Hack paso a paso
Páginas: 16 (3979 palabras)
Publicado: 14 de noviembre de 2010
Artículo publicado en la revista @RROBA # 100
Suplemento “Hack Paso a Paso” #31 – Marzo 2006
(Material Sin Editar)
Nessus
Introducción Como hemos venido comentando desde estas páginas en varias oportunidades, una estrategia efectiva respecto de la seguridad de los activos de información en las organizaciones, requiere no solo de las políticas y procedimientos adecuados, sino también de laejecución de un conjunto de acciones tendientes a que aquellos lineamientos generales, planteados precisamente como parte fundamental de la política de seguridad corporativa, sean llevados a cabo. En tal sentido, comienzan a aparecer una serie de recursos al alcance del profesional, entre los que se encuentran por ejemplo las evaluaciones de seguridad en todas sus formas. Hacking Ético, Test deIntrusión Controlados y Análisis de Vulnerabilidades entre otros, son considerados una pieza clave al momento de evaluar la postura de seguridad de una organización. Ahora bien, lo cierto es que en definitiva, al momento de llevar a cabo este tipo de evaluaciones, comienzan a ser requeridas una serie de herramientas concretas y de orientación específica, a partir de las cuales nos sea posibleautomatizar aquellos aspectos que relacionados con las practicas de testeo, colaborarán en forma directa a la hora de detectar la existencia de deficiencias o vulnerabilidades en los esquemas de seguridad de la red o host objetivo. Con esta premisa en mente, el presente artículo apunta a presentar al lector una de las herramientas Open Source (Al menos por ahora... ver recuadro) mas utilizadas por lasorganizaciones y profesionales de seguridad alrededor del mundo, en sus proyectos de evaluación de la seguridad: Nessus, el escáner de vulnerabilidades por excelencia. Antes de empezar... Para comenzar, me gustaría dejar claro algunos aspectos con los cuales deberás estar en sintonía a fin de aprovechar el contenido de este artículo. No importa si la tarea a realizar en el cliente o en tu propiaorganización, es un Escaneo de Vulnerabilidades, un Test de Penetración o un Hacking Ético; cualquiera sea el caso, la metodología a aplicar en tu proyecto en algún punto requerirá la ejecución de una herramienta capaz de detectar las vulnerabilidades existentes en el sistema objetivo, como paso fundamental de la estrategia de evaluación oportunamente adoptada. Ahora bien, ¿Qué es una vulnerabilidad?¿Cual es la func ión de un escáner de seguridad remota tal como Nessus? ¿Cual es su relación con las prácticas de Vulnerability Assessment o Evaluación de Vulnerabilidades?
Copyright © 2006 Hernán Marcelo Racciatti http://www.hernanracciatti.com.ar
1
Artículo publicado en la revista @RROBA # 100
Suplemento “Hack Paso a Paso” #31 – Marzo 2006
(Material Sin Editar)
A los efectos deeste artículo, definiremos “Vulnerabilidad” en el sentido mas llano de su significado, como cualquier error de programación o de configuración, que pueda permitir a un intruso ganar acceso NO autorizado a alguno de los componentes de la infraestructura bajo nuestro cuidado. Por otra parte en cuanto al proceso de Vulnerability Assessment, a modo de definición general podemos decir que bajo estadenominación, solemos referirnos al proceso por el cual es posible encontrar y reportar vulnerabilidades conocidas. En la práctica, un Vulnerability Assessment, suele consistir en la ejecución de una serie de herramientas automáticas conocidas como “Escáners de Vulnerabilidades”, categoría en la que a menudo suele ser situado “Nessus”, las cuales configuradas y ejecutadas del modo correcto,precisamente permiten al profesional de seguridad, testear el sistema o red objetivo en busca de vulnerabilidades conocidas, debilidades o errores comunes de configuración. Conceptualmente, los procesos de Vulnerability Assessment son un recurso más con el que contamos a la hora de trabajar pro-activamente respecto de la seguridad en nuestra organización, y tal como mencionáramos oportunamente, los mismos...
Suplemento “Hack Paso a Paso” #31 – Marzo 2006
(Material Sin Editar)
Nessus
Introducción Como hemos venido comentando desde estas páginas en varias oportunidades, una estrategia efectiva respecto de la seguridad de los activos de información en las organizaciones, requiere no solo de las políticas y procedimientos adecuados, sino también de laejecución de un conjunto de acciones tendientes a que aquellos lineamientos generales, planteados precisamente como parte fundamental de la política de seguridad corporativa, sean llevados a cabo. En tal sentido, comienzan a aparecer una serie de recursos al alcance del profesional, entre los que se encuentran por ejemplo las evaluaciones de seguridad en todas sus formas. Hacking Ético, Test deIntrusión Controlados y Análisis de Vulnerabilidades entre otros, son considerados una pieza clave al momento de evaluar la postura de seguridad de una organización. Ahora bien, lo cierto es que en definitiva, al momento de llevar a cabo este tipo de evaluaciones, comienzan a ser requeridas una serie de herramientas concretas y de orientación específica, a partir de las cuales nos sea posibleautomatizar aquellos aspectos que relacionados con las practicas de testeo, colaborarán en forma directa a la hora de detectar la existencia de deficiencias o vulnerabilidades en los esquemas de seguridad de la red o host objetivo. Con esta premisa en mente, el presente artículo apunta a presentar al lector una de las herramientas Open Source (Al menos por ahora... ver recuadro) mas utilizadas por lasorganizaciones y profesionales de seguridad alrededor del mundo, en sus proyectos de evaluación de la seguridad: Nessus, el escáner de vulnerabilidades por excelencia. Antes de empezar... Para comenzar, me gustaría dejar claro algunos aspectos con los cuales deberás estar en sintonía a fin de aprovechar el contenido de este artículo. No importa si la tarea a realizar en el cliente o en tu propiaorganización, es un Escaneo de Vulnerabilidades, un Test de Penetración o un Hacking Ético; cualquiera sea el caso, la metodología a aplicar en tu proyecto en algún punto requerirá la ejecución de una herramienta capaz de detectar las vulnerabilidades existentes en el sistema objetivo, como paso fundamental de la estrategia de evaluación oportunamente adoptada. Ahora bien, ¿Qué es una vulnerabilidad?¿Cual es la func ión de un escáner de seguridad remota tal como Nessus? ¿Cual es su relación con las prácticas de Vulnerability Assessment o Evaluación de Vulnerabilidades?
Copyright © 2006 Hernán Marcelo Racciatti http://www.hernanracciatti.com.ar
1
Artículo publicado en la revista @RROBA # 100
Suplemento “Hack Paso a Paso” #31 – Marzo 2006
(Material Sin Editar)
A los efectos deeste artículo, definiremos “Vulnerabilidad” en el sentido mas llano de su significado, como cualquier error de programación o de configuración, que pueda permitir a un intruso ganar acceso NO autorizado a alguno de los componentes de la infraestructura bajo nuestro cuidado. Por otra parte en cuanto al proceso de Vulnerability Assessment, a modo de definición general podemos decir que bajo estadenominación, solemos referirnos al proceso por el cual es posible encontrar y reportar vulnerabilidades conocidas. En la práctica, un Vulnerability Assessment, suele consistir en la ejecución de una serie de herramientas automáticas conocidas como “Escáners de Vulnerabilidades”, categoría en la que a menudo suele ser situado “Nessus”, las cuales configuradas y ejecutadas del modo correcto,precisamente permiten al profesional de seguridad, testear el sistema o red objetivo en busca de vulnerabilidades conocidas, debilidades o errores comunes de configuración. Conceptualmente, los procesos de Vulnerability Assessment son un recurso más con el que contamos a la hora de trabajar pro-activamente respecto de la seguridad en nuestra organización, y tal como mencionáramos oportunamente, los mismos...
Leer documento completo
Regístrate para leer el documento completo.