DIVISIÓN DE CIENCIAS EXACTAS, INGENIERÍA Y TECNOLOGÍA

Unidad 3: SERVICIOS

Actividad 2. Foro. Instalación y configuración de servicios de

red

Miguel Ángel Chavez Trejo

ES1822023956

SISTEMAS OPERATIVOS
Área de conocimiento:
Licenciatura en Telemática

Docente en línea: Carlos Blancas Basilio

1
Kali Linux, es una de las distribuciones de Linux, más utilizada por los informáticos, ya que es por medio de ella donde se
realizan los mejores procesos de auditoría y ciberseguridad. Su soporte de mantenimiento es de Offesive Security Ltd. Es una de
las distribuciones de Linux más famosas por parte de los profesionales en pentesting. Es una de las pocas distros más
completas para realizar ataques y análisis de sistemas y aplicaciones de red.

Las herramientas que Kali Linux nos ofrece

• Monitorizar y análizar
• Inspección y análisis de DNS
• Identificación Host
• Scáners de Red • Proxys
• Detección Sistema Operativo (OS Fingerprinting) • Herramientas Web
• Herramientas OSINT • Herramientas GPU
• Análisis Samba • Herramientas Off-line
• Análisis SNMP • Herramientas Online
• Análisis SSL • Ataques Bluetooth
• Análisis de Tráfico • Herramientas Wireless – Wifi
• Análisis de VOIP • Sniffers de Red
• Análisis VPN • Herramientas VoIP
• Análisis Vulnerabilidades • Sniffers Web
• Análisis Base de Datos (SQL) • Backdoors
• Herramientas Fuzzing (Fuerza Bruta) • Herramientas de Tunneling
• Identificación de CMS • Debuggers (Decompiladores) y Reversing
• Herramientas Stress de Red (Web, Wlan) • Herramientas Análisis Forense
• Herramientas Android

2
 Lynis es una herramienta de auditoría de
seguridad de código abierto. Utilizado por los
administradores de sistemas, profesionales de
seguridad, y los auditores, para evaluar las
defensas de seguridad de sus sistemas basados
en Unix/Linux . Se ejecuta en el propio host, de
forma que realice análisis de seguridad más
amplios que los escáneres de vulnerabilidad.

Lynis lleva a cabo cientos de pruebas individuales, para

determinar el estado de seguridad del sistema. El análisis de
seguridad en sí consiste en realizar una serie de pasos, desde la
• Determinar sistema operativo inicialización del programa, hasta la visualización del informe.
• Búsqueda de herramientas y utilidades disponibles
• Buscar actualización Lynis
• Ejecutar pruebas de complementos habilitados
• Pruebas de seguridad dirigidos por categoría
• Estado del informe de análisis de seguridad
• Durante la exploración, los detalles técnicos de la exploración
se almacenan en un archivo de registro. Al mismo tiempo
(advertencias, sugerencias, la recopilación de datos), se
almacenan en un archivo de informe.
 GoLismero, el "Cuchillo Web" es un marco de software
gratuito para las pruebas de seguridad actualmente orientado
a la seguridad web, pero puede expandirse fácilmente a otros
tipos de análisis. Puede ejecutar sus propias pruebas de
seguridad y administrar una gran cantidad de herramientas de
seguridad bien conocidas (OpenVas, Wfuzz, SQLMap, DNS
recon, analizador de robot ...) controlar sus resultados,
retroalimentación al resto de herramientas y combinar todos
los resultados de forma completamente automática.
Para usar GoLismero en Kali Linux, solo abre una nueva terminal y ejecuta cualquiera de los
siguientes comandos de acuerdo con lo que quieras hacer:
• Indepencia de plataforma, Probado en Windows, Linux, * BSD y OS
X.
• No hay dependencias de bibliotecas nativas. Todo el framework ha
sido escrito en Python.
• Buen rendimiento en comparación con otros marcos escritos en
Python y otros lenguajes de scripting.
• El desarrollo de plugins es extremadamente simple.
• El marco también recopila y unifica los resultados de herramientas
bien conocidas: sqlmap, xsser, openvas, dnsrecon, theharvester ...
• Integración con estándares: CWE, CVE y OWASP.
GoLismero se ha escrito en Python puro y es muy fácil de usar, con muy
pocos comandos, o incluso con un solo comando, puedes iniciar
escaneos y reportar vulnerabilidades

Reporte en consola
Para escanear un sitio web y mostrar todas las posibles fallas de seguridad, simplemente ejecuta el
siguiente comando:
golismero scan <website-target>
El argumento del sitio web es el dominio del sitio web que desea analizar, por ejemplo:

golismero scan sdkcarlos.github.io

En la información generada por este comando, deberias obtener información relevante sobre el
estado de la seguridad de tu sitio web frente a diferentes defectos o errores como Heartbleed.

Reporte web
Puedes generar informes en diferentes formatos de archivo con GoLismero, solo necesita agregar el
argumento -o que creará el informe (cuyo formato se adivina a partir de la extensión del archivo):

golismero scan <website-target> -o - -o securityreport.html

Por ejemplo, para crear un informe en la carpeta de informes del sistema con el nombre
securityreport.html del sitio web sdkcarlos.github.io, simplemente podemos ejecutar el siguiente
comando:

golismero scan sdkcarlos.github.io -o - -o /root/reports/securityrep

4
¿Que es Yersinia?
Es la herramienta por excelencia utilizada para realizar auditorías de
seguridad a nivel de capa de enlace de datos (Layer 2). Esta
herramienta nos permite realizar una serie de ataques a los protocolos
más utilizados de esta capa para tomar las medidas necesarias de
mitigación. Yersinia es ampliamente conocida y utilizada, viene
instalada de manera predeterminada en la distribución de auditorías
de seguridad más conocidas como Kali Linux.
Con esta nueva herramienta Pyersinia también podremos hacer una
gran cantidad de ataques de red como ARP Spoofing, denegación de
servicio al servidor DHCP, denegación de servicio al protocolo
Spanning-Tree Protocol e incluso a protocolos propietarios de Cisco ¿Instalación y ejecución de Pyersinia?
como VLAN Trunking Protocol, Cisco Discovery Protocol y Inter- La instalación de Pyersinia es realmente fácil ya que tan solo
Switch Link Protocol (ISL). tendremos que ejecutar lo siguiente en un terminal de Linux:

$ python -m pip install Pyersinia

Para arrancar el programa únicamente debemos ejecutar el
siguiente comando:

python Pyersinia.py -h
Además Pyersinia nos permite configurar un modo depuración
para ver todo lo que la herramienta está realizando contra la
red local, de esta forma podremos detectar cualquier tipo de
problema. Pyersinia tiene tres niveles de modos de depuración
que se activan con «-v» para el primer nivel, «-vv» para el
segundo nivel y «-vvv» para el tercer y último nivel.
¿Que es Metasploitable? Para poder utilizar estas máquinas virtuales necesitamos un sistema operativo compatible con las dependencias, que vamos

“
Es una máquina virtual a ver a continuación, además de tener un procesador compatible con las funciones de virtualización (VT-x o AMD-V), 4.5 GB
preconfigurada que cuenta de memoria RAM y 65 GB de espacio en el disco duro.
con una serie de
configuraciones y Además, vamos a necesitar instalar en nuestro ordenador las herramientas Packer, Vagrant, Vagrant Reload Plugin y un
vulnerabilidades pensadas sistema de virtualización, ya sea VMWare o VirtualBox. Podemos compilar nosotros mismos la imagen cuando vayamos a
utilizarla, o podemos descargar las dos versiones ya compiladas de Metasploitable siguiendo las instrucciones que nos
para permitirnos depurar
aparecen en los siguientes repositorios:
nuestras técnicas de hacking
utilizando exploits como, por Metasploitable3 basada en Windows Server 2008
ejemplo, metasploit. Metasploitable3 basada en Ubuntu 14.04
Existen 3 versiones de Por ejemplo, para montar nuestro Metasploitable3 basado en Ubuntu 14.04 simplemente tendremos que ejecutar el siguiente
Metasploitable. La primera de box en Vagrant:
ellas data de hace 7 años, la Vagrant.configure("2") do |config|
segunda de hace 6 años y config.vm.box = "rapid7/metasploitable3-ub1404"
Metasploitable3, la versión
más reciente de esta máquina
config.vm.box_version = "0.1.12-weekly"
virtual vulnerable, de hace un end
par de años, siendo la opción
recomendable al ser la más
actualizada y útil para probar
nuestras habilidades hoy en
día. A diferencia de las
versiones anteriores (que eran
snapshots de las máquinas
virtuales), esta nueva máquina
depende de Vagrant y Packer
para poder compilar
fácilmente la imagen en el
sistema, ser mucho más
dinámica y permitir a la
comunidad participar
fácilmente. 6
Bibliografía
creadpag. (mayo de 2018). creadpag. Obtenido de https://www.creadpag.com/2018/05/usando-la-
herramienta-de-auditoria-de.html

Luz, S. D. (1 de Diciembre de 2015). https://www.redeszone.ne. Obtenido de

https://www.redeszone.net/2015/12/01/pyersinia-el-framework-basado-en-yersinia-pero-implementada-en-
python/

ourcodeworld. (14 de marzo de 2017). ourcodeworld. Obtenido de

https://ourcodeworld.co/articulos/leer/412/como-buscar-vulnerabilidades-de-seguridad-en-un-sitio-web-con-
golismero-en-kali-linux

Velasco, R. (24 de Febrero de 2019). redeszone.net/. Obtenido de https://www.redeszone.net/