Las 4 mejores herramientas gratuitas para pentesting de servidores Linux

La implementación de una auditoría automatizada en sistemas informáticos forma parte de los conocimientos esenciales para cualquier especialista en ciberseguridad. En esta ocasión, los expertos en pentesting del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán cuatro herramientas para identificar vulnerabilidades en sistemas Linux de forma automática.

La comunidad de la ciberseguridad considera a Linux como un sistema operativo muy seguro, aunque las características de seguridad pueden variar considerablemente entre las diversas distribuciones disponibles. Para mitigar el impacto negativo de las posibles fallas, los expertos en pentesting deben realizar auditorías de seguridad periódicas antes de que los problemas se acumulen y se agraven.

Las utilidades mostradas a continuación ayudarán a los investigadores durante las fases de análisis y pentesting, automatizando algunos pasos de la investigación.

LYNIS

Esta es una herramienta de auditoría para sistemas similares a UNIX (Linux, OS X, Open BSD, entre otros). Lynis ayuda a los pentesters a verificar los medios de protección disponibles en el sistema, además de aportar consejos para la adecuada configuración de seguridad gracias al análisis general del sistema, paquetes de software vulnerables y potenciales problemas de configuración.   

Lynis cuenta con soporte para las siguientes distribuciones de Linux:

  • CentOS
  • Debian
  • Fedora
  • OEL
  • openSUSE
  • RHEL
  • Ubuntu

Entre sus principales características, los expertos en pentesting destacan las siguientes:

  • Auditoría de seguridad automatizada
  • Pruebas de cumplimiento con ISO27001, PCI-DSS, HIPAA
  • Análisis de vulnerabilidades
  • Configuración y administración de activos
  • Gestión de parches y actualizaciones
  • Pentesting
  • Detección de intrusiones

Instalación y lanzamiento

La herramienta debe ser instalada a través de YUM:

$ yum install lynis

En sistemas similares a Debian:

$ apt-get install lynis

Para openSUSE:

$ zypper install lynis

Para la instalación a través de Git:

$ cd /usr/local
$ git clone https://github.com/CISOfy/lynis
$ cd lynis

Los expertos en pentesting mencionan que también es posible descargar y descomprimir directamente el archivo con la utilidad en un directorio creado previamente. Lynis funciona sin configuración preliminar; puede iniciar un escaneo básico usando el siguiente comando:

$ lynis audit system

Para un inicio rápido, pruebe las siguientes funciones:

  • checkall, -c: Comenzar a escanear
  • check-update: Búsqueda de actualizaciones
  • cronjob: Iniciar Lynis a través del programador
  • quick, -Q: No esperar entradas del usuario, excepto por errores
  • version, -V: Mostrar la versión actual de Lynis

LUNAR

Lockdown Unix Auditing and Reporting (LUNAR) es un script empleado por los expertos en pentesting para la generación de un informe de auditoría de seguridad del host de UNIX. Este script está basado en CIS y otros marcos. Las funciones esenciales de LUNAR tienen que ver con la evaluación de seguridad en un sistema, autoevaluación y mejoras de seguridad.

LUNAR está disponible para las siguientes distribuciones de Linux:

  • RHEL 5.6.7
  • Centos 5,6,7
  • Scientific Linux
  • SLES 10,11,12
  • Debian
  • Ubuntu
  • Amazon Linux
  • Solaris (6,7,8,9,10 and 11)
  • Mac OS X

La utilidad también es compatible con la plataforma en la nube de Amazon (AWS) y los contenedores Docker.

LUNAR es un script de línea de comandos sh, por lo que no se requieren complicados pasos de instalación. Para empezar, descargue el archivo de GitHub, descomprímalo en un directorio previamente seleccionado y ejecútelo desde la línea de comandos.

$ ./lunar.sh –a

Los expertos en pentesting recomiendan ejecutar la utilidad en modo auditoría (opción -a).

A continuación se muestra una lista con los principales parámetros de la utilidad:

  • -a: Iniciar en modo auditoría sin realizar cambios en el sistema
  • -v: Modo detallado (usado con -a y –A)
  • -d: Ver los cambios propuestos en el sistema antes de agregarlos a las configuraciones
  • -s: Comenzar el modo selectivo
  • -l:  Iniciar en modo de bloqueo (realizar cambios)
  • -S: Enlistar todas las funciones de UNIX disponibles para el modo personalizado
  • -W: Enlistar de todas las funciones de AWS disponibles para el modo personalizado
  • -D: Enlistar todas las funciones de Docker disponibles para el modo personalizado
  • -Z: Mostrar los cambios realizados en el sistema
  • -b: Enlistar archivos de respaldo
  • -n: Mostrar los segmentos de código disponibles
  • -u: Restaurar desde la copia de seguridad

LSAT

La Herramienta de Auditoría de Seguridad de Linux (LSAT) es un desarrollo modular, por lo que se pueden agregar rápidamente nuevas funciones. LSAT verifica los registros inetd, busca RPM innecesarios y verifica las versiones del kernel, mencionan los expertos en pentesting.

LSAT está disponible para las siguientes distribuciones:

  • Gentoo
  • RedHat
  • Debian
  • Mandrake
  • Linux Mint 18
  • CentOS 7
  • Sparc: Sun OS (2.x)
  • Redhat sparc, Mandrake Sparc
  • Apple OS X

Los expertos mencionan que la herramienta también debería funcionar adecuadamente en Slackware y otras distribuciones menos populares.

Instalación y lanzamiento

LSAT se instala usando la construcción desde la fuente y tiene una configuración automática preconfigurada: autoconf.

$ ./configure
$ make

Para instalar en el sistema en /usr/local/bin:

$ make install

Opciones básicas de la herramienta:

  • -d diff: md5 actual y antiguo, salida a lsatmd5.diff
  • -m: Prueba para una distribución específica
    • redhat
    • debian
    • mandrake
    • solaris
    • gentoo
    • macosx
  • -a: Mostrar la página de ayuda
  • -o: Es el nombre del archivo de salida, por defecto lsat.out
  • -r: Comprobar la integridad de rpm, etc.
  • -s: Modo silencioso
  • -v: Salida detallada
  • -w: Archivo de salida en formato HTML
  • -x: Excluir módulos de la lista de archivos de las comprobaciones

LBSA

Este es un escenario básico de auditoría de seguridad de Linux para la aplicación continua de políticas (CPE). Acorde a los expertos en pentesting, se puede ejecutar desde la línea de comandos como usuario root o de forma regular mediante el programador.

Este script se emplea específicamente para informar al administrador de posibles configuraciones que se pueden cambiar para mantener el sistema seguro. LBSA  se enfoca en la búsqueda de:

  • Vulnerabilidades comunes en la configuración de la cuenta de inicio de sesión de Linux
  • Vulnerabilidades comunes en la configuración SSH
  • Vulnerabilidades comunes en sistemas de archivos de memoria temporales y compartidos (/tmp, /var/tmp, /dev/shm, etc.)
  • Recomendaciones para los permisos del sistema de archivos
  • Permisos de archivos de configuración de Heartbeat y DRBD

La versión completa del script se puede encontrar en la página oficial, pero antes de emplear la herramienta debe recordar que, en algunos casos, los cambios realizados por LBSA pueden provocar una disminución en el rendimiento de su sistema. Este script debería funcionar de inmediato y solo recomendar algunos cambios pequeños pero importantes en el sistema que deberían ser fáciles de realizar.

Para consultar más material como este, no dude en visitar las plataformas oficiales del Instituto Internacional de Seguridad Cibernética (IICS).