Introducción

El objetivo de este manual consiste en indicar los pasos para poder generar un descubrimiento en OAE utilizando la versión más reciente del módulo: 5.4.0.

El Discovery escaneará direcciones de red y auditará ordenadores (Windows, Linux, OSX, AIX, HP-UX, Solaris y ESXi), así como dispositivos de red de escaneo SNMP. Estos pasos y el Discovery se ejecutan íntegramente desde la interfaz web, independientemente de que el servidor Open-AudIT se ejecute en Linux o Windows.

Agregar credenciales

Es ideal agregar primero las credenciales de los equipos que se desean descubrir. Para esto, seleccionamos: Discover > Credentials > Create Credentials.

Open

A continuación, se muestra información acerca de los tipos de credenciales con los que el módulo puede funcionar:

• SNMP: para SNMP, Open-AudIT puede utilizar credenciales v1, v2 y v3. El dispositivo se consulta independientemente de que sea un router, un switch o un ordenador (Linux y Windows suelen ejecutar SNMP para herramientas de monitoreo).

• SSH: se puede utilizar autenticación por password y una key. Open-AudIT también puede utilizar un usuario habilitado para sudo en lugar de utilizar directamente root (aunque también puede utilizar root). Para obtener los mejores resultados, debe utilizarse el usuario root o un usuario habilitado para sudo. Los dispositivos Windows también pueden ejecutar ssh, sin embargo, si Open-AudIT lo detecta, detendrá las consultas SSH y, en su lugar, utilizará WMI (suponiendo que las credenciales de WMI funcionan).

• WMI: Por último, está WMI. En Windows, al igual que en Linux, se prefiere un usuario con acceso de nivel de administrador (consulte la siguiente Wiki abierta al público para encontrar más información al respecto: Target Client Configuration

Para este ejemplo agregaremos credenciales SNMPv2. Para agregar credenciales SSH o WMI, se siguen los mismos pasos.

Open

Si seleccionamos: Discover > Credentials > List Credentials, podremos ver la credencial creada.

Creación de discovery

Vamos a crear un discovery para una subnet ejemplo

Algunos ejemplos de atributos de subred válidos son: 192.168.1.1 (una única dirección IP), 192.168.1.0/24 (una subred), 192.168.1-3.1-20 (un rango de direcciones IP).

Para esto, seleccionamos: Discover > Discoveries > Create Discoveries.

Colocamos la información necesaria:

Si seleccionamos: Discover > Discoveries > List Discoveries, podremos ver el discovery creado. Vamos a editar algunas opciones del discovery, para esto damos clic en el botón con el ojo azul de la columna "Details".

Al acceder a las propiedades del Discovery, damos clic en el ojo verde de la columna "Details". Editamos la opción "Require an Open Port", seleccionamos "Yes" y guardamos dando clic en el recuadro verde con el ícono check.

Ahora, vamos a la columna "Scan Options" y editamos como sigue:

• Consider Open|Filtered Ports Open: Yes

• Consider Filtered Ports Open: Yes

• Custom TCP Ports: 22,135,62078

• Custom UDP Ports: 161

Con esta configuración, podemos realizar el Discovery.

Ejecución del discovery

Volvemos al menú: Discover > Discoveries > List Discoveries. En el Discovery creado, damos clic al botón verde de la columna "Execute". El Discovery iniciará, esperamos a que se complete.

Cuando se complete, se mostrará información de cuántas IPs han respondido al descubrimiento.

Damos clic al botón morado de la columna "Devices" para ver los dispositivos descubiertos.

Nota: para los dispositivos que no muestren información, deberá comprobarse la comunicación vía SNMP, SSH o WMI y agregar las credenciales correspondientes.

Anexo: Información sobre el proceso del Discovery

• Formulario Discovery y script Nmap: cuando ejecuta el Discovery, el servidor Open-AudIT inicia un script y devuelve el control a la interfaz web, por lo que no hay que esperar a que los scripts se completen para que la interfaz web vuelva a estar disponible. El script inicial utiliza Nmap para escanear primero mediante ping todo el rango y almacena las direcciones IP que responden. Luego cada dirección IP que responde es escaneada para determinar la información básica y si los puertos para WMI, SSH y SNMP están activos. Los datos individuales por dirección IP se envían al servidor Open-AudIT.

• Escaneo SNMP: el servidor Open-AudIT procesa los datos y, si SNMP está abierto, intenta escanear el dispositivo. La exploración SNMP intentará conectarse al dispositivo utilizando credenciales almacenadas en el siguiente orden: credenciales específicas del dispositivo (que deben existir en la base de datos), credenciales almacenadas. Si alguna de estas funciona, se almacenan contra el dispositivo individual para posteriores ejecuciones de Discovery. Una vez realizada (o no) la exploración SNMP, los datos sobre el dispositivo se utilizan para intentar determinar si el dispositivo ya existe en Open-AudIT. Si es así, se actualiza; si no, se inserta un nuevo dispositivo. Se toma nota del identificador interno del sistema para la siguiente sección.

• Auditoría de Windows: si WMI está abierto en el dispositivo de destino y el servidor Open-AudIT ejecuta Windows, se intenta auditar directamente el dispositivo utilizando credenciales. El identificador de dispositivo anterior también se pasa a la secuencia de comandos de auditoría. Una vez finalizada la auditoría, se envía al servidor Open-AudIT para su procesamiento. Si WMI está abierto en el dispositivo de destino y el servidor Open-AudIT ejecuta Linux, el script de auditoría se copia en el dispositivo de destino y se inicia un proceso remoto en el dispositivo de destino para que se audite a sí mismo. El identificador de dispositivo anterior también se pasa al script de auditoría. Una vez finalizada la auditoría, se envía al servidor Open-AudIT para su procesamiento.

• Auditoría Linux: Si SSH está abierto en el dispositivo de destino y éste ejecuta Linux, AIX, OSX, Solaris o ESXi, la secuencia de comandos de auditoría se copia en el dispositivo de destino y se inicia un proceso para que el dispositivo «se audite a sí mismo». El identificador del dispositivo también se pasa al script de auditoría. Una vez finalizada la auditoría, se envía al servidor Open-AudIT para su procesamiento.

• Procesamiento de la auditoría: El procesamiento de la auditoría primero intenta determinar si los datos del resultado de la auditoría coinciden con un dispositivo existente. En caso afirmativo, se almacena el identificador del sistema. Éste se compara con el identificador del sistema transmitido. Si coinciden, el procesamiento continúa y actualiza el dispositivo existente. Si no coinciden, pero se ha determinado un sistema existente, se elimina el identificador del sistema pasado. Esto se debe a que con los datos limitados disponibles de Nmap y posiblemente SNMP puede que no se pueda hacer una coincidencia, pero el dispositivo puede que ya exista. En ese caso se inserta un nuevo dispositivo. Cuando más tarde comparamos el resultado contra una auditoría completa con todos los detalles requeridos y encontramos un dispositivo que coincide pero que no era el dispositivo que Nmap/SNMP pensaba que era, eliminamos el dispositivo Nmap/SNMP.