MDULO 3. AUDITORAS SEGURIDAD TEMA 2: SCANNERS DE VULNERABILIDADES. OPENVAS VS.

NESSUS

Maximiliano Camilo Prez Fernndez

Febrero, 2012

ndice de contenido INTRODUCCIN:........................................................3 METODOLOGA DE LA COMPARATIVA:...........................4 ................................................................................4 INSTALACIN, CONFIGURACIN Y USO DE NESSUS (HOME FEED):.............................................................5 CONCLUSIONES:....................................................13 INSTALACIN, CONFIGURACIN Y USO DE OPENVAS (GNU/GPL):...............................................................14 ANLISIS COMPARATIVO DE AMBAS HERRAMIENTAS. . . .23

INTRODUCCIN:
Esta es una de las tareas que uno piensa de antemano que va a encontrar de forma fcil muchsima informacin y que, a base de leer y probar las herramientas Nessus y Openvas en cuestin, ya tiene resuelta la papeleta. Como dice el anuncio de la tele: error!. Si pensabas que era fcil... Para empezar, apenas en un par de webs se molestan en hacer una breve descripcin comparativa de ambas herramientas. En la web http://systemadmin.es cumplen mejor con las expectativas de una comparativa con buen nmero de detalles. De ella he partido yo para ir comprobando cuanto se afirma con respecto a cada una de las herramientas. El resto, nada que uno mismo no pueda comprobar a simple golpe de vista. Ambas herramientas son muy utilizadas vulnerabilidades. Creo que son las ms utilizadas... como detectores de

Sin embargo, la pregunta en la probable comparativa surge inevitablemente cul es mejor? por cul debera inclinarse un profesional del pentesting o alguien que quiera iniciarse en la seguridad informtica? Creo, ahora que he probado ambas herramientas que, poseen las mismas virtudes y adolecen de los mismos pequeos fallos, nada importante. La pregunta en mi opinin no debe ser cul es la mejor, sino cul es la que mejor se adapta a nuestras necesidades. Y calcular las necesidades que tenemos significa conocer la medida y el alcance de aquello que queremos conocer en profundidad; es decir, hasta dnde queremos llegar en el conocimiento de las vulnerabilidades de un sistema? debe ser ese conocimiento exhaustivo? debe estar en funcin de un rango de prioridades de securizacin? Mi comparativa es limitada por dos motivos: el primero, la herramienta Nessus utilizada es la denominada versin home feed, no la profesional. Si bien es cierto, que para uso didctico y docente me permitiran usar la Pro feed. La verdad, no me he atrevido a solicitarla por si el proceso fuera engorroso en cuanto a la solicitud de datos y por si me viera obligado a exagerar mi papel profesional actual. Por otro lado, la herramienta OpenVas parece ofrecer menos limitaciones en cuanto a la configuracin de las opciones de escaneo, pero se aprecia a simple vista que sigue la estela de Nessus en cuanto al modo en el que se realiza el escaneo, en modo web gui. Esto no la hace ni mejor ni peor a una u otra, pero nos dice quin marca el ritmo. Lo mismo podramos pensar de la cantidad de plugins que nos permiten detectar mayor o menor nmero de vulnerabilidades (en nmero de plugins gana claramente Nessus), pero como veremos tampoco eso significa

que una herramienta aventaje a otra o su deteccin sea ms eficaz.

METODOLOGA DE LA COMPARATIVA:
He hecho varias pruebas antes de decidirme a escanear dos objetivos: uno, una mquina virtual metasploitable en la red interna y otro objetivo real en la red externa (internet). En realidad han sido varios objetivos, pero la metodologa deba ser nica y con criterios comunes para que la comparativa sea lo ms objetiva posible y as poder elaborar este documento en base a una situacin idntica para ambas herramientas. Es decir, con ambas herramientas he escaneado los mismos objetivos, con las mismas caractersticas e idnticas circunstancias. Los resultados son la prueba de uso de estas dos herramientas.

INSTALACIN, CONFIGURACIN Y USO DE NESSUS (HOME FEED):

La instalacin de Nessus no ha variado mucho desde la ltima vez que la us, all hace un ao sobre otra mquina virtual vulnerable. Lo ms novedoso es el uso de la interface web para gestionar el uso de la herramienta en la tarea propuesta. El procedimiento es el habitual y ya conocido por todos los Administradores de una red. Lo he instalado varias veces en distintas mquinas con sistemas operativos distintos. En Windows XP la instalacin es, probablemente, la ms sencilla puesto que en el mismo paquete instala todas las dependencias. Tampoco es muy difcil hacerlo en cualquier versin de GNU/Linux (Ubuntu, Debian, Fedora...), pero s se requiere leer con detalle la documentacin para hacer una instalacin sin errores. El nico inconveniente que le he encontrado a la instalacin en Windows es que consume ms memoria que en otro sistema, va mucho ms lenta la carga de todos los componentes y del entorno web. Tarda bastante. Esto al menos sucede en instalacin en una mquina virtual (en adelante MV) con Vmware (Workstation o Player, da igual). No he probado en un sistema real. Para obtener una copia del programa, accedemos a su pgina web en http://www.tenable.com/products/nessus/select-your-operating-system y seleccionamos nuestro sistema operativo.

En mi caso, la versin para Ubuntu 9.10/10.04 en formato .deb. Procediendo a su instalacin con Gdebi instalador de paquetes. Tambin lo he instalado en mi MV Debian 5, de donde proceden la mayora de las capturas hechas con la terminal y los escaneos...

Cuando se ha instalado, comienza su configuracin: creamos el usuario que se conectar al server Nessus:

Solicitamos el cdigo de registro de nuestro software:

Y realizamos el registro desde nuestra terminal una vez obtenido dicho cdigo:

Por cierto, al menos solicit 5 cdigos (por las pruebas comentadas en distintas Mvs y sistemas) y no ha habido problemas en poner el mismo usuario y cuenta de correo en el registro. A continuacin, siguiendo el modelo tradicional, podra crear un certificado casero para conectar al server... No sin antes actualizar y descargar los plugins...

pero es suficiente con arrancar el servicio y conectar al servidor:

Hecho esto, podemos conectar al servidor usando la interface web en https://localhost:8834 He aqu donde tarda ms en sistema Windows XP que en Debian... Si bien es cierto que carga un entorno programado en Flash (pensaba que era a extinguir) y hace acopio de los plugins...

Para a continuacin, devolvernos la pgina para loguearnos.

Ciertamente, bien trabajado y vistoso... Una vez dentro del entorno web de Nessus, nos lama la atencin el hecho de no encontrar los frames de las versiones anteriores. Ahora, debemos movernos entre las pestaas y mens tpicos de una aplicacin web. Lo primero es configurar o crear nuevas policies o polticas de escaneo de objetivos. En general, no es necesario reconfigurar o crear nuevas polticas... En esta pestaa tenemos cuatro opciones: General (Marcaremos en la zona de Port Scanners todas las opciones disponibles). Credentials (lo dejaremos tal y como est). Plugins ( Es de las opciones ms immportantes, en ella marcaremos slo los que necesitamos, ya que sino el programa tardar verdaderas eternidades en completar escaneos, es decir, si sabemos que la mquina objetivo utiliza Windows, desmarcaremos todas las opciones para equipos Linux/Unix, por ejemplo). Preferences ( Nos vamos moviendo por los respectivos plugins y vamos rellenando informacin que tengamos, sino tenemos nada, que es lo ms probable, lo dejamos tal y como est). Una vez tenemos una poltica de escaneo bien configurada para una mquina objetivo, nos dirigimos a la pestaa scans, y pulsamos en add, para aadir uno nuevo. Por defecto, son las de escaneo de red interna, de red externa, de aplicaciones y entornos web y preparacin para auditoras PCI DSS (PCI Data Security Standard -PCI DSS-, es un estndar de seguridad que define el conjunto de requerimientos para gestionar la seguridad, definir polticas y procedimientos de seguridad, arquitectura de red, diseo de software y todo tipo de medidas de proteccin que intervienen en el tratamiento, procesado o almacenamiento de informacin de tarjetas de crdito).

Pasamos a escanear los objetivos programados. El primero una MV en la red interna que es una appliance preparada para entrenamiento en pentesting: la famosa metasploitable. La poltica de escaneo utilizada fue Internal Network Full and Fast Scan. Prcticamente 3.000 o 4.000 servicios.

El informe que nos ofrece la imagen de la captura, nos muestra un total de 53 vulnerabilidades; de stas, 4 son consideradas de alto riesgo (crticas), 4 de riesgo moderado y el resto de bajo riesgo. La mayora de las consideradas de bajo riesgo suelen tener exploits o pruebas de concepto que permitiran a un atacante introducirse en el sistema y poner en riesgo la informacin almacenada y el propio servidor tambin...

Los puertos y servicios abiertos en el servidor metasploitable. Se aprecia a simple vista que algunas de las vulnerabilidades severas son las del servicio ssh (famoso error fruto de una correccin y eliminacin de cdigo en Openssh), la del puerto 445 y el puerto 80 (servicios web). Todos ellos vulnerables y exploitables.

Explicacin de la vulnerabilidad y el error de cdigo... Ms abajo nos indica que existe un exploit pblico...

Vulnerabilidad crtica en samba de la que tambin existe exploit pblico. Para comprobar como trabaja Nessus utilizando la poltica de escaneo de Red Externa, decid probar para ver qu me ofreca como resultado dicho escaneo. Nada especial que no me resolviera el escaneo por defecto de Red Interna. Sin embargo, la captura es bastante elocuente y nos viene a confirmar las vulnerabilidades crticas que son mejor y ms rpidamente detectadas por el escaneo de Red Externa. Supongo que la idea es que este tipo de escaneo nos advierte de qu servicios exactamente son de factor de riesgo alto y exploitables de forma remota OJO!

No debo dejar de lado los tipos de informes (reports) y los formatos de los mismos que Nessus pone a disposicin de los auditores. En el caso que nos ocupa he capturado el informe en formato html y el resultado es muy vistoso y bastante bien organizado. Otros tipos de formatos que pueden ser fcilmente exportables son: pdf, HTML, NBE (exportable para Metasploit Framework), .nessus (compatible con excel ya que es un formato xml), en formato txt, etc...

A continuacin, eleg un objetivo de Internet, del rango de Ips de Telefnica de las que tengo constancia que son Ips fijas: 213.96.x.x

Encontr alguna IP francamente interesante (213.96.x.x), pero decid un objetivo menos arriesgado, ya que el primero era ni ms ni menos que el de la polica local de Elche (agua!).

Impresionante no? Obsrvese la parte inferior de la imagen anterior, subrayado en color marrn ;-) Luego dicen que algunas de nuestras infraestructuras crticas y webs institucionales han sido objeto de ataques muy sofisticados (o no tanto). Lo que ms me mosquea es el servicio Serv-U FTP en el puerto 6666 ? El maligno andar suelto, pero yo no lo voy a comprobar... Bien, como deca, el siguiente objetivo que me va a servir para la comparativa, es el de Internet y el mtodo y poltica de escaneo ser el de External Network, aunque posteriormente cambi al modo Internal Network porque el escaneo es, a mi juicio, mucho ms eficaz.

El factor ms crtico detectado es el SNMP en el puerto UDP 161 que nos chiva prcticamente toda la configuracin de la red interna del objetivo.

CONCLUSIONES:
En resumen, Nessus nos ofrece una instalacin fcil, una configuracin del entorno de trabajo lo suficientemente sencilla como para no ofrecer dificultades a los menos duchos en esta herramienta... Prcticamente, una vez instalado, se puede comenzar a hacer un escaneo de vulnerabilidades en cualquier sistema. Ms facilidad de uso, si cabe, la encontramos en la versin para Window$, ya que instala todas las dependencias de golpe y su gestor de arranque del servidor y configuracin de usuarios es todo en uno.

El inconveniente principal que ya coment en la introduccin es que trabaja un poco ms lento en Mvs con Windows, a pesar de que las configuro con la suficiente memoria RAM. No lo he probado en sistemas reales (en mi porttil).

INSTALACIN, CONFIGURACIN OPENVAS (GNU/GPL):

USO

DE

La siguiente herramienta, como casi todo el mundo sabe, es un fork de la Tenable Nessus a partir de la versin 2.x. La gente de Nessus harta de que todo el mundo aprovechara los plugins de su herramienta pero nadie financiara con 1 el proyecto, decidi cortar el grifo a muchos chuppteros y convertirse en empresa para, a continuacin, poner a disposicin de los auditores y estudiantes su herramienta de dos formas: Pro y Home, como ya hemos visto. No ser yo quien juzgue su derecho a controlar y vivir de su trabajo, pero podramos hacer una crtica feroz al modo en que dejaron a muchos programadores y auditores con su trabajo fuera de contexto... Openvas es el resultado del pique. OpenVAS est a favor de Open Vulnerability Assessment System y es un escner de seguridad de red con herramientas asociadas como una grfica de usuario front-end. El componente bsico es un servidor con un conjunto de pruebas de vulnerabilidad de red (NVTs) para detectar problemas de seguridad en sistemas remotos y aplicaciones. De entrada es un poco ms complicada de configurar y de poner en marcha. Nos da un peln de guerra en este sentido. De hecho, es ms modular que Nessus y eso se nota a la hora de ponerla en marcha. En una web nos indicaban de este modo su instalacin y puesta en marcha para la versin 10.04 de Ubuntu desde sus fuentes (curiosamente, desde Opensuse):

En otra web, comprob que cuanto en la anterior me contaban se corresponda con la realidad. La fortuna fue que era ms comprensible en todos los sentidos: http://www.securitybydefault.com/2011/12/configuraropenvas-en-backtrack-5-r1.html

En resumen, el proceso de instalacin, arranque y uso sera este:

1. Crear el certificado para garantizar la comunicacin encriptada con el server, 2. Conectar con la web openvas y descargar y/o actualizar los plugins

3. 4. 5. 6. 7. 8. 9.

Crear un certificado para el cliente, Reconstruir la base de datos de la herramienta, Arrancar el servicio que carga los plugins (tarda...) Volver a recrear la base de datos (I) Volver a recrear la base de datos (II) Volver a recrear la base de datos (III) Crear el usuario que conectar con el servidor (puede ser o no el admin tambin) 10. Crear el usuario... 11, 12 y 13: Arrancar el manager, administrador, y el servicio web para el cliente... La opcin 13 es la que le dice al servidor que nos conectaremos por web gui en https://localhost:9392

La captura anterior es posterior a la creacin de usuarios (tanto Admin como usuario normal)...

Y esta de arriba, nos muestra como se actualizan los plugins de Openvas (el 1 de febrero ocupaban 9 Mb). A continuacin, abrimos el navegador y conectamos con el servidor en la web gui comentada. Al principio, nos pide que confirmemos que el certificado tiene validez para nuestras conexiones...

NO hay problema, as que confirmamos esta excepcin y, seguidamente, podemos ver en toda su gloria el entorno web desde el que poder usar esta herramienta para nuestra comparativa:

El entorno web y el nombre de usuario elegido para conectar con el

server (tambin tiene privilegios de Admin). Tal y como sugiere la documentacin estudiada, tanto la oficial como aquella que he buscado por mi cuenta, se nos aconseja configurar y preparar el entorno de la herramienta comenzando por el objetivo (target):

Una vez configurado el objetivo, donde se puede apreciar la IP y el mtodo de escaneo, pasamos a crear la tarea (task) que es ni ms ni menos que la definicin real del mtodo de escaneo con el objetivo ya delimitado:

Se puede apreciar como en la tarea queda definido el objetivo. A este respecto decir que Openvas nos permitir configurar no solo los rangos (ilimitados), sino tambin un nmero indeterminado de objetivos y hasta el horario en el que se va a realizar. Es decir, nos va a permitir automatizar la tarea con el consiguiente ahorro de tiempo y esto redundar en un beneficio mayor de la gestin y administracin de nuestra red. Ahora pasamos a realizar el anlisis de vulnerabilidades de la MV metasploit para comprobar cmo se comporta Openvas en relacin a Nessus. El objetivo se encuentra en la IP 192.168.1.3 y forma parte de la red interna casera.

La interfaz es un poco ms compleja que la de Nessus y entre otras caractersticas apreciamos una que se denomina Escaladores (scalators). En esta opcin podemos configurar cmo gestionar los eventos a partir del escaneo efectuado. Podemos indicar que se mande un evento en funcin de varias opciones: Cuando cambia el estado de una tarea Segn el nivel de alerta: Siempre Si se incremente Si llega a un umbral A parte de indicar el mtodo con el que se enva el evento: Mediante email Evento a syslog Trap SNMP GET HTTP a una cierta URL

La otra opcin interesante que no se gestiona fcilmente en Nessus (al menos yo no s como hacerlo), es el denominado Anulado (override). Un aespecie de aviso de prevencin de falsos positivos que pueden llevar a engao al auditor.

En esta nota yo aado una observacin sobre el resultado del escaneo, pero el override est pensado para dar cuenta de esos errores en la base de datos de los plugins. Esto est mejor explicado en:

http://systemadmin.es/2011/03/openvas-en-centos-5-5-escaner-devulnerabilidades As se pueden prevenir esos falsos positivos posteriormente en otros escaneos. Vamos a la tarea. El objetivo principal como decamos es la distro metasploitable que la tengo en mi red local como una MV a la que puedo atacar (mi entrenamiento de pentester aficionado).

Aqu tenemos el resultado del escaneo con Openvas. Lo primero que destaca en el resultado es la cantidad de vulnerabilidades encontradas. Openvas nos muestra 48 vulnerabilidades en total. De las que considera que hay 25 de alto riesgo (4 nos deca Nessus) y 23 de riesgo medio. Al igual que en Nessus podemos ir viendo los detalles en torno a los resultados, de modo que podemos leer acerca de cada una de las vulnerabilidades encontradas y conocer en qu consiste cada una de ellas, cmo se puede solucionar y si existe exploit para dicho problema. La lectura de alguno de ellos, por ejemplo ProFtpd en el puerto 21, nos

muestra cuanto afirmo ms arriba.

OJO que el hecho de que nos devuelva 25 vulnerabilidades de alto riesgo no significa necesariamente que haya descubierto ms cosas que Nessus. Sencillamente, desglosa todas las encontradas an formando parte del mismo servicio. Es el caso de las vulnerabilidades encontradas en el servicio FTP, puerto 21, o las de MySql en el puerto 3306. Lo curioso de Nessus es que devuelve tan solo 4 vulnerabilidades como crticas frente a 25 de Openvas. Ahora bien, resalta la importancia de esos 4 elementos de riesgo y sus puertos (80, 21 y 445). A Nessus se le olvida la grave vulnerabilidad en el puerto 22 con Openssh y su inexistente semilla aleatoria en la generacin de la password... Menudo barrido que se dieron los

chinos por todo tipo de servidores *nix en esa poca. Hasta 3 ataques en dos das al servidor del colegio que por entonces tena expuesto a Internet... En el segundo caso objetivo, el de la red externa en la IP 213.96.x.x, al que yo he nombrado como 14, amabas herramientas coinciden en sus apreciaciones y levantan como de alto riesgo el servicio SNMP en el puerto UDP 161. Hasta aqu el resultado de los objetivos escaneados Visto el asunto para sentencia...

ANLISIS COMPARATIVO DE AMBAS HERRAMIENTAS1

NESSUS (home feed)
Mayor nmero de plugins Facilidad de instalacin (sobre todo en Windows) Entorno claro y difano, buen aspecto (entorno flash) Muy intuitivo -------- Configuracin con pocas opciones, limitado Escaneos no programados Escaneo de equipos reducido No permite prevenir y corregir falsos positivos No encuentra todas las vulnerabilidades existentes en el equipo preparado Escaneado con credenciales mejor que sin ellas (whitebox) Informes completos muy vistosos con referencia a la BD de vulnerabilidades, fechas, parcheo, exploits, etc Formatos de exportacin de resultados de alta compatibilidad (metasploit, excel), NBE, XML Preparado para auditoras PCI-DSS No tiene escalado de eventos --Gratuito para uso personal, versin limitada

OPENVAS
Menor nmero de plugins Instalacin de varios componentes y, por lo tanto, ms dificultosa Entorno con demasiados elementos, aspecto lioso. con muchas opciones, no muy intuitivo Configuracin con muchas opciones, a medida Se pueden programar escaneos Escaneo equipos ilimitados Permite prevenir falsos positivos y sirve para aadir anotaciones Encuentra prcticamente todas las vulnerabilidades existentes en el equipo preparado No veo la opcin de escaneado con credenciales Informes menos vistosos, pero muy efectivos y con todos los detalles, fechas, parcheos, exploits, etc. ---Formatos de exportacin idnticos a Nessus (pdf, NBE, XML, etc) Ms opciones Preparado para ISO 27001 y auditoras PCI-DSS (tarjetas de crdito) Tiene escalado de eventos configurables Gratuito siempre versin completa ---

Las referencias aparecen a lo largo de todo el documento. Por ello no las incluyo aparte a modo de bibliografa.
1 La comparacin se hace a partir de los resultados y de la informacin buscada en la web. Concretamente en Systemadmin.