Diplomado en Auditoría de Ciberseguridad y Ciber-Riesgo

Actividad 3: Caso de estudio – Análisis de Vulnerabilidades.

Descriptivo:

Desarrolle las actividades descritas en el paso a paso a continuación y luego elabore un informe de
análisis de riesgo basado en las vulnerabilidades detectadas.

Requisitos:

 Kali Linux – link de descarga en la plataforma.

 Metasploitable2 – link de descarga en la plataforma.
 Tener instalado VMware.
 Esta guía.

Paso a paso.

Paso 1: Descargue la máquina virtual de Kali Linux basado en VMware.

Paso 2: Descargue la máquina virtual de metasploitable.

Nota: Debe disponer instalado Vmware para poder continuar con los siguientes pasos.
Paso 3: En la carpeta \Documentos\Virtual Machines copie los archivos anteriormente descargados y
extraiga el contenido.

Paso 4: Abra vmware.

Paso 5: Haga clic en la opción “Abrir una maquina virtual”

Paso 6: Diríjase a la ubicación en Documentos donde se extrajeron los archivos y seleccione la máquina
de Metasploitable 2 y haga clic en abrir.

Paso 7: Antes de iniciar la máquina, edite la misma y coloque la red en modo bridge.

Paso 8: Inicie la máquina virtual y espere que la misma inicie.

Paso 9: Luego de iniciada la máquina, accedemos a esta con el usuario msfadmin y clave msfadmin y
emitimos el comando ip a y guarde la ip asignada a la máquina virtual.

Paso 10: Hecho esto, dejamos la maquina iniciada y procedemos a exportar la máquina de kali Linux (los
mismos pasos del 5 al 8.

Nota: Es posible que observe un mensaje que le diga que debe actualizar la máquina virtual, antes de
cambiar la configuración de la misma, seleccione esta opción y posteriormente continúe.

Paso 11: Una vez iniciada la maquina acceda con el usuario kali y clave kali. Ya dentro, inicie la terminal.
Paso 12: Iniciada la terminal, accedemos al modo root con el comando sudo su.

Paso 13: Ejecutamos el comando apt update y al concluir este, apt –y upgrade.

Paso 14: Concluido esto, registrese en https://www.tenable.com/tenable-for-education para recibir un

codigo para usar Nesus.

Paso 15: En la máquina virtual de kali Linux, abra el Firefox y acceda a la dirección siguiente:
https://www.tenable.com/downloads/nessus.
Paso 16: Descargue el archivo con la siguiente selección.

Paso 17: Una vez descargado el archivo, volvemos a la terminal y cambiamos al directorio de descargas
con el comando cd Download y emitimos el comando ls para listar el contido.

Paso 18: Instalamos Nessus, para esto ejecutamos el comando apt install ./Nessus-10.7.0-ubuntu1804-
aarch64.deb.

Paso 19: Espere que concluya la instalación, si ve un mensaje como el siguiente, ignorelo.
Paso 20: Procedemos a registrar nuestra instalación de Nessus con el comando siguiente ingresando al
final el serial provisto en el registro:

sudo /opt/nessus/sbin/nessuscli fetch --register xxx-xxx-xxxx

Paso 21: Luego, cree un usuario y contraseña con el comando sudo /opt/nessus/sbin/nessuscli adduser.

Paso 22: Inicie el nessus con el comando sudo systemctl start nessusd.

Nota: Si ejecuto todos los pasos como se describen hasta este punto, debería poder acceder a Nessus.
Paso 23: En el Firefox abra la dirección https://localhost:8834

Paso 24: Ingrese con el usuario y la contraseña que creo en el paso 21 y espere que se compilen todos
los addons. Nota: esto puede tardar un rato, no se desespere.

Paso 25: Pruebe que pueda alcanzar la ip de la máquina de metasploitable. Para esto haga ping desde la
terminal a la ip que usted guardo en el paso 9.
Paso 26: Ya puede desarrollar el apartado de actividades de esta actividad.

Actividad 1: Escaneo sin credenciales (Externo)

1. Diríjase a la parte de escaneo y cree una carpeta, llámela Pruebas externas.

2. Dentro de la carpeta cree un nuevo escaneo.
3. En las plantillas, selecciones, Esceno avanzado.
4. Nombre el esceno como Externo.
5. Asigne la ip de la maquina de metasploit y guarde.
6. Luego de esto ejecute el escaneo.

Guarde los resultados obtenidos con esta prueba al final.

Actividad 2: Escaneo con credenciales (Interno)

1. Diríjase a la parte de escaneo y cree una carpeta, llámela Pruebas Internas.

2. Dentro de la carpeta cree un nuevo escaneo.
3. En las plantillas, selecciones, Escaneo avanzado.
4. Nombre el escaneo como Interno.
5. Asigne la ip de la máquina de metasploit.
6. En el apartado de SSH, introduzca el usuario y contraseña de metasploit y guarde la plantilla
7. Luego de esto ejecute el escaneo.

Compare ambos resultados y seleccione las vulnerabilidades más críticas para redactar un análisis de
riesgo.

Debe cargar el análisis de riesgo en formato PDF.