Tema 1 SAD Vicente Snchez Patn I.E.S Gregorio Prieto
Anlisis de las principales
vulnerabilidades de un SI Las herramientas de anlisis de vulnerabilidades permiten identificar muchos de los principales agujeros de seguridad que ponen en riesgo los sistemas de una red, y generalmente con tan slo unos cuantos movimientos de ratn. Identificar las debilidades y saber cmo corregirlas es un paso fundamental para estar seguro. Sin embargo, pese a estar presentes en el mercado desde hace casi una dcada, estas herramientas todava se encuentran muy lejos de la madurez. Muchos de estos productos an reportan falsos positivos y, cuando aciertan, no siempre informan con la precisin necesaria.
Anlisis de las principales
vulnerabilidades de un SI En general, las herramientas de anlisis de vulnerabilidades obedecen a dos tipos diferentes: las basadas en host y las basadas en la red. stas ltimas se centran en la identificacin de cuestiones relacionadas con los servicios que, como HTTP, FTP y Simple Mail Transfer Protocol, corren en los sistemas de la red. No ofrecen una informacin tan detallada ni el mismo grado de control sobre los sistemas que las herramientas basadas en host, pero a cambio aportan datos ms precisos sobre la red y los servicios. Es ms, no obligan a desplegar agentes en todas las mquinas como los basados en host; simplemente hay que definir la red a escanear, y listo. Los principales productos de este segmento son Secure Scanner de Cisco, Internet Scanner de ISS y Distributed Cybercop Scanner de Network Associates. Y no hay que olvidar el escner Retina de eEye Digital Security, que est ganando terreno rpidamente gracias a sus buenas prestaciones. De hecho, fue el que ms puntuacin obtuvo en la comparativa realizada por IDG.
Anlisis de las principales
vulnerabilidades de un SI Los escneres basados en host identifican vulnerabilidades a nivel de sistema, como permisos de archivos, propiedades de cuenta de usuario y establecimiento de registros, y usualmente requieren la instalacin de un agente en los sistemas a analizar. Estos agentes reportan a una base de datos centralizada, desde la que se pueden generar informes y realizar tareas de administracin. Como los agentes se instalan en todos y cada uno de los sistemas, este tipo de herramientas aportan a los administradores un mayor control sobre dichos sistemas que las basadas en red. Adems, se pueden combinar con polticas corporativas. Los principales productos dentro de esta categora son Enterprise Security Manager de Symantec, bv-Control de BindView y System Scanner de ISS.
Anlisis de las principales
vulnerabilidades de un SI Como sucede en cualquier segmento, el mercado de anlisis de vulnerabilidades se est viendo incrementado con nuevas soluciones y, lo que es mejor, nuevas prestaciones. Los usuarios demandan hoy, entre otras mejoras, mayor sencillez de uso e informes ms tiles. En consecuencia, los fabricantes se estn viendo obligados a crear interfaces de usuario ms intuitivas y a agilizar y simplificar las actualizaciones de vulnerabilidades. Hay una tendencia creciente hacia el uso de fixes (arreglos, reparaciones) automatizados para identificar vulnerabilidades, muy tiles en sistemas de produccin. Por ejemplo, si un escner identifica una clave de registro con permisos incorrectos, el problema quedar resuelto inmediatamente con un solo clic de ratn. Antes, el administrador tena que acceder al sistema, abrir el editor del registro, encontrar la clave del registro y cambiar los permisos.
Anlisis de las principales
vulnerabilidades de un SI La metodologa para la deteccin de vulnerabilidades en redes de datos consta de tres fases soportadas por herramientas de software, mediante las cuales se busca obtener las vulnerabilidades en los equipos de red y servidores en las redes de datos objeto de estudio. Esta metodologa se diferencia de otras en la medida en que se soporta cada etapa en herramientas software. Por lo que en cada fase se puntualizan las acciones que se deben realizar y cmo se deben llevar a cabo a travs de las herramientas apropiadas.
Anlisis de las principales
vulnerabilidades de un SI La figura anterior muestra cada una de las fases que deben llevarse a cabo. La primera fase consiste en obtener tanta informacin como sea posible de la red objetivo, para esto se realizan implementan tcnicas que se basan en diferentes tipos de consultas a servidores DNS y tcnicas que se basan en el anlisis de los mensajes de enrutamiento. Se resalta que esta fase no busca obtener vulnerabilidad alguna, lo que se pretende con ella es obtener una lista lo ms amplia posible sobre los equipos con presencia en internet de la red objetivo. Dicha lista de equipos de red es utilizada en la segunda fase llamada escaneo de puertos y enumeracin de servicios, en esta fase se evalan los equipos obtenidos para determinar los puertos y servicios que estn activos en cada uno de ellos. Dependiendo del tipo de puerto y servicio que este activo en cada equipo se puede inferir el rol que este juega dentro de la organizacin.
Anlisis de las principales
vulnerabilidades de un SI Nuevamente se anota que en esta fase no se pretende encontrar vulnerabilidad alguna, sino determinar los equipos crticos de la red objetivo a los cuales se les aplicar el escaneo de vulnerabilidades, que constituye la fase final de esta metodologa. Una vez obtenida la lista de los equipos de la red objetivo con presencia en internet y habiendo determinado cules de ellos juegan un rol crtico para la red, se procede con la fase final de la metodologa propuesta. La cual evaluar a los equipos crticos en busca de vulnerabilidades. Es en esta ltima fase en la que se realiza la evaluacin de todos los servicios y puertos activos de cada uno de los equipos encontrados como crticos para la red objetivo.
Anlisis de las principales
vulnerabilidades de un SI Fase 1: Reconocimiento (recoleccin de informacin) Mediante la ejecucin de esta fase se logr encontrar lo siguiente: 1.El nombre de dominio utilizado por la Universidad de Cartagena en internet. 2.El servidor de alojamiento de la Universidad y su direccin IP. 3.Dominios de nivel superior asociados con la Universidad. 4.Once subdominios de la forma X.unicartagena.edu.co. 5.Transferencia de zona contra los servidores de dominio de la Universidad, a travs de la cual se detectaron 26 nuevos subdominios, de los cuales algunos se tomaron para las fases siguientes. 6.Detectar los segmentos de red de las diferentes sedes de la Universidad.
Anlisis de las principales
vulnerabilidades de un SI Fase 2: Escaneo de puertos y enumeracin de servicios A travs de esta fase se encontr lo siguiente: 1.Se escanearon cada uno de los segmentos de red de la Universidad. 2.Se tabularon aquellos que presentaron servicios crticos como posibles candidatos de escaneo (29 servidores). 3.Se determinaron 18 como servidores crticos para posterior escaneo de vulnerabilidades. Fase 3: Escaneo de vulnerabilidades