Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Caso N° 3 Portafolio
Informe de Riesgos y Vulnerabilidades
Cristóbal Varas, Hernán Rodríguez, Alex Vargas
1
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Índice
Introducción .......................................................................................................................................3
Carta Gantt .........................................................................................................................................4
Análisis del Caso .................................................................................................................................5
Inventario de Servidores y Activos .................................................................................................5
Identificando Amenazas .................................................................................................................9
Activos Vulnerables ........................................................................................................................9
Análisis de Vulnerabilidades .........................................................................................................10
Escaneo Servidor Linux-WEB ....................................................................................................10
Vulnerabilidades Encontradas y Soluciones .............................................................................11
Vulnerabilidades Corregidas .....................................................................................................15
Escaneo Servidor Windows-DNS ..............................................................................................17
Vulnerabilidades Encontradas y Soluciones .............................................................................18
Vulnerabilidades Corregidas .....................................................................................................19
Clasificación de Riesgos ................................................................................................................20
Magnitud de daño ....................................................................................................................20
Probabilidad de Amenaza .........................................................................................................20
Matriz de Riesgo .......................................................................................................................21
Análisis Cualitativo de los Riesgos ............................................................................................22
Mitigación de Riesgo ....................................................................................................................23
Herramientas de Seguridad ......................................................................................................25
Conclusión ........................................................................................................................................27
2
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Introducción
3
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Carta Gantt
4
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
a lo revisado.
Los Servidores a analizar son 3, servidor WEB, el cual tiene varios servicios corriendo en el,
servidor Rsyslog, el cual tiene solo el servicio syslog, y finalmente un servidor Windows que contiene
servicio Active Directory,
5
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Servicio FTP
Servicio DNS
Servicio HTTP-HTTPS
6
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Servicio MySQL
Servicio Postfix
Servicio Syslog
7
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
8
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Identificando Amenazas
Activos Vulnerables
Se considera por nuestra parte que los activos vulnerables son todos, especialmente
aquellos que están expuestos a la red WAN en este caso, servicio DNS, WEB, FTP, RSYSLOG, y
CORREO, de manera que la mayoría de los activos son especialmente vulnerables y todos son
considerados de alto riesgo de ataque.
9
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Análisis de Vulnerabilidades
El Primer Analisis es la maquina con IP 192.12.118.100 que corresponde a servidor WEB, que
contiene servicio Http, DNS, Correo, Ftp, Samba/CIFS.
Esto corresponde solo a una captura del informe completo, pero nos sirve para revisar las
vulnerabilidades encontradas y su nivel de riesgo.
10
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Servidor SSH esta configurado para admitir cifrado CBC, esto podría permitir que un
atacante recupere información confidencial.
La solución seria deshabilitar el cifrado de modo CBC y habilitar cifrado del modo CTR o
GCM(Counter).
No se puede confiar en el certificado X.509 del servidor. Esta situación puede ocurrir de tres
formas distintas:
La cadena de certificados puede contener una firma que no coincide con la información del
certificado o no se pudo verificar.
La solución seria generar o comprar un certificado apropiado para este servicio, las
empresas suelen comprarlos.
11
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
La cadena de certificados X.509 para este servicio no esta firmada por una autoridad de
certificación reconocida, de manera que el servidor se está auto certificando.
El servidor DNS responde a las consultas de dominios de terceros que no tienen establecido
el bit de recursión. Esto puede permitir a un atacante remoto determinar que dominios se han
resuelto recientemente a través de este servidor DNS y por tanto que hosts se han visitado
recientemente.
Hay una serie de recomendación que nos pueden llevar a una solución, serian ponerse en
contacto con el proveedor del software DNS para buscar una solución. Pero también hay que notar
que este error normalmente se reporte en servidores que permiten resolución recursiva, en este
caso la solución sería dejar habilitada la recursión solo en caso de que el Servidor DNS se encuentre
en una red empresarial a la que no puedan acceder clientes no confiables o no permitir el acceso
publico a los servidores DNS que realizan recursión o definitivamente deshabilitar la recursión.
12
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
El servidor remoto de nombres permite que el host que ejecuta nessusd realice consultas
recursivas. Es posible consultar el servidor de nombres remoto para los nombres de terceros. Si este
es su servidor de nombres interno, entonces el vector de ataque puede estar limitado a los
empleados o al acceso de invitados, siempre que esté permitido. Si es un servidor de nombres
remoto o DNS en WAN, entonces permite que cualquiera lo use para resolver nombres de terceros.
Esto permite a los atacantes realizar ataques de envenenamiento de caché contra este servidor de
nombres.
Si el host permite estas consultas recursivas a través de UDP, entonces se puede usar para
rebotar los ataques de Denegación de Servicio (DoS) contra otra red o sistema.
La solución es restringir las consultas recursivas a los hosts que deberían usar el servidor
DNS como por ejemplo la LAN para la que sirve.
En este caso como usamos BIND 9 podemos definir una agrupación de direcciones internas
usando ACL. Luego en las opciones del servicio named.conf se puede indicar explícitamente:
'allow-recursion {hosts_defined_in_acl}'
13
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
La Solución es restringir el acceso al servidor DNS desde la red publica o rechazar estas
consultas externas.
El servidor web admite los métodos TRACE y/o TRACK los cuales son métodos HTTP que se
utilizan para depurar conexiones de servidor web.
El host admite el uso de cifrado SSL que ofrece un cifrado de intensidad media. Nessus considera la
resistencia media como cualquier encriptación que utiliza longitudes de clave de al menos 64 bits y
menos de 112 bits, o bien que utilizado cifrado 3DES.
La solución es configurar la aplicación afectada para evitar uso de cifrado de media intensidad.
14
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Vulnerabilidades Corregidas
15
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Luego de ejecutar el primer análisis, corregir de acuerdo con las soluciones ofrecidas o
recomendadas por Nessus y finalmente volver a ejecutar el análisis de vulnerabilidades, se puede
observar que sigue en riesgo medio todo lo relacionado con SSL, esto es debido a que lo mejor en
estos casos es contar con los certificados emitidos por una entidad certificadora, esa situación se
le debe comunicar a la empresa mandante realizar la compra de certificados y aplicar la
solución(por nuestra parte) en la medida que ellos quieran y/o puedan, siempre cuidando de
explicarles la importancia de contar con dichos certificados.
Con respecto a este primer análisis del servidor WEB de la empresa Tecnidata se puede
concluir que se resuelve sin mayores inconvenientes la mayoría de los problemas ya que no
necesitamos una intervención mayor de la empresa, aunque queda pendiente los certificados SSL,
que se debe gestionar su compra con Tecnidata.
16
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Luego del primer escaneo al servidor WEB, ahora es necesario escanear el servidor
Windows, el cual quedo de la siguiente manera:
Esto es solo una parte del reporte entregado por Nessus, pero muestra las vulnerabilidades
encontradas.
17
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
El host remoto Windows puede ser afectado por una vulnerabilidad de elevación de
privilegio en protocolos Security Account Manager y Local Security Authority Domain Policy. Esto
debido a una indebido nivel de autenticación de negociación en las Llamadas de Procedimiento
Remoto (RPC).
18
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Vulnerabilidades Corregidas
Luego de ejecutar las soluciones recomendadas por Nessus que en este caso eran meras
actualizaciones se vuelve a ejecutar un escaneo de Vulnerabilidades con el fin de verificar que
efectivamente las vulnerabilidades no aparezcan o disminuya su calificación de riesgo, en otros
casos se asume el riesgo, aunque esto solo en caso de que no exista otra alternativa.
Se puede observar que ahora no hay vulnerabilidades de acuerdo al análisis del software Nessus.
19
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Clasificación de Riesgos
Para ello tenemos que generar valores en 2 variables que son Magnitud de daño y Probabilidad de
Amenaza.
Magnitud de daño
1) leve daño, no genera molestia alguna ni al funcionamiento ni a la productividad de la empresa.
3) medio daño, daño sensible para la empresa en algunos casos irresoluble afecta productividad.
4) daño alto o altísimo, daño gravísimo para la empresa y afecta notoriamente productividad.
Probabilidad de Amenaza
1) poco probable que ocurra, 1 vez al año a lo sumo.
20
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Matriz de Riesgo
Esta matriz de riesgo es de acuerdo a los puntos tratados anteriormente, donde las zonas
en verde son importantes, aunque no son prioridad, las zonas amarillas son mas importantes y son
prioridad y las zonas rojas son máxima prioridad y pueden significar que el técnico de redes de la
empresa deba concurrir con urgencia a esta, y ninguna otra tarea puede interrumpir la resolución
de esta incidencia.
21
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
22
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Mitigación de Riesgo
Ya que están realizados los análisis correspondientes se hace necesario planificar las
formas de mitigar los riesgos asociados.
Normalmente las empresas tienen jerarquizada su estructura de manera que los cargos
mas altos tienen labores de mayor importancia y por consiguiente la información que manejan es
mas delicada o mas importante, esto no necesariamente es asi ni tampoco se menosprecia la
información tratada por el resto de la empresa, pero si es una buena política respaldar los equipos
personales de gerencia especialmente debido a lo explicado anteriormente.
También ya que trabajaremos con servidores que idealmente deben tener un uptime lo
mas alto posible, es bueno monitorearlos mediante herramientas como PRTG Network Monitor,
Zabbix o Nagios, estas herramientas nos permitirán saber en todo momento que ocurre con
nuestro servidores ya que podemos chequear cada cierto tiempo CPU, RAM, Espacio en Disco y
cualquier cosa que consideremos critica, incluso si el servidor ha caído esto ya que podemos
configurar que envíe correos(incluso SMS) según las alertas que se le configuran.
Aun cuando se tienen los servidores monitoreados y en general funcionando bien, siempre
existe la posibilidad de perder la información, de manera que el respaldo siempre se recomienda,
la maquina completa debe ser respaldada de forma que en el peor de los casos se puede volver a
tener una maquina en funcionamiento aun si acaba de ser gravemente dañada.
23
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Las redes son la base sobre la que se sostiene la estructura de servidores de la empresa,
de manera que cuidar la red es cuidar los servidores, por lo mismo bloquear el acceso a redes Wifi
es otra política, solo permitir el acceso a equipos con MAC conocida, esto se debe hacer
manualmente equipo a equipo, pero garantiza que no tendrán equipos desconocidos conectados.
Hay otro tipo de políticas de seguridad como por ejemplo que los usuarios cambien sus
contraseñas una vez al mes, incluso si los equipos están en un dominio mediante GPO se puede
obligar a ello, que las claves contengan mayúsculas, minúsculas, longitud de contraseña, etc.
Restringir el acceso físico a la sala de servidores, solo a los técnicos autorizados para ello.
Finalmente hay políticas de seguridad que apelan al buen comportamiento del usuario
como tal, por ejemplo, que si este se para o abandona su puesto de trabajo debe dejar el
protector de pantalla para que el equipo quede bloqueado, o avisar inmediatamente si recibe
correo malicioso, u otros.
24
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Herramientas de Seguridad
Aquí podemos observar la política de Selinux mediante el comando getenforce, de esta manera
sabemos que Selinux está trabajando de acuerdo a las reglas configuradas por nosotros.
25
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
En esta captura podemos chequear el funcionamiento del sistema de firewall de Linux, desde la
versión 7 en delante de CentOS viene por defecto el Daemon Firewalld, sin embargo, se puede
habilitar rápidamente el antiguo IPtables.
26
Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Conclusión
Finalmente podemos concluir que sabiendo que la información es el activo mas importante
para una empresa, ya que permite saber todo lo que debe hacer para funcionar, esta se debe cuidar
por los medios necesarios con el fin de que la empresa mantenga una fluida productividad. Esto
mediante distintos métodos, como definir políticas de seguridad, análisis constante de los riesgos
de la empresa, activos expuestos, equipos infectados con el fin de impedir la fuga, perdida y
alteración de la información. Que si bien las máquinas son las que contienen la información y por
tanto parte importante de la seguridad se encuentra orientada a ellos, tampoco debemos olvidar
que el eslabón más débil en la cadena de la seguridad informática es el mismo usuario, aunque se
trate de un técnico calificado de Duoc.
27