Laboratorio 2

Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación – VIACI
Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Especialización: Seguridad Informática

Curso: Seguridad en sistemas operativos.
LABORATORIO 1
PRESENTADO POR:
DAVID FERNANDO ROSERO: 87217075
PRESENTADO A:
TUTOR: YOLIMA ESTHER MERCADO.
CURSO: SEGURIDAD EN SISTEMAS OPERATIVOS
GRUPO: 233007-12
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD.

NOV.-18
TABLA DE CONTENIDO
INTRODUCCION...................................................................................................................................3
OBJETIVOS.............................................................................................................................................4
OBJETIVO PRINCIPAL............................................................................................................4
OBJETIVO ESPECÍFICOS.......................................................................................................4
DESARROLLO DE LA ACTIVIDAD:.................................................................................................5
CONCLUSIONES..................................................................................................................................14
BIBLIOGRAFIA....................................................................................................................................15
INTRODUCCION
Este documento presenta el desarrollo del laboratorio 2 cuya practica propone el afianzamiento del uso
testeo de sistemas a través de Kali Linux como sistema atacante y un sistema victima que este en la red
a analizar, se presentará la topología del esquema realizado, evidencias de los resultados del análisis de
red con nmap hacia el Metasploitable, documentación del pent test por medio de Nessus, Openvass las
vulnerabilidades del sistema, utilizar explotación de vulnerabilidades a través de la herramienta CVE,
documentar todo este procesos paso a paso.
OBJETIVOS
OBJETIVO PRINCIPAL.
Realizar pruebas prácticas de penetración a sistemas vulnerables a través de herramientas como Kali
Linux y Metasploitable.
OBJETIVO ESPECÍFICOS.
1. Construir la topología de la red en el escenario creado.
2. Analizar las vulnerabilidades con Nmap u Openvass
3. Documentar la búsqueda de información acerca de las vulnerabilidades por medio de Nessu y
CVE.
4. Documentar los fallos a explotar de seguridad encontrados según los datos obtenidos.
5. Presentar resumen a través de un video publicado en la red.

DESARROLLO DE LA ACTIVIDAD:
1. Instalación del software de virtualización (VirtualBox, VirtualPC, VMWare Player, OpenVZ o

el de su preferencia)
Se instala Kali Linux en la máquina virtual VMware
También se instaló Linux Metasploitable en la maquina VMware

Un diagrama de la topología construida para esta práctica usando un software de dibujo como Visio,
Día o cualquiera de su preferencia, en donde se documenten las IP’s utilizadas Kali Linux y
Metasploitable, donde se vean representados los servicios activos de cada máquina virtualizada.
Verificamos las vulnerabilidades con Nmap desde Kali Linux como atacante y Linux Metasploitable
como víctima, encontramos los puertos abiertos y los servicios que podemos vulnerar.
- Print Screen de los resultados llevados a cabo con el análisis de Nmap desde el S.O Kali Linux hacía
el Metasploitable, es preciso tener en cuenta cómo identificar el S.O de la máquina víctima
“Metasploitable” por medio de Nmap al igual que los servicios y puertos que estén en escucha y
activos para poder planear el ataque
Luego escaneamos los servicios que encontramos en la red del servidor SV

También podemos averiguar la MacAdress y los accesos de alto nivel para poder conocer mas afondo
la red y ver sus vulnerabilidades.
Podemos averiguar que sistema operativo usa la víctima y vemos que posiblemente es Linux
Metasploitable en su versión 2.6.9
También podemos saber que puertos están abiertos
Documentación paso a paso con Print Screen de las pruebas de pent test realizadas por medio de
Openveass u otro analizador.
Instalamos la herramienta Openvas con el comando apt-get install Openvas
Ingresamos al modo grafico desde el navegador en la dirección http://127.0.0.1:9392, creamos un

nuevo objetivo para este caso usamos la ip de Linux Metasploitable 192.168.100.15. también creamos
una nueva tarea para que busque las vulnerabilidades.
La herramienta comienza a realizar el testeo de penetración y esperamos a que finalice y presente el

informe de vulnerabilidades.
La herramienta nos presenta las vulnerabilidades de sistema Metasploitable en un listado y nos dice su
riego:
Documentación sobre la búsqueda de información acerca de las vulnerabilidades encontradas por medio de
nessus, Openvass u otro analizador, un ejemplo claro es utilizar el CVE – Common Vulnerabilities and Exposures
el cual contribuye a buscar información de las vulnerabilidades que encuentran con los analizadores, cada
vulnerabilidad tiene un ID asociado y es la pista para que busquen si dicha vulnerabilidad tiene algún Exploit el
cual contribuya a explotar el fallo de seguridad. La página web del CVE es: https://cve.mitre.org/
Seguidamente buscamos las listas de las vulnerabilidades del equipo atacado y encontramos revisando
una a la vez, el posible acceso a la victima
Si necesitamos mayor información podemos consultar las listas de CVE para mejorar el ataque:
Documentar y proceder a explotar fallos de seguridad encontrados con los analizadores y haciendo uso de
información extra como la de Nmap y el CVE. Una vez exploten la vulnerabilidad deberán capturar printscreen
del proceso y documentar paso a paso. Seguidamente hacemos uso de los comandos que se sugieren para
atacar el acceso de usuario de la víctima donde a través de un índex logramos recuperar nombre de
usuario y contraseña.
Usando la herramienta nmap podemos ver que puertos están abiertos y encontramos la siguiente lista.
Luego hacemos el ataque a la víctima por fuerza bruta usando ssh y podemos acceder de forma remota,
podemos crear, copiar o modificar la información.
ENLACE DEL VIDEO:

https://youtu.be/SHEpJyvCC3E
CONCLUSIONES.
 Hermanitas como Nmap son poderosas herramientas para la exploración de puertos de red en
sistemas operativos vulnerables que no permiten entender como podemos mejorar las
vulnerabilidades y mejorar a futuro el sistema.
 Herramientas como Openvas tienen la función de realizar testeos de red y encontrar las
vulnerabilidades de sistemas si seguridad, pero no solo eso, sino que nos dan indicios de
posibles puntos de ataque para vulnerar un sistema, con el fin de ofrecer un completo informe
de seguridad y mejorar eventualmente la misma.
 Programas como Kalilinux y Metasploit son versiones de Linux que son diseñadas con el fin de
hacer testeos de penetración, queda en la ética del profesional en la información, hacer un uso
adecuado de dicho proceso que puede llegar a ser mal usado, sin embargo para la seguridad
informática representa un escenario de pruebas potente donde se pueda mejorar siempre los
sistemas desde la seguridad.
BIBLIOGRAFIA.
 - Gómez, L. J., & Gómez, L. O. D. (2014). Administración de sistemas operativos. Madrid, ES:
RA-MA Editorial. Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?
docID=11046063&p00=seguridad+sistemas+operativos
 Colobran, H. M., Arqués, S. J. M., & Marco, G. E. (2008). Administración de sistemas operativos
en red. Barcelona, ES: Editorial UOC. Recuperado de
docID=10638510&p00=seguridad+en+sistemas+operativos
 - Raya, C. J. L., & Raya, G. L. (2014). Implantación de sistemas operativos. Madrid, ES: RAMA
Editorial. Recuperado de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?
 Chicano, T. E. (2014). Gestión de incidentes de seguridad informática (MF0488_3). Madrid,

ESPAÑA: IC Editorial. Recuperado de
docID=11126339&p=seguridad+en+sistemas+operativos
 Costas, S. J. (2014). Seguridad y alta disponibilidad. Madrid, ES: RA-MA Editorial. Recuperado
de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?
 Chicano, T. E. (2014). Auditoría de seguridad informática (MF0487_3). Madrid, ESPAÑA: IC

Editorial. Recuperado de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?
 Gobierno de España. (2007). Monográfico: Máquinas virtuales - Herramienta de virtualización

VirtualBox. (2016, Junio 27) Recuperado de
http://recursostic.educacion.es/observatorio/web/fr/software/software-general/462-monografico-
maquinas-virtuales?start=2

Laboratorio 2

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Laboratorio 2

Cargado por

Copyright:

Formatos disponibles

Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación – VIACI

Escuela: Escuela De Ciencias Básicas Tecnología E Ingeniería Especialización: Seguridad Informática

CURSO: SEGURIDAD EN SISTEMAS OPERATIVOS

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD.

1. Construir la topología de la red en el escenario creado.

2. Analizar las vulnerabilidades con Nmap u Openvass

3. Documentar la búsqueda de información acerca de las vulnerabilidades por medio de Nessu y

5. Presentar resumen a través de un video publicado en la red.

1. Instalación del software de virtualización (VirtualBox, VirtualPC, VMWare Player, OpenVZ o

Se instala Kali Linux en la máquina virtual VMware

También se instaló Linux Metasploitable en la maquina VMware

Luego escaneamos los servicios que encontramos en la red del servidor SV

También podemos saber que puertos están abiertos

Ingresamos al modo grafico desde el navegador en la dirección http://127.0.0.1:9392, creamos un

La herramienta comienza a realizar el testeo de penetración y esperamos a que finalice y presente el

ENLACE DEL VIDEO:

 Chicano, T. E. (2014). Gestión de incidentes de seguridad informática (MF0488_3). Madrid,

 Chicano, T. E. (2014). Auditoría de seguridad informática (MF0487_3). Madrid, ESPAÑA: IC

 Gobierno de España. (2007). Monográfico: Máquinas virtuales - Herramienta de virtualización

También podría gustarte