ANALISIS DE LAS VULNERABILIDADES DE UN S.I

Transcripción

1 ANALISIS DE LAS VULNERABILIDADES DE UN S.I Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto

2 Las herramientas de análisis de vulnerabilidades permiten identificar muchos de los principales agujeros de seguridad que ponen en riesgo los sistemas de una red, y generalmente con tan sólo unos cuantos movimientos de ratón. Identificar las debilidades y saber cómo corregirlas es un paso fundamental para estar seguro. Sin embargo, pese a estar presentes en el mercado desde hace casi una década, estas herramientas todavía se encuentran muy lejos de la madurez. Muchos de estos productos aún reportan falsos positivos y, cuando aciertan, no siempre informan con la precisión necesaria.

3 En general, las herramientas de análisis de vulnerabilidades obedecen a dos tipos diferentes: las basadas en host y las basadas en la red. Éstas últimas se centran en la identificación de cuestiones relacionadas con los servicios que, como HTTP, FTP y Simple Mail Transfer Protocol, corren en los sistemas de la red. No ofrecen una información tan detallada ni el mismo grado de control sobre los sistemas que las herramientas basadas en host, pero a cambio aportan datos más precisos sobre la red y los servicios. Es más, no obligan a desplegar agentes en todas las máquinas como los basados en host; simplemente hay que definir la red a escanear, y listo. Los principales productos de este segmento son Secure Scanner de Cisco, Internet Scanner de ISS y Distributed Cybercop Scanner de Network Associates. Y no hay que olvidar el escáner Retina de eeye Digital Security, que está ganando terreno rápidamente gracias a sus buenas prestaciones. De hecho, fue el que más puntuación obtuvo en la comparativa realizada por IDG.

4 Los escáneres basados en host identifican vulnerabilidades a nivel de sistema, como permisos de archivos, propiedades de cuenta de usuario y establecimiento de registros, y usualmente requieren la instalación de un agente en los sistemas a analizar. Estos agentes reportan a una base de datos centralizada, desde la que se pueden generar informes y realizar tareas de administración. Como los agentes se instalan en todos y cada uno de los sistemas, este tipo de herramientas aportan a los administradores un mayor control sobre dichos sistemas que las basadas en red. Además, se pueden combinar con políticas corporativas. Los principales productos dentro de esta categoría son Enterprise Security Manager de Symantec, bv-control de BindView y System Scanner de ISS.

5 Como sucede en cualquier segmento, el mercado de análisis de vulnerabilidades se está viendo incrementado con nuevas soluciones y, lo que es mejor, nuevas prestaciones. Los usuarios demandan hoy, entre otras mejoras, mayor sencillez de uso e informes más útiles. En consecuencia, los fabricantes se están viendo obligados a crear interfaces de usuario más intuitivas y a agilizar y simplificar las actualizaciones de vulnerabilidades. Hay una tendencia creciente hacia el uso de fixes (arreglos, reparaciones) automatizados para identificar vulnerabilidades, muy útiles en sistemas de producción. Por ejemplo, si un escáner identifica una clave de registro con permisos incorrectos, el problema quedará resuelto inmediatamente con un solo clic de ratón. Antes, el administrador tenía que acceder al sistema, abrir el editor del registro, encontrar la clave del registro y cambiar los permisos.

6 La metodología para la detección de vulnerabilidades en redes de datos consta de tres fases soportadas por herramientas de software, mediante las cuales se busca obtener las vulnerabilidades en los equipos de red y servidores en las redes de datos objeto de estudio. Esta metodología se diferencia de otras en la medida en que se soporta cada etapa en herramientas software. Por lo que en cada fase se puntualizan las acciones que se deben realizar y cómo se deben llevar a cabo a través de las herramientas apropiadas.

7 La figura anterior muestra cada una de las fases que deben llevarse a cabo. La primera fase consiste en obtener tanta información como sea posible de la red objetivo, para esto se realizan implementan técnicas que se basan en diferentes tipos de consultas a servidores DNS y técnicas que se basan en el análisis de los mensajes de enrutamiento. Se resalta que esta fase no busca obtener vulnerabilidad alguna, lo que se pretende con ella es obtener una lista lo más amplia posible sobre los equipos con presencia en internet de la red objetivo. Dicha lista de equipos de red es utilizada en la segunda fase llamada escaneo de puertos y enumeración de servicios, en esta fase se evalúan los equipos obtenidos para determinar los puertos y servicios que están activos en cada uno de ellos. Dependiendo del tipo de puerto y servicio que este activo en cada equipo se puede inferir el rol que este juega dentro de la organización.

8 Nuevamente se anota que en esta fase no se pretende encontrar vulnerabilidad alguna, sino determinar los equipos críticos de la red objetivo a los cuales se les aplicará el escaneo de vulnerabilidades, que constituye la fase final de esta metodología. Una vez obtenida la lista de los equipos de la red objetivo con presencia en internet y habiendo determinado cuáles de ellos juegan un rol crítico para la red, se procede con la fase final de la metodología propuesta. La cual evaluará a los equipos críticos en busca de vulnerabilidades. Es en esta última fase en la que se realiza la evaluación de todos los servicios y puertos activos de cada uno de los equipos encontrados como críticos para la red objetivo.

9 Fase 1: Reconocimiento (recolección de información) Mediante la ejecución de esta fase se logró encontrar lo siguiente: 1. El nombre de dominio utilizado por la Universidad de Cartagena en internet. 2. El servidor de alojamiento de la Universidad y su dirección IP. 3. Dominios de nivel superior asociados con la Universidad. 4. Once subdominios de la forma X.unicartagena.edu.co. 5.Transferencia de zona contra los servidores de dominio de la Universidad, a través de la cual se detectaron 26 nuevos subdominios, de los cuales algunos se tomaron para las fases siguientes. 6. Detectar los segmentos de red de las diferentes sedes de la Universidad.

10 Fase 2: Escaneo de puertos y enumeración de servicios A través de esta fase se encontró lo siguiente: 1. Se escanearon cada uno de los segmentos de red de la Universidad. 2. Se tabularon aquellos que presentaron servicios críticos como posibles candidatos de escaneo (29 servidores). 3. Se determinaron 18 como servidores críticos para posterior escaneo de vulnerabilidades. Fase 3: Escaneo de vulnerabilidades