BENEMÉRITA UNIVERSIDAD AUTÓNOMA DE PUEBLA

Transcripción

1 BENEMÉRITA UNIVERSIDAD AUTÓNOMA DE PUEBLA FACULTAD DE CIENCIAS DE LA COMPUTACIÓN COMPARATIVAS DE SCANNERS DE RED, A TRAVÉS DE SU APLICACIÓN EN PRUEBAS DE SEGURIDAD INFORMÁTICA TESIS QUE PARA OBTENER EL TITULO DE LICENCIADO EN CIENCIAS DE LA COMPUTACIÓN PRESENTA PATRICIA DÍAZ TIRADO ASESOR M.C. MA. DEL CARMEN SANTIAGO DÍAZ COASESOR DR. APOLONIO GALLEGOS DE LA CRUZ PUEBLA PUE. 2003

2 CONTENIDO INTRODUCCION 1 CAP. 1 UNA VISIÓN GENERAL DE LA SEGURIDAD INFORMATICA La seguridad Informática en el mundo moderno El Internet y la seguridad informática La seguridad informática en México Objetivos del Trabajo 8 CAP. 2 EL CAMPO ACTUAL DE LA SEGURIDAD Documentos relacionados con la seguridad El Manual OSSTMM Dos criterios de evaluación: Orange Book y el Common Criteria El documento Top CAP. 3 SCANNERS Definición de la herramienta scanner Scanners Gratuitos NMAP SARA NESSUS Scanners Comerciales ISS SAINT Otras herramientas para la seguridad en redes 33 CAP. 4 REALIZACION DE PRUEBAS DE SEGURIDAD Primera Etapa Descripción del Equipo Descripción del armado físico y lógico de la red Aplicación de las pruebas Scanners utilizados en las pruebas Resultados de las pruebas Segunda Etapa Descripción del Equipo Descripción lógica y física de la red Aplicación de las pruebas Scanners utilizados en las pruebas Resultados de las pruebas 58 CAP 5. TABLAS COMPARATIVAS Comparativas de Scanners de Puertos Comparativas de Scanners de Vulnerabilidades 79

3 CAP 6. CONCLUSIONES Y PERSPECTIVAS Análisis de resultados Conclusiones Perspectivas 88 A1. VULNERABILIDADES DEL SERVIDOR APACHE 89 BIBLIOGRAFIA 91

4 Lista de Figuras 2.1 Esquema general del Orange Book Aspecto del entorno de trabajo de Nessus Formato de un TCP-paquete 38 Lista de Graficas 1.1 Numero de Incidentes reportados al CERT Niveles de seguridad de la Máq Niveles de seguridad Máq Niveles de Seguridad de la Máq Lista de Tablas 1.1 Vulnerabilidades Encontradas Resultados del Estudio de Vulnerabilidades por Sector Secciones y Módulos del Manual OSSTMM Lista de vulnerabilidades del Top Lista de los puertos más comúnmente vulnerables Tipos de escaneo para el scanner NMAP Opciones generales para el scanner NMAP Lista de precios de SAINT Descripción de scanners de puertos Descripción de scanners de Vulnerabilidades Resultados de las pruebas (1era. etapa) con ESS Resultados de las pruebas (1era. etapa) con EXSCAN Resultados de las pruebas (1era. etapa) con NMAP Resultados de las pruebas (1era. etapa) con RACCESS Resultados de las pruebas (1era. etapa) con NESSUS Resultados de las pruebas (1era. etapa) con RVSCAN Resultados de las pruebas (1era. etapa) con SARA Resultados de las pruebas (1era. etapa) con VETESCAN Características de las maquinas que se tomaron como muestra Resultados de las pruebas (2da. etapa) con ESS Resultados de las pruebas (2da. etapa) con EXSCAN Resultados de las pruebas (2da. etapa) con NMAP-TCP Resultados de las pruebas (2da. etapa) con NMAP-UDP 61

5 4.16 Resultados de las pruebas (2da. etapa) con RACCESS Resultados de las pruebas (2da. etapa) con NESSUS Resultados de las pruebas (2da. etapa) con RVSCAN Resultados de las pruebas (2da. etapa) con SARA Resultados de las pruebas (2da. etapa) con VETESCAN Comparativas de scanners de puertos (primera etapa) Comparativas de scanners de puertos (segunda etapa) Comparativas de scanners de vulnerabilidades (primera etapa) Comparativas de scanners de vulnerabilidades (segunda etapa) 83

6 INTRODUCCION El incremento de los ataques a sistemas informáticos, consecuencia directa de vulnerabilidades, se puede apreciar y destacar en distintos estudios y estadísticas proporcionados por organizaciones como el CERT (Computer Emergency Response Team). En consecuencia y como apoyo en la prevención de estos ataques, han aparecido documentos específicos y herramientas con esta finalidad. Dentro de la gran gama de Documentos, se pueden destacar los siguientes: El manual OSSTMM (Open-Source Security Testing Methodology Manual) el cual proporciona una de las mejores guías para el desarrollo de pruebas de seguridad. El manual consta de 6 secciones de seguridad: Seguridad en Internet, Seguridad en la Información, Seguridad Física, Seguridad de las Comunicaciones, Radio de Seguridad e Ingeniería Social. Para determinar que tan seguros son los sistemas de cómputo, existen los llamados Criterios de Evaluación, por muchos años uno de los más reconocidos fue el TCSEC (Trusted Computer System Evaluation Criteria) mejor conocido como Orange Book. Actualmente se utiliza el Common Criteria el cual es resultado de la unificación de criterios de evaluación como son: TCSEC, ITSEC y CTCPEC. Es bien sabido que la cantidad de vulnerabilidades que afectan a los sistemas informáticos es enorme, sin embargo algunas de ellas son más serias que otras, estas últimas deben ser las primeras en subsanarse; razón por la cual el FBI y el Instituto SANS (SysAdmin, Audit, Network, Security) desarrollaron el documento Top 20 en el cual se reúnen las 20 vulnerabilidades más graves en cuanto a seguridad en redes se refiere. Es un documento en constante actualización, la versión utilizada en este proyecto es la 3.22 publicada el 3 de Marzo del Estos documentos son importantes en el continuo esfuerzo por mantener un nivel aceptable de seguridad en Sistemas Informáticos, por ello son abordados en el presente trabajo. Como se menciono, además de los documentos de seguridad también existen herramientas específicas que apoyan al trabajo correspondiente a la seguridad en redes, como pueden ser Scanners, Sistemas de detección de intrusos, Firewalls, Routers, etc. El presente trabajo se aboca al estudio de estas, en específico, los scanners (herramientas que actúan buscando los posibles fallos de seguridad del sistema), destacando la importancia de estas herramientas, las características, las ventajas y desventajas presentes en ellas. En el presente trabajo se resume un estudio comparativo de diversos scanners, entre ellos NMAP, NESSUS, SARA y otros más que fueron seleccionados, todos ellos gratuitos.

7 Obviamente para poder determinar la eficiencia de cada uno de los scanners, además de especificar los criterios para establecer el análisis comparativo, fue necesario realizar pruebas de seguridad con ellos. Las pruebas fueron realizadas sobre dos sistemas informáticos, que poseen las siguientes características generales: LAN, conformada con 3 computadoras. La finalidad que tiene el realizar pruebas de seguridad sobre esta red, es la de familiarizarse con el uso de estos scanners y obtener las primeras características de estas herramientas. Laboratorio conformado con mayor número de equipos de cómputo, el cual pertenece a la Facultad de Ciencias de Computación de la B.U.A.P. La finalidad que tiene el realizar pruebas sobre esta red, es la de completar el estudio comparativo. Algunos de los criterios utilizados para la realización de las tablas comparativas forman parte de la lista de los puertos más comúnmente atacados y de la lista de las vulnerabilidades más graves del Top 20, por ejemplo: 21/ftp, 53/domain, 139/Netbios, etc. La detección correcta del estado de estos puertos, así como la detección de vulnerabilidades ayudara a mejorar el nivel de seguridad. Otros criterios que también son utilizados son: detección del Sistema Operativo, trabajo en paralelo y en el caso de scanners de vulnerabilidades descripción y posible solución de las vulnerabilidades detectadas. Se espera que este trabajo permita a los administradores y gente interesada en la seguridad en redes, determinar cual de estos scanners es el más adecuado a sus necesidades. Todos los detalles sobre la realización de las pruebas de seguridad con cada uno de los scanners, así como el análisis a los resultados obtenidos, plasmados en tablas comparativas, serán vistos en los siguientes capítulos.

8 Capitulo 1 UNA VISION GENERAL DE LA SEGURIDAD INFORMATICA 1.1 LA SEGURIDAD INFORMÁTICA EN EL MUNDO MODERNO Desde siempre, la información ha sido parte fundamental en el desarrollo de una sociedad, hoy en día la característica dinámica de la sociedad requiere de un manejo rápido y seguro de enormes cantidades de información, lo cual únicamente puede lograrse a través del uso de complejos sistemas de información, que obviamente involucran mecanismos de acceso y el manejo controlado de cierta información. El hecho de tener un manejo controlado de cierta información, implica una problemática, que involucra desde la selección de un modelo de seguridad y definir una política de seguridad, lo cual inicia con un conjunto de pruebas para tener una referencia del nivel de seguridad inicial del sistema para posteriormente efectuar las correcciones necesarias, para llegar al nivel de seguridad deseado, finalmente definir un sistema periódico de pruebas a fin de mantener la seguridad en el nivel deseado. Cuando se habla de la seguridad de un sistema informático, casi siempre se piensa en que cierta información sea privada, para esto se utilizan contraseñas, mensajes cifrados y todo aquello que sirva de protección y confidencialidad, pero muchas veces no se toman en cuenta otros aspectos sin los cuales no se puede llegar a un grado aceptable de seguridad. En este contexto debemos delimitar cuales son los aspectos que debe contener un modelo de seguridad, para que un sistema posea un grado aceptable. Aunque debe quedar claro que ningún sistema informático es 100% seguro, sin embargo para poder conseguir un grado aceptable de seguridad debemos tener en cuenta, entre otros, los siguientes aspectos [1]: a) Privacidad: Se trata de evitar que la información considerada como restringida y contenida en un sistema informático sea accesible a personas no autorizadas. b) Integridad: Se debe proteger la información, ya sean datos o programas, de posibles modificaciones e incluso la eliminación de los mismos por parte de usuarios que no sean los propietarios de dicha información. c) Disponibilidad: El sistema debe estar disponible siempre que el usuario lo necesite. Se deben evitar paradas e interrupciones en el sistema, así como la degradación de los servicios que éste proporciona. d) Consistencia: El sistema debe funcionar como se espera que lo haga. Habrá que evitar que se produzcan fallos en el software y hardware, y en el caso de que se produzcan, habrá que reaccionar lo antes posible para erradicar el problema y evitar un posible desastre.

9 e) Aislamiento: En el caso de que se detecten accesos no autorizados o la aparición de programas extraños en el sistema, habrá que ver cómo se produjeron o cómo llegaron hasta ahí, que problemas han causado o pueden llegar a causar; y como detectar a la persona o personas implicadas en el suceso. f) Auditoria: No solo cometen fallos o actos maliciosos los usuarios no autorizados, por ello hay que mantener un registro interno del sistema, con la idea de determinar que se ha realizado, quien lo ha realizado y que se ha visto afectado. Una vez delineados los aspectos generales que se deben tener en cuenta en el establecimiento de un programa de seguridad, se debe seguir una metodología de aplicación de pruebas de seguridad, para alcanzar el mayor nivel posible de seguridad. 1.- Lo primero es determinar el estado de seguridad que guarda el sistema. En la actualidad se cuenta con documentos y guías de seguridad muy completas, así como también con una gran variedad de herramientas para la realización de este tipo de tareas o pruebas de seguridad. Dentro del marco de la aplicación de este tipo de herramientas, se enmarca el presente trabajo. 2.- Lo segundo seria aplicar las correcciones necesarias, es decir, rediseñar los esquemas de seguridad más dañados, o bien establecer un nuevo modelo de seguridad. 3.- Establecimiento (en su caso) del modelo de seguridad seleccionado y de un programa de revisiones periódicas, a fin de mantener el sistema actualizado y en un nivel de seguridad aceptable. Estos y otros aspectos más, siempre deben ser considerados a detalle en todos los sistemas informáticos, principalmente aquellos que están o serán conectados a Internet, dándole a cada uno de ellos la importancia correspondiente. 1.2 EL INTERNET Y LA SEGURIDAD INFORMÁTICA La comunicación informática hoy en día puede efectuarse a través de una amplia gama de posibilidades, sin embargo es indudable que el Internet es uno de los mecanismos informáticos que mayor volumen de información maneja y en consecuencia uno de los pilares dentro de la transferencia de información actual. Irónicamente en la medida que el Internet es parte fundamental dentro del manejo de información, es la parte más propensa a la inseguridad, dentro de los sistemas informáticos de transferencia de información. El auge alcanzado por el Internet ha llevado a una gran parte de las organizaciones a utilizar esta tecnología dentro de sus procesos y actividades cotidianas, prueba de esto, es que el Internet, hoy en día se usa para fines tan diversos como el aprendizaje, la docencia, la investigación, el comercio, etc. Por otra parte, la creciente aparición de nuevos usuarios que quieren acceder a Internet, también supone un riesgo añadido, ya que cuantos más usuarios haya, más posibilidades hay de que aparezcan usuarios que intenten romper las protecciones y mecanismos de seguridad de los sistemas informáticos, a fin de acceder a información no autorizada (clasificada), o con otros fines. Dependiendo de la intención de sus acciones, estos usuarios son llamados hackers o crackers.

10 El hacker es una persona que ansia conocimiento, disfruta explorando los detalles de un sistema operativo o un lenguaje de programación. En sus exploraciones el hacker busca malas configuraciones, errores y agujeros en los sistemas operativos que les permitan entrar en la máquina [1]. Por otro lado un cracker se puede definir como una persona que busca dar sus golpes, destruyendo o alterando los datos de un sistema. Para el cracker el invadir un sistema requiere de mucha persistencia y la obstinada repetición de trucos bien conocidos en los puntos débiles de un sistema. La principal diferencia entre un hacker y cracker es el interés de ambos, para el cracker el interés es destrozar la máquina que hay al otro lado, no es constructivo como un hacker, que trata de mejorar la red dando a conocer sus incursiones y fallos encontrados. Desde su nacimiento el Internet por sus características propias, ha sido la puerta de entrada para que usuarios mal intencionados, intenten acceder a información clasificada, lo cual es considerado como un ataque al sistema informático. A lo largo de los años hemos conocido casos, en que importantes empresas y organizaciones, han visto comprometidas sus operaciones debido a que han sufrido ataques perpetrados a través de Internet. En general, un ataque se puede definir como toda aquella acción que suponga una violación de la seguridad establecida en un sistema informático, y en estos términos, el ataque a un sistema informático, se puede clasificar, según sus efectos, en [7]: a) Interrupción: Un recurso es destruido o se vuelve no disponible. b) Intercepción: Una entidad no autorizada consigue acceso a un recurso. c) Modificación: Una entidad no autorizada no solo consigue acceder a un recurso, si no que es capaz de manipularlo. Virus y troyanos poseen esta capacidad. d) Fabricación: Una entidad no autorizada inserta objetos falsificados en el sistema. Asimismo estos ataques, se pueden clasificar en pasivos y activos, y se definen de la siguiente manera. o Pasivos: No alteran la comunicación, si no que únicamente la escuchan o monitorean, para obtener información que este siendo transmitida. o Activos: Implican algún tipo de modificación de los datos o la creación de falsos datos: Suplantación de identidad, Modificación de mensajes, etc. Para tener una idea global de cómo los ataques al Internet han crecido con éste, a continuación se mencionan, algunos de los ataques que han sido documentados [6]: En 1990, el sistema de conmutación de llamadas de larga distancia de AT&T fue comprometido durante nueve horas, dando como resultado que más de 70 millones de llamadas no fueran completadas.

11 En 1994, dos crackers ingleses comprometieron y robaron información de varios sitios militares estadounidenses, entre ellos los Rome Labs de la Fuerza Aérea. En 1997, un solo cracker obtuvo y trato de vender información sobre más de 100,000 tarjetas de crédito obtenidas ilegalmente de varias compañías que realizan negocios en la Web. En el año 2000, el sitio web de la compañía Yahoo!, el más visitado del mundo, estuvo fuera de servicio durante varias horas debido a un ataque distribuido de denegación de servicio perpetrado por un grupo de crackers. En mayo del 2001, el sitio web promocionado como el más seguro de la Unión Europea ( fue comprometido y sustituido por una pagina que alardeaba sobre el éxito del ataque. Un caso reciente en México, es el del fraude por Internet realizado al ciudadano coreano radicado en Guadalajara, Jalisco, Sang Won Lee Joo. Este ataque, ocurrió el 8 de Abril del año 2002, al ver su estado de cuenta, Wong Lee detecto que tenía 150 mil pesos, cuando el saldo según el coreano debería ser de 700 mil pesos, al señor Lee le robaron a través de Internet. Se trata de uno de los primeros fraudes cibernéticos registrados en el estado de Jalisco. Dada la importancia del área, en la actualidad se han efectuado diversos estudios y análisis, que muestran una tendencia creciente en cuanto a incidentes o ataques en Internet, un ejemplo de esto son los reportes que ha dado a conocer el Computer Emergency Response Team (CERT).De hecho el CERT indico que el número de incidentes de seguridad en Internet, se incremento en un 170% entre el año 2000 y el 2001, es decir de 21,756 a 52,652 casos, tal y como se muestra en la grafica 1.1 [8]. 1.3 LA SEGURIDAD INFORMÁTICA EN MÉXICO Con respecto a la seguridad informática en nuestro país, se puede decir que el área es relativamente nueva en México, pocos datos se conocen sobre el número de incidentes que se han presentado. Organizaciones como MxCERT (Mexican Computer Emergency Response Team) establecido en el Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM) y el UNAM-CERT, de la Universidad Nacional Autónoma de México, hacen esfuerzos por promover la importancia de la seguridad informática en el país, pero no cuentan con estadísticas que reflejen la magnitud del problema en México. Con el único propósito de contribuir a la difusión de la importancia que debe tomar la seguridad informática en las organizaciones de nuestro país, la empresa Sekureit llevo a cabo un estudio sobre la situación actual de las entidades mexicanas en cuanto a la seguridad de sus sitios. El estudio se centra en las diferentes vulnerabilidades presentes en los sitios y sus riesgos potenciales.

12 Número de incidentes reportados al CERT Incidentes Reportados Año Grafica 1.1. Número de Incidentes reportados al CERT Para la realización de este estudio se tomo una muestra representativa de 242 entidades pertenecientes a diferentes sectores de la vida pública nacional. Entre ellos, académico, agrícola, gubernamental, comercial y turístico [6]. El estudio permitió detectar un total de 436 vulnerabilidades distintas. Como se muestra en la tabla 1.1, la mayor parte de ellas corresponden a vulnerabilidades de mediano y alto riesgo. Tipo de Vulnerabilidad Cantidad Encontrada Porcentaje Alto Riesgo % Medio Riesgo % Bajo Riesgo % Total % Tabla 1.1. Vulnerabilidades Encontradas La clasificación de los resultados por sectores permite analizar de manera más clara cuales son aquellas que presentan mayores riesgos. La tabla 1.2 destaca que los sectores relativos al Turismo, Educación, Energía y Gobiernos Estatales y Municipales, en ese orden, son los que presentan una mayor problemática. Sector Alto Riesgo (%) Medio Riesgo (%) Bajo Riesgo (%)

13 Agricultura Comercio Comunicaciones Educación Energía Finanzas Gobiernos Estatales y Municipales Secretarias de Edo Turismo Otras Tabla 1.2. Resultados del Estudio de Vulnerabilidades por Sector Los resultados presentados en este artículo, son una alerta sobre el enorme trabajo que debe realizarse para mejorar el nivel de seguridad informática en las instituciones nacionales. 1.4 OBJETIVOS DEL TRABAJO Después de haber destacado el incremento de los ataques a los sistemas informáticos, a través de estadísticas, ejemplos documentados y estudios hechos, podemos notar que constantemente se trabaja para subsanar las carencias de seguridad y aun así surgen nuevas, en todo este trabajo se involucran toda clase de herramientas y material de apoyo. Por medio de este trabajo, nos enfocaremos a tratar una pequeña parte de la seguridad, en específico él de las vulnerabilidades, concretamente herramientas que las detectan. Así es que el objetivo, es abocarnos al estudio de una de estas herramientas, los denominados scanners, para finalmente utilizarlos en la realización de pruebas de seguridad y realizar un análisis comparativo. Antes de esto, estudiaremos brevemente algunas guías y documentos relacionados con la seguridad. En los siguientes capítulos se hablará de estos documentos, de las herramientas de seguridad, un estudio especial de los scanners, para finalmente llegar a la realización de pruebas con ellas, resultados, generación de tablas comparativas y las conclusiones finales, así coma las recomendaciones sobre estas herramientas de gran utilidad.

14 Capitulo 2 EL CAMPO ACTUAL DE LA SEGURIDAD 2.1 DOCUMENTOS RELACIONADOS CON LA SEGURIDAD Debido al importante papel que desempeñan los sistemas informáticos en el manejo de información dentro de la sociedad actual, es obvio que una de las preocupaciones fundamentales de los responsables, es mantener un nivel aceptable de seguridad en sus sistemas. Dentro del marco de esta preocupación han aparecido una gran variedad de documentos relacionados con la seguridad, que van desde simples recomendaciones de seguridad, hasta guías completas de seguridad, reconocidas y prestigiadas. A pesar de que el objetivo final de estos documentos es tasar y en todo caso establecer un cierto nivel de seguridad en un sistema informático, cada uno de ellos posee características especificas y algunas se complementan entre sí. Dentro de esta amplia gama de documentos, tenemos: Guías para la aplicación de pruebas de seguridad. Por ejemplo el denominado manual OSSTMM (Open Source Security Testing Methodology Manual). Relación y descripción de vulnerabilidades más comunes en un sistema informático. Por ejemplo el denominado, documento Top 20. Criterios de Evaluación. Por muchos años uno de los más reconocidos fue el TCSEC mejor conocido como Orange Book, actualmente se utiliza el Common Criteria el cual es el resultado de la unificación de criterios de evaluación como son : TCSEC, ITSEC y CTCPEC. 2.2 EL MANUAL OSSTMM El Manual de Metodología de Pruebas de Seguridad de Fuente Abierta en ingles Open-Source Security Testing Methodology Manual (OSSTMM) es el único y el más extenso estándar certificado disponible para el desarrollo de pruebas de Seguridad en Sistemas de Internet y Redes. Creado por Pete Herzog de la organización ISECOM (Institute for Security and Open Methodologies); el OSSTMM es un documento en continuo desarrollo; esta organización se asegura de estar al tanto de los cambios que ocurren y los nuevos progresos en materia de Seguridad Informática, con el fin de que el manual este actualizado [9]. Este manual proporciona una guía estandarizada, abierta, pública y disponible para pruebas de seguridad.

15 Antes del Manual OSSTMM, no existían documentos que abordaran las necesidades profesionales de seguridad y que proporcionaran una guía estandarizada abierta, pública y disponible para efectuar pruebas formales de Seguridad. Es obvio que existen otras metodologías o manuales con esta misma finalidad, sin embargo en caso de existir, a la fecha ninguna empresa comercial las ha hecho del conocimiento público. El manual OSSTMM ofrece un marco constante y resultados en la aplicación de sus pruebas claramente cuantificables, de tal modo que se produce un nivel de aseguramiento o de calidad de la salida, exactitud y la validez de las pruebas a usuarios finales. Las Pruebas de Seguridad llegan a ser cuantificables, constantes y repetibles, visiblemente cuidadosas y disciplinadas a una gama global de leyes individuales y locales. El OSSTMM proporciona una guía muy completa, con respecto a los aspectos cruciales de la seguridad de la información en un negocio o corporación, así mismo permite que los encargados de realizar las pruebas puedan consultar información relevante sobre sus propias políticas de seguridad, esto muestra la gran flexibilidad del Manual. Para los Administradores de Sistemas o los Ingenieros en Redes, los servicios de OSSTMM sirven para destacar las áreas donde se pueden concentrar la mayoría de los ataques a la Red y así pueden crear las bases correctivas y las acciones preventivas para evitar esos ataques. En el nivel más simple de beneficio, la metodología del OSSTMM, proporciona una guía en el proceso, en la preparación o en la ejecución de una Prueba de Seguridad para ser aplicada a un sistema, negocio o corporación. El manual (versión 2.0 ) consta de 6 secciones de seguridad: Seguridad en Internet, Seguridad en la Información, Seguridad Física, Seguridad de las Comunicaciones, Radio de Seguridad e Ingeniería Social [8]. Cada sección se encuentra dividida en Módulos, por ejemplo los Módulos de la Sección Seguridad en Internet son: Examen de la Red, Scaneo de Puertos, Identificación del Sistema, Identificación de Servicios, Investigación y Verificación de la Vulnerabilidad, Prueba de Aplicaciones de Internet, Prueba de Router, Prueba de Sistemas Confiables, Prueba de Firewall, Prueba del Sistema de Detección de Intrusos, Prueba de las Medidas de Contención, Crakeo de Passwords y Prueba del Sistema de Denegación. En la tabla 2.1 se lista cada sección con sus módulos correspondientes. Así mismo, cada módulo contempla un conjunto de pruebas específicas para aplicar al sistema informático, cuya seguridad se va a evaluar. Para la aplicación de estas pruebas hay que seleccionar las herramientas correspondientes (mapeadores de red, sniffers, scanners, etc.).

16 Seguridad en Internet Examinar la Red. Scaneo de Puertos. Identificación del Sistema. Identificación de Servicios. Investigación y Verificación de Vulnerabilidades. Prueba de Aplicaciones de Internet. Prueba de Router. Prueba de Firewall. Prueba del Sistema de Detección de Intrusos. Prueba de Sistemas Confiables. Crackeo de Passwords. Prueba del Sistema de Denegación. Prueba de las Medidas de Contención. Seguridad en la Información Destrucción de Documentos Exploración Inteligente de la Competencia Revisión de la Privacidad Ingeniería Social Pruebas de Petición. Pruebas de Sugerencias Dirigidas Pruebas de Confianza Radio de Seguridad Pruebas del Radio de las Redes. Prueba de Comunicaciones Inalámbricas. Revisión de la Privacidad Seguridad en las Comunicaciones Prueba del PBX Prueba de los Mensajes de Voz Revisión del Fax Pruebas del MODEM Seguridad Física Prueba del Control de Acceso Revisión del Perímetro Revisión del Monitoreo Prueba de la Respuesta de la Alarma Revisión de la Localización Revisión Del Ambiente Tabla 2.1 Secciones y Módulos del Manual OSSTMM 2.3 DOS CRITERIOS DE EVALUACION: ORANGE BOOK Y EL COMMON CRITERIA a) EL ORANGE BOOK Como se menciono anteriormente, el Orange Book actualmente ya no es utilizado, sin embargo es importante describir brevemente sus características, debido a que estas son el fundamento de los nuevos criterios. El Criterio de Evaluación para Sistemas de Cómputo Confiables (Trusted Computer System Evaluation Criteria, siglas en ingles TCSEC), que básicamente evalúa e indica los niveles de seguridad ofrecidos por un sistema de cómputo. Publicado en 1983, es comúnmente referido como el Libro Naranja [5]. El criterio que establece el Libro Naranja, consta de 4 divisiones, ordenadas en forma decreciente: A- Protección Controlada.

17 B- Protección Obligatoria. C- Protección Discrecional. D- Protección Mínima. A continuación, se detallan brevemente las características de cada una de estas divisiones. Protección mínima (D).- Reservada para aquellos sistemas que fracasan en la evaluación, ya que no cubren los requerimientos de las clases más altas del criterio. Protección discrecional (C).- Limitación de accesos a los usuarios, proteger y privatizar la información. Protección obligatoria (B).- Reglas de control de accesos, políticas de seguridad, etiquetado de datos. Protección controlada (A).- Monitorear accesos inmediatos de sujetos a objetos y la existencia de pruebas de accesos. Métodos formales de verificación y altísimo nivel de resistencia a penetraciones. Dentro de cada división hay clases. Por ejemplo C tiene la clase C1 y C2, donde C2 tiene más seguridad que C1. A1: Diseño verificado B3: Dominios de Seguridad B2: Protección estructurada B1: Protección mediante seguridad etiquetada C2: Protección mediante accesos controlados C1: Protección mediante seguridad discrecional D: Seguridad mínima Para que un sistema pueda clasificarse dentro de alguna clase, debe cumplir con los criterios correspondientes. Los criterios son: Políticas de seguridad Responsabilidad Confiabilidad Documentación En la figura 2.1 se muestra la estructura general del Orange Book

18 Figura 2.1 Esquema General del Orange Book Enseguida se describe brevemente los criterios de cada una de estas clases [5]. Políticas de seguridad.- Se deben de tener bien identificados los eventos, los objetos y las reglas para determinar si un evento dado puede acceder a un objeto específico. Responsabilidad.- Los eventos individuales deben de ser identificados. Cada acceso a la información debe ser registrado (quien y que autorización posee). Confiabilidad y documentación.- Crear mecanismos de control de hardware y software que evalúen independientemente problemas y proporcionen suficiente seguridad. Los mecanismos de control deben ser continuamente protegidos contra interferencias o cambios no autorizados.

19 Con el objeto de tener una idea más clara de los niveles y subniveles de este criterio, a continuación se dan ejemplos de sistemas que están dentro de alguno de los niveles de seguridad del TCSEC: El nivel D son los sistemas no seguros. Ejemplo de sistema nivel D es MS-DOS. El nivel C ofrece control al usuario de los datos. El usuario puede determinar quien accede a estos. En el nivel C1 se encuentran los sistemas que ofrecen un cierto control de acceso discreto, permitiendo acceso a los archivos en forma individual. El UNIX sencillo o estándar se encuentra en este nivel. Los niveles B y A proporcionan control obligatorio. En este nivel no se tienen sistemas comerciales. b) EL COMMON CRITERIA Además del Orange Book, en años siguientes se desarrollo el ITSEC (Information Technology Security Evaluation Criteria), desarrollado conjuntamente por Francia, Alemania, Holanda y el Reino Unido. En Canadá, igualmente se desarrollaron en 1993 los criterios CTCPEC (Canadian Trusted Computer Product Evaluation). Ante esto se toma la decisión de estandarizar internacionalmente estos criterios para su uso general, y en esa labor ISO comienza a trabajar a principios de los años 90 dando como resultado la certificación Common Criteria (o ISO-IEC 15408). Debido a que Common Criteria es un estándar internacional, proporciona un conjunto común de estándares que los usuarios con operaciones internacionales pueden utilizar para escoger productos que se ajusten localmente a las necesidades de seguridad. A continuación se describe de manera general el Common Criteria (versión 2.1) [12]. La versión 2.1 consiste de las siguientes partes: Parte 1: Introducción y modelo general Es la introducción al Common Criteria, este define los conceptos generales y principales de evaluación de seguridad IT (Information Technology) y presenta un modelo de evaluación general. Parte 2: Requerimientos Funcionales de seguridad En esta parte se establece un sistema de componentes funcionales de seguridad como manera estándar de expresar los requisitos funcionales de seguridad para los objetivos de la evaluación. Parte 3: Requerimientos del Aseguramiento de la seguridad Aquí se establece un sistema de componentes de aseguramiento como manera estándar de expresar los requisitos del aseguramiento para los objetivos de la evaluación. Blanco de audiencias del Common Criteria

20 Estos son tres grupos con un interés general en evaluación de las propiedades de seguridad de productos IT y sistemas: consumidores TOE (Target of Evaluation), desarrolladores TOE, y evaluadores TOE. El criterio presentado en este documento, ha sido estructurado para soportar las necesidades de los 3 grupos. Tipos de Evaluación: PP evaluación (evaluación de perfil de protección) ST evaluación (evaluación de blanco de seguridad) TOE evaluación (evaluación de blanco) Evaluación de los niveles de garantía EAL1: Es aplicable donde la confianza de una correcta operación es requerida pero la amenaza a la seguridad no es vista como seria. EAL2: Requiere la cooperación de los desarrolladores en términos de la liberación del diseño de información y prueba de resultados, pero no demanda más esfuerzo sobre la parte de el desarrollador. EAL2 es por lo tanto aplicable en esas circunstancias donde desarrolladores o usuarios requieren de bajo a moderado nivel de garantizada seguridad. EAL3: Es aplicable en circunstancias donde desarrolladores requieren un moderado nivel de garantía de seguridad y requieren una completa investigación de blancos de evaluación y este desarrollo sin substancial re-ingeniería. EAL4: Es aplicable en circunstancias donde desarrolladores o usuarios requieren de moderado a un alto nivel de garantía de seguridad. EAL5: Aplicable en circunstancias donde desarrolladores o usuarios requieren un alto nivel de garantía de seguridad en un planeado desarrollo y requiere un riguroso desarrollo aproximado sin incurrir irrazonablemente a costos atribuidos a técnicas de ingeniería en seguridad especializada. EAL6: Aplicable a el desarrollo de seguridad de blancos de evaluación para aplicaciones en situaciones de alto riesgo donde el valor de protección justifica los costos adiciónales. EAL7: Aplicable a el desarrollo de seguridad de blancos, para aplicaciones en situaciones de extremo riesgo y/o donde hay un alto valor de bienes que justifican altos costos. Como ejemplo, esta el caso de Microsoft Windows 2000 Profesional, el cual tras dos años de someter cientos de componentes a exhaustivos análisis y test, según los estrictos requerimientos de Common Criteria, el nivel obtenido se denomina EAL4+ Flaw Remediation. EAL4 es el nivel máximo para un sistema operativo comercial, el añadido + Flaw Remediation significa que el fabricante a establecido un seguimiento y corrección de defectos.