sus equipos de red. Cuando se trabaja en redes de ambos tamaños grandes y pequeñas, siempre encontrará que para algunos equipos, tiene que logarse con un conjunto de credenciales y para otros equipos debe iniciar sesión con un conjunto de credenciales diferente. Sistemas particulares tales como sistemas basados en Linux a menudo hacen uso de métodos de autenticación especiales tales como autenticación de clave Pública. Tales métodos de autenticación requieren generalmente credenciales de inicio especiales/personalizadas tales como archivos de clave privada en lugar de las cadenas de contraseñas convencionales. A través de los perfiles de equipo, puede especificar un conjunto de credenciales de inicio diferente por cada equipo objetivo. El motor de análisis puede entonces referirse a las credenciales de inicio almacenadas en esos perfiles de equipo cuando se autentique en los equipos objetivo. Esto a su vez deja anticuada la necesidad de indicar un conjunto de credenciales de inicio por defecto antes de comenzar un análisis así como hace posible analizar en la misma sesión (única) equipos objetivo que requieren credenciales de inicio y métodos de autenticación diferentes. Por ejemplo, puede ejecutar comprobaciones de vulnerabilidad en objetivos Windows que requieren cadenas de credenciales nombre/contraseña y objetivos basados en Linux que requieren nombre/archivos SSH de clave privada, en una sola sesión de análisis.

Sobre el fichero de autenticación de Clave Privada SSH GFI LANguard N.S.S. se conecta a los equipos objetivo basados en Linux a través de conexiones SSH. En la criptografía de Clave Pública, se usan 2 claves (en forma de ficheros de texto) para verificar la autenticidad de una petición de conexión SSH. Estas claves se identifican como 'Clave Privada SSH' y 'Clave Pública SSH'. La Clave Privada SSH es la mitad del par de claves que el motor de análisis utilizará para autenticarse a un objetivo basado en Linux remoto. Esto significa que se usa la Clave Privada SSH en lugar de la cadena de contraseña convencional y por lo tanto se debe almacenar en el equipo en el que está funcionando GFI LANguard N.S.S.


La Clave Pública SSH es la parte que el equipo remoto objetivo utilizará para enfrentarse a la autenticación de GFI LANguard N.S.S y se almacena en los equipos objetivo remotos. El par de Claves SSH (es decir, las Claves Pública y Privada) son generadas manualmente usando una herramienta de terceros tal como SSH-KeyGen (incluida generalmente por defecto en el paquete Linux SSH).

Crear un nuevo perfil de equipo

Imagen 52 – Dialogo de propiedades del Perfil de Equipo

Para crear un nuevo perfil de equipo 1. Haga clic derecho sobre el sub-nodo Configuration Computer Profiles y seleccione New Computer(s) Profile… Esto abrirá el diálogo de propiedades del Perfil de Equipo. 2. En la pestaña General que se abre por defecto, especifique el nombre de equipo objetivo. 3. Haga clic sobre la pestaña Logon Credentials. 4. Seleccione el método de autenticación requerido y especifique las credenciales de inicio respectivas. 5. Haga clic en OK para guardar sus ajustes.


Cambiar las propiedades de un perfil de equipo

Imagen 53 – Lista de los perfiles de equipo existentes

Para cambiar las propiedades de un perfil de equipo existente: 1. Haga clic en el sub-nodo Configuration Computer Profiles 2. Haga clic derecho sobre el perfil de equipo que desee configurar y seleccione Properties. 3. Realice los cambios requeridos y haga clic en OK para guardar sus ajustes.

Utilizar los perfiles de equipos en un análisis

Imagen 54 – El botón 'Use data from computer profiles'

Para usar las credenciales especificadas en el nodo Computer Profiles en un análisis, haga clic en el botón (‘Use data from computer profiles’) incluido en la barra de herramientas de GFI LANguard N.S.S.


Archivos de Parámetros

Imagen 55 – Lista de Archivos de Parámetros

Utilice el sub-nodo Configuration Parameter Files para acceder y editar los varios ficheros de parámetros de texto que usa GFI LANguard N.S.S. para analizar un equipo objetivo. NOTA: Sólo los usuarios avanzados deberían modificar estos archivos. Si estos archivos se modifican de una forma incorrecta, afectará a la funcionalidad y fiabilidad del proceso de descubrimiento de objetivos de GFI LANguard N.S.S. La siguiente es una lista de ficheros de parámetros que se pueden acceder y modificar a través del nodo Parameter Files: • Enterprise_numbers.txt – Este archivo contiene una lista de

OIDs (Identificadores de Objeto) los códigos de relación de empresa (proveedor/universidad) asociados. Durante el análisis del objetivo, GFI LANguard N.S.S. consultará primero el archivo 'object_ids.txt' para información sobre el dispositivo de red descubierto. Si esta información no está disponible, GFI LANguard N.S.S. se referenciará entonces al fichero ‘Enterprise_numbers.txt’ e intentará identificar el fabricante del producto a través de la información específica del proveedor (recogida del dispositivo objetivo). La información del proveedor está basada en Códigos Empresariales Privados de Administración de Red SMI, que pueden ser encontrados en: http://www.iana.org/assignments/enterprise-numbers

• Ethercodes.txt – Este archivo contiene una lista de direcciones Mac junto con su proveedor(es) asociado.

• Ftp.txt – Este archivo contiene una lista de encabezados de servidores FTP a través de los cuales GFI LANguard N.S.S. puede identificar el SO de un equipo objetivo, es decir, GFI LANguard N.S.S. puede identificar el tipo de SO que esta funcionando en un equipo objetivo analizando el servidor FTP instalado.

• Identd.txt – Este archivo contiene los encabezados del protocolo 'identd' a través de los cuales GFI LANguard N.S.S. puede identificar el SO en que esta funcionando en un equipo objetivo,


es decir, GFI LANguard N.S.S. puede identificar un SO a través de la información del encabezado.

• Object_ids.txt – Este archivo contiene los object_ids SNMP así como el distribuidor(es) y el producto(s) asociado. Cuando un dispositivo responde a una consulta SNMP, GFI LANguard N.S.S. comparará la información del ID de Objeto (enviado por el equipo objetivo) con la información OID almacenada en este archivo.

• Passwords.txt – Este archivo tiene una lista de contraseñas que se usan para comprobar los equipos objetivo por contraseñas débiles (es decir, para realizar ataques de diccionario).

• Rpc.txt – Este archivo contiene los números de servicio del protocolo RPC junto con la identificación del nombre de servicio asociado. Cunado se encuentran funcionando servicios RPC en un equipo objetivo basado en UNIX/Linux, GFI LANguard compara la información RPC recibida con la información listada en este archivo. De esta forma puede identificar y verificar la información del nombre de servicio asociado.

• Smtp.txt – Este archivo contiene una lista de encabezados SMTP con los Sistemas Operativos asociados. Como con los archivos ‘FTP’ y de ‘identidad’, estos encabezados son utilizados por GFI LANguard N.S.S. para identificar el SO que corre en el equipo objetivo.

• Snmp-pass.txt – Este archivo contiene una lista de cadenas populares de la comunidad. GFI LANguard N.S.S. usa estas cadenas d la comunidad para asegurar e identificar debilidades SNMP en un equipo objetivo. Durante el análisis del objetivo, el motor de análisis comprobará si alguna de las cadenas de comunidad listadas en este archivo esta siendo usada por el servidor SNMP objetivo. De ser el caso, estas cadenas de comunidad se reportarán por la herramienta de análisis SNMP en los resultados del análisis.

• Telnet.txt – Este archivo contiene una lista de diferentes encabezados de servidores telnet. GFI LANguard N.S.S. usará estos encabezados telnet para identificar que SO está funcionando en un equipo objetivo.

• Www.txt – Este archivo contiene una lista de diferentes encabezados de servidores web. GFI LANguard N.S.S. usará estos encabezados de servidores web para identificar que SO está funcionando en un equipo objetivo.

Opciones de Mantenimiento de Base de Datos

Introducción Use el nodo Configuration Database Maintenance Options para seleccionar y configurar la base de datos de respaldo de GFI LANguard N.S.S. La base de datos de respaldo se utiliza para almacenar los resultados de los análisis de seguridad de red. Desde el nodo Database Maintenance Options, también puede configurar las características de mantenimiento de la base de datos de respaldo. Por ejemplo, puede configurar GFI LANguard N.S.S.


para que borre automáticamente los resultados del análisis que sean más viejos de un determinado periodo. Si está utilizando una base de datos de respaldo Microsoft Access, también puede programar compactaciones de la base de datos. La compactación le permite reparar cualquier dato corrupto y borrar registros de la base de datos marcadas para borrado en su base de datos de respaldo.

Configurar su base de datos de respaldo Para configurar las opciones de mantenimiento de la base de datos, haga clic derecho sobre el nodo Configuration Database Maintenance Options y seleccione Properties. Esto abrirá el diálogo propiedades de mantenimiento de la base de datos.

Imagen 56 – El diálogo de propiedades de mantenimiento de la base de datos

Las opciones incluidas en este diálogo son accesibles a través de tres pestañas. Estas son: • La pestaña Change Database • La pestaña Manage Saved Scan Results • La pestaña Advanced.

Seleccionar su base de datos de respaldo Utilice la pestaña Change Database para especificar que base de datos de respaldo se usará para almacenar los resultados del análisis guardados. Las bases de datos de respaldo soportadas incluyen Microsoft Access y Microsoft SQL Server 2000 o superior.


Almacenar los resultados del análisis en una base de datos de respaldo Microsoft Access Para almacenar los resultados del análisis en una base de datos Microsoft Access: 1. Haga clic derecho sobre el nodo Configuration Database Maintenance Options y seleccione Properties. 2. Seleccione la opción ‘Microsoft Access’. 3. Especifique la ruta completa (incluyendo el nombre de archivo) de su base de datos de respaldo Microsoft Access. NOTA 1: Si el archivo de base de datos especificado no existe será creado. NOTA 2: Si el archivo de base de datos especificado ya existe y pertenece a una versión previa de GFI LANguard N.S.S. se mostrará el siguiente mensaje.

Imagen 57 – Diálogo de actualización de la base de datos de respaldo

Haga clic en Yes para actualizar la base de datos de los resultados del análisis a GFI LANguard N.S.S. 7.0. Haga clic en No para sobrescribir la base de datos de respaldo. 4. Haga clic en el botón OK para guardar su configuración.


Almacenar los resultados del análisis en una base de datos de respaldo Microsoft SQL Server

Imagen Error! No sequence specified. – Opciones de base de datos de respaldo Microsoft SQL Server

Para almacenar los resultados del análisis en una base de datos Microsoft SQL Server: 1. Haga clic derecho sobre el nodo Configuration Database Maintenance Options y seleccione Properties. 2. Seleccione la opción 'Microsoft SQL Server’. 3. Seleccione el Servidor SQL que alojará la base de datos desde la lista de servidores descubiertos en su red provista. 4. Especifique las credenciales SQL o seleccione la opción ‘Use NT authority credentials’ para autenticarse en el servidor SQL usando los detalles de cuenta de windows. 5. Haga clic en OK para guardar sus ajustes. NOTA 1: Si el servidor y las credenciales especificadas son correctas, GFI LANguard N.S.S. iniciará sesión automáticamente en SQL Server y creará las tablas de base de datos necesarias. Si las tablas de la base de datos ya existen las reutilizará. NOTA 2: Cuando utilice las credenciales de autoridad NT, asegúrese que los servicios de GFI LANguard N.S.S. están corriendo bajo una cuenta que tenga privilegios administrativos y de acceso a las bases de datos SQL Server.


Mantenimiento de base de datos – administrar los resultados de análisis guardados

Imagen 58 – Propiedades de mantenimiento de la base de datos: Pestaña Managed saved scan results

Use la pestaña Manage Saved Scan Results para mantener su base de datos de respaldo y borrar los resultados del análisis que no serán necesarios por más tiempo. El borrado de resultados del análisis guardados no necesarios se puede lograr manualmente así como también automáticamente a través del mantenimiento de la base de datos programado. Durante un mantenimiento de la base de datos programado GFI LANguard N.S.S. borra automáticamente resultados del análisis guardados que son más viejos de un número de días/semanas o meses específico. También puede configurar mantenimientos de la base de datos automáticos que mantengan solo un número específico de resultados del análisis recientes por cada objetivo del análisis y perfil de análisis. Para borrar manualmente resultados del análisis guardados, seleccione el resultado(s) particular y haga clic en el botón Delete Scan(s). Para dejar que GFI LANguard N.S.S. se encargue del mantenimiento de la base de datos por usted, seleccione una de las siguientes opciones: • ‘Scans which are less than’ – Seleccione esta opción para borrar

automáticamente resultados del análisis que son mas viejos de un determinado número de días/semanas o meses.

• ‘Only last’ – Seleccione esta opción para conservar solo un número específico de resultados del análisis recientes.


Mantenimiento de la base de datos – opciones avanzadas

Imagen 59 – Propiedades de Mantenimiento de la base de datos: La pestaña Advanced

Use la pestaña Advanced para compactar y reparar una base de datos de respaldo basada es Microsoft Access. Una de las cosas más importantes que puede hacer para mejorar el rendimiento de su base de datos es repararla y compactarla regularmente. Durante la compactación los archivos de la base datos se reorganizan y los registros que están marcados para borrar se borran. De este modo puede recuperar un espacio en disco precioso. Durante el proceso de compactación, GFI LANguard N.S.S. también repara los archivos de la base de datos de respaldo corruptos. La corrupción puede ocurrir por varias razones. En la mayoría de los casos, una base de datos Microsoft Access se vuelve corrupta cuando la base de datos se cierra inesperadamente después de que los registros se han guardado (por ejemplo, debido a un fallo de corriente, procesos colgados, reinicios forzados, etc.). A través de la pestaña Advanced, puede: • Reparar y compactar manualmente una base de datos de

respaldo Microsoft Access y haciendo clic en el botón Compact Now.

• Automatizar y programar la compactación de la base de datos de respaldo Microsoft Access. En este sentido, el servicio asistente de GFI LANguard N.S.S. atenderá automáticamente el proceso de compactación por usted.

A través de las opciones provistas en la pestaña Advanced, puede especificar la frecuencia a la que tendrá lugar la compactación de la base de datos programada.


Para compactar su base de datos de respaldo Microsoft Access una vez, seleccione la opción ‘One time only’. Para compactar su base de datos de respaldo regularmente (es decir, periódicamente), seleccione la opción 'Every' y especifique: 1. La frecuencia en días/semanas o meses a la que se ejecutarán las operaciones de compactación y reparación en su base de datos de respaldo. 2. La fecha y la hora a la que tendrá lugar la primera/siguiente sesión de compactación.

GFI LANguard Network Security Scanner Perfiles de Análisis • 75

Perfiles de Análisis

Introducción Los perfiles de análisis son plantillas configurables que determinan que comprobaciones de vulnerabilidad va a ejecutarse contra los equipos objetivo así como los datos que se recogerán de los objetivos analizados durante una auditoría de seguridad. GFI LANguard N.S.S. se vende con una lista por defecto de perfiles de análisis los cuales puede usar para realizar diferentes análisis de su red y obtener varias informaciones sin tener que realizar cambios de configuración. El número de comprobaciones realizadas por cada perfil de análisis varía de acuerdo al área de vulnerabilidad de la red que debe ser comprobada por debilidades. Por ejemplo, usted tiene perfiles de análisis que lanzan un número de comprobaciones de vulnerabilidad que cubren varias/amplias áreas de su red (por ejemplo, el perfil de análisis 'Default') así como también perfiles de análisis 'especializados' los cuales ejecutan comprobaciones de vulnerabilidad e informan solo de debilidades relacionadas con un área específica de su red (por ejemplo, tal como el perfil de análisis 'Trojan Ports' el cual analiza sólo por puertos abiertos que son explotados comúnmente por hackers y Toyanos). La lista de perfiles de análisis es accesible expandiendo el nodo Configuration Scanning profiles. Con una simple instalación, GFI LANguard N.S.S. incluye una amplia lista de diferentes perfiles de análisis, alguna de las cales se detalla a continuación: • Default: Utilice este perfil de análisis para recoger varios

segmentos de información así como también realizar un balanceado y variado conjunto de comprobaciones de vulnerabilidad en su equipo(s) objetivo. La información recogida de los objetivos incluye: Los puertos abiertos explotados comúnmente, aplicaciones instaladas, aplicaciones de seguridad instaladas y el estado de los archivos de firmas, datos del SO, usuarios y grupos, dispositivos de red, parches y service packs ausentes, dispositivos USB, recursos compartidos, hora del día, sesiones, directivas de auditoría y procesos iniciados.

• CGI scanning: Use este perfil de análisis para recoger información del SO y realizar comprobaciones de seguridad que están directamente relacionadas con Servidores Web.

• Full TCP and UDP port scan: Use este perfil de análisis para realizar un análisis de todos los puertos TCP y UDP abiertos en el objetivo(s). Todos los puertos desde 0-65535 son comprobados y consultados durante el proceso de análisis.

• Missing patches: Use este perfil de análisis para comprobar los objetivos por actualizaciones de seguridad y service packs ausentes.

76 • Perfiles de Análisis GFI LANguard Network Security Scanner

• Ping them all: Use este perfil de análisis para comprobar que objetivos en un rango específico están encendidos.

• Share finder: Use este perfil de análisis para comprobar que recursos compartidos están abiertos en el objetivo(s) así como también recoger las propiedades relacionadas con esos recursos compartidos.

• Removable media protection: Use este perfil de análisis para comprobar que dispositivos de medios extraíbles están conectados al equipo(s) objetivo.

• Applications: Use este perfil de análisis para comprobar que aplicaciones están instaladas en el equipo(s) objetivo.

• Otras opciones están también disponibles. La elección de un perfil de análisis para un análisis de seguridad esté generalmente dictada por el: 1. Tipo de comprobaciones a realizar y las operaciones de recogida de datos que quiera ejecutar contra su objetivo(s). 2. Tiempo que tenga para generar esos informes. AVISO: Cuantas más comprobaciones de vulnerabilidad quiera ejecutar, mas tiempo consumirá completar el análisis de auditoría de seguridad.

Imagen Error! No sequence specified.Error! No sequence specified. – El nodo Scanning Profiles

El conjunto por perfiles de análisis por defecto es totalmente personalizable. También puede crear nuevos perfiles de análisis personalizados los cuales cubran su diseño de red así como sus necesidades de análisis. Por ejemplo, usted puede querer crear un perfil de análisis que esté ajustado para usarse cuando se analicen los equipos en su DMZ a diferencia de su red interna. Mediante el uso de múltiples perfiles de análisis puede realizar varias auditorías de seguridad de red sin tener que pasar un proceso de reconfiguración para cada tipo de análisis de seguridad requerido.


Esto es posible creando diferentes perfiles de análisis preconfigurados los cuales cubren específicamente las necesidades de análisis de seguridad de su infraestructura IT y los que pueden ser utilizados individualmente en diferentes sesiones de análisis de red. Utilice los perfiles de análisis para su beneficio cuando le permiten realizar comprobaciones especializadas y consultas (por ejemplo, enumerar sólo las aplicaciones instaladas) en sus redes ahorrando tiempo cuando se necesita información mas o menos especializada mientras al mismo tiempo permitiéndole realizar comprobaciones que requieren mucho tiempo bajo diferentes condiciones (por ejemplo, los análisis de todos los puertos TCP/UDP).

Perfiles de análisis en acción

Analizar su equipo local usando el ‘Perfil de Análisis Default' 1. Vaya a File New Scan single computer… 2. Seleccione la opción ‘This computer’

Imagen 60 – Diálogo de Nuevo Análisis.

3. Ponga el valor del cuadro combinado ‘Scan Profile’ a ‘Default’. 4. Haga clic en OK para iniciar en análisis. CONSEJO: Tome nota del tiempo que toma terminar el análisis así como el rango de información que devuelve.

Analizar su equipo local usando el ‘Perfil de Análisis Applications' 1. Vaya a File New Scan single computer… 2. Seleccione la opción ‘This computer’


Imagen 61 – Diálogo de Nuevo Análisis. Seleccionando el perfil de análisis de vulnerabilidad 'Applications'

3. Ponga el valor del cuadro combinado ‘Scan Profile’ a ‘Applications’. 4. Haga clic en OK para iniciar en análisis. Como puede ver el tiempo que lleva completar un análisis de vulnerabilidad usando el perfil de análisis 'Applications’ es considerablemente menor que el del perfil de análisis 'Default’ realizado anteriormente. Esto es porque el perfil de análisis ‘Applications’ solo realiza comprobaciones de vulnerabilidad específicas que analiza e informa de las aplicaciones instaladas en los equipos objetivo analizados. Por lo tanto no se ejecutan otras comprobaciones de vulnerabilidad contra el objetivo(s) y no se recogen datos extra del equipo(s) objetivo. Por otro lado, el perfil de análisis ‘Default’ es más genérico y realiza comprobaciones de vulnerabilidad en casi todas las áreas vulnerables de su red. Por lo tanto necesita más tiempo para completar el análisis así como también se recoge más información de los objetivos analizados y se reporta en los resultados del análisis.

Crear un nuevo perfil de análisis Para crear un nuevo perfil de análisis: 1. Haga clic derecho sobre el nodo Configuration Scanning profiles y seleccione New Scan Profile… 2. Especifique el nombre del nuevo perfil en el diálogo de la pantalla.


Imagen Error! No sequence specified.Error! No sequence specified.Error! No sequence specified. – La página de configuración de los Perfiles de Análisis

3. Haga clic en el botón OK. En el panel derecho del interfaz de configuración, se le presentará un interfaz con pestañas a través del cual puede configurar los parámetros operacionales para este perfil de análisis nuevo. Las pestañas mostradas en la parte de arriba de la página de configuración del perfil de análisis están listadas abajo: • Pestaña TCP ports - Use las opciones en esta pestaña para

habilitar el análisis de puertos TCP y especificar que puertos TCP se van a comprobar.

• Pestaña UDP ports - Use las opciones en esta pestaña para habilitar el análisis de puertos UDP y especificar que puertos UDP se van a comprobar.

• Pestaña OS data - Use las opciones en esta pestaña para especificar qué datos del sistema operativo se van a recoger del objetivo(s).

• Pestaña Vulnerabilities - Use las opciones en esta pestaña para habilitar el análisis de vulnerabilidades y especificar qué comprobaciones de vulnerabilidad se ejecutarán en el objetivo(s).

• Pestaña Patches - Use las opciones en esta pestaña para habilitar el análisis parche ausentes y especificar qué actualizaciones de seguridad ausentes se comprobarán en el objetivo(s).

• Pestaña Scanner properties - Use las opciones en esta pestaña para configurar los parámetros operacionales del motor de análisis y el descubrimiento de objetivos (por ejemplo, valores de vencimiento de tiempo, métodos de consulta, etc.).

• Devices – Use las opciones en esta pestaña para habilitar el análisis de dispositivos conectados y especificar que dispositivos de red y USB son autorizados/no autorizados.


• Applications - Use las opciones en esta pestaña para habilitar el análisis de aplicaciones instaladas y especificar que aplicaciones instaladas son autorizadas/no autorizadas.

Personalizar un perfil de análisis Para personalizar un perfil de análisis: 1. Expanda el nodo Configuration Scanning Profiles. 2. Seleccione el perfil de análisis a editar. 3. Desde el panel de la derecha, utilice las pestañas en la parte de arriba de la página para acceder a la página(s) de configuración requerida y realice los cambios de parámetros necesarios. Los cambios se harán efectivos en el siguiente nuevo análisis.

Configurar las opciones de análisis de puertos TCP/UDP

Imagen Error! No sequence specified. Error! No sequence specified.Error! No sequence specified.– Propiedades de los Perfiles de Análisis: Opciones de la pestaña TCP Ports

Habilitar/deshabilitar el análisis de Puertos TCP Para habilitar el análisis de Puertos TCP en un perfil de análisis particular: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña TCP Ports. 3. Marque la casilla de verificación al lado de la opción ‘Enable TCP Port Scanning’. NOTA: El análisis de Puertos TCP es configurable en un perfil de análisis en base al perfil de análisis. Si en un perfil particular esta opción no está seleccionada, no se realizará ninguna prueba de comprobación de puerto TCP abierto en las auditorias de seguridad llevadas a cabo por este perfil de análisis.


Habilitar/deshabilitar el análisis de Puertos UDP Para habilitar el análisis de Puertos UDP en un perfil de análisis particular: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Haga clic en la pestaña UDP Ports. 3. Marque la casilla de verificación al lado de la opción ‘Enable UDP Port Scanning’. NOTA: El análisis de Puertos UDP es configurable en un perfil de análisis en base al perfil de análisis. Si en un perfil particular esta opción no está seleccionada, no se realizará ninguna prueba de comprobación de puerto UDP abierto en las auditorias de seguridad llevadas a cabo por este perfil de análisis.

Personalizar la lista de puertos TCP/UDP a analizar Para especificar qué puertos TCP/UDP serán enumerados y procesados por un perfil de análisis durante una auditoría de seguridad: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña TCP Ports o UPP Ports según el caso. 3. Seleccione la casilla de verificación de puertos TCP/UDP que serán comprobador por este perfil de análisis.

Agregar un Nuevo puerto TCP/UDP a la lista 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña TCP Ports.o UDP Ports según el caso. 3. Haga clic en el botón Add. Esto abrirá el diálogo de Agregar Puerto.


Imagen 62 - Diálogo de Añadir Puerto

4. Especifique el número de puerto y un rango de puertos (por ejemplo ’80-200’) y una descripción adecuada del puerto. NOTA: Siempre incluya los rangos de puertos dentro de comillas simples (') (por ejemplo, '80-200'). 5. Si la aplicación asociada a este puerto es un Troyano, haga clic en la casilla de verificación ‘Is a Trojan port'.

Cómo editar o eliminar un puerto 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña TCP Ports.o UPP Ports según el caso. 3. Seleccione el puerto que desee editar o eliminar. 4. Haga clic en el botón Edit o Remove según el caso. NOTA: Cuando se elimina un puerto, se eliminará de TODOS los perfiles de análisis. Si desea que GFI LANguard N.S.S. sólo de analizar su presencia, desmarque la casilla de verificación del al lado.


Configurar las opciones de recogida de datos del SO

Imagen 63 Error! No sequence specified.Error! No sequence specified.– Propiedades de los Perfiles de Análisis: Pestaña de opciones OS Data

Utilice la pestaña OS Data para especificar que información del SO será recogida de un equipo objetivo durante un análisis de seguridad. GFI LANguard N.S.S. puede recoger datos del sistema operativo de equipos objetivo basados en Windows y Linux.

Personalizar los parámetros de Recogida de Datos del SO Para especificar qué datos del SO serán enumerados y procesados por un perfil de análisis durante una auditoría de seguridad: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña OS Data. 3. Expanda el grupo ‘Windows OS Data’ o ‘Linux OS Data’ según el caso. 4. Especifique que información el SO Windows/Linux es recogida por el escáner de seguridad de los sistemas operativos objeivos. Por ejemplo, si quiere excluir los recursos administrativos de los resultados del análisis, expanda la opción ‘Enunmerate shares’ y establezca la opción 'Display admin shares' a ‘No’.


Configurar las opciones de análisis de vulnerabilidades

Imagen 64 Error! No sequence specified.Error! No sequence specified.– Propiedades de los Perfiles de Análisis: Pestaña de opciones Vulnerabilities

Use la pestaña Vulnerabilities para especificar qué vulnerabilidades serán investigadas durante el análisis de un equipo objetivo. Por defecto, GFI LANguard N.S.S. se vende con una lista predefinida de comprobaciones de vulnerabilidad. Puede personalizar y seleccionar que comprobaciones se van realizar durante una auditoría de seguridad en un perfil de análisis en base al perfil de análisis. También puede agregar sus propias comprobaciones de vulnerabilidad personales para ajustarse a sus requerimientos de análisis de seguridad de su red.

Habilitar/deshabilitar el análisis de vulnerabilidad Para habilitar el análisis de vulnerabilidad en un perfil de análisis particular, 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña Vulnerabilities. 3. Marque la casilla de verificación al lado de la opción ‘Enable Vulnerability Scanning’. NOTA: El análisis de vulnerabilidad es configurable en un perfil de análisis en base al perfil de análisis. Si en un perfil particular esta opción no está seleccionada, no se realizará ninguna prueba vulnerabilidad en las auditorias de seguridad llevadas a cabo por este perfil de análisis.


Personalizar la lista de vulnerabilidades a analizar Para especificar qué vulnerabilidades serán enumeradas y procesadas por un perfil de análisis durante una auditoría de seguridad: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña Vulnerabilities.

Imagen 65 – Seleccionar las comprobaciones de seguridad a ejecutar por este perfil de análisis

3. Seleccionar la casilla de verificación al lado de las comprobaciones de vulnerabilidad que desee ejecutar a través de este perfil de análisis.

Personalizar las propiedades de las comprobaciones de vulnerabilidad Todas las comprobaciones listadas en la pestaña Vulnerabilities tienen propiedades específicas las cuales determinan cuando se dispara la comprobación y qué detalles se enumerarán durante un análisis.


Imagen 66 – Dialogo de propiedades de vulnerabilidad. Pestaña General

Las propiedades de la comprobación de vulnerabilidad incluyen: • Nombre de la vulnerabilidad y descripción corta. • Nivel de Seguridad asociado con la vulnerabilidad. • BugtraqID/URL a información relevante. • Tiempo consumido por la comprobación de vulnerabilidad

respectiva durante el análisis. • Condiciones de desencadenamiento de la comprobación de

vulnerabilidad (por ejemplo, método http, la cadena de Salida). Para cambiar las propiedades de una comprobación de vulnerabilidad: 1. Haga clic derecho sobre la vulnerabilidad a personalizar y seleccione Properties. 2. Haga los cambios requeridos a las propiedades de la comprobación. 3. Haga clic en OK para guardar sus ajustes.


Comprobaciones de vulnerabilidad - opciones avanzadas

Imagen 67 – Diálogos avanzados del análisis de vulnerabilidad

Utilice el botón Advanced incluido en la pestaña Vulnerabilities para levantar las opciones avanzadas del análisis de vulnerabilidad. Desde estas opciones puede: 1. Configurar características extendidas del análisis de vulnerabilidad que comprueban sus equipos objetivo por contraseñas débiles, acceso anónimo FTP, y cuentas de usuario no utilizadas. 2. Configurar como maneja GFI LANguard N.S.S. las comprobaciones de vulnerabilidad recientemente creadas que usted hace. Especifique si incluir o excluir automáticamente las comprobaciones de vulnerabilidad recientemente añadidas en los otros perfiles de análisis. 3. Configurar GFI LANguard N.S.S. para enviar las peticiones CGI a través de un servidor proxy específico. Esto es obligatorio cuando las peticiones CGI se envían desde un equipo que está detrás de un firewall a un servidor web objetivo que está 'fuera' del firewall (por ejemplo, servidores Web que están en la DMZ). El firewall generalmente bloqueará todas las peticiones CGI que se envían directamente por GFI LANguard N.S.S. hacia un equipo objetivo que está frente al firewall. Para evitar esto, establezca al opción ‘Send CGI requests through proxy’ a ‘Yes’ y especifique el nombre/dirección IP de su servidor proxy y el puerto de comunicaciones que se va a usar para transmitir las peticiones CGI al objetivo.


Configurar las opciones de análisis de parches

Personalizar las opciones del análisis de parches ausentes del perfil

Imagen 68 Error! No sequence specified.Error! No sequence specified.– Propiedades de los Perfiles de Análisis: Opciones de la pestaña Patches

Use la pestaña Patches para especificar que actualizaciones de seguridad se van a comprobar cuando se analiza un equipo objetivo. Los parches a comprobar están seleccionados de la lista completa de actualizaciones de software disponibles que están incluidas en esta pestaña. Esta lista se actualiza automáticamente cuando GFI lanza una nueva actualización del fichero de definición de parches ausentes para GFI LANguard N.S.S. Desde esta pestaña también puede ver el Boletín de información de cada actualización de software de la lista. Para acceder a esta información, haga clic derecho sobre el parche respectivo y seleccione Properties.

Habilitar/deshabilitar las comprobaciones de detección de parches ausentes Para habilitar las comprobaciones de detección de de parches ausentes en un perfil de análisis particular, 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña Patches. 3. Seleccione la casilla de verificación al lado de la opción ‘Detect installed and missing service packs/patches’. NOTA: Las comprobaciones de detección de parches ausentes son configurables en un perfil de análisis en base al perfil de análisis. Si en un perfil particular esta opción no está seleccionada, no se


realizará ninguna comprobación de detección de parches ausentes en las auditorias de seguridad llevadas a cabo por este perfil de análisis.

Personalizar la lista de parches de software a analizar Para especificar qué parches de software ausentes serán enumerados y procesados por un perfil de análisis durante una auditoría de seguridad: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña Patches.

Imagen 69 - Seleccionando los parches ausentes a enumerar

3. Seleccione/deseleccione la casilla de verificación al lado de las comprobaciones de parches ausentes que desee ejecutar a través de este perfil de análisis.

Utilizar la facilidad de búsqueda del boletín de información

Imagen 70 – Boletín de información extendida

Para buscar un boletín particular:


1. Especifique el nombre del boletín (por ejemplo, MS02-017) o el QNumber (por ejemplo, Q311987) en la cuadro de entrada de la herramienta de búsqueda en la parte de abajo del panel de la derecha. 2. Haga clic en Find para comenzar la búsqueda de su entrada.

Configurar las opciones del análisis de seguridad

Imagen 71 Error! No sequence specified.Error! No sequence specified.– Propiedades de los Perfiles de Análisis: Pestaña Scanner Options

Use la pestaña Scanner Options para configurar los parámetros operacionales del motor de análisis de seguridad. Estos parámetros son configurables en un perfil de análisis en base al perfil de análisis y definen cómo el motor de análisis realizará el descubrimiento de objetivos y consulta de Datos del SO. Las opciones configurables incluyen tiempos de vencimiento, tipos de consultas a ejecutar durante un descubrimiento de objetivo, ámbito SNMP para consultas y más. NOTA: ¡Configure estos parámetros con extremo cuidado! Una configuración incorrecta puede afectar al rendimiento del análisis de seguridad de GFI LANguard N.S.S.


Configurar las opciones de análisis de dispositivos conectados

Imagen 72 – La página de configuración Devices: Pestaña de opciones Network Devices

Use la pestaña Devices para habilitar el análisis e información de dispositivos de red y USB instalados en sus equipos objetivo.

Imagen 73 – Los dispositivos de red peligrosos se listan como Vulnerabilidades de Seguridad Alta

Junto con la enumeración de dispositivos, puede adicionalmente configurar GFI LANguard N.S.S. para generar alertas de vulnerabilidad de seguridad alta cuando se detecta hardware USB y de red particular. Esto se logra componiendo una listas de dispositivos de red y USB no autorizados/en lista negra de los cuales desea ser alertado.


También puede configurar GFI LANguard N.S.S. para excluir de los resultados del análisis dispositivos particulares los cuales son considerados con 'seguros' tales como teclados USB. Esto se logra componiendo una lista de dispositivos seguros/en lista blanca los cueles usted desea que el motor de análisis ignore durante una auditoría de seguridad.

Imagen 74 – Lista de dispositivos de red no autorizados/en lista negra

El análisis de de dispositivos de red y USB es configurable en un perfil de análisis en base al perfil de análisis. Por lo tanto puede personalizar sus auditorías de dispositivos creando múltiples perfiles de análisis con diferentes listas de dispositivos no autorizados o seguros. Por ejemplo, puede crear un perfil de análisis de dispositivos genérico que compruebe y enumere todos los dispositivos de red y USB encontrados conectados en sus objetivos. En ese caso, no necesita especificar ningún dispositivo en las listas de no autorizados e ignorados de su perfil de análisis. Similarmente puede crear un perfil de análisis aparte que enumere sólo llaves Bluetooth y tarjetas NIC inalámbricas conectadas en sus equipos objetivo.


Sin embargo, en este caso debe especificar ‘Bluetooth’ y ‘Wireless’ o ‘Wifi’ en las listas de red y USB de no autorizados en su perfil de análisis. Todas las opciones de configuración de análisis de dispositivos son accesibles a través de 2 sub-pestañas contenidas en la página de configuración de dispositivos. Estas son la pestaña Network Devices y la pestaña USB Devices. Use la sub-pestaña Network Devices para configurar las opciones de análisis de dispositivos de red y las listas de dispositivos no autorizados/seguros. Use la sub-pestaña USB Devices para configurar las opciones de análisis de dispositivos USB y las listas de dispositivos no autorizados/seguros.


Analizar por dispositivos de red conectados

Imagen 76 – La página de configuración Device: Pestaña de opciones Network Devices

Habilitar/deshabilitar comprobaciones de dispositivos de red instalados Para habilitar los análisis de dispositivos de red conectados en un perfil de análisis: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña Devices. 3. Seleccione la casilla de verificación al lado de la opción ‘Enable Scanning for installed Network Devices on the target computer(s)’. NOTA: El análisis de dispositivos de red es configurable en un perfil de análisis en base al perfil de análisis. Si en un perfil particular esta opción no está seleccionada, no se realizará ninguna comprobación de dispositivos de red instalados en las auditorias de seguridad llevadas a cabo por este perfil de análisis.


Imagen 77 – La página de configuración Devices: Listas de dispositivos no autorizados e Ignorados

Componer una lista de dispositivos de red no autorizados Para componer una lista de dispositivos de red peligrosos: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña Devices. 3. Haga clic en la sub-pestaña Network Devices.


4. En la lista debajo de ‘Create a high security vulnerability for network devices whose name contains:’ especifique los nombres de los dispositivos de red que desea clasificar como vulnerabilidades de seguridad alta. Pro ejemplo, si usted introduce la palabra "wireless" será notificado a través de una alerta de vulnerabilidad de seguridad alta cuando se detecte un dispositivo cuyo nombre contiene la palabra “wireless".

Componer una lista de dispositivos de red seguros Para componer una lista de dispositivos de red seguros: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña Devices. 3. Haga clic en la sub-pestaña Network Devices.


4. En la lista debajo de ‘Ignore devices (Do not list/save to db) whose name contains:’ especifique los nombres de los dispositivos de red seguros que quiera excluir de los resultados del análisis. NOTA: Incluya solo un nombre de dispositivo de red por línea.

Configurar las opciones avanzadas de análisis de dispositivos de red

Imagen 79 – Diálogo de configuración avanzada de dispositivos de red

Desde la pestaña Devices, también puede especificar el tipo de dispositivos de red que serán comprobados por este perfil de análisis e informados en los resultados del análisis. Estos incluyen: ‘wired network devices’, ‘wireless network devices’, ‘software enumerated network devices’ y ‘virtual network devices’. Para especificar que dispositivos de red a enumerar en los resultados del análisis: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña Devices. 3. Haga clic en la sub-pestaña Network Devices. 4. Haga clic en el botón Advanced en la parte de debajo de la página. 5. Establezca las opciones requeridas a ‘Yes’. 6. Haga clic en el botón OK.


Analizar por dispositivos USB

Imagen 80 Error! No sequence specified.– Los dispositivos USB peligrosos se listan como Vulnerabilidades de Seguridad Alta

Habilitar/deshabilitar comprobaciones por dispositivos USB conectados Para habilitar los análisis de dispositivos USB conectados en un perfil de análisis: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña Devices. 3. Seleccione la casilla de verificación al lado de la opción ‘Enable scanning for USB Devices installed on the target computer(s)’. NOTA: El análisis de dispositivos USB es configurable en un perfil de análisis en base al perfil de análisis. Si en un perfil particular esta opción no está seleccionada, no se realizará ninguna comprobación de dispositivos USB conectados en las auditorias de seguridad llevadas a cabo por este perfil de análisis.

Componer una lista de dispositivos USB no autorizados Para componer una lista de dispositivos USB no autorizados/peligrosos: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña Devices. 3. Haga clic en la sub-pestaña USB Devices. 4. En la lista debajo de ‘Create a high security vulnerability for USB devices whose name contains:’ especifique los nombres de los


dispositivos USB que desea clasificar como vulnerabilidades de seguridad alta.

Imagen 81 – Lista de dispositivos USB no autorizados/en lista negra

Pro ejemplo, si usted introduce la palabra "iPod" será notificado a través de una alerta de vulnerabilidad de seguridad alta cuando se detecte un dispositivo cuyo nombre contiene la palabra “iPod".

Componer una lista de dispositivos USB seguros Para componer una lista de dispositivos USB seguros: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña Devices. 3. Haga clic en la sub-pestaña USB Devices. 4. En la lista debajo de ‘Ignore (Do not list/save to db) devices whose name contains:’ especifique los nombres de los dispositivos USB seguros (por ejemplo, ratón USB) que quiera excluir de los resultados del análisis. NOTA: Incluya solo un nombre de dispositivo USB por línea.

Configurar las opciones de análisis de aplicaciones Utilice la pestaña Applications para especificar que aplicaciones instaladas serán investigadas por este perfil de análisis durante un análisis de un equipo objetivo.

Imagen 82 – La página de configuración de aplicaciones


A través de esta pestaña, también puede configurar GFI LANguard N.S.S. para detectar e informar de software 'no autorizado' o 'caliente' instalado en objetivos analizados y para generar alertas de vulnerabilidad de seguridad alta cuando tal software es descubierto.

Imagen 83 – Lista de aplicaciones antivirus y antispyware soportadas

Por defecto, GFI LANguard N.S.S. también soporta la integración con aplicaciones de seguridad particulares. Estas incluyen varios programas antivirus y antispyware. Durante un análisis de seguridad, GFI LANguard N.S.S. comprobará si los programas antivirus o antispyware soportados están correctamente configurados y que los respectivos archivos de definiciones están al día. El análisis de aplicación es configurable en un perfil de análisis en base al perfil de análisis y todas las opciones de configuración son accesibles a través de dos sub-pestañas dentro de la página de configuración de aplicaciones. Esas son la sub-pestaña Installed Applications y la sub-pestaña Security Applications.

Habilitar/deshabilitar comprobaciones de aplicaciones instaladas Para habilitar los análisis de aplicaciones instaladas en un perfil de análisis particular: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña Applications. 3. Seleccione la casilla de verificación al lado de la opción ‘Enable Scanning for installed applications on target computers’. NOTA: El análisis de aplicaciones instaladas es configurable en un perfil de análisis en base al perfil de análisis. Si en un perfil particular esta opción no está seleccionada, no se realizará ninguna comprobación aplicaciones instaladas en las auditorias de seguridad llevadas a cabo por este perfil de análisis.


Analizar por aplicaciones instaladas

Imagen 84 – La pestaña Applications La pestaña de opciones Installed Applications

Componer una lista de aplicaciones no autorizadas Para componer una lista de aplicaciones peligrosas: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña Applications. 3. Haga clic en la sub-pestaña Installed Applications. 4. Seleccione la opción ‘All applications except the ones whose name contains:’

Imagen 85 - Lista de aplicaciones no autorizadas

5. En la lista de debajo de la opción previamente seleccionada, especifique los nombre de las aplicaciones instaladas que quiera clasificar como vulnerabilidades de seguridad alta. Pro ejemplo, si usted introduce la palabra "Kazaa" será notificado a través de una alerta de vulnerabilidad de seguridad alta cuando se detecte una aplicación cuyo nombre contiene la palabra “Kazaa".


Componer una lista de aplicaciones seguras Para componer una lista de aplicaciones seguras: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña Applications. 3. Haga clic en la sub-pestaña Installed Applications. 4. En la lista debajo de ‘Ignore (Do not list/save to db) applications whose name contains:’ especifique los nombres de las aplicaciones seguras que quiera excluir de los resultados del análisis. NOTA: Incluya solo un nombre de aplicación por línea.

Analizar por aplicaciones de seguridad

Imagen 86 – La página de configuración de aplicaciones La pestaña de opciones Security Applications

GFI LANguard N.S.S. se vende con una lista por defecto de aplicaciones antivirus y antispyware las cuales pueden ser comprobadas durante un análisis de seguridad.

Habilitar/deshabilitar comprobaciones de aplicaciones de seguridad Para habilitar las comprobaciones de aplicaciones de seguridad instaladas en un perfil de análisis particular: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña Applications.


3. Seleccione la casilla de verificación al lado de la opción ‘Detect and process installed anti-virus/anti-spyware software on target computers’. NOTA: El análisis de aplicaciones de seguridad instaladas es configurable en un perfil de análisis en base al perfil de análisis. Si en un perfil particular esta opción no está seleccionada, no se realizará ninguna comprobación aplicaciones de seguridad instaladas en las auditorias de seguridad llevadas a cabo por este perfil de análisis.

Personalizar la lista de aplicaciones de seguridad para el análisis Para especificar que aplicaciones de seguridad serán analizadas durante una auditoría: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis que desee personalizar. 2. Del panel de la derecha, haga clic en la pestaña Applications. 3. Haga clic en la pestaña Security Applications.

Imagen 87 - Seleccionando las aplicaciones de seguridada a ser investigadas

4. Seleccione las casillas de verificación de las aplicaciones de seguridad que desee investigar cuando realice auditorías de seguridad con este perfil de análisis.


Configurar las aplicaciones de seguridad – opciones avanzadas

Imagen 71 – Diálogo de configuración de opciones avanzadas

Use el botón Advanced incluido en la página de configuración de Security Applications para configurar las comprobaciones extendidas de los productos de seguridad las cuales generan alertas de vulnerabilidad de seguridad alta cuando: • Los archivos de definición del producto antivirus o antispyware

están desactualizados. • La característica ‘Protección en Tiempo Real’ de una aplicación

antivirus o antispyware particular se encuentra deshabilitada. • Ninguno de los programas antivirus o antispyware seleccionado

está actualmente instalado en el equipo objetivo analizado.

GFI LANguard Network Security Scanner Actualizaciones de programa GFI LANguard N.S.S. • 103

Actualizaciones de programa GFI LANguard N.S.S.

Introducción GFI LANguard N.S.S. utiliza un número de archivos de parámetros los cuales sirven para diferentes propósitos en el proceso de análisis de seguridad de su red. Estas bases de datos se actualizan periódicamente por GFI ofreciendo las últimas actualizaciones de la administración de parches de Microsoft, comprobaciones de vulnerabilidad y datos de identificación de dispositivos. Periódicamente GFI también provee nuevas revisiones de GFI LANguard N.S.S. que contienen nuevas características así como parches y mejoras del motor que mejoran el rendimiento de sus herramientas de análisis de seguridad de red. Utilice la herramienta ‘Program Updates’ para descargar los últimos archivos de referencia y revisiones del programa. Por defecto, GFI LANguard N.S.S. está configurado para comprobar automáticamente las actualizaciones de programa en cada inicio. Las actualizaciones de programa también se pueden iniciar ejecutando el ‘Asistente de Actualización de Programa' desde Help Check for updates.

104 • Actualizaciones de programa GFI LANguard N.S.S. GFI LANguard Network Security Scanner

Comprobar la versión de las actualizaciones actualmente instaladas

Imagen 88 – Detalles sobre las actualizaciones actualmente instaladas

Haga clic en el nodo General Program Updates para ver el estado de actualización de su GFI LANguard N.S.S. Los detalles de actualización del programa están organizados en categorías y se muestran en el panel derecho de su interfaz de configuración. Cada categoría incluye la fecha de la última actualización realizada, la fecha de la descarga más reciente así como la versión de la actualización actual de la base de datos instalada.


Descargar actualizaciones de software desde Microsoft en diferentes idiomas

Imagen 89 - Seleccionando los archivos de actualización de Microsoft

Con una simple instalación, GFI LANguard N.S.S. soporta la administración de parches en muchos idiomas. A través de la actualización de parches multi-idioma usted puede descargar e implementar actualizaciones de productos Microsoft ausentes, descubiertas durante un análisis de seguridad, en una variedad de diferentes idiomas. El motor de análisis de seguridad identifica parches y service packs de Microsoft ausentes referenciando a los ‘ficheros de Actualización de Software de Microsoft'. Estos archivos contienen la última (completa) lista de actualizaciones de producto actualmente provistas por Microsoft y están disponibles en todos los idiomas soportados por los productos Microsoft. Use la herramienta ‘Actualización de Programa’ de GFI LANguard N.S.S. para descargar los últimos ‘ficheros de Actualización de Software de Microsoft' en todos los idiomas que use actualmente en su red. Esto permitiría al motor de análisis de seguridad descubrir e informar de parches y service packs ausentes en Inglés así como también los que no son en Inglés. Basado en esta información, usted puede después utilizar el motor de implementación de parches para descargar e instalar los ficheros de actualizaciones ausentes en sus respectivos idiomas a lo largo de la red. Los idiomas soportados incluyen: Inglés, Alemán, Francés, Italiano, Español, Árabe, Danés, Checo, Finés, Hebreo, Húngaro, Japonés, Coreano, Holandés, Noruego, Polaco, Portugués, Portugués_Brasileño, Ruso, Sueco, Chino, Chino_Taiwanés, Griego, y Turco.


La información sobre como descargar en varios idiomas los ‘Ficheros de Actualización de Microsoft’ se provee mas adelante en este capítulo.

Iniciar las actualizaciones de programa manualmente Para iniciar manualmente las actualizaciones de programa de GFI LANguard N.S.S.: 1. Haga clic derecho sobre el nodo General Program Updates y seleccione Check for Updates…. Esto levantará el ‘Asistente de comprobación de actualizaciones'.

Imagen 90 – El Asistente de Comprobación de Actualizaciones: Etapa 1

2. Especifique el lugar desde donde se descargarán los ficheros de actualización requeridos. 3. Para cambiar la ruta por defecto de descarga de actualizaciones, seleccione la opción ‘Download all update files……to this path’. 4. Haga clic en Next para proceder con la actualización.


Imagen 91 – El Asistente de Comprobación de Actualizaciones: Etapa 2

5. Seleccione las actualizaciones que desee descargar. Las actualizaciones disponibles incluyen: • GFI LANguard N.S.S. Vulnerabilities Update: Seleccione esta

opción para descargar nuevas comprobaciones de vulnerabilidad y parches.

• GFI LANguard N.S.S. Dictionaries Update: - Seleccione esta opción para descargar actualizaciones del fichero de diccionario (por ejemplo, actualizaciones del diccionario de cadenas débiles de la comunidad, actualizaciones del diccionario de contraseñas, etc).

• Microsoft Software Updates: - Seleccione los archivos de 'Actualización de Software de Microsoft' de todos los idiomas actualmente usados en su red. Para mas información refiérase a la sección ‘Descargar Actualizaciones de Microsoft en diferentes idiomas’ al comienzo de este capítulo.

NOTA: Seleccione la opción ‘Update ALL files (including the ones already updated)’ en la parte de abajo del diálogo para actualizar todos los archivos. 6. Haga clic en Next para continuar. 7. Haga clic en Start para iniciar el proceso de actualización.

Comprobar la disponibilidad de actualizaciones de software al inicio del programa

Por defecto, GFI LANguard N.S.S. comprueba la disponibilidad de actualizaciones soportadas cada inicio del programa. Para deshabilitar las comprobaciones automáticas de actualización de software al inicio:


1. Haga clic derecho sobre el nodo General Program Updates y seleccione Properties. Esto abrirá el diálogo de Propiedades de actualizaciones de Programa.

Imagen 92 – La opción 'Check for newer builds at startup’

2. Deselecciona la opción ‘Check for newer builds at startup’ en la parte de abajo del diálogo.

Configurar que actualizaciones a comprobar al inicio del programa Para configurar que actualizaciones son comprobadas al inicio del programa:

Imagen 93 – Diálogo de Propiedades de Actualizaciones de Programa

1. Haga clic derecho sobre el nodo General Program Updates y seleccione Properties. 2. Seleccione las actualizaciones de base de datos y motor que desee descargar. 3. Especifique el lugar desde donde desea descargar las actualizaciones de programa. 4. Haga clic en OK para guardar estos ajustes.

GFI LANguard Network Security Scanner Administración de parches: Implementar Actualizaciones de Microsoft • 109

Administración de parches: Implementar Actualizaciones de Microsoft

Introducción Utilice la herramienta de administración de parches para mantener automáticamente sus productos Microsoft actualizados con los últimos parches y service packs. Los productos Microsoft soportados incluyen los Sistemas Operativos Windows 2000, XP y 2003, Microsoft Office XP o superior, Microsoft Exchange 2000 o superior y Microsoft SQL Server 2000 o superior. Una lista completa de productos Microsoft soportados por GFI LANguard N.S.S. está disponible en http://kbase.gfi.com/showarticle.asp?id=KBID002573. Para implementar satisfactoriamente parches y service packs en su sistema de red, debe: Paso 1: Analizar su sistema de red. Paso 2: Seleccionar los equipos en los cuales se implementarán parches y service packs. Paso 3: Seleccione los parches y service packs que se implementarán. Paso 4: Descargar los archivos de parches y service pack requeridos. Paso 5: Implementar los parches y service packs descargados en sus objetivos. Para implementar satisfactoriamente parches en los equipos objetivo seleccionados, debe asegurarse que: • GFI LANguard N.S.S. está corriendo bajo una cuenta que tenga

privilegios administrativos en el equipo objetivo al cual se le implementarán las actualizaciones.

• El servicio NetBIOS está habilitado en el equipo remoto. Para más información acerca de cómo habilitar NetBIOS refiérase a la sección 'Habilitar NetBIOS en un equipo objetivo' en el capítulo 'Miscelánea'.

Sobre el agente de implementación de parches GFI LANguard N.S.S. hace uso de un agente de implementación de parches para implementar parches, service packs y software propio en equipos remotos. El agente de implementación de parches es un servicio el cual el instalado silenciosamente (y automáticamente) en el equipo objetivo remoto durante la implementación de parches. Su propósito es ejecutar y monitorizar satisfactoriamente la instalación de actualizaciones a una hora programada (configurable), haciendo a

110 • Administración de parches: Implementar Actualizaciones de Microsoft GFI LANguard Network Security Scanner

GFI LANguard N.S.S. más eficiente y fiable que sus homólogos de implementación de parches sin ejecutar agente.

Sobre los parches revisados No es inusual que Microsoft revise parches y service packs. Ejemplos de ello son el parche MS03-045 para Windows y el parche MS03-047 para Exchange que fueron liberados el 15 de Octubre de 2006. Los parches son generalmente revisados debido a vulnerabilidades recientemente descubiertas o problemas causados por la instalación de estas actualizaciones. Cuando esto ocurre, GFI LANguard N.S.S. informará aún de los parches revisados como ausentes, aún cuando estos no puedan ser instalados. Si no quiere ser informado sobre estos parches ausentes debe deshabilitar la comprobación de ese parche en particular. Esto se hace como sigue: 1. Expanda el sub-nodo Configuration Scanning Profiles y seleccione el perfil que desee configurar. 2. Desde el panel de la derecha, haga clic en el nodo Patches y deseleccione el boletín respectivo de la lista provista. También puede agregar parches revisados a una lista de ignorados. La lista de parches ignorados le permite excluir parches particulares tales como parches revisados de las auditorías de análisis de seguridad. Para agregar un parche ausente a la lista de ignorados: 1. Realizar un análisis de seguridad en su red 2. Desde los resultados del análisis, acceda a la lista de parches ausentes. 3. Seleccione el parche que desee agregar a la lista de ignorados.

3. Haga clic derecho y seleccione Patches Add to ignore list for This computer.


Imagen 94 – Parches incluidos en la lista de ignorados de un objetivo particular

Para ver los parches en la lista de ignorados de un equipo objetivo particular, haga clic en el nodo Scan Results System patches status.

Administración de parches multilingüe El motor de implementación de parches de GFI LANguard N.S.S. descarga e instala automáticamente actualizaciones de seguridad de software y service packs de Microsoft en concordancia con el idioma usado por el equipo objetivo. Para mas información sobre la administración de parches multilingüe refiérase a la sección ‘Descargar Actualizaciones de Microsoft en diferentes idiomas’ al comienzo de este capítulo.

Seleccionar los equipos objetivo donde se implementarán los parches

Una vez que se ha completado un análisis de seguridad de red, puede comenzar la implementación de parches y service packs ausentes en sus equipos objetivo. Los parches y service packs ausentes se pueden implementar en un solo equipo objetivo, en una selección de equipos objetivo así como también en todos los equipos objetivo que tengan parches y service packs ausentes.


Imagen 95 – Implementando service packs y parches ausentes

Implementar actualizaciones ausentes en un equipo Desde le panel ‘Scanned Computers’ (en el medio), haga clic derecho sobre el ordenador que desee actualizar y seleccione Deploy Microsoft updates [Service packs on o Patches on] This computer.

Implementar actualizaciones en un rango de equipos 1. Desde el panel ‘Scanned Computers’ (en el medio), seleccione la casilla de verificación de los equipos que desee actualizar. 2. Haga clic derecho en alguno de los equipos objetivo y seleccione Deploy Microsoft updates [Service packs on o Patches on] Selected computers.

Implementar actualizaciones ausentes en todos los equipos Desde le panel ‘Scanned Computers’ (en el medio), haga clic derecho sobre alguno de los equipos objetivo listados y seleccione Deploy Microsoft updates [Service packs on o Patches on] All computers.


Seleccionar qué parches implantar

Imagen 96 – Página de opciones de Implementación de Parches

Después que ha especificado que equipos objetivo se actualizarán, GFI LANguard N.S.S. levantará automáticamente las opciones de Implementación de Parches. Estas opciones se muestran en el panel de la derecha del interfaz de configuración junto con la lista de equipos objetivo seleccionados y las actualizaciones en Inglés/no Inglés que serán descargadas e implementadas en los objetivos enumerados. NOTA: Para abrir manualmente las opciones de implementación de paches haga clic en Tools Deploy Microsoft patches.

Ordenar los resultados La página de opciones de Implementación de Parches le permite organizar y ver la lista de service packs y parches a ser implementados de dos formas: • ‘Sort by computers’ – Esta vista muestra la lista de parches

ausentes agrupados por equipo objetivo. • ‘Sort by patches’ – Esta vista muestra la lista de todos los parches

ausentes ordenados por el 'nombre del fichero de Actualización'. Cambie entre estas vistas haciendo clic en las pestañas Sort by computers y Sort by patches consecuentemente.


Seleccionar los parches a ser implementados

Imagen 97 – Seleccionando los parches a descargar e implementar

Por defecto, GFI LANguard N.S.S. descargará e implementará todos los parches y service packs en Inglés/otro idioma descubiertos durante un análisis de seguridad de red. Para excluir parches particulares de una sesión de descarga e implementación, deseleccione la casilla de verificación al lado del parche respectivo.

Descargar los archivos de actualizaciones y service pack Después de seleccionar los parches y service packs requeridos puede empezar a descargar estos archivos de actualización. Una vez accionado, GFI LANguard N.S.S: atenderá automáticamente la descarga de parches y service packs ausentes en sus respectivos idiomas (en Inglés y los que no son Inglés)

Imagen 98 – Una lista de parches a ser descargados


Comenzar las descargas de parches y service packs Para iniciar la descarga de un parche o service pack específico, haga clic derecho sobre el respectivo archivo del parche y seleccione Download File. Para iniciar la descarga de todos los parches y service packs seleccionados, haga clic derecho en algún fichero de parche y seleccione Download all checked files. Los iconos al lado de cada archivo de actualización muestran el estado actual de la descarga. Estos iconos indican los siguientes estados: • Descargado • Descarga en curso • Esperando que el usuario navegue a la página web para hacer

clic sobre el enlace para descargar el archivo • No descargado.

Descargas que requieren la intervención del usuario

Imagen 99 – Descargando un parche desde una página web

Ciertos ficheros de parches requieren que usted los descargue manualmente desde un sitio objetivo específico. Estos ficheros están representados por el icono el cual se muestra al lado de estos ficheros particulares. Para tales descargas, GFI LANguard N.S.S. abrirá automáticamente la página web principal en el área de la parte de abajo de la herramienta de implementación. Haga clic en el enlace de descarga mostrado en esta página web para iniciar el proceso de descarga.

Parar las descargas activas Para parar una descarga de parche, haga clic derecho en el parche particular y seleccione Cancel Download.


(Opcional) Configurar parámetros de implementación del fichero de parche alternativos

Imagen 100 – Dialogo de propiedades del fichero de parche

Puede configurar opcionalmente parámetros alternativos de implementación de parches de una actualización en base a ella. Los parámetros que puede configurar incluyen la URL de descarga y la ruta de destino del fichero de actualización descargado. Para cambiar los ajustes de implementación y descarga de un parche ausente: 1. Haga clic derecho sobre el archivo de actualización particular y seleccione Properties. Esto abrirá el diálogo de propiedades del fichero de actualización. 2. Realice los cambios requeridos y haga clic en OK para guardar estos ajustes.


Implantar las actualizaciones

Imagen 101 – Opciones de implantación de parches

Iniciar el proceso de implementación de parches Después que los ficheros de actualización han sido descargados, puede proceder con la implementación de estos archivos en sus respectivos objetivos. Para inicia el proceso de implementación, haga clic en el botón Start en la parte de abajo a la derecha de la página de implementación de parches.

Monitorizar el proceso de implementación de parches

Imagen 102 – Monitorizando el proceso de implementación


Para ver la actividad de la implementación de parches en progreso, haga clic en la pestaña Deployment Status localizada al lado de la pestaña Sort by patches en la parte de arriba del panel de la derecha.

GFI LANguard Network Security Scanner Administración de parches: Implantar software a medida • 119

Administración de parches: Implantar software a medida

Introducción Utilice la herramienta ‘Implementación de Software a Medida' para instalar software a medida e implementar parches o actualizaciones de software de terceros en toda la red, Por ejemplo, puede utilizar esta herramienta para implantar actualizaciones de firmas de virus en sus equipos de red. La herramienta de implantación de software a medida es accesible desde Tools Deploy Custom software. El proceso de implantación de software a medida es muy similar al proceso de implementar actualizaciones Microsoft en una máquina. Para implantar software a medida en un equipo objetivo debe: Paso 1. Seleccionar al equipo en el cual se instalará el software/fichero de actualización. Paso 2. Especificar el software que será implantado. Paso 3. Iniciar el proceso de implementación.

120 • Administración de parches: Implantar software a medida GFI LANguard Network Security Scanner

Seleccionar los objetivos para la implementación de software/parches a medida

Imagen 103 – Seleccionar los equipos objetivo

1. Haga clic en el nodo Tools Deploy Custom software. 2. Desde el área ‘Computer(s) to deploy software’ (en la mitad del diálogo de configuración), haga clic en Add para incluir un solo equipo, o haga clic en Select para especificar un rango de equipos en los cuales se implementará el software a medida. NOTA: La lista de equipos también puede importarse de un fichero de texto haciendo clic en el botón Import.


Enumerar el software a implementar

Imagen 104 - Seleccionando el software a implementar

1. Desde al área ‘Software’ (en la mitad del interfaz de configuración), haga clic en Add.

Imagen 105 - Especificando el software a implementar

2. Especifique la ubicación del fichero fuente 3. Para especificar parámetros de línea de comando a pasar durante la implementación del fichero, seleccione una de las siguientes opciones: • ‘Windows operating system patch’ – Seleccione esta opción si va

a implementar parches del SO Windows.


• ‘Internet explorer patch’ – Seleccione esta opción si va a implementar parches de Internet Explorer.

• ‘Custom’ – Seleccione esta opción si quiere incluir parámetros personales. Especifique los parámetros requeridos en la caja de entrada en la parte de abajo del diálogo.

Iniciar el proceso de implantación

Imagen 106 – Destalles de implementación de software

Una vez ha especificado que software será implantado y en que equipo(s) objetivo, inicie la implementación del software haciendo clic en el botón Start.

Programar la implementación de software Para programar la implantación de software a medida: 1. Seleccione la opción ‘Deploy on’. 2. Especifique la fecha y hora preferida en los campos provistos. 3. Haga clic en el botón Start para activar el proceso de implementación programado.


Opciones de implantación

Opciones generales de implantación

Imagen 107 – Opciones generales de implantación

Las opciones generales de implementación le permites configurar las acciones de antes y después de la implementación de parches.

Opciones de antes de la implementación Configure las opciones de ‘Antes de la implementación’ en la pestaña General como sigue: • ‘Warn users before deployment’ – Seleccione esta opción si

quiere enviar un mensaje al equipo objetivo antes de implantar una actualización.

Imagen 108 – Aviso de Implantación: Informa al usuario que un proceso de implantación esta a punto de comenzar

De esta manera, los usuarios del equipo objetivo podrán salvar y cerrar los programas en marcha antes que los parches sean implementados es su equipo(s).

• ‘Wait for user’s approval’ – Seleccione esta opción para solicitar la aprobación de un usuario del equipo objetivo antes de iniciar la


implementación de un fichero. Esto permite al usuario del equipo objetivo mantener a la espera el proceso de implantación en caso de que otro proceso importante (por ejemplo, una copia de seguridad del sistema) esté ya en marcha. De esta forma otros procesos se pueden dejar acabar antes de la implantación, por si acaso el equipo objetivo requiere reiniciar después de la instalación del fichero. Para iniciar la implantación del parche, el usuario del equipo objetivo debe hacer clic en el botón OK incluido en el diálogo de mensaje.

• ‘Stop services before deployment’ – Seleccione esta opción para detener servicios específicos antes de iniciar la implementación. Especifique los servicios que desea detener haciendo clic en el botón Services….

Opciones de después de la implementación Configure las opciones de ‘Después de la implementación’ en la pestaña General como sigue: • ‘Do not reboot’ – Selecciones esta opción si NO quiere reiniciar

(remotamente) el equipo objetivo después del proceso de implementación.

• ‘Reboot the target computers’ – Seleccione esta opción para reiniciar automáticamente los equipos objetivo después que el software o parches han sido instalados.

• • ‘Let the user decide when to reboot’ – Seleccione esta opción para

dejar a los usuarios del equipo objetivo que decidan interactivamente cuando reiniciar los equipos donde ha sido implantado software/parches. Cuando esta opción está habilitada, el diálogo ilustrado mas abajo se muestra automáticamente en el escritorio del equipo objetivo.

Imagen 109 – Diálogo de opciones post implantación: Permitir a los usuarios que decidan cuando reiniciar el equipo objetivo

Desde este diálogo los usuarios pueden seleccionar una de las siguientes opciones de reinicio: o ‘Restart Now’ – Seleccione esta opción para reiniciar

inmediatamente.


o ‘Remind me in [X] Minutes’ – Seleccione esta opción para generar un recordatorio de reinicio en intervalos de tiempo (en minutos) específicos.

o ‘Restart on [date] at [time]’ – Seleccione esta opción para reiniciar automáticamente el equipo objetivo en un día y/u hora específica.

o ‘Don’t bother me again’ – Seleccione esta opción para abortar el reinicio remoto.

o ‘Shutdown the target computer(s)’ – Seleccione esta opción para apagar los equipos objetivos después de la implantación de software/parches.

• ‘Delete copied files on the remote computers after deployment’ – Seleccione esta opción para borrar el fichero fuente/de instalación del equipo objetivo después de que se ha instalado correctamente.

• Computer filters – Haga clic en el botón Computer filters para configurar las condiciones particulares de filtrado de objetivos. Estos ajustes permitirán la implementación de parches solo si están instalados y funcionando sistemas operativos específicos en el equipo(s) objetivo.

Opciones de implementación avanzadas

Imagen 110 – Opciones avanzadas de implantación

Utilice la pestaña Advanced para acceder a las opciones avanzadas de implementación desde donde puede configurar los siguiente parámetros de implementación: • Configurar el número de hilos de implementación de parches que

se usarán. • Configurar el timeout de la implantación.


• Configurar el servicio de agente de implantación para ejecutarse bajo credenciales alternativas.

GFI LANguard Network Security Scanner Comparación de resultados • 127

Comparación de resultados

Introducción A través de auditorías regulares y comparación de resultados puede analizar los cambios que ocurren entre auditorías de seguridad de red sucesivas. Esto le ayuda a identificar inmediatamente nuevas vulnerabilidades de una manera oportuna así como asistirle en la investigación y mitigación de problemas de seguridad no solucionados/pendientes que se mantienen repetidamente emergentes en cada análisis de seguridad de red. GFI LANguard N.S.S. se vende con una herramienta de comparación de resultados. Utilice esta herramienta para generar automáticamente informes que muestren la diferencia entre dos análisis consecutivos/no consecutivos. Los informes de comparación se pueden generar interactivamente o automáticamente. Genere los informes de comparación interactivamente desde el nodo Security Scanner Result comparison. Los informes de comparación se pueden generar interactivamente seleccionando los resultados del análisis (análisis consecutivos y no consecutivos) a ser comparados. Configure las opciones en el nodo Configuration Scheduled Scans en la pestaña Results notifications para generar automáticamente la comparación después de cada análisis programado. Los informes generados después de un análisis programado le permiten comparar los últimos resultados del análisis con los resultados del análisis (programado) anterior. Para más información refiérase a la sección ‘Análisis Programados’ en el capítulo ‘configurar GFI LANguard N.S.S.’. Use la información recogida a través de las comparaciones de resultados para recurizar proactivamente su red de la actividad peligrosa del usuario y proteger los equipos de amenazas emergentes solucionando todas las posibles vulnerabilidades antes que sean explotadas.

Comparar resultados del análisis interactivamente GFI LANguard N.S.S. le permite almacenar los resultados del análisis en base de datos o ficheros XML Por defecto, GFI LANguard N.S.S. almacena todos los resultados del análisis en la base de datos de respaldo Microsoft Access/Microsoft SQL Server. Cuando se realizan análisis programados GFI LANguard N.S.S. también almacenará los resultados del respectivo análisis en un fichero XML para propósitos de informes.

128 • Comparación de resultados GFI LANguard Network Security Scanner

GFI LANguard N.S.S. se vende con una herramienta de comparación de resultados que le permite comparar resultados del análisis guardados y generar una lista de cambios de red descubiertos.

Configurar que información será reportada La herramienta de comparación de resultados puede reportar información varia descubierta durante la comparación de 2 resultados del análisis guardados. Configure la información que será incluida en el informe como sigue: 1. Haga clic en el nodo Security Scanner Result comparison.

Imagen 111 – Opciones de configuración de la comparación de resultados.

2. Del panel de la derecha, haga clic en el botón Options.

3. Seleccione la casilla de verificación del elemento de información que quiera incluir en el informe. Los elementos disponibles incluyen: • New items: Seleccione esta opción para incluir todos los asuntos

de seguridad que fueron enumerados en los últimos resultados del análisis y los cuales no fueron grabados en los resultados del análisis anterior/antiguo.

• Removed items: Seleccione esta opción para incluir todos los elementos del resultado (por ejemplo, aplicaciones instaladas) y componentes/dispositivos (por ejemplo, tarjetas de red, dispositivos USB, dispositivos Inalámbricos, etc…) que fueron grabados en el análisis anterior/antiguo pero los cuales no han sido grabados en el último análisis.

• Changed items: Seleccione esta opción para incluir todos los elementos del resultado que han cambiado, tales como un servicio que estaba habilitado o deshabilitado entre análisis.

• Show vulnerability changes: Seleccione esta opción para incluir todas las vulnerabilidades nuevas y arregladas identificadas entre los resultados del análisis comparados.

• Show only hot-fix changes: Seleccione esta opción para incluir todos los parches ausentes e instalados identificadas entre los resultados del análisis comparados.

GFI LANguard Network Security Scanner Comparación de resultados • 129

Generar un Informe de Comparación de Resultados

Imagen 112 – comparando resultados del análisis

Para generar un informe de comparación de resultados del análisis: 1. Haga clic en el nodo Security Scanner Result comparison. 2. Haga clic en los botones de búsqueda de fichero para seleccionar los archivos de resultados del análisis que desee comparar. Puede comparar los resultados almacenados en archivos XML o base de datos pero no puede comparar directamente resultados en archivo XML con resultados en base de datos 3. Haga clic en Compare para inicia el proceso de comparación de resultados.

El Informe de Comparación de Resultados

Imagen 113 – Informe de Comparación de Resultados

130 • Comparación de resultados GFI LANguard Network Security Scanner

El Informe de Comparación de Resultados muestra los cambios de configuración del objetivo y diseño de red que han sido identificados entre dos resultados del análisis.

GFI LANguard Network Security Scanner Monitor de Estado de GFI LANguard N.S.S. • 131

Monitor de Estado de GFI LANguard N.S.S.

Ver operaciones programadas Utilice en Monitor de Estado de GFI LANguard N.S.S. para ver el estado de los análisis e implementaciones programadas activas.

Imagen 114 – El icono del Monitor de Estado de GFI LANguard N.S.S. en la bandeja del sistema de Windows

El Monitor de Estado se abre automáticamente en la bandeja del sistema de Windows siempre que se inicia el interfaz de configuración de GFI LANguard N.S.S. Para levantar el Monitor de Estado haga clic en el icono localizado en su bandeja del sistema de Windows. NOTA: Inicie el Monitor de Estado sin abrir el interfaz de configuración de GFI LANguard N.S.S. desde Inicio Programas GFI LANguard Network Security Scanner 7.0 LNSS Status Monitor.

Visualizar el progreso de análisis programados

Imagen 115 - Monitor de Estado: La pestaña de análisis programados activos.

Para visualizar los análisis programados en progreso: 1. Inicie el Monitor de Estado de GFI LANguard N.S.S. 2. Haga clic en la pestaña Scheduled Scans.

132 • Monitor de Estado de GFI LANguard N.S.S. GFI LANguard Network Security Scanner

NOTA 1: Cancele cualquier análisis programado que está en progreso haciendo clic en el botón Stop Selected Scan(s). NOTA 2: Desde la pestaña Scheduled Scans solo puede visualizar y cancelar análisis programados que estén en progreso. NOTA 3: Visualice o cancele análisis programados que no han sido ya iniciados desde el interfaz de configuración de GFI LANguard N.S.S. (Configuration Scheduled Scans).

Visualizar el progreso de implementaciones programadas

Imagen 116 - Monitor de Estado: Implementaciones programadas

Para visualizar las implementaciones programadas en progreso: 1. Inicie el Monitor de Estado de GFI LANguard N.S.S. 2. Haga clic en la pestaña Scheduled deployments. NOTA: Cancele cualquier implementación programada que está en progreso haciendo clic en el botón Cancel Selected deployments.

GFI LANguard Network Security Scanner Herramientas • 133

Herramientas

Introducción GFI LANguard N.S.S. se vende con un conjunto por defecto de herramientas de red las cuales le ayudan a solucionar problemas de red comunes y le asisten en la administración de su red. Utilice el nodo Tools en el interfaz de configuración de GFI LANguard N.S.S. para acceder a la siguiente lista de herramientas de red por defecto: • DNS Lookup • Whois Client • Trace Route • SNMP Walk • SNMP Audit • Microsoft SQL Server Audit • Enumerate Computers • Enumerate Users.

DNS lookup Utilice la herramienta Tools DNS Lookup para resolver nombres de dominio en su correspondiente dirección IP y para recoger información particular del dominio objetivo (por ejemplo, el registro MX, etc.).

134 • Herramientas GFI LANguard Network Security Scanner

Imagen 117 – La herramienta DNS Lookup

Para resolver un nombre de dominio/anfitrión: 1. Haga clic en el nodo Tools DNS lookup. 2. Indique el nombre de host a resolver. 3. Especifique la información que desea recoger: • ‘Basic Information’ – Seleccione esta opción para recoger el

nombre del host y la dirección IP relacionada. • ‘Host Information’ – Seleccione esta opción para recoger los

detalles HINFO. La información del host (conocida como HINFO) incluye generalmente información del equipo objetivo tal como especificaciones de hardware y detalles del SO. NOTA: La mayoría de las entradas DNS no contienen esta información por razones de seguridad.

• ‘Aliases’ – Seleccione esta opción para recoger información de los ‘Registros A' configurados en el dominio objetivo.

• ‘MX Records’ – Seleccione esta opción para enumerar todos los servidores de correo y el orden (es decir, la prioridad) en la cual ellos reciben y procesan los correos del dominio objetivo.

• ‘NS Records’ – Seleccione esta opción para especificar los “servidores de nombres” que son autorizados para un particular dominio o sub dominio.

4. Especifique (si se requiere) el servidor DNS alternativo que será consultado por la herramienta DNS Lookup o déjelo por defecto para usar el servidor DNS por defecto. 5. Haga clic en el botón Retrieve para comenzar el proceso.


Trace Route

Imagen 118 - La herramienta Trace route

Utilice la herramienta Tools Traceroute para identificar la ruta que GFI LANguard N.S.S. siguió para alcanzar un equipo objetivo. Para usar esta herramienta: 1. En la lista desplegable 'Trace' especifique el nombre/IP o dominio

a alcanzar. 2. Haga clic en el botón Traceroute para comenzar el proceso de

rastreo. Traceroute descompondrá la ruta obtenida a un equipo objetivo en “saltos”. Un salto indica un nivel y representa un equipo que fue atravesado durante el proceso. La información enumerada por esta herramienta incluye las IP de los equipos atravesados, el número de veces que un equipo fue atravesado y el tiempo consumido en alcanzar el equipo respectivo. También se incluye un icono al lado de cada salto. Este icono indica el estado de ese salto en particular. Los iconos usados en esta herramienta incluyen: • Indica un salto exitoso tomado dentro de los parámetros

normales. • Indica un salto exitoso, pero el tiempo necesario fue bastante

grande. • Indica un salto exitoso, pero el tiempo necesario fue demasiado

grande. • Indica que el salto provocó un time out (> 1000ms).


Whois Client

Imagen 119 – La herramienta Whois

Utilice la herramienta Tools Whois Client para buscar información de un dominio o IP particular. Seleccione el Servidor Whois que buscará su información desde el área de opciones a la derecha del interfaz de configuración, o déjelo por defecto para dejar que la herramienta seleccione automáticamente un servidor de dominio por usted. Para buscar información en un dominio o dirección IP en particular, especifique el dominio/IP o nombre del host en la lista desplegable 'Query' y haga clic en el botón Retreive.


SNMP Walk

Imagen 120 - SNMP Walk

Utilice la herramienta Tools SNMP Walk para sondear sus nodos de red y recoger información SNMP (por ejemplo, los OID's) Para iniciar el análisis SNMP en un objetivo: 1. Haga clic en el nodo Tools SNMP Walk. 2. Especifique la dirección IP del equipo que desee analizar la información SNMP. 3. Haga clic en el botón Retrieve para comenzar el proceso. NOTA 1: La actividad SNMP es a menudo bloqueada en el router/cortafuegos de forma de los usuarios de Internet no puedan analizar su red mediante SNMP. NOTA 2: Es posible proporcionar cadenas de comunidad alternativas. NOTA 3: La información enumerada a través de SNMP se puede utilizar por usuarios malintencionados para atacar su sistema. A menos que se requiera este servicio es extremadamente recomendable que SNMP esté desactivado.


Herramienta de auditoría SNMP

Imagen 121 – Herramienta SNMP Audit

Utilice la herramienta Tools SNMP Audit para realizar auditorías SNMP en objetivos de red e identificar cadenas de comunidad débiles. Esta herramienta identifica e informa de cadenas de comunidad SNMP débiles realizando ataques de diccionario utilizando los valores almacenados en su archivo de diccionario por defecto (snmp-pass.txt). Puede añadir nuevas cadenas de comunidad al diccionario por defecto utilizando un editor de texto (por ejemplo, notepad.exe). También puede indicar a la herramienta ‘SNMP Audit’ para que utilice otros ficheros de diccionario. Para realizar esto, especifique la ruta al fichero de diccionario que quiera desde las opciones de la herramienta a la derecha del interfaz de configuración. Para realizar una Auditoría SNMP: 1. Haga clic en el nodo Tools SNMP Audit. 2. Especifique la dirección IP del equipo que desee auditar. 3. Haga clic en el botón Retrieve para comenzar el proceso.

Herramienta Microsoft SQL Server Audit Utilice la herramienta Tools Microsoft SQL Server Audit para realizar una auditoría de seguridad a una instalación de Microsoft SQL server. Esta herramienta le permite testear la vulnerabilidad de la contraseña de la cuenta “sa” (es decir, el administrador raíz), y otras cuentas SQL configuradas en el Servidor SQL. Durante el proceso de auditoria, esta herramienta realiza ataques de diccionario a las cuentas del servidor SQL utilizando las credenciales especificadas en el diccionario 'passwords.txt'. Sin embargo, también puede indicar a la herramienta ‘SQL Server Audit’ para que utilice otros ficheros de


diccionario. También puede personalizar su diccionario añadiendo nuevas contraseñas a la lista por defecto. Para realizar una Auditoría SQL Server: 1. Haga clic en el nodo Tools SQL Server Audit. 2. Especifique la dirección IP del servidor SQL que desee auditar. NOTA: Por defecto, esta herramienta comprobará la vulnerabilidad de la cuenta administrador/sa. Si desea realiza ataques de diccionario en todas las demás cuentas de SQL, seleccione la opción ‘Audit all SQL user accounts’ y especifique las credenciales de inicio de SQL Server. Se requieren estas credenciales para autenticarse en el servidor SQL para recoger la lista de cuentas de usuario respectiva. 3. Haga clic en el botón Retrieve para comenzar el proceso.

Herramienta Enumerar Equipos

Imagen 122 Error! No sequence specified. – La herramienta Enumerate Computers

Utilice la herramienta Tools Enumerate Computers para identificar dominios y grupos de trabajo en una red. Durante la ejecución, esta herramienta también analiza cada dominio/grupo de trabajo descubierto para enumerar sus equipos respectivos. La información enumerada por esta herramienta incluye, el nombre del dominio o grupo de trabajo, las lista de equipos del dominio/grupo de trabajo, el SO instalado en los equipos descubiertos, y algunos otros detalles que se podrían recoger a través de NetBIOS. Los equipos pueden ser enumerados utilizando uno de los siguientes métodos: • Desde el Directorio Activo – Este método es mucho más rápido y

además incluirá los equipos que están actualmente apagados.


• Utilizando el interfaz de Windows Explorer – Este método enumera los equipos a través de un análisis en tiempo real de la red y por consiguiente es más lento y no incluirá los equipos apagados.

Utilice la pestaña Information Source provista en la herramienta ‘Enumerate Computers’ para configurar su método preferido de descubrimiento de equipos. NOTA: Para un análisis de Directorio Activo, debe ejecutar la herramienta (es decir, GFI LANguard N.S.S.) bajo una cuenta que tenga privilegios de acceso al Directorio Activo.

Iniciar un análisis de seguridad La herramienta ‘Enumerate Computers’ analiza toda su red e identifica dominios y grupos de trabajo así como también sus respectivos equipos. Después de enumerar los equipos en un dominio o puesto de trabajo, puede utilizar esta herramienta para lanzar un análisis de seguridad en los equipos listados. Para iniciar un análisis de seguridad directamente desde la herramienta 'Enumerar Equipos', haga clic derecho sobre alguno de los equipos enumerados y seleccione Scan. También puede lanzar un análisis de seguridad y al mismo tiempo continuar utilizando la herramienta ‘Enumerate Computers’. Esto se realiza haciendo clic derecho en alguno de los equipos enumerados y seleccionando Scan in background.

Implantar actualizaciones a medida Puede utilizar la herramienta ‘Enumerate Computers’ para implementar parches a medida y software de terceros en los equipos enumerados. Para lanzar el proceso de implementación directamente desde esta herramienta: 1. Seleccione los equipos que requieran implementación. 2. Haga clic derecho sobre alguno de los equipos seleccionados y seleccione Deploy Custom Patches.

Habilitar las directivas de auditoria La herramienta ‘Enumerate Computers’ también le permite configurar las directivas de auditoría en equipos particulares. Esto se hace como sigue: 1. Seleccione los equipos en los cuales quiera habilitar las políticas de auditoría. 2. Haga clic derecho sobre alguno de los equipos seleccionados y seleccione Enable Auditing Policies…. Esto lanzará el Asistente de configuración de Directiva de Auditoría el cual le guiará a través del proceso de configuración. Para más información sobre como configurar remotamente las directivas de auditoría en objetivos en particular refiérase a la sección ‘Ajustes de Seguridad de la Directiva de Auditoría’ en el capítulo ‘Empezar: Realizar una auditoría’.


Herramienta enumerara usuarios

Imagen 123 El diálogo de la herramienta Enumerate Users

Utilice la herramienta Tools Enumerate Users para analizar el Directorio Activo y recoger la lista de todos los usuarios y contactos incluidos en esta base de datos. Para enumerar usuarios y contactos contenidos en el Directorio Activo de un dominio, selecciones el nombre del dominio de la lista de dominios provista en su red y haga clic en el botón Retrieve. Puede filtrar la información a ser extraída y mostrar solo los detalles de usuarios o contactos. Además, opcionalmente pude configurar esta herramienta para destacar las cuentas deshabilitadas o bloqueadas. Esto se realiza a través de las opciones de configuración al lado derecho de la herramienta de enumerar usuarios. Desde esta herramienta también puede habilitar o deshabilitar cualquier cuenta de usuario que ha sido enumerada. Esto se realiza haciendo clic derecho sobre la cuenta y seleccionando Enable/Disable account según el caso.

GFI LANguard Network Security Scanner Utilizar GFI LANguard N.S.S. desde la línea de comandos • 143

Utilizar GFI LANguard N.S.S. desde la línea de comandos

Por defecto, GFI LANguard N.S.S. se vende con dos herramientas de línea de comandos, ‘lnsscmd.exe’ y ‘deploycmd.exe’. Estas herramientas de línea de comandos le permiten lanzar análisis de vulnerabilidad de red y sesiones de implementación de parches sin iniciar el interfaz de configuración de GFI LANguard N.S.S. Los parámetros de estas herramientas en línea de comandos están configurados a través de un conjunto de parámetros de línea de comandos. Una lista completa de los parámetros soportados junto con la descripción de su respectiva función está provista mas abajo.

Utilizar ‘lnsscmd.exe’ – la herramienta de análisis en línea de comandos

La herramienta de análisis de objetivos de línea de comandos ‘lnsscmd.exe’ le permite ejecutar comprobaciones de vulnerabilidad contra los objetivos de red directamente desde la línea de comandos, o a través de aplicaciones de terceros, ficheros de ejecución por lotes y scripts. La herramienta de línea de comandos ‘lnsscmd.exe’ soporta los siguientes parámetros: lnsscmd [Objetivo] [/profile=NombreDelPerfil] [/report=RutaDelInforme] [/output=RutaAlFicheroXML] [/user=usuario /password=contraseña] [/UseComputerProfiles] [/email=DirecciónDeCorreo] [/DontShowStatus] [/?]

Parámetros: • Objetivo – Especifique la IP / rango de IP o nombre(s) de host a

analizar. • /Profile – (Opcional) Especifique el perfil de análisis que se usará

durante un análisis de seguridad. Si no se especifica este parámetro, se usará el perfil de análisis que este actualmente activo en GFI LANguard N.S.S. NOTA: En el interfaz de configuración, el perfil de análisis por defecto (es decir, actualmente activo) se denota con la palabra (Active) al lado de su nombre. Para ver que perfil está activo expanda el nodo Configuration Scanning Profiles.

• /Output – (Opcional) especifique la ruta completa (incluyendo el nombre del archivo) del fichero XML donde se guardarán los resultados del análisis

• /Report – (Opcional) especifique la ruta completa (incluyendo el nombre del archivo) del fichero HTML donde se guardará el informe HTML de los resultados del análisis

144 • Utilizar GFI LANguard N.S.S. desde la línea de comandos GFI LANguard Network Security Scanner

• /User y /Password – (Opcional) Especifique las credenciales alternativas que usará el motor de análisis para autenticarse a un equipo objetivo durante el análisis de seguridad. Alternativamente puede utilizar el parámetro /UseComputerProfiles para utilizar las credenciales de autenticación ya configuradas en los Perfiles de Equipos (nodo Configuration Computer Profiles node).

• /Email – (Opcional) Especifique la dirección de correo a la que se enviará el informe(s) de resultante al final de este análisis. Los informes se enviarán por correo al destino a través del servidor de correo actualmente configurado en el nodo Configuration Alerting Options (del interfaz de configuración).

• /DontShowStatus – (Opcionalmente) Incluya este parámetro si quiere realizar análisis silenciosos. De esta forma, no se mostrarán los detalles del progreso del análisis.

• /? - (Opcional) Utilice este parámetro para mostrar las instrucciones de uso de la herramienta de línea de comandos.

NOTA: Siempre incluya las rutas completas y los nombres de perfil dentro de comillas dobles (es decir, “[ruta o nombre del perfil]") por ejemplo, "Default", "c:\temp\test.xml". La herramienta de análisis de objetivos de línea de comandos le permite pasar parámetros a través de variables específicas. Estas variables se reemplazarán automáticamente con sus valores respectivos durante la ejecución. Los variables soportadas incluyen: • %INSTALLDIR% - Durante el análisis, esta variable será

reemplazada con la ruta al directorio de instalación de GFI LANguard N.S.S.

• %TARGET% - Durante el análisis esta variable se reemplazará con el nombre del equipo objetivo.

• %SCANDATE% - Durante el análisis esta variable se reemplazará con la fecha del análisis.

• %SCANTIME% - Durante el análisis esta variable se reemplazará con la hora del análisis.

Ejemplo: Cómo lanzar un análisis de un equipo objetivo desde la herramienta en línea de comandos Para este ejemplo, vamos a asumir que se requiere un análisis con los siguientes parámetros: 1. Realizar un análisis de seguridad a un equipo objetivo que tiene la dirección IP '130.16.130.1'. 2. La salida de los resultados del análisis a ‘c:\out.xml’ (es decir, un fichero XML) 3. Generar un informe HTML y guardarlo en ‘c:\result.html’. 4. Enviar un informe HTML a través del correo a ‘[email protected]’. La instrucción de la herramienta de línea de comando para este análisis particular es: lnsscmd.exe 130.16.130.1 /Profile="Default" /Output="c:\out.xml" /Report="c:\result.html" /email="[email protected]"

GFI LANguard Network Security Scanner Utilizar GFI LANguard N.S.S. desde la línea de comandos • 145

Utilizar ‘deploycmd.exe’ – la herramienta de línea de comandos de implementación de parches

La herramienta de implementación de parches en línea de comandos 'deploydmd.exe' le permite implementar parches de Microsoft y software de terceros en objetivos remotos directamente desde la línea de comandos, o a través de aplicaciones de terceros o scripts. La herramienta de línea de comandos ‘deploycmd.exe’ soporta los siguientes parámetros: deploycmd [objetivo] [/file=NombreArchivo] [/username=Usuario /password=contraseña] [/UseComputerProfiles] [/warnuser] [/useraproval] [/stopservices] [/customshare=NombreRecurso] [/reboot] [/rebootuserdecides] [/shutdown] [/deletefiles] [/timeout=Timeout(sec)] [/?]

Parámetros: • Objetivo – especifique el nombre(s), IP o rango de IPs del

equipo(s) objetivo en el cual se implementará el parche(s). • /File – Especifique el archive que desea implementar en el

objetivo(s) especificado. • /User y /Password – (Opcional) Especifique las credenciales

alternativas que usará el motor de análisis para autenticarse a un equipo objetivo durante la implantación de parches. Alternativamente puede utilizar el parámetro /UseComputerProfiles para utilizar las credenciales de autenticación ya configuradas en los Perfiles de Equipos (nodo Configuration Computer Profiles node).

• /warnuser – (Opcional) Incluya este parámetro si quiere informar al usuario del equipo objetivo que hay en progreso una instalación de un archivo/parche. Los usuarios serán informados a través de dialogo de mensaje que se mostrará en la pantalla inmediatamente antes de que se inicie la sesión.

• /useraproval – (Opcional) Incluya este parámetro para solicitar al usuario la aprobación antes de comenzar el proceso de instalación del archivo/parche. Esto permite a los usuarios posponer el proceso de instalación del archivo/parche para mas tarde (por ejemplo, hasta que un proceso ya en marcha se complete en el equipo objetivo).

• /stopservice – (Opcional) Incluya este parámetro si quiere detener servicios específicos en el equipo objetivo antes de instalar el archivo/parche. NOTA: No puede especificar los servicios que serán detenidos directamente desde la herramienta de línea de comandos. Los servicios solo se pueden agregar o eliminar a través del interfaz de configuración. Para más información acerca de cómo especificar los servicios a detener refiérase a la sección 'Opciones de implementación' en el capítulo ‘Administración de Parches: Implementar software a medida’.

• /customshare – (Opcional) Especifique el recurso compartido objetivo donde desea transferir el archivo antes de ser instalado.

146 • Utilizar GFI LANguard N.S.S. desde la línea de comandos GFI LANguard Network Security Scanner

• /reboot – (Parámetro Opcional) Incluya este parámetro si quiere reiniciar el equipo objetivo después de la implementación del archivo/parche.

• /rebootuserdecides – (Parámetro Opcional) Incluya este parámetro para permitir al usuario del equipo objetivo decidir cuando reiniciar su equipo (después de la instalación del parche).

• /shutdown – (Parámetro Opcional) Incluya este parámetro si quiere apagar el equipo objetivo después de que se instale el archivo/parche.

• /deletefiles – (Parámetro Opcional) Incluya este parámetro si quiere borrar el archivo fuente después que se haya instalado correctamente.

• /timeout – (Parámetro Opcional) Especifique el tiempo de vencimiento de la operación de implementación. Este valor define el tiempo que se le permitirá a un proceso de implementación funcionar hasta que se interrumpa la instalación del archivo/parche.

• /? - (Opcional) Utilice este parámetro para mostrar las instrucciones de uso de la herramienta de línea de comandos.

Ejemplo: Cómo lanzar un proceso de implementación de parches desde la herramienta en línea de comandos Para este ejemplo, vamos a asumir que se requiere una sesión de implementación de parches con los siguientes parámetros: 1. Implementar un fichero llamado ‘patchA001002.XXX’ 2. En un equipo objetivo llamado ‘TMjason’. 3. Reiniciar el equipo objetivo después la implementación satisfactoria del fichero. La instrucción de la herramienta de línea de comando para esta sesión de implementación particular es: deploycmd TMjason /file=”patchA001002.XXX” /reboot

GFI LANguard Network Security ScannerAgregar comprobaciones de vulnerabilidad mediante condiciones o scripts a medida • 147

Agregar comprobaciones de vulnerabilidad mediante condiciones o scripts a medida

Introducción GFI LANguard N.S.S. le permite incrementar las capacidades de análisis de red ya provistas agregando nuevas comprobaciones de vulnerabilidad a medida. Las comprobaciones de vulnerabilidad a medida se pueden crear utilizando scripts o configurando un conjunto de vulnerabilidades a medida. Los scripts se pueden crear utilizando cualquier lenguaje de scripting compatible con VB script. Por defecto, GFI LANguard N.S.S. se vende con un editor de scripts el cual puede usar para crear sus propios scripts. Las nuevas comprobaciones se deben incluir en la lista de comprobaciones soportadas por GFI LANguard N.S.S. Utilice la pestaña Vulnerabilities para agregar nuevas comprobaciones a la lista por defecto de en un perfil de análisis en base al perfil de análisis. NOTA: Solo los usuarios expertos deberían crear nuevas comprobaciones de vulnerabilidad. Los errores de scripting y las configuraciones erróneas en una comprobación de vulnerabilidad pueden resultar en falsos positivos o no proveer información de vulnerabilidad del todo.

Lenguaje VBscript de GFI LANguard N.S.S. GFI LANguard N.S.S. soporta y ejecuta scripts scritos en lenguajes compatibles con VBscript. Utilice lenguajes compatibles con VBscript para crear scripts personalizados que puedan ejecutarse contra sus objetivos de red. Los scripts de auditoría de seguridad se pueden desarrollar utilizando el editor de scripts que se vende junto con GFI LANguard Network Security Scanner. Este editor de scripts integrado incluye capacidades de resaltado de sintaxis así como características de depuración que le ayudan durante el desarrollo de scripts. Abra el editor de scripts desde Inicio Programas GFI LANguard Network Security Scanner 7.0 LNSS Script Debugger. NOTA: Para más información sobre como desarrollar scripts utilizando el editor de scripts integrado, refiérase al fichero de ayuda 'Scripting documentation' incluido en Inicio Programas GFI LANguard Network Security Scanner 7.0 LNSS Scripting documentation.

148 • Agregar comprobaciones de vulnerabilidad mediante condiciones o scripts a medidaGFI LANguard Network Security Scanner

NOTA IMPORTANTE: GFI no soporta peticiones relacionadas a problemas en scripts personalizados. Puede publicar cualquier consulta que pueda tener sobre el scripting de GFI LANguard N.S.S. en los foros de GFI LANguard en http://forums.gfi.com/. A través de este foro podrá compartir scripts, problemas e ideas con otros usuarios de GFI LANguard N.S.S.

Módulo SSH de GFI LANguard N.S.S. GFI LANguard N.S.S. incluye un módulo SSH que maneja la ejecución de scripts de vulnerabilidad sobre sistemas basados en Linux/UNIX. El módulo SSH determina el resultado de las comprobaciones a través de los datos (texto) de la consola producidos por un script ejecutado. Esto significa que puede crear comprobaciones de vulnerabilidad Linux/UNIX personalizadas utilizando cualquier método de scripting soportado por el SO Linux/UNIX del objetivo y cuyos resultados salgas a la consola en texto.

Palabras clave: El modulo SSH puede ejecutar scripts de análisis de seguridad a través de su ventana de terminal. Cuando se lanza un análisis de seguridad en equipos objetivo basados en Linux/UNIX, los scripts de comprobación de seguridad se copian a través de una conexión SSH al equipo objetivo respectivo y se ejecutan localmente. La conexión SSH se establece utilizando las credenciales de inicio (es decir, usuario y contraseña/fichero de Clave Privada SSH) especificadas antes de iniciar un análisis de seguridad. El módulo SSH puede determinar el estado de una comprobación de vulnerabilidad a través de palabras clave específicas presentes en el texto de salida del script ejecutado. Estas palabras clave son procesadas por el módulo e interpretadas como instrucción para GFI LANguard Network Sercurity Scanner. Las palabras clave estándar identificadas por el módulo SSH incluyen: • TRUE: • FALSE: • AddListItem • SetDescription • !!SCRIPT_FINISHED!! Cada una de esas palabras clave accionan un proceso asociado y específico en el Módulo SSH. El función de cada palabra clave se describe abajo: • TRUE: / FALSE: Estas cadenas indican el resultado de la

comprobación/script de vulnerabilidad ejecutado. Cuando el módulo SSH detecta un TRUE: significa que la comprobación fue satisfactoria, FALSE: indica que la comprobación de vulnerabilidad ha fallado.

• AddListItem – Esta cadena activa una función interna la cual añade los resultados al informe de comprobación de vulnerabilidad (es decir, los resultados del análisis). Estos resultados se muestran en el interfaz de configuración de GFI


LANguard N.S.S. después de completar un análisis. Esta cadena esta configurada como sigue: AddListItem([[[[parent node]]]],[[[[actual string]]]]) o [[[[parent node]]]] – Incluye el nombre del nodo de los

resultados del análisis ql cual se añadirá el resultado. o [[[[actual string]]]] – Incluye el valor que será añadido al

nodo de resultados del análisis. NOTA: Cada comprobación de vulnerabilidad está vinculada a un nodo de resultados del análisis. Esto significa que los resultados ‘AddListItem’ se incluye por defecto bajo el nodo de vulnerabilidad asociado/por defecto. De esta forma, si el parámetro de del nodo padre se deja en blanco, la función agregará la cadena especificada al nodo por defecto.

• SetDescription – Esta cadena active una función interna que sobrescribirá la descripción por defecto de una comprobación de vulnerabilidad con una nueva descripción. Esta cadena esta configurada como sigue:SetDescription([New description])

• !!SCRIPT_FINISHED!! - Esta cadena marca el fin de todas las ejecuciones de script. El módulo SSH se mantendrá en busca de esta cadena hasta que la encuentre o hasta que se produzca un timeout Si se produce un timeout antes de que se genere la cadena ‘!!SCRIPT_FINISHED!!’, el módulo SSH clasificará la comprobación de vulnerabilidad respectiva como fallida.

NOTA IMPORTANTE: Es imperativo que cada script personalizado de como salida la cadena ‘!!SCRIPT_FINISHED!!’ en cada final de su proceso de comprobación.

Agregar una comprobación de vulnerabilidad que utiliza un script VB (.vbs) a medida

Utilice el editor de scripts que se vende con GFI LANguard N.S.S. para crear scripts a medida que se puedan ejecutar contra sus objetivos de red para identificar vulnerabilidades específicas. Para crear nuevas comprobaciones de vulnerabilidad que utilicen vbscripts a medida debe hacerlo como sigue: • Paso 1: Cree el script • Paso 2: Agregue la nueva comprobación de vulnerabilidad: Los siguientes son ejemplos de como se hace esto.

Paso 1: Cree el script 1. Lance el Depurador de Scripts de GFI LANguard N.S.S. desde Inicio Programas GFI LANguard Network Security Scanner 7.0 LNSS Script Debugger

2. Vaya a File New… 3. Cree un script. Para este ejemplo utilice el siguiente código de script simulado: Function Main

echo "El script ha funcionado exitosamente"

Main = true


End Function

4. Guarde el script en ‘C:\Archivos de programa\GFI\LANguard Network Security Scanner 7.0\Data\Scripts\myscript.vbs’

Paso 2: Agregue la nueva comprobación de vulnerabilidad: 1. Error! No sequence specified.Abra el interfaz de configuración de GFI LANguard N.S.S. 2. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis donde se agregará la nueva comprobación de vulnerabilidad. 3. Haga clic sobre la pestaña Vulnerabilities. 4. Desde el panel del centro, seleccione la categoría en la cual se incluirá la nueva comprobación de vulnerabilidad (por ejemplo, DNS Vulnerabilities).

Imagen 124 – El diálogo de nueva comprobación de vulnerabilidad

5. Haga clic en el botón Add. Esto abrirá el diálogo de nueva comprobación de vulnerabilidad. 6. Especifique los detalles básico como en nombre de la vulnerabilidad, descripción corta, nivel de seguridad, y el BugtraqID/URL (si es aplicable). Opcionalmente, además puede especificar cuanto llevará ejecutar la comprobación. 7. Haga clic en el botón Add…. Esto mostrará el diálogo de las condiciones de activación de la comprobación.


Imagen 125 – El diálogo de condiciones de activación de la comprobación

8. De la lista desplegable ‘Check type:’ seleccione ‘VBScript’ y especifique la condición de activación en el campo ‘Condition’. 9 Haga clic en el botón (abrir) y seleccione el fichero VBscript a medida que se ejecutará por esta comprobación. Para este ejemplo seleccione ‘myscript.vbs’. 10. Haga clic en Add para incluir la comprobación de vulnerabilidad a la lista. 11. Seleccione la casilla de verificación correspondiente a fin de que se incluya en el siguiente análisis de vulnerabilidad de red.

Probar el script/comprobación de vulnerabilidad usado en nuestro ejemplo Analice su equipo local utilizando el perfil de análisis donde se agregó la nueva comprobación.

En los resultados del análisis, se mostrará un aviso de vulnerabilidad en el nodo Vulnerabilities Miscellaneous Alerts de los resultados del análisis.

Agregar una comprobación de vulnerabilidad que utiliza un script shell a medida

En GFI LANguard N.S.S. también puede agregar comprobaciones de vulnerabilidad que utilicen scripts shell a medida para comprobar objetivos basados en Linux y UNIX. Estas comprobaciones se ejecutan remotamente sobre SSH por el módulo SSH. El script se puede escribir en cualquier lenguaje de script que devuelva resultados en texto a la consola. En el siguiente ejemplo crearemos una comprobación de vulnerabilidad (para objetivos Linux) la cual usa un script escrito en Bash. La comprobación de vulnerabilidad de este ejemplo comprobará la presencia de un fichero ficticio llamado ‘test.file’.


Paso 1: Cree el script 1. Inicie su editor de texto favorito. 2. Cree el nuevo script utilizando el código siguiente: #!/bin/bash

if [ -e test.file ]

then

echo "TRUE:"

else

echo "FALSE:"

fi

echo "!!SCRIPT_FINISHED!!"

3. Guarde el archivo en ‘C:\Archivos de programa\GFI\LANguard Network Security Scanner 7.0\Data\Scripts\myscript.sh’

Paso 2: Agregue la nueva comprobación de vulnerabilidad:

Imagen 126 – Agregando una nueva comprobación de vulnerabilidad

1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis al que desee agregar la nueva comprobación de seguridad. 2. Haga clic sobre la pestaña Vulnerabilities. 3. Desde el panel del centro, seleccione la categoría en la cual se incluirá la nueva comprobación de vulnerabilidad (por ejemplo, DNS Vulnerabilities). 4. Haga clic en el botón Add. Esto abrirá el diálogo de nueva comprobación de vulnerabilidad. 7. Especifique los detalles básicos como el nombre de la vulnerabilidad, descripción corta, nivel de seguridad, y el bugtraqID/URL (si es aplicable). Opcionalmente, además puede especificar cuanto llevará ejecutar la comprobación.


8. Haga clic en el botón Add…. Esto mostrará el diálogo de las condiciones de activación de la comprobación.


9. De la lista desplegable ‘Check type:’ seleccione ‘SSH Script’ y especifique la condición de activación en el campo ‘Condition’. 10 Haga clic en el botón (abrir) y seleccione el fichero script SSH a medida que se ejecutará por esta comprobación. Para este ejemplo utilice ‘myscript.sh’. 11. Haga clic en Add para incluir la comprobación de vulnerabilidad a la lista. 12. De la lista de comprobaciones, seleccione la casilla de verificación correspondiente a fin de que se incluya en el siguiente análisis de vulnerabilidad de red.

Probar el script/comprobación de vulnerabilidad usado en nuestro ejemplo 1. Inicie sesión en el equipo objetivo Linux y cree un fichero llamado ‘test.file’. Esta comprobación generará una alerta de vulnerabilidad si se encuentra un fichero llamado ‘test.file’. 2. Lance un análisis en el objetivo Linux donde creó el archivo. 3. Compruebe sus resultados del análisis. El nodo Vulnerabilities avisará de la vulnerabilidad mostrada abajo.

Agregar una comprobación de vulnerabilidad CGI Cuando se crean nuevas vulnerabilidades CGI, no necesita crear un script VB o SSH. De hecho, la funcionalidad de análisis de comprobaciones CGI se configura a través de las opciones incluidas en el diálogo de propiedades de la comprobación.


Imagen 128 – Creando una comprobación de vulnerabilidad CGI

Para crear una nueva comprobación de vulnerabilidad CGI: 1. Vaya al nodo Configuration Scanning Profiles CGI Scanning. 2. Del panel de la derecha, haga clic en la pestaña Vulnerabilities. 3. Del panel central, seleccione el nodo CGI Abuses. 4. Haga clic en el botón Add. Esto abrirá el diálogo de nueva comprobación de vulnerabilidad CGI.


Imagen 129 – El diálogo de nueva comprobación de vulnerabilidades CGI

5. Especifique los detalles básicos de esta comprobación de vulnerabilidad como el nombre, descripción corta, nivel de seguridad, y el bugtraqID/URL (si es aplicable). Opcionalmente, además puede especificar cuanto llevará ejecutar la comprobación. 6. En el área ‘Trigger condition’ del diálogo, especifique los siguientes parámetros: • ‘HTTP method’ – Especifique el método de consulta http que

utilizará la comprobación de vulnerabilidad cuando consulte la información. Las comprobaciones de vulnerabilidad CGI soportan 2 métodos HTTP que son ‘GET method’ y ‘HEAD method’.

• ‘To check for the URL:’ – Especifique el nombre del script CGI que se ejecutará durante el análisis del equipo objetivo.

• ‘Under the Directories:’ – Especifique los directorios donde está localizado el script CGI.

• ‘Return String’ – Especifique la cadena de resultado esperada. GFI LANguard N.S.S. determina si esta comprobación es satisfactoria comparando la cadena de resultado especificada con el texto de los resultados de la comprobación. Esta comparación se lleva a cabo utilizando las condiciones específicas que son establecidas seleccionando una de las siguientes opciones: o ‘Contains any text’ – Seleccione esta opción si quiere que la

comprobación sea satisfactoria cuando alguna parte de la cadena especificada está presente en los resultados de la comprobación.


o ‘Contains the text’ – Selecione esta opción si quiere que la comprobación sea satisfactoria SOLO cuando la cadena especificada está presente completa en los resultados de la comprobación.

o Does not contains the text’ – Selecione esta opción si quiere que la comprobación sea satisfactoria SOLO cuando la cadena especificada NO está presente en los resultados de la comprobación.

7. Haga clic en OK para guardar los ajustes de configuración. NOTA: Para incluir automáticamente nuevas comprobaciones en el siguiente análisis de equipos objetivos, haga clic en el botón Advanced y ponga la opción ‘New vulnerabilities are enabled by default’ a ‘Yes’.

Agregar otras comprobaciones de vulnerabilidad GFI LANguard N.S.S. le permite crear comprobaciones de vulnerabilidad particulares que no utilizan scripts VB o SSH. Estas comprobaciones se basan en los mismos conceptos que las comprobaciones de vulnerabilidad CGI, pero con diferentes parámetros de configuración y opciones.

Imagen 130 – Creando una comprobación de vulnerabilidad CGI

Para crear este tipo de comprobaciones: 1. Expanda el nodo Configuration Scanning Profiles y seleccione el perfil de análisis al que desee agregar la nueva comprobación de seguridad. 2. Del panel de la derecha, haga clic en la pestaña Vulnerabilities. 3. Del panel del centro, seleccione la categoría donde desee crear la nueva comprobación de vulnerabilidad. 4. Haga clic en el botón Add. Esto abrirá el diálogo de nueva comprobación de vulnerabilidad.


Imagen 131 – El diálogo de nueva comprobación de vulnerabilidad

5. Especifique los detalles básicos como el nombre de la vulnerabilidad, descripción corta, nivel de seguridad, y el bugtraqID/URL (si es aplicable). Opcionalmente, además puede especificar cuanto llevará ejecutar la comprobación. 6. Haga clic en el botón Add…. Esto mostrará el diálogo de las condiciones de activación de la comprobación.


7. De la lista desplegable ‘Check type:’ seleccione el tipo de comprobación requerido y especifique la condición de activación


correspondiente en el campo ‘Condition’. Una lista de tipos de comprobación y sus respectivas condiciones de activación soportados esta incluido más abajo:

• Tipo de Comprobación Soportado

• Condiciones de Activación Soportadas

• Operating System • Is

• Is Not

• Registry Key* • Exists • Not Exists

• Registry Path * • Exists • Not Exists

• Registry Value

• Is Equal With • Is Not Equal With • Is Less Than

• Is Greater Than

• Service Pack

• Is • Is Not

• Is Lower Than • Is Higher Than

• Hot fix • Is Installed • Is Not Installed

• IIS • Is Installed

• Is Not Installed

• IIS Version

• Is

• Is Not • Is Lower Than • Is Higher Than

• RPC Service • Is Installed • Is Not Installed

• NT Service • Is Installed • Is Not Installed

• NT Service running • Is running

• Is not running

• NT Service startup type • Automatic • Manual

• Disabled

• Port (TCP) • Is Open

• Is Closed

• UDP Port • Is Open • Is Closed

• FTP banner ** • Is • Is Not

• HTTP banner ** • Is • Is Not

• SMTP banner ** • Is • Is Not

• POP3 banner ** • Is


• Is Not

• DNS banner ** • Is • Is Not

• SSH banner ** • Is

• Is Not

• Telnet banner ** • Is

• Is Not

• Script • Returns True (1) • Returns False (0)

• SSH Script • Returns True (TRUE:) • Returns False (FALSE:)

* Sólo funciona bajo HKEY_LOCAL_MACHINE

** Puede construir expresiones que comprueben Versión 1.0 a 1.4, y Versión 2.0 a 2.2, pero no Versión 1.5 a 1.9. Vea los siguientes ejemplos.

8. Haga clic en Add para incluir la condición seleccionada en la comprobación de vulnerabilidad. 9. Haga clic en el botón OK para guardar los ajustes y salir del diálogo de configuración. Información Adicional:

Imagen 133 – Una comprobación de vulnerabilidad con múltiples condiciones de activación

1. Cada comprobación de vulnerabilidad puede incluir múltiples condiciones de activación. De esta forma, tenga plena seguridad que


una comprobación de vulnerabilidad se active solo cuando se requiere (es decir, si se cumplen todos los criterios/condiciones de activación.

GFI LANguard Network Security Scanner Miscelánea • 161

Miscelánea

Habilitar NetBIOS en un equipo de red 1. Inicie sesión con derechos administrativos en el equipo objetivo. 2. Navegue hasta el Panel de Control de Windows (Inicio Panel de Control) y haga doble clic en el icono 'Conexiones de Red'.

Icono ‘Conexión de Area Local’

3. Haga clic derecho en el icono ‘Conexión de Área Local’ de la tarjeta NIC que desee configurar y seleccione Propiedades. 4. Haga clic en 'Protocolo Internet (TCP/IP)’ y seleccione Propiedades. 5. Haga clic en el botón Opciones avanzadas…. 6. Haga clic en la pestaña WINS.

Imagen 134 – Propiedades de la conexión de Área Local: Pestaña WINS

7. Seleccione la opción ‘Predeterminada’ del área 'Configuración de NetBIOS'. NOTA: Si se utilice una IP estática o el servidor DHCP no provee los ajustes NetBIOS, seleccione en su lugar la opción ‘Habilitar NetBIOS sobre TCP/IP’.

162 • Miscelánea GFI LANguard Network Security Scanner

8 Haga clic en Aceptar y salga del diálogo de ‘Propiedades de Área Local’

Instalar el componente Cliente para redes Microsoft en Windows 2000 o superior

El Cliente para redes Microsoft es un componente de software esencial para la familia de sistemas operativos Microsoft Windows. Un equipo Windows debe ejecutar el Cliente para redes Microsoft para acceder remotamente a ficheros, impresoras y otros recursos de red compartidos. Estas instrucciones paso-a-paso explican como verificar que está presente el cliente, si no, como instalarlo. 1. Navegue hasta el Panel de Control de Windows (Inicio Configuración Panel de Control). 2. Haga clic derecho en el objeto “Conexión de área local” y seleccione Propiedades. Esto abrirá el diálogo 'Propiedades de Conexión de área local'. NOTA: Si el equipo corre bajo alguna versión antigua de Windows, como Windows 95 o Windows 98, localice y haga clic derecho sobre Entorno de Red, después elija Propiedades. Alternativamente, navegue al Panel de Control y abra el objeto ‘Redes’.

Imagen 135 – Diálogo Propiedades de Conexión de área local

3. Desde la pestaña General que se abre por defecto, seleccione la casilla de verificación al lado de ‘Cliente para redes Microsoft’ y haga clic en Instalar… para iniciar el proceso de instalación. NOTA 1: Si la casilla de verificación ‘Cliente para redes Microsoft’ ya esta seleccionada, entonces el componente ya está instalado. NOTA 2: Si la red está actualmente activa, podría no ver ninguna casilla de verificación en la ventana. En este caso, haga clic en el


botón Propiedades una vez mas para alcanzar la pestaña General completa. NOTA 3: Si el equipo corre alguna versión de Windows antigua, mire la pestaña Configuración y verifique si ‘Cliente para redes Microsoft’ está presente en la lista mostrada. Si no, instale el componente hacienda clic en el botón Añadir…. 4. Del Nuevo diálogo en pantalla, seleccione ’Cliente’ y haga clic en Añadir… para continuar. 5. De la lista de fabricantes a la derecha de la ventana activa elija 'Microsoft'. Después, elija “Cliente para redes Microsoft” de la lista de Clientes de Red al lado derecho de la ventana. Haga clic en el botón Aceptar para continuar. 6. Para finalizar la instalación, haga clic en el botón Aceptar y reinicie el equipo. Después de que el equipo haya reiniciado, el Cliente para redes Microsoft se instalará automáticamente.

Configurar los Ajustes de la Directiva de Contraseñas en un Dominio Basado en Directorio Activo

NOTA: Debe logarse como un miembro del grupo de Administradores del Dominio. Para implementar la directiva de contraseñas en equipos de red pertenecientes a un dominio de Directorio Activo: 1. Navegue hasta el Panel de Control (Inicio Configuración Panel de Control) y abra las ‘Herramientas Administrativas'.

Imagen 136 – diálogo de configuración Usuarios y Equipos del Directorio Activo

2. Abra los ‘Usuarios y Grupos del Directorio Activo’. Haga clic derecho sobre el contenedor raíz del dominio y seleccione Propiedades.


Imagen 137 – Configurar un nuevo Objeto de Política de Grupo (GPO)

3. En el diálogo de propiedades, haga clic en la pestaña Directiva de Grupo. Después haga clic en Nuevo para crear un nuevo objeto de Directiva de Grupo (GPO) en el contenedor raíz. 4. Especifique el nombre de la nueva directiva e grupo (por ejemplo, “Directiva de Dominio”) y luego haga clic en Cerrar. NOTA: Microsoft recomienda que cree un nuevo Objeto de Directiva de Grupo en lugar de editar la directiva por defecto (llamada ‘Default Domain Policy’. Esto hace mucho más fácil recuperarse de problemas serios con los ajustes de seguridad. Si los nuevos ajustes de seguridad crean problemas, puede deshabilitar temporalmente el nuevo Objeto de Directiva de Grupo hasta que aísle los ajustes que causaron los problemas. 5. Haga clic derecho sobre el contenedor raíz del dominio y seleccione Propiedades. Esto mostrará de nuevo el diálogo de Propiedades del Dominio. 6. Haga clic en la pestaña Directiva de Grupo, y seleccione el Enlace del nuevo Objeto de Directiva de Grupo que acaba de crear (por ejemplo, ‘Directiva de Dominio'). 7. Haga clic en Subir para mover la nueva GPO al principio de la lista, y luego haga clic en Editar para abrir el Editor de Objetos de Directiva de Grupo.


Imagen 138 – El Editor de Objetos de Directiva de Grupo

8. Expanda el nodo Configuración del equipo y navegue hasta la carpeta Configuración de Windows Configuración de Seguridad Directivas de cuentas Directiva de contraseñas.

Imagen 139 – Configurar el historial de contraseñas del GPO

9. Del panel de la derecha, haga doble clic en la directiva ‘Forzar el historial de contraseñas’. Después seleccione la opción ‘Definir esta configuración de directiva’, y establezca el valor 'Guardar el historial de contraseñas' a '24'. 10. Haga clic en el botón Aceptar para cerrar el diálogo.


Imagen 140 – Configurando la caducidad de la contraseña de la GPO

11. Del panel de la derecha, esta vez haga doble clic en la directiva ‘Vigencia máxima de la contraseña’. Después seleccione la opción ‘Definir esta configuración de directiva’ y establezca el valor 'La contraseña caduca en:' a 42 días. 12. Haga clic en Aceptar para cerrar el diálogo de propiedades.

Imagen 141 – configurar la vigencia mínima de la contraseña

13. Del panel de la derecha, haga doble clic en la directiva ‘Vigencia mínima de la contraseña’. Después seleccione la opción ‘Definir esta configuración de directiva’ y establezca el valor 'La contraseña se puede’ a '2'. 14. Haga clic en el botón Aceptar para cerrar el diálogo.


Imagen 142 – configurando en número mínimo de caracteres en una contraseña

15. Del panel de la derecha, haga doble clic en la directiva ‘Longitud mínima de la contraseña’. Después seleccione la opción ‘Definir esta configuración de directiva’ e introduzca en el campo 'La contraseña debe tener al menos' '8'. 16. Haga clic en el botón Aceptar para cerrar el diálogo.

Imagen 143 – Forzar la complejidad de contraseñas

17. Del panel de la derecha, haga doble clic en la directiva ‘Las contraseñas deben cumplir los requerimientos de complejidad'. Después habilite la opción ‘Definir esta configuración de directiva’, y seleccione ‘Habilitada’. 18. Haga clic en el botón Aceptar para cerrar el diálogo. 19. En esta etapa los ajustes de la nueva directiva de contraseñas han sido configurados. Cierre todos los diálogos y salga del diálogo de configuración ‘Usuarios y equipos de Active directory’.

Ver los Ajustes de la Directiva de Contraseñas de un Dominio Basado en Directorio Activo

NOTA: Debe logarse como un miembro del grupo de Administradores del Dominio. Utilice el siguiente procedimiento para verificar que los ajustes de la directiva de contraseñas apropiados están aplicados y efectivos en el


GPO Directiva de Dominio. Verificar los ajustes y sus operaciones asegura que se aplicarán las directivas de contraseñas correctas a todos los usuarios en el dominio. Para verificar que los ajustes de la directiva de contraseñas de un dominio de Directorio Activo 1. Navegue hasta el Panel de Control (Inicio Configuración Panel de Control) y abra las ‘Herramientas Administrativas'. 2. Habrá los ‘Usuarios y Grupos del Directorio Activo’. Haga clic derecho sobre el contenedor raíz del dominio y seleccione Propiedades. 3. Haga clic en la pestaña Directiva de Grupo. Después seleccione la GPO a comprobar (pro ejemplo, 'GPO directiva del Dominio’) y haga clic en Editar para abrir el Editor de Objetos de Directiva de Grupos. 4. Expanda el nodo Configuración del equipo y navegue hasta la carpeta Configuración de Windows Configuración de Seguridad Directivas de cuentas Directiva de contraseñas.

Imagen 144 – Verificando los ajustes de la GPO

Los ajustes de configuración de la directiva de contraseñas se muestran en el panel derecho del editor GFO. Asumiendo que ha configurado la directiva de contraseñas de su GPO como se muestra en la imagen de arriba, debería verificar que los usuarios no pueden especificar contraseñas de menos de 8 caracteres. Estos ajustes de directiva de contraseñas deberían también prevenir a los usuarios de crear contraseñas no complejas, y no debería permitir a los usuarios cambiar contraseñas no más antiguas de dos días.

GFI LANguard Network Security Scanner Resolución de problemas • 169

Resolución de problemas

Introducción El capitulo de solución de problemas explica cómo se debe proceder para resolver las consultas que tenga. Las principales fuentes de información disponibles para los usuarios son: • El manual – la mayoría de los asuntos se solucionan leyendo el

manual. • La Base de Conocimientos de GFI – accesible desde el sitio web

de GFI. • El sitio de soporte de GFI. • Contactando con el departamento de soporte de GFI en

[email protected] • Contactando al departamento de soporte de GFI utilizando

nuestro servicio de soporte en vivo en http://support.gfi.com/livesupport.asp

• Contactando a nuestro departamento de soporte por teléfono.

Base de Conocimientos GFI mantiene una Base de Conocimientos, la cual incluye respuestas a los problemas más comunes. Si tiene un problema, por favor consulte primero la Base de Conocimientos. La Base de Conocimientos siempre ha sido la lista más actualizada de preguntas de soporte y actualizaciones. La Base de Conocimientos puede encontrase en http://kbase.gfi.com

Solicitar soporte mediante correo electrónico Si, después de usar la Base de Conocimientos y el manual, tiene cualquier problema que no pueda resolver, puede contactar con el departamento de soporte de GFI. La mejor forma de hacerlo es mediante correo electrónico, ya que se puede incluir información vital como un archivo adjunto que nos permitirá solucionar los problemas que tiene más rápidamente. El Troubleshooter, incluido en el grupo de programas, genera automáticamente una serie de archivos necesarios por GFI para proporcionarle soporte técnico. Los ficheros incluirían los ajustes de configuración, ficheros de registro de depuración, etc. Para generar estos ficheros, inicie el asistente de resolución de problemas y siga las instrucciones de la aplicación. Además de recoger toda la información, le realizará también una serie de preguntas. Por favor tómese el tiempo de responder estas

170 • Resolución de problemas GFI LANguard Network Security Scanner

preguntas con precisión. Sin la información apropiada, no nos será posible diagnosticar su problema. Vaya entonces al directorio troubleshooter\support, localizado debajo del directorio principal del programa, comprima los archivos en ZIP, y envíe el fichero ZIP generado a [email protected]. Asegúrese primero de tener registrado su producto en nuestro sitio web, en http://customers.gfi.com. Responderemos a su pregunta en 24 horas o menos, dependiendo de su zona horaria.

Solicitud de soporte vía conversación web También puede solicitar soporte a través del ‘Soporte en directo (webchat)’. Puede contactar al departamento de soporte de GFI utilizando nuestro servicio de soporte en tiempo real en http://support.gfi.com/livesupport.asp Asegúrese primero de tener registrado su producto en nuestro sitio web, en http://customers.gfi.com.

Solicitudes de soporte telefónicas También puede contactar con GFI por teléfono para soporte técnico. Por favor compruebe en nuestro sitio web de soporte los números para llamar según dónde se encuentre, y el horario. Sitio web de soporte: http://support.gfi.com Asegúrese primero de tener registrado su producto en nuestro sitio web, en http://customers.gfi.com.

Foro Web Hay disponible soporte usuario a usuario a través del foro web. El foro se encuentra en: http://forums.gfi.com/

Notificaciones de versiones revisadas Le sugerimos encarecidamente que se suscriba a nuestra lista de notificaciones de versiones revisadas. De esta forma, se le notificará inmediatamente sobre las nuevas versiones del producto. Para suscribirse vaya a: http://support.gfi.com

GFI LANguard Network Security Scanner Index• 171

Indice

A

actualizaciones de programa 103, 108

actualizaciones de programa 106

administración de parches 3, 109

Administración de parches 109, 119

Administración de parches multilingüe 111

alertas 13 Alerting Options 144 análisis programados 131 Análisis Programados 62 aplicaciones 100 Aplicaciones 39 Aplicaicones 39 Applications 97, 99, 101, 102 Auditoría SNMP 138

B

base de datos de respaldo 4, 11, 12

C

Clave Privada SSH 148 comparación de resultados

127, 128, 129 Computer Profiles 10

D

datos del SO 83 Depurador de Script 6 Depurador de Scripts 4, 6 Directiva de Contraseña 31 Directiva de Contraseñas 31 dispositivos de red 3, 40, 95 dispositivos de red 91 Dispositivos físicos 40 Dispositivos inalámbricos

40 dispositivos USB 1, 3, 15, 91,

92, 96, 97, 128 dispositivos USB 96 Dispositivos virtuales 40 DNS Lookup 133, 134

E

editor de scripts 147, 149

Enumerate Computers 133, 139, 140

Enumerate Users 133, 141

G

grupos 36

H

herramientas de línea de comandos 143

herramientas de red 133

I implementación de parches

5, 109, 113, 117, 123, 124, 125, 145, 146

implementación de parches 109

implementación de parches 116

instalación 9, 10, 13, 138, 144, 145

L

licencia 9, 13 Licencia 7 licenciamiento 7

M

Microsoft SQL Server Audit 133, 138

Monitor de Estado 4, 7, 131, 132

N

NetBIOS 43, 161

P

parches revisados 110 Perfiles de Análisis 59, 75 Perfiles de Equipo 20, 144,

145 Procesos Remotos 38 Puertos Abiertos 35, 52

R

Registry 158 Requerimientos del sistema

9 resultados del análisis 4, 5,

11, 47, 63, 128, 129, 143, 144, 148, 149, 151

resultados del análisis 62 resultados del análisis 85

172 •Index GFI LANguard Network Security Scanner

S

Scanning Profiles 16, 143, 150, 154

Scheduled Scans 61, 63, 64, 131, 132

Script Debugger 147 scripts a medida 151 scripts personalizados 6, 148 service packs 109 services 109, 124 Servicio Asistente 4, 5 servicios 3, 12, 29, 35, 145 Shares 30, 52 Sistema Operativo 4 SNMP Audit 133, 138 SNMP Walk 133, 137 SSH 9, 148, 149, 151, 153,

156, 159 SSH Private Key 21 Status Monitor 131 System patching status 42

T

Trace Route 133, 135

U

USB devices 91, 96 Usuarios Error! Not a valid

bookmark in entry on page 2, 147

V

Vulnerabilidades 25, 27, 28, 29, 51, 52, 96, 155

Vulnerabilities 30, 84, 85, 87, 150, 151, 152, 153, 154, 156

W

Whois 133, 136

GFI LANguard Network Security Scanner 7 Manual · definiciones lanzados por sus compañías. Donde...

Documents

Transcript of GFI LANguard Network Security Scanner 7 Manual · definiciones lanzados por sus compañías. Donde...