Introducción de Open-AudIT

Owned by Aide Ortiz (Deactivated)
Jan 24, 2019
4 min read

Cómo usar Open-AudIT Discovery en una subred

Visión general

El descubrimiento escaneará las subredes de la red y auditará las computadoras con Windows y Linux, así como los dispositivos de red con escaneo SNMP. El descubrimiento se ejecuta completamente desde la interfaz web, independientemente del servidor Open-AudIT que se ejecuta en Linux o Windows.

Cómo

Para utilizar Discovery necesitamos credenciales de acceso en los dispositivos de destino. G O a  Menú -> Discover -> Credenciales -> Crear credenciales y crear credenciales para todos los tipos de dispositivos que posee. Pueden ser para Windows, SSH (Linux / OSX / etc), SNMP, etc.

Una vez que se hayan completado, puede ir a Menú -> Descubrir -> Descubrimientos -> Crear descubrimientos.

Si ha configurado la "Dirección de red local" en la configuración (Menú -> Admin -> Comunidad -> Configuración de descubrimiento), la Dirección de red se completará previamente. Esta debe ser la URL de su servidor de auditoría abierta. Puede usar HTTPS si lo prefiere (y ha instalado un certificado SSL).

Agregue la dirección IP de la computadora de destino.

Haga clic en el botón "Enviar" y será dirigido a la página de la lista de Descubrimiento. Haga clic en el botón Ejecutar y se iniciará la Detección y se le dirigirá a la página de detalles de la Detección. Puede actualizar esta página para ver el resultado del registro de la auditoría que se está realizando.

Una vez que se haya obtenido la lista inicial de dispositivos de destino, debería ver los detalles de cada objetivo a medida que se escanea y se ingresa en Open-AudIT.

NOTA  : si se descubre una máquina con Windows o Linux (a diferencia de la auditoría con un script) y no se encuentra actualmente en la base de datos, es probable que primero vea un conjunto muy limitado de información. Esto será solo el Nmap y tal vez los datos SNMP. Después de que se haya ejecutado y procesado el script de auditoría real, debería ver los detalles completos sobre el dispositivo.

Puede proporcionar rangos de subred en cualquier  formato que Nmap acepte  (sin incluir las opciones). Como se indicó anteriormente, si proporciona un rango que incluye el carácter /, se creará un elemento de red si no existe ninguno.

Como funciona

A continuación se muestra un simple diagrama BPMN para ayudar a ilustrar el proceso básico (haga clic para obtener una imagen más grande).

Formulario de descubrimiento y guión de Nmap

Cuando ejecuta el descubrimiento, el servidor Open-AudIT inicia una secuencia de comandos y devuelve el control a la interfaz web, por lo que no hay que esperar a que se completen las secuencias de comandos antes de que la interfaz web vuelva a estar disponible. La secuencia de comandos inicial utiliza Nmap para realizar un primer ping de exploración en todo el rango y almacena las direcciones IP que responden. Luego, se escanea cada dirección IP que responde para determinar la información básica y si los puertos para WMI, SSH y SNMP están activos. Los datos individuales por dirección iIP se envían al servidor Open-AudIT.

Escaneo SNMP

El servidor Open-AudIT procesa los datos y, si SNMP está abierto, intenta escanear el dispositivo. El escaneo SNMP intentará conectarse al dispositivo usando credenciales almacenadas en el siguiente orden: credenciales específicas del dispositivo (que deben existir en la base de datos), credenciales almacenadas. Si cualquiera de estos trabajos, se almacenan en el dispositivo individual para posteriores ejecuciones de descubrimiento.

Una vez que se ha realizado (o no) la exploración SNMP, los datos sobre el dispositivo se utilizan para intentar determinar si el dispositivo ya existe dentro de Open-AudIT. Si es así se actualiza, si no se inserta un nuevo dispositivo. Se hace una nota de la identificación del sistema interno para la siguiente sección.

Auditoria de Windows

Si WMI está abierto en el dispositivo de destino y el servidor Open-AudIT ejecuta Windows, se intenta auditar directamente el dispositivo utilizando credenciales. La identificación del dispositivo de arriba también se pasa al script de auditoría. Cuando se completa la auditoría, se envía al servidor Open-AudIT para su procesamiento. 

Si WMI está abierto en el dispositivo de destino y el servidor Open-AudIT ejecuta Linux, el script de auditoría se copia en el dispositivo de destino y se inicia un proceso remoto en el dispositivo de destino para que se audite de manera efectiva. La identificación del dispositivo de arriba también se pasa al script de auditoría. Cuando se completa la auditoría, se envía al servidor Open-AudIT para su procesamiento. 

Auditoria de linux

Si SSH está abierto en el dispositivo de destino y el dispositivo de destino ejecuta Linux, AIX, OSX, Solaris o ESXi, el script de auditoría se copia en el dispositivo de destino y se inicia un proceso para que el dispositivo se "audite". La identificación del dispositivo de arriba también se pasa al script de auditoría. Cuando se completa la auditoría, se envía al servidor Open-AudIT para su procesamiento. 

Procesamiento de auditoría

El procesamiento de la auditoría primero intenta determinar si los datos del resultado de la auditoría coinciden con un dispositivo existente. Si lo hace se almacena el id del sistema. Esto se compara con el id del sistema pasado. Si coinciden, el procesamiento continúa y actualiza este dispositivo existente. Si no coinciden, pero se ha determinado un sistema existente, se elimina la identificación del sistema que se aprobó. Esto se debe a que con los datos limitados disponibles de Nmap y posiblemente de SNMP es posible que no se pueda hacer una coincidencia, pero es posible que el dispositivo ya exista. En ese caso se inserta un nuevo dispositivo. Cuando luego comparamos el resultado con una auditoría completa con todos los detalles requeridos y encontramos un dispositivo que coincide, pero no fue el dispositivo que Nmap / SNMP pensó que era, eliminamos el dispositivo Nmap / SNMP.

Notas

NOTA  : cuando se audita un dispositivo Linux a través de SSH, algunas distribuciones de Linux no permiten que se pasen los comandos sudo sin un TTY (lo que estamos haciendo). Para auditar completamente una de estas distribuciones de Linux, es mejor proporcionar las credenciales del usuario root. Si no se proporciona una raíz y sudo sin un TTY no es posible, el script de auditoría se ejecutará pero no contendrá la cantidad de datos como lo haría de otra manera. Las auditorías posteriores que utilicen root (o se ejecuten localmente utilizando sudo) proporcionarán detalles adicionales sobre el sistema y generarán varios "cambios".

NOTA  : necesitará los puertos para WMI en el firewall de Windows abierto en cada computadora Windows de destino. Para los servidores Windows Core, asegúrese de permitir las conexiones de cortafuegos según  http://blogs.technet.com/b/brad_rutkowski/archive/2007/10/22/unable-to-remotely-manage-a-server-core- machine-mmc-wmi-device-manager.aspx