OpeVAS (Open Vulnerability Assessment System) es un framework de diversos servicios y herramientas, las cuales proporcionan una poderosa y completa solución para la gestión de vulnerabilidades y el escaneo de vulnerabilidades.

La poderosa y completa solución OpenVAS está disponible como Software Libre y es mantenido de manera diaria. Esto debido a contribuyentes y auspiciadores dedicados. Una fuente importante para la sostenibilidad de OpenVAS proviene de un fuerte compromiso de las compañías utilizando OpenVAS en sus empresas.

A continuación se detalla el proceso de instalación de OpenVAS en Kali Linux 2.0.

Iniciar el proceso de instalación.

# openvas-setup

Se crean los certificados, se inicia una sincronización de la colección NVT (Network Vulnerability Tests).

NVD (National Vulnerability Database) es un repositorio del gobierno de los estados unidos de estándares de datos para la gestión de vulnerabilidades utilizando SCAP (Security Content Automation Protocol). Estos datos permiten la automatización para la gestión de vulnerabilidades, medición de seguridad, y cumplimiento. NVD no incluye bases de datos de listas de verificación, fallas de seguridad relacionadas a software, malas configuraciones, nombres de producto, y métricas de impacto.

OVAL (Open Vulnerability and Assessment Language) es internacional en su alcance y libre para uso público, OVAL es un esfuerzo de la comunidad en seguridad de la información para estandarizar como evaluar y reportar sobre el estado de un sistema de computadora. OVAL incluye un lenguaje para codificar detalles del sistema, y una variedad de repositorios de contenidos.

CPE (Common Platform Enumeration) proporciona un formato estándar para codificar nombres de productos y plataformas de TI. Un conjunto de procedimientos para comparar nombres, Un lenguaje para construir “sentencias a aplicabilidad” lo cual combina nombres CPE con simples operadores lógicos.

DFN CERT ofrece consultorías y servicios para mejorar la seguridad de Internet. Adicionalmente está implicada en diversos proyectos de investigación para desarrollar y evaluar nuevas tecnologías de seguridad.

Se generan las llaves privadas RSA, entre otras información.

Se define una contraseña para el usuario creado por defecto.

Iniciar el servicio de OpenVAS

# openvas-start

Abrir un navegador web como Iceweasel e ingresar a la URL indicada. Se presentará información sobre la no confiabilidad de la conexión. Hacer lic en “I Understand the Risk” o Yo entiendo el Riesgo.

Se apertura una nueva ventana donde se solicita confirmar excepción de seguridad, haciendo clic en el botón de nombre “Confirm Security Exception”.

Se presenta la interfaz para ingresar el usuario y contraseña, creados durante la instalación de OpenVAS. Luego hacer clic en el botón de nombre “Login”.

Ahora es factible empezar a utilizar OpenVAS.

OpenVAS incluye en su sitio web, manuales de usuario, videos y documentación de la API. Fuentes recomendadas para profundizar en la utilización y conocimiento sobre OpenVAS.

Fuentes:

http://www.openvas.org/
http://www.openvas.org/openvas-nvt-feed.html
https://nvd.nist.gov/
https://oval.mitre.org/
https://cpe.mitre.org/
https://www.dfn-cert.de/en.html