SI04003 – Seguridad en redes I

Explicación del tema – Sesión 11

Algunas preguntas que las organizaciones deben de hacerse para aplicar a un análisis de
vulnerabilidades de redes:

• ¿Conozco los puntos débiles de mi infraestructura de red o de TI en general?

• ¿Puede un atacante externo entrar en mis servidores críticos? ¿A cuales?
• ¿Puede bloquearlos?
• ¿Cómo podría hacerlo?
• ¿Y un empleado malintencionado?
• ¿Existen en alguno de mis sistemas (Sistema Operativo, Bases de Datos, protocolos etc.)
cuentas por default o mal configuradas sin password o demasiado débil.?
• ¿Cuánto le costaría a un atacante llevar a cabo las anteriores acciones?
• ¿Qué puedo hacer para remediar los problemas detectados?
• ¿Cómo evoluciona la seguridad de mi infraestructura con el tiempo?
• ¿Cómo afectan a la seguridad los últimos cambios que he realizado?

Premisas del análisis de vulnerabiilidadades.

Este análisis de vulnerabilidades debe de cumplir con las siguientes premisas:

La evidencia debe ser:

Cuantificable y medible, cualquier dato que no cumpla estas características, no puede
considerarse como evidencia.

Ser repetitiva y consistente. No pueden considerarse como evidencia aquellos datos que se
presentan esporádicamente.

Respetar la confidencialidad de los datos y del individuo, y en caso que la evidencia sea
utilizada como elemento para proceder legalmente este punto puede omitirse

Las decisiones y recomendaciones deben estar soportadas en base a los méritos y

experiencia del equipo que realiza las pruebas y del analista de los resultados. Las
decisiones basadas en marcas o aspectos inherentes a las mismas no pueden ser
consideradas como válidas.

La evidencia y las actividades motivo del análisis de vulnerabilidades deberán cumplir de

acuerdo a las leyes locales aplicables.

Las opiniones deben ser ampliamente soportadas en documentos y experiencias

documentadas por organizaciones reconocidas.

Concepto de SCAN.
Para poder realizar análisis de vulnerabilidades en redes será necesario contar con
herramientas automatizas.

Este tipo de herramienta es llamada “SCAN”.

Esta herramienta simula las actividades típicas de un “hacker” probando la presencia de

miles vulnerabilidades conocidas, puertos abiertos y mucho más.
Características de los scanners de vulnerabilidades.

• Le da una visión externa o interna de su red, desde Internet o dentro de la red local.
• Escanea todos los 65,535 puertos de TCP/IP / UDP para descartar huecos de seguridad
potenciales.
• Examina pruebas de vulnerabilidad para descartar debilidades de seguridad, inclusive
ataques basados en diferentes sistemas operativos, ataques de denegación de servicios,
explotaciones de vulnerabilidades, abusos de CGI, vulnerabilidades del servidor de
correo y vulnerabilidades en los Firewalls etc.
• Da un informe detallado y completo acerca de los hallazgos y sugiere soluciones
potenciales.

Pasos principales de un análisis de vulnerabilidades.

Descubrimiento: se obtiene información del objetivo

Acciones
1. Definir el alcance de la actividad (geográfico, organizacional, etc.)
2. Buscar información relacionada en newsgroups, páginas web, motores de búsqueda.
3. Examinar la base de datos WHOIS para buscar servicios relacionados a los dominios
registrados por la organización.

Resultados esperados
o Tamaño y alcance de la presencia en Internet de la empresa.
i. Nombres de dominio
ii. Bloques de red
iii. Direcciones IP específicas.

Enumeración: ejecutar el scan de puertos e identificación de recursos

Acciones

Enumeración de servicios
1. Recopilar mensajes de broadcast de la red.

2. Probar pasar el firewall con un conjunto de paquetes TTL estratégicos (Firewalking)

para todas las direcciones IP.

3. Usar ICMP y resolución inversa de nombres para determinar la existencia de todas las
maquinas en la red.

4. Usar el puerto 80 de TCP y ACK en los puertos 3100 - 3150, 1001-10050, 33500-33550, y
en 50 puertos aleatorios arriba del 35000 para todos los nodos de la red.

5. Usar fragmentos de TCP fragments in reverse order wcon escaneos FIN, NULL y XMAS en
los puertos 21, 22, 25, 80 y 443 para todos los nodos de la red.

6. Usar un TCP SYN en los puertos 21, 22, 25, 80, y 443 para todos los nodos de la red.

7. Usar DNS connect attemps en todos los nodos de la red.

8. Usar FTP and proxies para relanzar los escaneos al interior de la DMZ para los puertos
22, 81, 111, 132, 137 y 161 para todos los nodos de las red.
Enumeración de puertos
1. Usar escaneos de TCP SYN (Half-Open) para enumerar los puertos abiertos, cerrados o
filtrados en las pruebas de TCP para todos los nodos del sistema.

2. Usar escaneos TCP full connect para escanear todos los puertos arriba del 1024 en
todos los nodos de la red.

3. Usar escaneos TCP fragmentados en orden inverso para enumerar puertos y servicios
para el conjunto de puertos definidos por defecto para todos los servidores de la red.

4. Usar escaneos de UDP para enumerar los puertos abiertos o cerrados en las pruebas de
UDP. Si no se está filtrando UDP.

Mapeo de Vulnerabilidades, identificar las vulnerabilidades en los sistemas que están bajo
el análisis

Explotación, intentar explotar vulnerabilidades en caso que así sea acordado.

Reportes, se elaboran reportes técnicos así como reportes ejecutivos de las

vulnerabilidades y sus riesgos asociados.

Tendencias
El mercado cada día comenzara a solicitar que se le hagan este tipo de estudios ya que
para poder cumplir con tramites del gobierno y bancarios se deberá de contar con una
auditoria externa de la seguridad de su red.

Como se puede ver en la siguiente grafica según Select la mayoría de las empresas tiene
como prioridad mejorar la seguridad de las aplicaciones.