Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Materia: Seguridad en Redes
Tema: Detección de vulnerabilidades e intrusiones
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
1. Universidad
Nacional
Autónoma
de
México
Facultad
de
Contaduría
y
Administración
Materia:
Seguridad
en
Redes
Tema:
Detección
de
vulnerabilidades
e
intrusiones
Elaboró:
Francisco
Medina
López
2015-‐2
1
Actividad
No.
6.3:
Escaneo
de
vulnerabilidades
con
Nessus
Antecedentes
Una
vulnerabilidad
es
una
debilidad
que
puede
explotarse
para
causar
perdida
o
daño
a
un
sistema
de
información.
El
Análisis
de
Vulnerabilidades
es
un
proceso
que
permite
la
detección
proactiva
y
mitigación
de
vulnerabilidades
de
seguridad.
El
proceso
de
análisis
de
vulnerabilidades
típicamente
consiste
en
los
siguientes
pasos1:
1. Descubrimiento:
Descubrimiento
de
todos
los
activos
e
identificación
de
los
detalles
de
cada
elemento.
2. Priorización
de
los
activos:
Clasificación
de
los
activos
en
grupos
o
unidades
de
negocio.
Asignación
de
un
valor
de
negocio
a
los
grupos
de
activos
en
función
de
su
criticidad
para
la
operación
de
la
empresa.
3. Evaluación:
Determinación
de
un
perfil
de
riesgo
que
permita
enfocarse
en
la
eliminación
de
los
riesgos
con
base
en
la
criticidad
de
los
activos.
4. Informe:
Medición
del
nivel
de
riesgo
en
el
negocio,
asociado
con
los
activos
de
acuerdo
a
las
políticas
de
seguridad
Nessus
es
un
programa
de
escaneo
de
vulnerabilidades
multiplataforma
desarrollado
por
Renaud
Deraison
en
1998
y
liberado
inicialmente
bajo
la
licencia
de
software
libre2.
Hoy
en
día
es
el
esquema
de
licenciamiento
a
cambiado,
solo
esta
disponible
la
versión
para
el
hogar
como
freeware.
Objetivo
Instalar
el
escáner
de
vulnerabilidades
Nesuss
y
realizar
un
escaneo
de
vulnerabilidades
con
Nessus
desde
el
sistema
operativo
Kali
Linux.
1
http://infosec.aragon.unam.mx/tematicas/view/6
2
http://www.tenable.com/products/nessus-‐vulnerability-‐scanner
2
http://www.tenable.com/products/nessus-‐vulnerability-‐scanner
2. Universidad
Nacional
Autónoma
de
México
Facultad
de
Contaduría
y
Administración
Materia:
Seguridad
en
Redes
Tema:
Detección
de
vulnerabilidades
e
intrusiones
Elaboró:
Francisco
Medina
López
2015-‐2
2
Instrucciones
Instala
el
escáner
de
vulnerabilidades
Nessus
en
el
sistema
operativo
Kali
Linux
siguiendo
los
pasos
indicados
a
continuación:
1. Iniciar
una
sesión
con
el
usuario
root
en
Kali
Linux.
Figura
No.
1:
Inicio
de
sesión
en
Kali
Linux
2. Desde
un
navegador
web,
descargar
el
programa
del
url:
http://www.tenable.com/products/nessus/select-‐your-‐operating-‐system
Figura
No.
2:
Selección
del
sistema
operativo
3. Universidad
Nacional
Autónoma
de
México
Facultad
de
Contaduría
y
Administración
Materia:
Seguridad
en
Redes
Tema:
Detección
de
vulnerabilidades
e
intrusiones
Elaboró:
Francisco
Medina
López
2015-‐2
3
3. Normalmente
los
archivos
descargados
se
almacenan
en
el
directorio
Downloads.
Para
acceder
al
directorio
utilizar
el
comando:
cd
Downloads
4. Instalar
en
Kali
el
paquete
descargado,
al
momento
de
la
elaboración
de
este
documento
el
archivo
es
Nessus-‐6.3.4-‐debian6_amd64.deb.
Instalar
el
paquete
con
el
siguiente
comando:
dpkg
-‐i
Nessus-‐6.3.4-‐debian6_amd64.deb
Figura
No.
3:
Instalación
de
Nessus
en
Kali
Linux
5. Usando
un
navegador
web,
registrarse
en
el
sitio
http://www.tenable.com/products/nessus/nessus-‐plugins/obtain-‐an-‐
activation-‐code
para
obtener
un
número
de
licencia
de
uso.
El
número
será
enviado
por
correo
electrónico.
6. Inicia
el
servicio
de
Nessus
con
el
comando:
/etc/init.d/nessusd
start
7. Abrir
un
navegador
web
y
entrar
a
la
url:
https://127.0.0.1:8834
4. Universidad
Nacional
Autónoma
de
México
Facultad
de
Contaduría
y
Administración
Materia:
Seguridad
en
Redes
Tema:
Detección
de
vulnerabilidades
e
intrusiones
Elaboró:
Francisco
Medina
López
2015-‐2
4
Figura
No.
4:
Entrando
a
Nessus
8. Añadir
una
excepción
de
seguridad.
Figura
No.
5:
Añadiendo
un
certificado
5. Universidad
Nacional
Autónoma
de
México
Facultad
de
Contaduría
y
Administración
Materia:
Seguridad
en
Redes
Tema:
Detección
de
vulnerabilidades
e
intrusiones
Elaboró:
Francisco
Medina
López
2015-‐2
5
9. Una
pantalla
de
bienvenida
es
mostrada,
dar
clic
en
el
botón
‘Continuar’
Figura
No.
6:
Pantalla
de
bienvenida
de
Nessus.
10. Crear
un
usuario
para
uso
dentro
de
Nessus
y
dar
clic
en
el
botón
‘Continuar’
Figura
No.
7:
Creación
de
un
usuario
en
Nessus.
6. Universidad
Nacional
Autónoma
de
México
Facultad
de
Contaduría
y
Administración
Materia:
Seguridad
en
Redes
Tema:
Detección
de
vulnerabilidades
e
intrusiones
Elaboró:
Francisco
Medina
López
2015-‐2
6
11. Registrar
Nessus
introduciendo
el
código
obtenido
en
el
paso
5
y
da
clic
en
‘Continuar’
12. Después
de
unos
minutos
se
completa
el
proceso
de
instalación.
7. Universidad
Nacional
Autónoma
de
México
Facultad
de
Contaduría
y
Administración
Materia:
Seguridad
en
Redes
Tema:
Detección
de
vulnerabilidades
e
intrusiones
Elaboró:
Francisco
Medina
López
2015-‐2
7
Realiza
el
escaneo
de
vulnerabilidades
con
Nesuss:
Para
este
ejemplos
vamos
a
realizar
un
escaneo
de
vulnerabilidades
al
servidor
con
dirección
ip
10.4.27.239.
Recuerda
cambiar
e
el
dato
por
el
que
indique
el
profesor.
1. En
un
navegador
web,
abre
la
url:
https://127.0.0.1:8834/
e
introduce
los
datos
de
inicio
de
sesión
creados
en
el
punto
10
de
esta
documento.
Figura
No.
8:
Inicio
de
sesión
en
Nessus.
2.
Da
clic
en
la
opción
‘New
Scan’
,
posteriormente
selecciona
la
opción
‘Web
Application
Test’.
8. Universidad
Nacional
Autónoma
de
México
Facultad
de
Contaduría
y
Administración
Materia:
Seguridad
en
Redes
Tema:
Detección
de
vulnerabilidades
e
intrusiones
Elaboró:
Francisco
Medina
López
2015-‐2
8
Figura
No.
9:
Tipos
de
escaneos
disponibles
en
Nessus.
3. Introducir
los
siguientes
datos
para
el
escaneo
de
vulnerabilidades:
a. Name:
10.4.27.239
b. Targets:
10.4.27.239
4. Dar
clic
en
el
botón
‘Save’
para
iniciar
con
el
escaneo
de
vulnerabilidades.
Figura
No.
10:
Escaneo
de
vulnerabilidades
en
curso.
5. Da
clic
en
el
nombre
del
escaneo
para
ver
los
resultados
del
mismo.
9. Universidad
Nacional
Autónoma
de
México
Facultad
de
Contaduría
y
Administración
Materia:
Seguridad
en
Redes
Tema:
Detección
de
vulnerabilidades
e
intrusiones
Elaboró:
Francisco
Medina
López
2015-‐2
9
Figura
No.
11:
Reporte
web
de
un
escaneo
de
vulnerabilidades.
6. Exporta
un
reporte
en
formato
pdf
dando
clic
en
el
botón:
Export
-‐>
PDF.
7. Introduce
los
siguientes
datos
y
da
clic
en
el
botón
Export:
a. Report:
Custom
b. Data:
Vulnerabilities
c. Group
by
Figura
No.
12:
Exportar
el
reporte
de
vulnerabilidades
en
formato
PDF.
8. Guarda
el
reporte
dando
clic
en
el
botón
‘Save
File’
Figura
No.
13:
Reporte
de
vulnerabilidades
en
formato
PDF.