Caso N3 Informe Final

Escuela de Informática y Telecomunicaciones
Administración de Redes Computacionales
Caso N° 3 Portafolio
Informe de Riesgos y Vulnerabilidades
Cristóbal Varas, Hernán Rodríguez, Alex Vargas
1
Índice
Introducción .......................................................................................................................................3
Carta Gantt .........................................................................................................................................4
Análisis del Caso .................................................................................................................................5
Inventario de Servidores y Activos .................................................................................................5
Identificando Amenazas .................................................................................................................9
Activos Vulnerables ........................................................................................................................9
Análisis de Vulnerabilidades .........................................................................................................10
Escaneo Servidor Linux-WEB ....................................................................................................10
Vulnerabilidades Encontradas y Soluciones .............................................................................11
Vulnerabilidades Corregidas .....................................................................................................15
Escaneo Servidor Windows-DNS ..............................................................................................17
Vulnerabilidades Encontradas y Soluciones .............................................................................18
Vulnerabilidades Corregidas .....................................................................................................19
Clasificación de Riesgos ................................................................................................................20
Magnitud de daño ....................................................................................................................20
Probabilidad de Amenaza .........................................................................................................20
Matriz de Riesgo .......................................................................................................................21
Análisis Cualitativo de los Riesgos ............................................................................................22
Mitigación de Riesgo ....................................................................................................................23
Herramientas de Seguridad ......................................................................................................25
Conclusión ........................................................................................................................................27
2
Introducción
En las empresas actuales, donde existe regularmente un centro de información que

almacena datos de importancia de diversa índole para cada una, la protección de los mismos datos
es una tarea primordial, ya que cuidar esa información es cuidar la empresa misma.
El objetivo de este informe es mostrar los análisis de vulnerabilidades mediante software y

atravez de los técnicos especialistas, con el fin de enfatizar en aquellas vulnerabilidades más
importantes de acuerdo a los intereses de la empresa, de manera que el mandante no vea afectado
su negocio, o en su defecto esté preparado para enfrentar las dificultades que se pudieran generar
producto de algún ataque informático.
3
Carta Gantt
4
Análisis del Caso
Primero es necesario analizar el caso de forma global, creando un inventario, revisando

posibles amenazas, generar un escaneo de la red, analizar los activos mas importantes y finalmente
crear un plan de acción de acuerdo
a lo revisado.
Inventario de Servidores y Activos
Los Servidores a analizar son 3, servidor WEB, el cual tiene varios servicios corriendo en el,
servidor Rsyslog, el cual tiene solo el servicio syslog, y finalmente un servidor Windows que contiene
servicio Active Directory,
Estos tienen las siguientes IP:
Servidor WEB 192.12.118.100 WAN

Servidor Rsyslog 192.12.118.107 WAN
Servidor AD 172.16.1.2 DMZ
Por ultimo los servicios se encuentran distribuidos de la siguiente manera:
5
Servicio FTP
Nombre Servicio FTP

Versión Servicio vsftpd-3.0.2-25.el7.x86_64
Dirección IP 192.12.118.100
Dirección MAC A2:14:1B:78:02:7F
Sistema Operativo CentOS
Versión Sistema Operativo 7
Puertos Servicio 9021
Servicio DNS
Nombre Servicio DNS

Versión Servicio bind-9.9.4-73.el7_6.x86_64
Servicio HTTP-HTTPS
Nombre Servicio HTTP

Versión Servicio httpd-2.4.6-89.el7.centos.x86_64
Puertos Servicio 9080 y 9443 para ssl
6
Servicio MySQL
Nombre Servicio MySQL

Versión Servicio mariadb-5.5.60-1.el7_5.x86_64
Puertos Servicio 9306 (solo acceso remoto)
Servicio Postfix
Nombre Servicio Postfix

Versión Servicio postfix-2.10.1-7.el7.x86_64
Servicio Syslog
Nombre Servicio Syslog

Versión Servicio rsyslog-8.24.0-34.el7.x86_64
Dirección MAC x
7
Servicio Active Directory
Nombre Servicio Active Directory

Versión Servicio rsyslog-8.24.0-34.el7.x86_64
Dirección MAC C2:DE:D7:A7:83:15
Sistema Operativo Windows Server
Puertos Servicio x
8
Identificando Amenazas
En la empresa Tecnidata se encuentran distintos departamentos, los cuales tienen también

distintas necesidades informáticas, sin embargo todos los usuarios ocupan sistemas operativos
Windows, el cual es un sistema sumamente amigable para el usuario, pero al ser tan masivo es
blanco de múltiples virus, spyware, y otros malware que le pueden afectar, a esto se suma que
normalmente el usuario no cuenta con un conocimiento avanzado de informática de manera que la
responsabilidad de mantener la empresa lo mas limpia de ataques informáticos, y tener medidas de
mitigación, es nuestra asumiendo que el factor humano es la mayoría de las veces la parte más débil
en la seguridad informática, y por eso en las soluciones ellos son considerados parte importante.
Activos Vulnerables
Se considera por nuestra parte que los activos vulnerables son todos, especialmente
aquellos que están expuestos a la red WAN en este caso, servicio DNS, WEB, FTP, RSYSLOG, y
CORREO, de manera que la mayoría de los activos son especialmente vulnerables y todos son
considerados de alto riesgo de ataque.
9
Análisis de Vulnerabilidades
El análisis de vulnerabilidades se ejecuta en este caso mediante un software llamado

Nessus, que es una potente aplicación de detección de vulnerabilidades, mostrándonos
información, riesgos bajos, medios y altos de vulnerabilidades.
El Primer Analisis es la maquina con IP 192.12.118.100 que corresponde a servidor WEB, que
contiene servicio Http, DNS, Correo, Ftp, Samba/CIFS.
Escaneo Servidor Linux-WEB
Esto corresponde solo a una captura del informe completo, pero nos sirve para revisar las
vulnerabilidades encontradas y su nivel de riesgo.
10
Vulnerabilidades Encontradas y Soluciones
1.- SSH Server CBC Mode Ciphers Enabled
Servidor SSH esta configurado para admitir cifrado CBC, esto podría permitir que un
atacante recupere información confidencial.
La solución seria deshabilitar el cifrado de modo CBC y habilitar cifrado del modo CTR o
GCM(Counter).
2.- SSL Certificate Cannot Be Trusted
No se puede confiar en el certificado X.509 del servidor. Esta situación puede ocurrir de tres
formas distintas:
Es posible que la parte superior de la cadena de certificados enviada por el servidor no

proceda de una autoridad de certificación publica conocida.
La cadena de certificados puede contener un certificado que no es valido en el momento

del escaneo.
La cadena de certificados puede contener una firma que no coincide con la información del
certificado o no se pudo verificar.
La solución seria generar o comprar un certificado apropiado para este servicio, las
empresas suelen comprarlos.
11
3.- SSL Self-Signed Certificate
La cadena de certificados X.509 para este servicio no esta firmada por una autoridad de
certificación reconocida, de manera que el servidor se está auto certificando.
La solución seria comprar o generar un certificado para este fin.
4.- DNS Server Cache Snooping Remote Information Disclosure
El servidor DNS remoto es vulnerable a los ataques de espionaje caché.
El servidor DNS responde a las consultas de dominios de terceros que no tienen establecido
el bit de recursión. Esto puede permitir a un atacante remoto determinar que dominios se han
resuelto recientemente a través de este servidor DNS y por tanto que hosts se han visitado
recientemente.
Hay una serie de recomendación que nos pueden llevar a una solución, serian ponerse en
contacto con el proveedor del software DNS para buscar una solución. Pero también hay que notar
que este error normalmente se reporte en servidores que permiten resolución recursiva, en este
caso la solución sería dejar habilitada la recursión solo en caso de que el Servidor DNS se encuentre
en una red empresarial a la que no puedan acceder clientes no confiables o no permitir el acceso
publico a los servidores DNS que realizan recursión o definitivamente deshabilitar la recursión.
12
5.- DNS Server Recursive Query Cache Poisoning Weakness
El servidor remoto de nombres permite que el host que ejecuta nessusd realice consultas
recursivas. Es posible consultar el servidor de nombres remoto para los nombres de terceros. Si este
es su servidor de nombres interno, entonces el vector de ataque puede estar limitado a los
empleados o al acceso de invitados, siempre que esté permitido. Si es un servidor de nombres
remoto o DNS en WAN, entonces permite que cualquiera lo use para resolver nombres de terceros.
Esto permite a los atacantes realizar ataques de envenenamiento de caché contra este servidor de
nombres.
Si el host permite estas consultas recursivas a través de UDP, entonces se puede usar para
rebotar los ataques de Denegación de Servicio (DoS) contra otra red o sistema.
La solución es restringir las consultas recursivas a los hosts que deberían usar el servidor
DNS como por ejemplo la LAN para la que sirve.
En este caso como usamos BIND 9 podemos definir una agrupación de direcciones internas
usando ACL. Luego en las opciones del servicio named.conf se puede indicar explícitamente:
'allow-recursion {hosts_defined_in_acl}'
13
6.- DNS Server Spoofed Request Amplification DDoS
El Servidor DNS podría usarse en un ataque de denegación de servicio distribuido (DDoS),
El servidor DNS al responder a cualquier solicitud es posible consultar los servidores de

nombre (NS) de la zona raíz y obtener una respuesta que sea mayor que la solicitud original, al
falsear la dirección IP origen un atacante remoto puede aprovechar esta “amplificación” para lanzar
un DDoS contra un host de terceros utilizando nuestro DNS server.
La Solución es restringir el acceso al servidor DNS desde la red publica o rechazar estas
consultas externas.
7.- HTTP TRACE / TRACK Methods Allowed
El servidor web admite los métodos TRACE y/o TRACK los cuales son métodos HTTP que se
utilizan para depurar conexiones de servidor web.
La solución consiste en deshabilitar estos métodos.
8.- SSL Medium Strength Cipher Suites Supported (SWEET32)
El host admite el uso de cifrado SSL que ofrece un cifrado de intensidad media. Nessus considera la
resistencia media como cualquier encriptación que utiliza longitudes de clave de al menos 64 bits y
menos de 112 bits, o bien que utilizado cifrado 3DES.
La solución es configurar la aplicación afectada para evitar uso de cifrado de media intensidad.
14
Vulnerabilidades Corregidas
Luego de ejecutar las soluciones recomendadas por Nessus se vuelve a ejecutar un

escaneo de Vulnerabilidades con el fin de verificar que efectivamente las vulnerabilidades no
aparezcan o disminuya su calificación de riesgo, en otros casos se asume el riesgo, aunque esto
solo en caso de que no exista otra alternativa.
15
Análisis de riesgos posteriores
Luego de ejecutar el primer análisis, corregir de acuerdo con las soluciones ofrecidas o
recomendadas por Nessus y finalmente volver a ejecutar el análisis de vulnerabilidades, se puede
observar que sigue en riesgo medio todo lo relacionado con SSL, esto es debido a que lo mejor en
estos casos es contar con los certificados emitidos por una entidad certificadora, esa situación se
le debe comunicar a la empresa mandante realizar la compra de certificados y aplicar la
solución(por nuestra parte) en la medida que ellos quieran y/o puedan, siempre cuidando de
explicarles la importancia de contar con dichos certificados.
Con respecto a este primer análisis del servidor WEB de la empresa Tecnidata se puede
concluir que se resuelve sin mayores inconvenientes la mayoría de los problemas ya que no
necesitamos una intervención mayor de la empresa, aunque queda pendiente los certificados SSL,
que se debe gestionar su compra con Tecnidata.
16
Escaneo Servidor Windows-DNS
Luego del primer escaneo al servidor WEB, ahora es necesario escanear el servidor
Windows, el cual quedo de la siguiente manera:
Esto es solo una parte del reporte entregado por Nessus, pero muestra las vulnerabilidades
encontradas.
17
Vulnerabilidades Encontradas y Soluciones
1.- SMB Signing not required
El login no es necesario en el servidor SMB remoto, un atacante remoto no autenticado

puede explotar esta vulnerabilidad.
La solución pasa por habilitar la firma obligatoria en la configuración del host.
2.- Security Update for SAM and LSAD Remote Protocols
El host remoto Windows puede ser afectado por una vulnerabilidad de elevación de
privilegio en protocolos Security Account Manager y Local Security Authority Domain Policy. Esto
debido a una indebido nivel de autenticación de negociación en las Llamadas de Procedimiento
Remoto (RPC).
Microsoft declara haber liberado parches para tratar esta vulnerabilidad.
18
Vulnerabilidades Corregidas
Luego de ejecutar las soluciones recomendadas por Nessus que en este caso eran meras
actualizaciones se vuelve a ejecutar un escaneo de Vulnerabilidades con el fin de verificar que
efectivamente las vulnerabilidades no aparezcan o disminuya su calificación de riesgo, en otros
casos se asume el riesgo, aunque esto solo en caso de que no exista otra alternativa.
Se puede observar que ahora no hay vulnerabilidades de acuerdo al análisis del software Nessus.
19
Clasificación de Riesgos
Una vez finalizado y revisado el análisis de vulnerabilidades es necesario evaluar y clasificar

el riesgo que tenemos en nuestra red. Es necesario con tal fin realizar tablas de manera que
podamos mostrar y comprender mas claramente el riesgo en nuestro entorno.
Para ello tenemos que generar valores en 2 variables que son Magnitud de daño y Probabilidad de
Amenaza.
Magnitud de daño
1) leve daño, no genera molestia alguna ni al funcionamiento ni a la productividad de la empresa.
2) leve daño, perceptible a la empresa afecta ligeramente a la productividad y/o al

funcionamiento.
3) medio daño, daño sensible para la empresa en algunos casos irresoluble afecta productividad.
4) daño alto o altísimo, daño gravísimo para la empresa y afecta notoriamente productividad.
Probabilidad de Amenaza
1) poco probable que ocurra, 1 vez al año a lo sumo.
2) poco probable, 2 o 3 veces en un año como máximo.
3) probable al menos 1 vez al mes puede ocurrir.
4) muy probable al menos 1 vez a la semana ocurre.
20
Matriz de Riesgo
Esta matriz de riesgo es de acuerdo a los puntos tratados anteriormente, donde las zonas
en verde son importantes, aunque no son prioridad, las zonas amarillas son mas importantes y son
prioridad y las zonas rojas son máxima prioridad y pueden significar que el técnico de redes de la
empresa deba concurrir con urgencia a esta, y ninguna otra tarea puede interrumpir la resolución
de esta incidencia.
21
Análisis Cualitativo de los Riesgos
Servicio Servidor nivel de riesgo probabilidad de ataque

ftp CentOS medio bajo
samba CentOS medio bajo
correo CentOS alto alto
dns CentOS alto medio
web CentOS alto medio
rsyslog CentOS medio bajo
ssh CentOS alto medio
mysql CentOS alto bajo
active directory Windows medio medio
22
Mitigación de Riesgo
Ya que están realizados los análisis correspondientes se hace necesario planificar las
formas de mitigar los riesgos asociados.
Normalmente las empresas tienen jerarquizada su estructura de manera que los cargos
mas altos tienen labores de mayor importancia y por consiguiente la información que manejan es
mas delicada o mas importante, esto no necesariamente es asi ni tampoco se menosprecia la
información tratada por el resto de la empresa, pero si es una buena política respaldar los equipos
personales de gerencia especialmente debido a lo explicado anteriormente.
También ya que trabajaremos con servidores que idealmente deben tener un uptime lo
mas alto posible, es bueno monitorearlos mediante herramientas como PRTG Network Monitor,
Zabbix o Nagios, estas herramientas nos permitirán saber en todo momento que ocurre con
nuestro servidores ya que podemos chequear cada cierto tiempo CPU, RAM, Espacio en Disco y
cualquier cosa que consideremos critica, incluso si el servidor ha caído esto ya que podemos
configurar que envíe correos(incluso SMS) según las alertas que se le configuran.
Aun cuando se tienen los servidores monitoreados y en general funcionando bien, siempre
existe la posibilidad de perder la información, de manera que el respaldo siempre se recomienda,
la maquina completa debe ser respaldada de forma que en el peor de los casos se puede volver a
tener una maquina en funcionamiento aun si acaba de ser gravemente dañada.
Actualizar, la política de actualizaciones puede ser determinante a la hora de contar con

una empresa segura, en el año 2017 cuando ataca el Malware WannaCry, muchas empresas se
vieron afectadas, esto debido a que los equipos no estaban actualizados con el ultimo parche de
seguridad ofrecido por Microsoft tan solo un mes antes, obligar a actualizar los equipos en el
dominio mediante políticas de grupo, y prohibir el ingreso de equipos externos es una medida
adicional de seguridad que puede ayudar.
23
Las redes son la base sobre la que se sostiene la estructura de servidores de la empresa,
de manera que cuidar la red es cuidar los servidores, por lo mismo bloquear el acceso a redes Wifi
es otra política, solo permitir el acceso a equipos con MAC conocida, esto se debe hacer
manualmente equipo a equipo, pero garantiza que no tendrán equipos desconocidos conectados.
Hay otro tipo de políticas de seguridad como por ejemplo que los usuarios cambien sus
contraseñas una vez al mes, incluso si los equipos están en un dominio mediante GPO se puede
obligar a ello, que las claves contengan mayúsculas, minúsculas, longitud de contraseña, etc.
Restringir el acceso físico a la sala de servidores, solo a los técnicos autorizados para ello.
Finalmente hay políticas de seguridad que apelan al buen comportamiento del usuario
como tal, por ejemplo, que si este se para o abandona su puesto de trabajo debe dejar el
protector de pantalla para que el equipo quede bloqueado, o avisar inmediatamente si recibe
correo malicioso, u otros.
24
Herramientas de Seguridad
No solo políticas de seguridad son necesarias en la empresa, también los servidores

cuentan con programas que nos pueden ayudar a mejorar la seguridad, en este caso utilizaremos
básicamente 2 barreras protectoras, uno es el firewall de Linux desde la versión 7 en adelante
Firewalld, y Selinux(Security-Enhanced Linux).
Aquí podemos observar la política de Selinux mediante el comando getenforce, de esta manera
sabemos que Selinux está trabajando de acuerdo a las reglas configuradas por nosotros.
25
En esta captura podemos chequear el funcionamiento del sistema de firewall de Linux, desde la
versión 7 en delante de CentOS viene por defecto el Daemon Firewalld, sin embargo, se puede
habilitar rápidamente el antiguo IPtables.
Este es un ejemplo del funcionamiento básico del Firewall.
26
Conclusión
Finalmente podemos concluir que sabiendo que la información es el activo mas importante
para una empresa, ya que permite saber todo lo que debe hacer para funcionar, esta se debe cuidar
por los medios necesarios con el fin de que la empresa mantenga una fluida productividad. Esto
mediante distintos métodos, como definir políticas de seguridad, análisis constante de los riesgos
de la empresa, activos expuestos, equipos infectados con el fin de impedir la fuga, perdida y
alteración de la información. Que si bien las máquinas son las que contienen la información y por
tanto parte importante de la seguridad se encuentra orientada a ellos, tampoco debemos olvidar
que el eslabón más débil en la cadena de la seguridad informática es el mismo usuario, aunque se
trate de un técnico calificado de Duoc.
27

Caso N3 Informe Final

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Caso N3 Informe Final

Cargado por

Copyright:

Formatos disponibles

Escuela de Informática y Telecomunicaciones

Administración de Redes Computacionales

En las empresas actuales, donde existe regularmente un centro de información que

El objetivo de este informe es mostrar los análisis de vulnerabilidades mediante software y

Análisis del Caso

Primero es necesario analizar el caso de forma global, creando un inventario, revisando

Inventario de Servidores y Activos

Estos tienen las siguientes IP:

Servidor WEB 192.12.118.100 WAN

Nombre Servicio FTP

Nombre Servicio DNS

Nombre Servicio HTTP

Nombre Servicio MySQL

Nombre Servicio Postfix

Nombre Servicio Syslog

Servicio Active Directory

Nombre Servicio Active Directory

En la empresa Tecnidata se encuentran distintos departamentos, los cuales tienen también

El análisis de vulnerabilidades se ejecuta en este caso mediante un software llamado

Escaneo Servidor Linux-WEB

Vulnerabilidades Encontradas y Soluciones

1.- SSH Server CBC Mode Ciphers Enabled

2.- SSL Certificate Cannot Be Trusted

Es posible que la parte superior de la cadena de certificados enviada por el servidor no

La cadena de certificados puede contener un certificado que no es valido en el momento

3.- SSL Self-Signed Certificate

La solución seria comprar o generar un certificado para este fin.

4.- DNS Server Cache Snooping Remote Information Disclosure

El servidor DNS remoto es vulnerable a los ataques de espionaje caché.

5.- DNS Server Recursive Query Cache Poisoning Weakness

6.- DNS Server Spoofed Request Amplification DDoS

El Servidor DNS podría usarse en un ataque de denegación de servicio distribuido (DDoS),

El servidor DNS al responder a cualquier solicitud es posible consultar los servidores de

7.- HTTP TRACE / TRACK Methods Allowed

La solución consiste en deshabilitar estos métodos.

8.- SSL Medium Strength Cipher Suites Supported (SWEET32)

Luego de ejecutar las soluciones recomendadas por Nessus se vuelve a ejecutar un

Análisis de riesgos posteriores

Escaneo Servidor Windows-DNS

Vulnerabilidades Encontradas y Soluciones

1.- SMB Signing not required

El login no es necesario en el servidor SMB remoto, un atacante remoto no autenticado

La solución pasa por habilitar la firma obligatoria en la configuración del host.

2.- Security Update for SAM and LSAD Remote Protocols

Microsoft declara haber liberado parches para tratar esta vulnerabilidad.

Una vez finalizado y revisado el análisis de vulnerabilidades es necesario evaluar y clasificar

2) leve daño, perceptible a la empresa afecta ligeramente a la productividad y/o al

2) poco probable, 2 o 3 veces en un año como máximo.

3) probable al menos 1 vez al mes puede ocurrir.

4) muy probable al menos 1 vez a la semana ocurre.

Análisis Cualitativo de los Riesgos

Servicio Servidor nivel de riesgo probabilidad de ataque

Actualizar, la política de actualizaciones puede ser determinante a la hora de contar con

No solo políticas de seguridad son necesarias en la empresa, también los servidores

Este es un ejemplo del funcionamiento básico del Firewall.

También podría gustarte