SlideShare uma empresa Scribd logo

OpenVAS evaluación vulnerabilidades

Alonso Caballero
Alonso Caballero

El documento presenta un webinar gratuito sobre Open Vulnerability Assessment System (OpenVAS) que será dictado por Alonso Eduardo Caballero Quezada. Se detalla la experiencia de Caballero en seguridad informática y hacking ético y se provee información sobre OpenVAS, incluyendo su arquitectura, características y componentes como el escáner y el gestor.

Tecnologia
1 de 17
Baixar para ler offline
Open Vulnerability Assessment System (OpenVAS) Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 31 de Marzo del 2016
Presentación Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation Certificate, LPI Linux Essentials Certificate, Brainbench Certified Network Security (Master), Computer Forensics (U.S.) & Linux Administration (General), IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling y Digital Forensics. Ha sido Instructor en el OWASP LATAM Tour Lima, Perú del año 2014, y Conferencista en PERUHACK 2014. Cuenta con más de doce años de experiencia en el área y desde hace ocho años labora como Consultor e Instructor Independiente en las áreas de Hacking Ético & Informática Forense. Perteneció por muchos años al grupo internacional de Seguridad RareGaZz y al Grupo Peruano de Seguridad PeruSEC. Ha dictado cursos presenciales y virtuales en Ecuador, España, Bolivia y Perú, presentándose también constantemente en exposiciones enfocadas a Hacking Ético, Informática Forense, GNU/Linux y Software Libre. @Alonso_ReYDeS www.facebook.com/alonsoreydes pe.linkedin.com/in/alonsocaballeroquezada/
Evaluación de Vulnerabilidades Es el proceso de ubicar y reportar las vulnerabilidades. Esto proporciona una manera de detectar y resolver los problemas de seguridad antes de la explotación de alguien o algo. La razón de realizar este procedimiento es debido a ser un componente crítico en la infraestructura de seguridad de varias organizaciones, pues la habilidad de tener una instantánea de la seguridad de toda la red, apoya a diversos procesos de seguridad y administrativos. Cuando se descubre una nueva vulnerabilidad, se puede realizar una evaluación para descubrir los sistemas vulnerables, iniciar el proceso para la instalación de parches. Después de esto, se debe realizar otra evaluación para verificar la solución de las vulnerabilidades. Este ciclo de evaluar, parchar y verificar se ha convertido en un método estándar para manejar los temas de seguridad en varias organizaciones. * OpenVAS: http://openvas.org/
Tipos de Evaluaciones 1. Evaluaciones de Host Estas herramientas requieren instalar el software en cada sistema requerido a ser evaluado. Se evalúan vulnerabilidades a nivel del sistema como permisos de archivos inseguros, parches ausentes de software, políticas de seguridad para el cumplimiento de normas, e instalaciones de puertas traseras o troyanos. 2. Evaluaciones de Red Implica localizar a todos los sistemas funcionando en la red, determinar los servicios de red utilizados, y analizarlos por probables vulnerabilidades. Este tipo de evaluaciones pueden ser escalables y eficientes en términos de requerimientos administrativos, y son el único método factible para estimar la seguridad de redes grandes y complejas sobre sistemas heterogeneos.
El Proceso de Evaluación Sin importar en gran medida cual es la solución utilizada para la evaluación de vulnerabilidades, es muy probable se realice el mismo proceso de evaluación. ● Detectar los Sistemas en Funcionamiento ● Identificar los Sistemas en Funcionamiento ● Enumerar los Servicios ● Identificar los Servicios ● Identificar las Aplicaciones ● Identificar las Vulnerabilidades ● Reportar las Vulnerabilidades
OpenVAS OpenVAS (Open Vulnerability Assessment System) o Sistema Abierto para la Evaluación de Vulnerabilidades; está constituido por varios servicios y herramientas los cuales proporcionan la capacidad para realizar un escaneo de vulnerabilidades muy completo y poderoso, además de ser una solución para la administración de vulnerabilidades. El corazón de esta arquitectura es el Escaner OpenVAS orientada al servicio, asegurado utilizando SSL. Este muy eficiente escaner ejecuta los NVTs - Network Vulnerability Tests (Pruebas de Vulnerabilidad en Redes), los cuales son servidos con actualizaciones diarias mediante el OpenVAS NVT Feed o mediante el servicio comercial, con más de 30,000 de ellos en total. Todos los productos OpenVAS son Software Libre. Y la mayoría de componentes tienen licencia GNU/GPL. * OpenVAS: http://www.openvas.org/about.html
Características de OpenVAS ● OpenVAS Scanner: Escaneo de varios objetivos de manera concurrente. OpenVAS Transfer Protocol (OTP), Soporte SSL. ● OpenVAS Manager: OpenVAS Management Protocol (OMP), Base de Datos SQL (sqlite) para las configuraciones y resultados del escaneo, Soporte SSL para OMP (siempre), Varias tareas de escaneo concurrentes (Varios escaners OpenVAS), Gestor de notas para los resultados del escaneo, Gestor de falsos positivos para los resultados del escaneo. Escaneos programados, Detener, pausar y reiniciar tareas de escaneo. Modo Maestro-Esclabo para controlar varias instancias desde un nodo central, Reportes en varios formatos (XML, HTML, etc.), Gestor de usuarios, etc. ● Greenbone Security Assistant (GSA): Cliente para OMP y OAP, HTTP y HTTPS, Servidor web propio (microhttpd), no se requiere un servidor web adicional, Sistema de ayuda integrado en línea. * Features Overview: http://www.openvas.org/software.html#feature_overview
Resumen de la Arquitectura de OpenVAS * http://openvas.org/software.html
El Gestor de OpenVAS Es el servicio central quién consolida el escaneo de vulnerabilidades en una solución completa para la gestión de vulnerabilidades. El Manejador controla el Escaner mediante OTP - OpenVAS Transfer Protocol (Protocolo OpenVAS de Transferencia) y ofrece por si mismo OMP - OpenVAS Management Protocol (Protocolo de Gestión OpenVAS) basado en XML. Toda la inteligencia es implementada en el Gestor, así es posible implementar varios tipos de clientes con un comportamiento similar, por ejemplo con relación al filtrado y ordenamiento de los resultados del escaneo. El Gestor también controla una base de datos SQL (basada en sqlite) donde se almacenan de manera centralizada toda la configuración y resultados del escaneo. Finalmente el gestor también controla la gestión de los usuarios incluyendo controles de acceso con grupos y roles. * http://www.openvas.org/software.html
El Gestor de OpenVAS (Cont.) * http://www.openvas.org/software.html
Clientes de OpenVAS Están disponibles diferentes clientes OMP. ● Greenbone Security Assistant (GSA): Es un servicio web el cual ofrece una interfaz de usuario para navegadores web. Este utiliza XSL (Extensible Stylesheet Language) el cual convierte las respuestas OMP en HTML. ● OpenVAS CLI (Command-line Interface): Contiene la herramienta en línea de comando “omp” el cual permite crear procesos batch (por lotes) para dirigir el Gestor de OpenVAS La mayoría de las herramientas listadas comparten funcionalidad la cual esta añadida en las librerías OpenVAS. El escaner OpenVAS ofrecen un protocolo de comunicación OTP (OpenVAS Transfer Protocol) el cual permite controlar la ejecución del escaneo.
Clientes OpenVAS (Cont.) * http://openvas.org/software.html
Demostraciones
Curso Virtual de Hacking Ético Más Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Etico E-mail: caballero.alonso@gmail.com / Sitio Web: http://www.reydes.com
Cursos Virtuales Todos los Cursos Virtuales dictados están disponibles en Video. Curso Virtual de Hacking Ético http://www.reydes.com/d/?q=Curso_de_Hacking_Etico Curso Virtual de Hacking Aplicaciones Web http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web Curso Virtual de Informática Forense http://www.reydes.com/d/?q=Curso_de_Informatica_Forense
Más Contenidos Videos de 30 Webinars Gratuitos sobre temas de Hacking Ético, Hacking Aplicaciones Web e Informática Forense. http://www.reydes.com/d/?q=videos Diapositivas utilizadas en los Webinars Gratuitos. http://www.reydes.com/d/?q=node/3 Artículos y documentos publicados http://www.reydes.com/d/?q=node/2 Mi Blog sobre temas de mi interés. http://www.reydes.com/d/?q=blog/1
Open Vulnerability Assessment System (OpenVAS) Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 31 de Marzo del 2016

Recomendados

Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Alonso Caballero
 
3.5 Nessus
3.5 Nessus3.5 Nessus
3.5 NessusMeztli Valeriano Orozco
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informaticagio_vani
 
Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessusnana nana
 
2. evaluacion de vulnerabilidades
2. evaluacion de vulnerabilidades2. evaluacion de vulnerabilidades
2. evaluacion de vulnerabilidadesJose Peña
 
Manual Nesus And Nmap
Manual Nesus And NmapManual Nesus And Nmap
Manual Nesus And NmapVictor Guana
 
Informe proyecto nessus
Informe proyecto nessusInforme proyecto nessus
Informe proyecto nessusLethy Mendez
 
Herramientas
HerramientasHerramientas
HerramientasBlanca Palma
 

Recomendados

Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Webinar Gratuito "OpenVAS"
Webinar Gratuito "OpenVAS"Alonso Caballero
 
3.5 Nessus
3.5 Nessus3.5 Nessus
3.5 NessusMeztli Valeriano Orozco
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informaticagio_vani
 
Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessusnana nana
 
2. evaluacion de vulnerabilidades
2. evaluacion de vulnerabilidades2. evaluacion de vulnerabilidades
2. evaluacion de vulnerabilidadesJose Peña
 
Manual Nesus And Nmap
Manual Nesus And NmapManual Nesus And Nmap
Manual Nesus And NmapVictor Guana
 
Informe proyecto nessus
Informe proyecto nessusInforme proyecto nessus
Informe proyecto nessusLethy Mendez
 
Herramientas
HerramientasHerramientas
HerramientasBlanca Palma
 
Open vas
Open vasOpen vas
Open vasDipen Pau
 
UNICAMP-DevCamp-2014-OpenVAS-ICTS-PROTIVIT-firebits-rev01
UNICAMP-DevCamp-2014-OpenVAS-ICTS-PROTIVIT-firebits-rev01UNICAMP-DevCamp-2014-OpenVAS-ICTS-PROTIVIT-firebits-rev01
UNICAMP-DevCamp-2014-OpenVAS-ICTS-PROTIVIT-firebits-rev01Mauro Risonho de Paula Assumpcao
 
OpenVAS: Vulnerability Assessment Scanner
OpenVAS: Vulnerability Assessment ScannerOpenVAS: Vulnerability Assessment Scanner
OpenVAS: Vulnerability Assessment ScannerChandrak Trivedi
 
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHCOficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHCMauro Risonho de Paula Assumpcao
 
Greenbone vulnerability assessment - Networkshop44
Greenbone vulnerability assessment - Networkshop44Greenbone vulnerability assessment - Networkshop44
Greenbone vulnerability assessment - Networkshop44Jisc
 
Integrated Tools in OSSIM
Integrated Tools in OSSIMIntegrated Tools in OSSIM
Integrated Tools in OSSIMAlienVault
 
Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuJosé Moreno
 
Grupo 5 - OPEN VAS.pptx
Grupo 5 - OPEN VAS.pptxGrupo 5 - OPEN VAS.pptx
Grupo 5 - OPEN VAS.pptxAchancarayPumaAngelD
 
Herramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidadesHerramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidadesIñigo Asin Martinez
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesCarlos De la Cruz Riera
 
Las mejores herramientas para realizar pruebas de software
Las mejores herramientas para realizar pruebas de softwareLas mejores herramientas para realizar pruebas de software
Las mejores herramientas para realizar pruebas de softwareUniversidad Militar Nueva Granada-Universidad de Cundinamarca
 
170787585-practica-0
170787585-practica-0 170787585-practica-0
170787585-practica-0xavazquez
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Presentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesPresentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesOier Ardanaz
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoFranciny Salles
 
Administracion de redes y seguridad con Software Libre
Administracion de redes y seguridad con Software LibreAdministracion de redes y seguridad con Software Libre
Administracion de redes y seguridad con Software Libremiltonvf
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASPEdwardZarate2
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Alonso Caballero
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPAlonso Caballero
 
Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"Alonso Caballero
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyAlonso Caballero
 

Mais conteúdo relacionado

Destaque

OpenVAS: Vulnerability Assessment Scanner
OpenVAS: Vulnerability Assessment ScannerOpenVAS: Vulnerability Assessment Scanner
OpenVAS: Vulnerability Assessment ScannerChandrak Trivedi
 
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHCOficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHCMauro Risonho de Paula Assumpcao
 
Greenbone vulnerability assessment - Networkshop44
Greenbone vulnerability assessment - Networkshop44Greenbone vulnerability assessment - Networkshop44
Greenbone vulnerability assessment - Networkshop44Jisc
 
Integrated Tools in OSSIM
Integrated Tools in OSSIMIntegrated Tools in OSSIM
Integrated Tools in OSSIMAlienVault
 

Destaque (6)

Open vas
Open vasOpen vas
Open vas
 
UNICAMP-DevCamp-2014-OpenVAS-ICTS-PROTIVIT-firebits-rev01
UNICAMP-DevCamp-2014-OpenVAS-ICTS-PROTIVIT-firebits-rev01UNICAMP-DevCamp-2014-OpenVAS-ICTS-PROTIVIT-firebits-rev01
UNICAMP-DevCamp-2014-OpenVAS-ICTS-PROTIVIT-firebits-rev01
 
OpenVAS: Vulnerability Assessment Scanner
OpenVAS: Vulnerability Assessment ScannerOpenVAS: Vulnerability Assessment Scanner
OpenVAS: Vulnerability Assessment Scanner
 
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHCOficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
 
Greenbone vulnerability assessment - Networkshop44
Greenbone vulnerability assessment - Networkshop44Greenbone vulnerability assessment - Networkshop44
Greenbone vulnerability assessment - Networkshop44
 
Integrated Tools in OSSIM
Integrated Tools in OSSIMIntegrated Tools in OSSIM
Integrated Tools in OSSIM
 

Semelhante a OpenVAS evaluación vulnerabilidades

Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuJosé Moreno
 
Herramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidadesHerramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidadesIñigo Asin Martinez
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesCarlos De la Cruz Riera
 
170787585-practica-0
170787585-practica-0 170787585-practica-0
170787585-practica-0xavazquez
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Presentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesPresentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesOier Ardanaz
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoFranciny Salles
 
Administracion de redes y seguridad con Software Libre
Administracion de redes y seguridad con Software LibreAdministracion de redes y seguridad con Software Libre
Administracion de redes y seguridad con Software Libremiltonvf
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASPEdwardZarate2
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Alonso Caballero
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPAlonso Caballero
 
Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"Alonso Caballero
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyAlonso Caballero
 
Webinar Gratuito: "Nikto para Pentesting"
Webinar Gratuito: "Nikto para Pentesting"Webinar Gratuito: "Nikto para Pentesting"
Webinar Gratuito: "Nikto para Pentesting"Alonso Caballero
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesIker Ardanaz
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Alonso Caballero
 
Algunas herramientas para desarrolladores
Algunas herramientas para desarrolladoresAlgunas herramientas para desarrolladores
Algunas herramientas para desarrolladoressergiovier
 

Semelhante a OpenVAS evaluación vulnerabilidades (20)

Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de Ubuntu
 
Grupo 5 - OPEN VAS.pptx
Grupo 5 - OPEN VAS.pptxGrupo 5 - OPEN VAS.pptx
Grupo 5 - OPEN VAS.pptx
 
Herramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidadesHerramientas de medicion de las vulnerabilidades
Herramientas de medicion de las vulnerabilidades
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
 
Las mejores herramientas para realizar pruebas de software
Las mejores herramientas para realizar pruebas de softwareLas mejores herramientas para realizar pruebas de software
Las mejores herramientas para realizar pruebas de software
 
170787585-practica-0
170787585-practica-0 170787585-practica-0
170787585-practica-0
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
 
Presentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidadesPresentacion herramientas vulnerabilidades
Presentacion herramientas vulnerabilidades
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker Ético
 
Administracion de redes y seguridad con Software Libre
Administracion de redes y seguridad con Software LibreAdministracion de redes y seguridad con Software Libre
Administracion de redes y seguridad con Software Libre
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASP
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"
 
Webinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASPWebinar Gratuito: Guía de Pruebas de OWASP
Webinar Gratuito: Guía de Pruebas de OWASP
 
Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"Webinar Gratuito "Explotación CMSs Web"
Webinar Gratuito "Explotación CMSs Web"
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack Proxy
 
Webinar Gratuito: "Nikto para Pentesting"
Webinar Gratuito: "Nikto para Pentesting"Webinar Gratuito: "Nikto para Pentesting"
Webinar Gratuito: "Nikto para Pentesting"
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
 
Algunas herramientas para desarrolladores
Algunas herramientas para desarrolladoresAlgunas herramientas para desarrolladores
Algunas herramientas para desarrolladores
 

Mais de Alonso Caballero

Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebAlonso Caballero
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
 
Curso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoCurso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoAlonso Caballero
 
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Alonso Caballero
 
Curso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxCurso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxAlonso Caballero
 
Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Alonso Caballero
 
Curso Virtual Informática Forense
Curso Virtual Informática ForenseCurso Virtual Informática Forense
Curso Virtual Informática ForenseAlonso Caballero
 
Webinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyWebinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyAlonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebAlonso Caballero
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosAlonso Caballero
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 
Webinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsWebinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsAlonso Caballero
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebAlonso Caballero
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Alonso Caballero
 
Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Alonso Caballero
 
Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Alonso Caballero
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Alonso Caballero
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 

Mais de Alonso Caballero (20)

Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 
Curso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking WebCurso Virtual Fundamentos de Hacking Web
Curso Virtual Fundamentos de Hacking Web
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Curso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking ÉticoCurso Virtual Fundamentos de Hacking Ético
Curso Virtual Fundamentos de Hacking Ético
 
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
 
Curso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxCurso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali Linux
 
Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"Webinar Gratuito: "Zenmap para Pentesting"
Webinar Gratuito: "Zenmap para Pentesting"
 
Curso Virtual Informática Forense
Curso Virtual Informática ForenseCurso Virtual Informática Forense
Curso Virtual Informática Forense
 
Webinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con AutopsyWebinar Gratuito: Análisis de Memoria con Autopsy
Webinar Gratuito: Análisis de Memoria con Autopsy
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de Comandos
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 
Webinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus EssentialsWebinar Gratuito: Nessus Essentials
Webinar Gratuito: Nessus Essentials
 
Curso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones WebCurso Virtual de Hacking Aplicaciones Web
Curso Virtual de Hacking Aplicaciones Web
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022Curso Virtual Bug Bounty 2022
Curso Virtual Bug Bounty 2022
 
Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022Curso Virtual Análisis de Malware 2022
Curso Virtual Análisis de Malware 2022
 
Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022Curso Virtual Hacking ICS / SCADA 2022
Curso Virtual Hacking ICS / SCADA 2022
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 

Último

Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..RobertoGumucio2
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 

Último (20)

Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 

OpenVAS evaluación vulnerabilidades

  • 1. Open Vulnerability Assessment System (OpenVAS) Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 31 de Marzo del 2016
  • 2. Presentación Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation Certificate, LPI Linux Essentials Certificate, Brainbench Certified Network Security (Master), Computer Forensics (U.S.) & Linux Administration (General), IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling y Digital Forensics. Ha sido Instructor en el OWASP LATAM Tour Lima, Perú del año 2014, y Conferencista en PERUHACK 2014. Cuenta con más de doce años de experiencia en el área y desde hace ocho años labora como Consultor e Instructor Independiente en las áreas de Hacking Ético & Informática Forense. Perteneció por muchos años al grupo internacional de Seguridad RareGaZz y al Grupo Peruano de Seguridad PeruSEC. Ha dictado cursos presenciales y virtuales en Ecuador, España, Bolivia y Perú, presentándose también constantemente en exposiciones enfocadas a Hacking Ético, Informática Forense, GNU/Linux y Software Libre. @Alonso_ReYDeS www.facebook.com/alonsoreydes pe.linkedin.com/in/alonsocaballeroquezada/
  • 3. Evaluación de Vulnerabilidades Es el proceso de ubicar y reportar las vulnerabilidades. Esto proporciona una manera de detectar y resolver los problemas de seguridad antes de la explotación de alguien o algo. La razón de realizar este procedimiento es debido a ser un componente crítico en la infraestructura de seguridad de varias organizaciones, pues la habilidad de tener una instantánea de la seguridad de toda la red, apoya a diversos procesos de seguridad y administrativos. Cuando se descubre una nueva vulnerabilidad, se puede realizar una evaluación para descubrir los sistemas vulnerables, iniciar el proceso para la instalación de parches. Después de esto, se debe realizar otra evaluación para verificar la solución de las vulnerabilidades. Este ciclo de evaluar, parchar y verificar se ha convertido en un método estándar para manejar los temas de seguridad en varias organizaciones. * OpenVAS: http://openvas.org/
  • 4. Tipos de Evaluaciones 1. Evaluaciones de Host Estas herramientas requieren instalar el software en cada sistema requerido a ser evaluado. Se evalúan vulnerabilidades a nivel del sistema como permisos de archivos inseguros, parches ausentes de software, políticas de seguridad para el cumplimiento de normas, e instalaciones de puertas traseras o troyanos. 2. Evaluaciones de Red Implica localizar a todos los sistemas funcionando en la red, determinar los servicios de red utilizados, y analizarlos por probables vulnerabilidades. Este tipo de evaluaciones pueden ser escalables y eficientes en términos de requerimientos administrativos, y son el único método factible para estimar la seguridad de redes grandes y complejas sobre sistemas heterogeneos.
  • 5. El Proceso de Evaluación Sin importar en gran medida cual es la solución utilizada para la evaluación de vulnerabilidades, es muy probable se realice el mismo proceso de evaluación. ● Detectar los Sistemas en Funcionamiento ● Identificar los Sistemas en Funcionamiento ● Enumerar los Servicios ● Identificar los Servicios ● Identificar las Aplicaciones ● Identificar las Vulnerabilidades ● Reportar las Vulnerabilidades
  • 6. OpenVAS OpenVAS (Open Vulnerability Assessment System) o Sistema Abierto para la Evaluación de Vulnerabilidades; está constituido por varios servicios y herramientas los cuales proporcionan la capacidad para realizar un escaneo de vulnerabilidades muy completo y poderoso, además de ser una solución para la administración de vulnerabilidades. El corazón de esta arquitectura es el Escaner OpenVAS orientada al servicio, asegurado utilizando SSL. Este muy eficiente escaner ejecuta los NVTs - Network Vulnerability Tests (Pruebas de Vulnerabilidad en Redes), los cuales son servidos con actualizaciones diarias mediante el OpenVAS NVT Feed o mediante el servicio comercial, con más de 30,000 de ellos en total. Todos los productos OpenVAS son Software Libre. Y la mayoría de componentes tienen licencia GNU/GPL. * OpenVAS: http://www.openvas.org/about.html
  • 7. Características de OpenVAS ● OpenVAS Scanner: Escaneo de varios objetivos de manera concurrente. OpenVAS Transfer Protocol (OTP), Soporte SSL. ● OpenVAS Manager: OpenVAS Management Protocol (OMP), Base de Datos SQL (sqlite) para las configuraciones y resultados del escaneo, Soporte SSL para OMP (siempre), Varias tareas de escaneo concurrentes (Varios escaners OpenVAS), Gestor de notas para los resultados del escaneo, Gestor de falsos positivos para los resultados del escaneo. Escaneos programados, Detener, pausar y reiniciar tareas de escaneo. Modo Maestro-Esclabo para controlar varias instancias desde un nodo central, Reportes en varios formatos (XML, HTML, etc.), Gestor de usuarios, etc. ● Greenbone Security Assistant (GSA): Cliente para OMP y OAP, HTTP y HTTPS, Servidor web propio (microhttpd), no se requiere un servidor web adicional, Sistema de ayuda integrado en línea. * Features Overview: http://www.openvas.org/software.html#feature_overview
  • 8. Resumen de la Arquitectura de OpenVAS * http://openvas.org/software.html
  • 9. El Gestor de OpenVAS Es el servicio central quién consolida el escaneo de vulnerabilidades en una solución completa para la gestión de vulnerabilidades. El Manejador controla el Escaner mediante OTP - OpenVAS Transfer Protocol (Protocolo OpenVAS de Transferencia) y ofrece por si mismo OMP - OpenVAS Management Protocol (Protocolo de Gestión OpenVAS) basado en XML. Toda la inteligencia es implementada en el Gestor, así es posible implementar varios tipos de clientes con un comportamiento similar, por ejemplo con relación al filtrado y ordenamiento de los resultados del escaneo. El Gestor también controla una base de datos SQL (basada en sqlite) donde se almacenan de manera centralizada toda la configuración y resultados del escaneo. Finalmente el gestor también controla la gestión de los usuarios incluyendo controles de acceso con grupos y roles. * http://www.openvas.org/software.html
  • 10. El Gestor de OpenVAS (Cont.) * http://www.openvas.org/software.html
  • 11. Clientes de OpenVAS Están disponibles diferentes clientes OMP. ● Greenbone Security Assistant (GSA): Es un servicio web el cual ofrece una interfaz de usuario para navegadores web. Este utiliza XSL (Extensible Stylesheet Language) el cual convierte las respuestas OMP en HTML. ● OpenVAS CLI (Command-line Interface): Contiene la herramienta en línea de comando “omp” el cual permite crear procesos batch (por lotes) para dirigir el Gestor de OpenVAS La mayoría de las herramientas listadas comparten funcionalidad la cual esta añadida en las librerías OpenVAS. El escaner OpenVAS ofrecen un protocolo de comunicación OTP (OpenVAS Transfer Protocol) el cual permite controlar la ejecución del escaneo.
  • 12. Clientes OpenVAS (Cont.) * http://openvas.org/software.html
  • 14. Curso Virtual de Hacking Ético Más Información: http://www.reydes.com/d/?q=Curso_de_Hacking_Etico E-mail: caballero.alonso@gmail.com / Sitio Web: http://www.reydes.com
  • 15. Cursos Virtuales Todos los Cursos Virtuales dictados están disponibles en Video. Curso Virtual de Hacking Ético http://www.reydes.com/d/?q=Curso_de_Hacking_Etico Curso Virtual de Hacking Aplicaciones Web http://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web Curso Virtual de Informática Forense http://www.reydes.com/d/?q=Curso_de_Informatica_Forense
  • 16. Más Contenidos Videos de 30 Webinars Gratuitos sobre temas de Hacking Ético, Hacking Aplicaciones Web e Informática Forense. http://www.reydes.com/d/?q=videos Diapositivas utilizadas en los Webinars Gratuitos. http://www.reydes.com/d/?q=node/3 Artículos y documentos publicados http://www.reydes.com/d/?q=node/2 Mi Blog sobre temas de mi interés. http://www.reydes.com/d/?q=blog/1
  • 17. Open Vulnerability Assessment System (OpenVAS) Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.ReYDeS.com e-mail: ReYDeS@gmail.com Jueves 31 de Marzo del 2016