Transcript Analisis de las principales vulnerabilidades

ANALISIS DE LAS
VULNERABILIDADES DE UN S.I
Tema 1 SAD
Vicente Sánchez Patón
I.E.S Gregorio Prieto
Análisis de las principales
vulnerabilidades de un SI
Las herramientas de análisis de vulnerabilidades permiten identificar
muchos de los principales agujeros de seguridad que ponen en
riesgo los sistemas de una red, y generalmente con tan sólo unos
cuantos movimientos de ratón. Identificar las debilidades y saber
cómo corregirlas es un paso fundamental para estar seguro.
Sin embargo, pese a estar presentes en el mercado desde hace casi
una década, estas herramientas todavía se encuentran muy lejos de
la madurez. Muchos de estos productos aún reportan “falsos
positivos” y, cuando aciertan, no siempre informan con la precisión
necesaria.
Análisis de las principales
vulnerabilidades de un SI
En general, las herramientas de análisis de vulnerabilidades
obedecen a dos tipos diferentes: las basadas en host y las basadas
en la red. Éstas últimas se centran en la identificación de cuestiones
relacionadas con los servicios que, como HTTP, FTP y Simple Mail
Transfer Protocol, corren en los sistemas de la red. No ofrecen una
información tan detallada ni el mismo grado de control sobre los
sistemas que las herramientas basadas en host, pero a cambio
aportan datos más precisos sobre la red y los servicios. Es más, no
obligan a desplegar agentes en todas las máquinas como los
basados en host; simplemente hay que definir la red a escanear, y
listo.
Los principales productos de este segmento son Secure Scanner de
Cisco, Internet Scanner de ISS y Distributed Cybercop Scanner de
Network Associates.Y no hay que olvidar el escáner Retina de eEye
Digital Security, que está ganando terreno rápidamente gracias a sus
buenas prestaciones. De hecho, fue el que más puntuación obtuvo
en la comparativa realizada por IDG.
Análisis de las principales
vulnerabilidades de un SI
Los escáneres basados en host identifican vulnerabilidades a nivel de
sistema, como permisos de archivos, propiedades de cuenta de
usuario y establecimiento de registros, y usualmente requieren la
instalación de un agente en los sistemas a analizar. Estos agentes
reportan a una base de datos centralizada, desde la que se pueden
generar informes y realizar tareas de administración. Como los
agentes se instalan en todos y cada uno de los sistemas, este tipo
de herramientas aportan a los administradores un mayor control
sobre dichos sistemas que las basadas en red.
Además, se pueden combinar con políticas corporativas. Los
principales productos dentro de esta categoría son Enterprise
Security Manager de Symantec, bv-Control de BindView y System
Scanner de ISS.
Análisis de las principales
vulnerabilidades de un SI
Como sucede en cualquier segmento, el mercado de análisis
de vulnerabilidades se está viendo incrementado con nuevas
soluciones y, lo que es mejor, nuevas prestaciones. Los
usuarios demandan hoy, entre otras mejoras, mayor sencillez
de uso e informes más útiles. En consecuencia, los fabricantes
se están viendo obligados a crear interfaces de usuario más
intuitivas y a agilizar y simplificar las actualizaciones de
vulnerabilidades.
Hay una tendencia creciente hacia el uso de “fixes” (arreglos,
reparaciones) automatizados para identificar vulnerabilidades,
muy útiles en sistemas de producción. Por ejemplo, si un
escáner identifica una clave de registro con permisos
incorrectos, el problema quedará resuelto inmediatamente
con un solo clic de ratón. Antes, el administrador tenía que
acceder al sistema, abrir el editor del registro, encontrar la
clave del registro y cambiar los permisos.
Análisis de las principales
vulnerabilidades de un SI
La metodología para la detección de vulnerabilidades en redes de
datos consta de tres fases soportadas por herramientas de
software, mediante las cuales se busca obtener las vulnerabilidades
en los equipos de red y servidores en las redes de datos objeto de
estudio. Esta metodología se diferencia de otras en la medida en
que se soporta cada etapa en herramientas software. Por lo que en
cada fase se puntualizan las acciones que se deben realizar y cómo
se deben llevar a cabo a través de las herramientas apropiadas.
Análisis de las principales
vulnerabilidades de un SI
La figura anterior muestra cada una de las fases que deben llevarse
a cabo. La primera fase consiste en obtener tanta información
como sea posible de la red objetivo, para esto se realizan
implementan técnicas que se basan en diferentes tipos de consultas
a servidores DNS y técnicas que se basan en el análisis de los
mensajes de enrutamiento. Se resalta que esta fase no busca
obtener vulnerabilidad alguna, lo que se pretende con ella es
obtener una lista lo más amplia posible sobre los equipos con
presencia en internet de la red objetivo. Dicha lista de equipos de
red es utilizada en la segunda fase llamada escaneo de puertos y
enumeración de servicios, en esta fase se evalúan los equipos
obtenidos para determinar los puertos y servicios que están
activos en cada uno de ellos. Dependiendo del tipo de puerto y
servicio que este activo en cada equipo se puede inferir el rol que
este juega dentro de la organización.
Análisis de las principales
vulnerabilidades de un SI
Nuevamente se anota que en esta fase no se pretende encontrar
vulnerabilidad alguna, sino determinar los equipos críticos de la red
objetivo a los cuales se les aplicará el escaneo de vulnerabilidades,
que constituye la fase final de esta metodología. Una vez obtenida la
lista de los equipos de la red objetivo con presencia en internet y
habiendo determinado cuáles de ellos juegan un rol crítico para la
red, se procede con la fase final de la metodología propuesta. La
cual evaluará a los equipos críticos en busca de vulnerabilidades. Es
en esta última fase en la que se realiza la evaluación de todos los
servicios y puertos activos de cada uno de los equipos
encontrados como críticos para la red objetivo.
Análisis de las principales
vulnerabilidades de un SI
Fase 1: Reconocimiento (recolección de información)
Mediante la ejecución de esta fase se logró encontrar lo
siguiente:
1. El nombre de dominio utilizado por la Universidad de
Cartagena en internet.
2. El servidor de alojamiento de la Universidad y su dirección IP.
3. Dominios de nivel superior asociados con la Universidad.
4. Once subdominios de la forma X.unicartagena.edu.co.
5.Transferencia de zona contra los servidores de dominio de la
Universidad, a través de la cual se detectaron 26 nuevos
subdominios, de los cuales algunos se tomaron para las fases
siguientes.
6. Detectar los segmentos de red de las diferentes sedes de la
Universidad.
Análisis de las principales
vulnerabilidades de un SI
Fase 2: Escaneo de puertos y enumeración
de servicios A través de esta fase se
encontró lo siguiente:
1. Se escanearon cada uno de los segmentos
de red de la Universidad.
2. Se tabularon aquellos que presentaron
servicios críticos como posibles candidatos
de escaneo (29 servidores).
3. Se determinaron 18 como servidores
críticos para posterior escaneo de
vulnerabilidades. Fase 3: Escaneo de
vulnerabilidades