Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Evaluacion de Las Vulnerabilidades de La
Evaluacion de Las Vulnerabilidades de La
ANÁLISIS DE SISTEMAS
Título:
Diciembre 2016
HOJA DE APROBACIÓN
………………………….
Lic. Rocio Elisa Torales Frutos
Tutora
…………………….. ……………………..
Prof. Ing. Alex Artemio Franco Prof. Lic. Gloria Ayala Godoy
Miembro del Tribunal Miembro del Tribunal
…………………….. ……………………..
Prof. Lic. Magno Portillo Anzoategui Prof. Ing. Walter Gómez Mendoza
Miembro del Tribunal Miembro del Tribunal
I
DEDICATORIA
Angel Heimann
II
AGRADECIMIENTOS
Agradecemos de todo corazón, a todas aquellas personas que nos han alentado
constantemente a lo largo de la elaboración de este trabajo final de grado. Gracias por
darnos ese ánimo, que en ocasiones se nos agotaba.
También agradecemos con todo nuestro aprecio a la Lic. Rocio Elisa Torales Frutos,
nuestra querida orientadora. Gracias por darnos luz cuando nos perdíamos en la
oscuridad.
III
RESUMEN
IV
ABSTRACT
The Computer security is a branch of computer science, which deals with safeguard
information systems risks that may affect the integrity, availability and privacy of
information. The objective of this study is to identify the level of network vulnerability
of the network of the National University of Canindeyú (UNICAN) headquarters Salto
Del Guairá. For this field has made a cross cut investigation a qualitative and
quantitative design, where the population was conformed for all devices connected to
the network (53), also a non-probability sampling was performed for convenience,
selecting only computers without firewall protection or detection systems from intruders
(IDS) and assigning static IP addresses (16); so in order to undertake work were utilized
two free tools (OpenVAS and Nessus), both perform vulnerability scanning. The results
obtained with the tool OpenVAS were as follows, according to the risk levels: high
4.17%; medium 8.97%; low 6.73% 80.13% without risk, while the Nessus the following
results were obtained: critic 2,98%; High 4.61%; medium 8.81%; low 1.36% and
82.25% without risk. Despite not be detected alarming to percentage of serious failures,
equally need attention and actions corrective, in order to mitigate and prevent the risks
associated with the presence of these vulnerabilities in the network UNICAN.
V
ÍNDICE GENERAL
I - INTRODUCCIÓN ....................................................................................................... 1
2.8.1. OWASP............................................................................................................... 10
2.8.2. PTES ................................................................................................................... 11
2.8.3. ISSAF .................................................................................................................. 12
2.8.4. OSSTMM 3 ......................................................................................................... 14
2.8.4.1. ALCANCE ......................................................................................................... 15
2.8.4.2. SEGURIDAD OPERACIONAL (OPSEC) ................................................................ 16
2.8.4.3. MÓDULOS DE PRUEBAS .................................................................................... 20
V - CONCLUSIONES .................................................................................................... 53
VI - RECOMENDACIONES ......................................................................................... 55
VII - REFERENCIAS BIBLIOGRÁFICAS................................................................... 56
ÍNDICE DE TABLAS
ÍNDICE DE GRÁFICOS
Anexo 3 – Ejemplo de migración de los datos de los resultados de Nessus a una base de
datos Postgresql utilizando Metasploit
Anexo 4 – Función PL/PGSQL que agrupa los resultados de los escaneos realizados con
nessus
I - Introducción
I - INTRODUCCIÓN
Para este fin suelen ser tomadas medidas de seguridad que garanticen la disponibilidad,
confidencialidad e integridad de los datos, restringiendo el acceso a la información solo
a personas autorizadas, estas medidas incluye algunos conceptos de seguridad,
conceptos de autorización de accesos y utilización de sistemas de detección de intrusos
[1].
1
En este contexto lo que se busca con este trabajo es conocer el estado en que se
encuentra la seguridad de los datos, y por ende, la información que es generada y
manejada por la Universidad Nacional de Canindeyú en su sede de Salto del Guairá. Así
como también conocer específicamente cuales son las vulnerabilidades que
comprometen la seguridad de los equipos informáticos que conforman su red de
información.
1.1. OBJETIVOS
2
II - Marco Teórico
II - MARCO TEÓRICO
3
II - Marco Teórico
Existen varios métodos además buenas prácticas que son utilizadas con el fin de
fortalecer la seguridad de los sistemas y redes informáticas, métodos que buscan
minimizar los riesgos y amenazas a la información y los sistemas informáticos. Uno de
estos métodos es el Penetration Testing (Pen-test) o pruebas de penetración, que será
explicado más adelante [6].
2.2. Activos
Desde el punto de vista informático, activo es cualquier elemento físico o lógico que
tenga un valor para la organización. Como el valor de los activos depende cada
organización es de suma importancia clasificarlos, de forma a determinar el grado de
significación que tienen para la organización, y poder definir el tiempo, costo y esfuerzo
que se utilizará para resguardarlos [5].
4
II - Marco Teórico
2.4. Vulnerabilidad
5
II - Marco Teórico
El hacking ético emula el método utilizado por los piratas de computadoras para
ingresar en los sistemas informáticos y acceder a datos restringidos que puedan utilizar,
con la salvedad de que los métodos utilizados por los pentesters2 no comprometen de
ninguna manera los activos de la entidad, que son los preciados datos que maneja [9].
2
Persona encargada de realizar un pentest o prueba de vulnerabilidad en una red y los sistemas
conectados a la red, con el fin de demostrar y documentar las fallas de seguridad encontradas.
6
II - Marco Teórico
Estos tipos de pruebas de seguridad son realizados por profesionales de la seguridad que
imitando un intento de intrusión no autorizada, lo comúnmente realiza un hacker,
eludiendo controles, identificando objetivos y accediendo a zonas privilegiadas de los
sistemas [8].
Ayuda a determinar la posibilidad del éxito que podría llegar a tener un eventual ataque
real, así como la identificación de vulnerabilidades de diferentes niveles de riesgos. Para
ello se vale de herramientas de análisis profesionales que realizan barreduras en los
sistemas de comunicación y de seguridad [9].
Los resultados de las pruebas se presentan como informes que deben servir para la
evaluación de impacto potenciales a la organización, además detalla las medidas a tener
en cuenta para minimizar los riesgos descubiertos [10].
Black Box (caja negra): donde la persona encargada del test no cuenta con ningún
tipo de información del sistema o la red a ser analizada.
White Box (caja blanca): en esta variante de pen-testing el profesional de seguridad
tiene una completa información de todo el sistema/red objetivo del análisis
Gray Box (caja gris): es un caso intermedio entre los anteriores, donde el analista de
seguridad dispone de información parcial del sistema/red [9].
7
II - Marco Teórico
Con estas variantes lo que se logra es simular, de manera más eficiente, las diferentes
situaciones de la realidad.
Se debe considerar que las pruebas de penetración no son un remplazo para la correcta
auditoría de la configuración de cierta infraestructura, con ellas no se analizan las
prácticas operativas de la organización, nada más reflejan la situación de la seguridad en
un momento especifico (“fotografía” de la realidad), además las técnicas que aplique el
consultor pueden no llegar hasta los límites de lo que haría un hacker [10].
Esta etapa consiste básicamente en detectar todos los posibles objetivos de ataque
dentro de una red, sería lo que se conoce como detección de hosts, pero no solo los
servidores y computadoras que operan en la red, sino también todos los equipos de
conexión y de seguridad (switches3, routers4, firewalls5, etc.). El agente de seguridad
encargado se puede valer de la estructura de la red, ya sea en forma gráfica o no, para
contar con información adicional que puede ayudar en las pruebas [10].
Etapa en la que se intenta determinar cuáles son los servicios que están en ejecución en
los equipos que fueron seleccionados para ser objetivos de prueba. Algunos ejemplos de
servicios que pueden ser encontrados son: HTTP, Telnet, SMTP, Bases de Datos, DNS,
FTP.
3
Conmutador o switch, es un dispositivo que conecta dos o más de segmentos de una red.
4
Enrutador o router, dispositivo que envía o encamina paquetes de datos de una red a otra.
5
Corta fuego o firewall, es uno o varios dispositivos que bloquean o permiten el tráfico de datos
en una red sobre la base de un conjunto de normas y criterios.
8
II - Marco Teórico
Además se busca conocer las versiones de estos servicios y el sistema operativo sobre el
cual están corriendo estos servicios.
Para lograr el objetivo de esta etapa el encargado del test debe valerse de técnicas de
escaneo de puertos (port scaning) [10].
Luego de haber determinado los servicios y sus versiones, se buscará descubrir las
vulnerabilidades en estos servicios, utilizando herramientas automatizadas que con
ayuda de bases de datos actualizadas con vulnerabilidades ya detectadas anteriormente,
son capaces de comparar servicios y versiones para descubrir posibles vulnerabilidades.
En caso de no ser suficiente el nivel de acceso, el atacante deberá intentar escalar sus
privilegios a través de nuevos ataques (ataques locales) [10].
9
II - Marco Teórico
2.8.1. OWASP
Cada uno de los materiales de OWASP, son distribuidos bajo una licencia de código
abierto, por lo que cualquier persona puede hacer uso, modificación y distribución de
ellos bajo la misma licencia. OWASP cuenta con una gran cantidad de herramientas,
guías prácticas, documentos, listados de comprobación y otros materiales que cubren
muchos aspectos de la seguridad en aplicaciones.
Modo pasivo: su finalidad es conocer la lógica de la aplicación, así como los puntos
de acceso a ella, parámetros, peticiones y respuestas http, cookies, etc. De esta
manera el encargado de la prueba tendrá información necesaria para pasar a la
siguiente fase.
Modo activo: en esta fase se realizan las pruebas a la aplicación, las pruebas
planteadas en esta metodología se subdividen en 11 sub-categorías y un total de 91
controles. Las sub-categorías son las siguientes:
o Recopilación de información.
o Configuración y Pruebas de gestión de despliegue.
o Pruebas de gestión de identidad.
o Prueba de autenticación.
o Prueba de autorización.
o Pruebas de gestión de sesiones.
o Las pruebas de validación de entrada.
o Manejo de errores.
10
II - Marco Teórico
o Criptografía.
o La lógica de negocios de Pruebas.
o Prueba lado del cliente.
La guía de pruebas OWASP 4.06 describe en forma detallada y con ejemplos cada uno
de estas sub-categorías y sus respectivos controles [13].
2.8.2. PTES
El estándar consiste en siete secciones principales que cubren todo lo relacionado con
una prueba de pen-test, para ello se une lo mejor de varias metodologías de testeo de
seguridad y se enmarca fuertemente en la metodología OSSTMM sin depender de ella.
Los siguientes son las principales secciones definidas por la norma como base para la
ejecución de pruebas de penetración:
6
Metodología de pruebas de seguridad en aplicaciones web, explica cómo poner a prueba la
evidencia de vulnerabilidades dentro de una aplicación debido a las deficiencias identificadas con los
controles de seguridad.
11
II - Marco Teórico
2.8.3. ISSAF
7
GNU es un acrónimo recursivo de "GNU's Not Unix" (en español: GNU no es Unix).
8
GNU General Public License (Licencia Pública General de GNU).
12
II - Marco Teórico
Con ISSAF pueden ser evaluados los controles de redes, sistemas y aplicaciones
utilizando las tres fases planteadas en la metodología.
Además de esto se debe realizar los acuerdos correspondientes del alcance de las
pruebas con la organización [16].
13
II - Marco Teórico
o Alcance.
o Objetivos.
o Tiempos de prueba.
o Evaluaciones realizadas.
o Informe de vulnerabilidades.
o Recomendaciones.
o Observaciones.
o Conclusiones.
Como se puede notar el marco ISSAF es bastante amplio, pues sus desarrolladores
optaron para incluir en el tanta información como fuera posible [15].
2.8.4. OSSTMM 3
9
Institute for Security and Open Methodologies (Instituto para la Seguridad y Metodologías
Abiertas)
14
II - Marco Teórico
2.8.4.1. Alcance
15
II - Marco Teórico
16
II - Marco Teórico
Controles
Son mecanismos de seguridad que han sido establecidos para proteger los activos en el
transcurso de una interacción con este. Se dividen en dos clases.
Categoría Descripción
Cada punto de autenticación necesario para acceder a un
1 Autenticación objetivo. La autorización e identificación conforman el
correcto proceso de autenticación.
Cada instancia de métodos de resguardo compensatorio
para los objetivos. Ejemplo: una póliza de seguro contra
2 Indemnización
robo para 200 computadoras, en el caso se contaría 200
instancias de indemnización.
Cada una de las condiciones estrictas para que el usuario
pueda llegar a tener un acceso de confianza para la
interacción con el activo. Por ejemplo, en un proceso de no
repudio, donde la persona que recibe un documento que se
3 Subyugación encuentra bajo control de subyugación, y el mismo
entregador del documento registra los datos de
identificación, en lugar de que lo haga la persona que
recibe, de manera a eliminar los riesgos de falsificación de
datos.
Cada instancia de acceso que asegure que no habrá ninguna
interrupción en la interacción. Por ejemplo, si falla un
servidor web encargado de servicios importantes, debe
4 Continuidad
existir un segundo servidor que proporcione el mismo
servicio en forma redundante para que no se pierda la
interacción.
Cada uno de los mecanismos que refuercen la seguridad en
caso de fallos “fallar de forma segura”. Por ejemplo, si una
aplicación web pierde comunicación con la base de datos al
5 Resistencia
intentar autenticar una contraseña para un inicio de sesión,
ésta debe denegar todos los intentos de acceso a la
aplicación en lugar de permitirlos.
17
II - Marco Teórico
18
II - Marco Teórico
Limitaciones
Categoría Descripción
Es un tipo de falla que puede llegar a otorgar acceso de
interacción con un activo sin ningún tipo de autorización
previa, o también puede impedir que personas que si tienen
1 Vulnerabilidad
autorización de interacción, no puedan acceder al activo.
Ejemplo: una impresora que permita reimprimir el último
documento que fue impreso.
Cada defecto o error que produzca falta de rigor en
controles para la interactividad: la autenticación, la
2 Debilidad
indemnización, la subyugación, la continuidad. Ejemplo:
un generador auxiliar que no tenga combustible.
Cada defecto o error en el control de los procesos, el no
repudio, la confidencialidad, privacidad, integridad, y la
3 Preocupación
alarma. Ejemplo: un punto de acceso que tenga un cifrado
débil.
Contar cada acción de fallo o error que proporciona una
visibilidad directa de los objetivos o los activos dentro del
4 Exposición
alcance del canal elegido. Ejemplo: Una ventana que deje a
la vista algún activo.
Cada elemento desconocido que no puedan ser controlados.
5 Anomalía Ejemplo: una respuesta ICMP de un equipo que no se
encuentra en la red.
Fuente: [18]
La relación existente entre los controles, las limitaciones y los demás componentes de la
metodología OSSTMM, pueden ser observados en la siguiente tabla.
19
II - Marco Teórico
Para mejor entendimiento de los módulos de pruebas con que cuenta la metodología, y
así poder elegir correctamente el adecuado, se los han dividido en cuatro fases.
A. Fase de Inducción.
B. Fase de Interacción.
C. Fase Indagatoria.
D. Fase de Intervención.
Cada una de estas fases otorga un grado de profundidad mayor a la auditoría a realizar
[5].
A. Fase de Inducción
20
II - Marco Teórico
B. Fase de Interacción
21
II - Marco Teórico
C. Fase Indagatoria
En esta fase salen a luz la información fuera de lugar y la mala administración de los
activos. Gran parte de la prueba de seguridad se basa en información que el analista
descubre en esta fase.
22
II - Marco Teórico
D. Fase de Intervención
Fase final de una prueba de seguridad que se centra en los recursos de los objetivos que
pueden llegar a ser alterados, interrumpidos o sobrecargados a causa de invasiones.
23
II - Marco Teórico
En resumen, esta metodología cuenta con esquema general para el proceso de pruebas,
que está divido en cuatro fases (Fase de Inducción, Fase de Interacción, Fase
Indagatoria y Fase de Intervención). Pero además de las fases generales, cada prueba se
puede clasificar según su ámbito en tres clases (Seguridad Física - PHYSSEC,
Seguridad del Espectro - SPECSEC y Seguridad de las Comunicaciones - COMSEC)
los cuales se vuelven a sub-dividir en cinco canales (Humano, Fisco, Wireless,
Telecomunicaciones y Redes de Datos) y 17 módulos iguales para cada canal. Con esto
24
II - Marco Teórico
se puede apreciar una significativa simplicidad que llega a facilitar enormemente el uso
de OSSTMM en cualquier trabajo de auditoria de seguridad informática [18].
Es un proyecto open source creado y mantenido por Offensive Security10 [20]. Kali
Linux está basado en GNU/Linux Debian, y es una reconstrucción de la plataforma
Back Track, contiene una gran variedad de herramientas para la recopilación de
información de objetivos, identificación de vulnerabilidades, explotación de
vulnerabilidades, escalada de privilegios, etc.
Además de Kali Linux existen varias otras plataformas preparadas para la realización de
pruebas de seguridad, algunas de ellas son:
10
Offensive Security es una organización que se encarga de realizar diferentes tipos de actividades
relacionadas con la seguridad informática, se destacan principalmente por contar con el equipo de
creadores de la famosa distribución Kali Linux.
25
II - Marco Teórico
Entre todas las plataformas de pen-test disponibles, Kali Linux se destaca por su
completa documentación y gran comunidad de usuarios y desarrolladores que
mantienen constante actualización toda la información referente a este sistema, sin
mencionar la amplia cantidad de material educativo, sobre el uso de Kali Linux y sus
múltiples herramientas, que puede ser accedido en forma libre en internet.
Por estos motivos, se ha optado por la utilización de Kali Linux para la realización de
este trabajo, principalmente por la cantidad de información disponible sobre este
sistema operativo.
2.9.2. Nmap
La herramienta fue escrita en un principio por Gordon Lyon (Fyodor) para ser utilizado
en sistemas Linux, pero hoy en día, su mantenimiento y desarrollo, se encuentra a cargo
de una comunidad, y puede ser ejecutado en múltiples plataformas.
26
II - Marco Teórico
Nmap comenzó como un analizador de puertos, pero con la ayuda de personas de todo
el mundo, ha ido incrementando su funcionalidad. Puede llegar a analizar más de 1660
puertos TCP del objetivo. Los analizadores de puertos corrientes agrupan los puertos en
dos estados: abierto o cerrado, pero Nmap es más descriptivo y los divide en seis
estados: abierto, cerrado, filtrado, no filtrado, abierto/filtrado, o cerrado/filtrado.
Además Nmap soporta diferentes técnicas de sondeo de puertos [11].
Por sus características y funciones incorporadas hacen que Nmap sea una de las mejores
herramientas para el escaneo de puertos, y por la cantidad y calidad de información que
puede llegar a proveer en la fase de recopilación de información, para una auditoria de
red o pen-test, hace casi imprescindible su utilización en las pruebas de seguridad de
redes y sistemas. También se puede llegar a utilizar Nmap en la fase de explotación ya
que cuenta con varios scripts pre-configurados para la realización de ataques a
vulnerabilidades comunes en los sistemas más utilizados actualmente [6].
En lo que respecta a entornos de trabajo e interfaces con el usuario, cuenta con varios
tipos de interfaces, tales como interface en consola de línea de comandos, interface
gráfica para entornos de escritorio con Zenmap, también cuenta con interface utilizable
con navegadores web. Y como se dijo anteriormente, está escrito para ser utilizado en
múltiples sistemas operativos [11].
2.9.3. OpenVAS
El escáner de seguridad real se acompaña con una fuente de más de 47.000 pruebas de
vulnerabilidad actualizadas periódicamente a partir de febrero de 2016.
Todos los productos openvas son de Software Libre. La mayoría de los componentes
están licenciados bajo la Licencia Pública General de GNU (GNU GPL).
27
II - Marco Teórico
Es el núcleo de la arquitectura, está orientada a servicios y protegida por SSL, posee las
siguientes funciones.
Se encarga de:
28
II - Marco Teórico
Alto: vulnerabilidades que requieren una acción correctiva inmediata ya pueden ser
explotadas fácilmente por lo que pueden conllevar a tomar el control total del sistema
o comprometer gravemente la información del mismo.
Medio: son vulnerabilidades que requieren un conocimiento más avanzado para
llegar a explotarlas, son más complejas pero pueden llevar a brindar el mismo nivel
de acceso que las de alto riesgo, los equipos afectados por vulnerabilidades de nivel
medio requieren de correcciones a corto plazo.
Bajo: no requieren de atención urgente ya que se trata de vulnerabilidades muy
difíciles de ser explotadas y casi siempre brindan información sobre el sistema
objetivo que puede ser utilizada en ataques posteriores.
Log: vulnerabilidades que no conllevan riesgo de explotación pero que como la
anterior entrega información sobre el sistema [22].
29
II - Marco Teórico
2.9.4. Nessus
Nessus cuenta con varios tipos de evaluación para entornos de TI, entre los más
conocidos están:
Análisis de vulnerabilidades.
Auditorias de configuración.
Detección de malware.
Escaneo de aplicaciones web.
Además los resultados obtenidos con esta herramienta pueden ser exportados en una
gran variedad de formatos de archivos [23].
11
Common Vulnerabilities and Exposures es un diccionario de vulnerabilidades de la seguridad
informática conocidas públicamente
30
II - Marco Teórico
31
III - Marco Metodológico
3.2.1. Alcance
32
III - Marco Metodológico
TAREA COMENTARIO
La institución tiene como objetivo la
formación académica profesional de
personas del departamento de Canindeyú.
Por lo que se puede deducir que maneja y
Identificación de los objetivos del
1 utiliza información personal de los
negocio.
estudiantes y docentes, así como de datos
históricos y económicos de valor, además
de documentos sensibles de suma
importancia.
La institución cuenta con personal
distintos niveles y áreas de conocimiento,
Identificación de culturas, normas y entre ellas personal con conocimientos
2
políticas de seguridad del negocio. avanzados en informática. Además se
aplican políticas y normas básicas de
seguridad de la información.
Identificación de tiempos de
Opera de Lunes a Viernes de 07:30 a
3 operación y flujos aplicables a los
11:30 y de 13:00 a 22:00.
objetivos en el ámbito de las pruebas.
Identificación de los canales para Las pruebas se realizaron en el ámbito del
4
este ámbito. canal Red de Datos de la clase COMSEC.
Los vectores identificados para el canal
seleccionado fueron todos los puertos de
Identificación de todos los vectores
5 interacción y los servicios que operan en
de este ámbito.
esos puertos y no se encuentran filtrados o
protegidos.
Fuente: [18]
33
III - Marco Metodológico
Módulo 2 – Logística.
TAREA COMENTARIO
Las pruebas se limitan a la red y los
equipos propios de la Universidad
Nacional de Canindeyú de la sede Salto
Medidas de seguridad aplicadas a las
1 del Guairá. Por esta razón fueron tomados
pruebas.
en cuenta solo los equipos con asignación
fija de IP y obviados los de asignación por
DHCP.
Las tasas de velocidad de transmisión
varían dependiendo de la interfaz de red
que se utilice.
Con la interfaz Ethernet se obtuvo un
Determinación de inestabilidades de
2 promedio de 0,528 ms de velocidad de
las pruebas.
transmisión con 0 paquetes perdidos
Con la interfaz Wireless se obtuvo un
promedio de 61,944 ms de velocidad de
transmisión con 0 paquetes perdidos.
De lunes a viernes de 00:00 a 18:00 y de
Determinación y contabilización del 21:30 a 00:00.
3 periodo y tiempo de inactividad de Sábados y Domingos 24 horas.
las pruebas. Totalizando 150,5 horas semanales de
inactividad de pruebas.
Determinación y contabilización del
De lunes a viernes de 18:00 a 21:30
4 periodo y tiempo de actividad de las
Totalizando 17,5 horas semanales.
pruebas.
Fuente: [18]
34
III - Marco Metodológico
TAREA COMENTARIO
Indagando a los funcionarios se pudo
obtener información sobre la posible
Determinar controles en forma
1 presencia de cortafuegos en algunos host,
pasiva.
además se pudo determinar la presencia de
sistemas de detección de intrusos.
Se constató la presencia de puertos
Pruebas activas para determinar filtrados por cortafuegos en algunos
2
controles. equipos de la red y sistemas de detección
de intrusos.
Restricciones impuestas a
3 No se impusieron restricciones.
determinadas pruebas.
Según lo especificado en la sección
Intelligence Gathering, de PTES, apartado
4.1.5.8 Defense technologies, se realizó un
sondeo de red utilizando la opción –sV –
4 Formas de detección. reason de Nmap, en la que se puede
observar los puertos abiertos, cerrados y
filtrados; como también los
servicios/versiones que se ejecutan en cada
puerto.
Fuente: [18]
TAREA COMENTARIO
Detección de los equipos dentro de la red
con Nmap opción –sn sobre el rango IP
Generalización de objetivos
192.168.1.1/24 (Anexo 2). Fueron
1 encontrados por medio de tareas de
obviadas las tareas de espionaje de red,
enumeración.
según el acuerdo realizado con la
institución.
Los equipos descubiertos fueron
clasificados según su tipo mediante Nmap
Clasificación de objetivos mediante opción –A.
2 la investigación de objetivos ya - Impresoras (3).
conocidos. - Móviles (9).
- Ruteadores y Puntos de Acceso (4).
- Computadores (26).
35
III - Marco Metodológico
TAREA COMENTARIO
Se ha constatado la presencia de objetivos
Verificación de la posibilidad de que permiten una interacción directa y
1
libre interacción con los objetivos. libre sin restricciones de acceso de ningún
tipo.
En su mayoría las interacciones con los
Determinar el tipo de interacción con objetivos están controladas por medio de
2
los objetivos. permisos a usuarios y aislados mediante
grupos de trabajos de Windows.
No se detectaron ruteadores ni puntos de
Verificación de acceso por defecto
4 acceso con configuración de acceso por
para los puntos de acceso.
defecto.
Fuente: [18]
TAREA COMENTARIO
Los mecanismos de seguridad constatados
Verificación de aplicación de en las pruebas fueron:
1
mecanismos de seguridad. - Sistemas de detección de intrusos (IDS).
- Cortafuegos (firewall).
Para realizar esta tarea se utilizaron dos
herramientas de análisis de
Verificación de limitaciones de
2 vulnerabilidades, OpenVAS y Nessus, que
seguridad para los objetivos.
fueron ejecutados contra dieciséis
computadores de la red.
No fueron probadas otras técnicas para
Búsqueda de nuevas técnicas de
descubrir limitaciones, ni explotadas
3 elusión y explotación de limitaciones
ninguna de las vulnerabilidades
de seguridad.
encontradas.
Fuente: [18]
36
III - Marco Metodológico
Con el fin de conocer la cantidad total de equipos conectados fue realizado un sondeo
ping completo de la red de la Universidad Nacional de Canindeyú sede Salto del Guairá,
utilizando Nmap. Los escaneos fueron realizados cinco días consecutivos, desde el
16/05/2016 hasta el 20/05/2016, entre las 18:30 horas y las 21:00 horas, en días y
horarios de trabajo normal. Con esto se pudo constatar una variación en la cantidad de
equipos conectados a la red, por lo que promediando los resultados se obtuvo una
población de cincuenta y tres equipos conectados a la red de datos de la Universidad
Nacional de Canindeyú sede Salto del Guairá.
En primer lugar fue ejecutado un sondeo agresivo completo a la red, utilizando Nmap
con la opción –A, a fin de detectar los sistemas operativos de los equipos descubiertos,
así como los servicios ejecutados en cada sistema, y de esta manera poder seleccionar
solo los ordenadores; con lo cual se obtuvo un total de veintiséis computadores
conectados a la red.
3.4.1. Instrumentos
37
III - Marco Metodológico
Por otra parte, como instrumentos auxiliares se utilizaron varios programas, como, el
editor de texto predeterminado de Linux, Gedit, empleado en la normalización de los
datos obtenidos por OpenVAS, la herramienta de pent-test Metasploit FrameWork y el
motor de bases de datos PostgreSQL, para la carga y el almacenamiento de los datos
recolectados con Nessus, también las planillas electrónicas Microsoft Excel y Libre
Office Calc, en procesamiento de los datos y elaboración de gráficos.
3.4.2. Procedimiento
Una vez seleccionados los equipos que conforman la muestra de estudio, se realizó
escaneos de vulnerabilidades en cada uno de ellos con la ayuda de las dos herramientas
(OpenVAS, Nessus) mencionadas anteriormente y utilizando sus configuraciones por
defecto. Posteriormente, con resultados obtenidos de los análisis efectuados se procedió
de la siguiente manera.
Nessus permite exportar los resultados en varios formatos de archivos (.nesus, .pdf,
.html, .csv), fueron comprobados cada uno de los formatos para asegurar su fácil
utilización con planillas electrónicas. Como ninguna de las opciones ofrecían datos
normalizados para el procesamiento en planillas electrónicas y la enorme cantidad de
datos hacía imposible el procesamiento manual, por lo cual se optó por exportarlos en
archivos .nessus individuales por cada equipo analizado; luego utilizando PostgreSQL
se creó un base de datos vacía para unificar los datos y lograr obtener la información de
manera rápida y cómoda utilizando consultas sql. Para cargar los datos en base de datos
se empleó Metasploit que ofrece conexión a bases de datos y comandos especiales que
permiten la carga de los resultados de Nessus a la base de datos seleccionada (Anexo 3).
Como los datos fueron almacenados en tablas separadas y relacionados por medio de
claves foráneas, fue creada una consulta SQL y codificada una función en lenguaje
PL/PgSql12 para agrupar los resultados en una única tabla (Anexo 4). Con este último
procedimiento se logró procesar, los resultados de los escaneo practicados, en una
planilla electrónica y obtener los resultados generales con sus respectivos gráficos.
12
Procedural Language/PostgreSQL Structured Query Language es un lenguaje imperativo que
puede cargarse en el sistema de base de datos PostgreSQL.
38
III - Marco Metodológico
Una vez normalizados los archivos, todos los resultados fueron incluidos en un único
archivo para luego importar sus datos a la planilla electrónica y así proceder al
procesamiento de los resultados generales.
Realizadas las tabulaciones, se obtuvieron los resultados individuales para cada equipo,
luego se sumó la cantidad de vulnerabilidades de todos los equipos por cada nivel de
riesgo, para así conseguir los resultados generales de cada herramienta.
De la misma forma se realizó otra tabulación para cada herramienta en donde se agrupó
a cada vulnerabilidad especifica con los equipos afectados por ella, para este trabajo no
se tuvieron en cuenta las vulnerabilidades sin riesgo (info y log). De esta manera se
39
III - Marco Metodológico
40
IV - Resultados y discusiones
IV - RESULTADOS Y DISCUSIONES
Habiendo llevado a cabo las tareas de los módulos de Verificación y detección activa,
Auditoria de visibilidad y Verificación de acceso de OSSTMM, se pudo determinar las
siguientes características de la red:
La red está formada físicamente sobre una topología en estrella (figura 1) y lógicamente
sobre una topología en malla (figura 2), donde los accesos a los diferentes equipos que
la conforman están restringidos, en algunos casos, por medio de credenciales de
usuarios y contraseñas. Además se observa que los equipos están agrupados en
dominios de grupos de trabajos, que normalmente son utilizados en redes conformadas
por equipos informáticos que emplean sistemas operativos de Microsoft Windows.
41
IV - Resultados y discusiones
Los resultados sobre la disposición física y lógica de la red se deben, a que está
configurada de tal manera a permitir una alta interconectividad entre dispositivos,
además de facilitar la incorporación de equipos y el mantenimiento de la red. También
se podría clasificar a la red como una red hibrida, ya que está formada por diferentes
tipos de dispositivos que se conectan entre sí de múltiples formas ya sea por medios
inalámbricos o cableados.
Se logró determinar que el 2,98% de las vulnerabilidades presentes en los equipos que
conforman la muestra son de riesgo crítico, el 4,61% son de alto riesgo, el 8,81% son de
riesgo medio y un 1,36% de las vulnerabilidades son de bajo riesgo. Además se observó
42
IV - Resultados y discusiones
Info
82,25%
43
IV - Resultados y discusiones
44
IV - Resultados y discusiones
45
IV - Resultados y discusiones
46
IV - Resultados y discusiones
librería OpenSSL del servidor web. Ref.: en el host está afectado por múltiples
CVE-2015-1788, CVE-2015-1789, CVE- vulnerabilidades, CVE-2015-6834, CVE-
2015-1790, CVE-2015-1791, CVE-2015- 2015-6835, CVE-2015-6836, CVE-2015-
1792, CVE-2014-0185. 6837, CVE-2015-6838, OSVDB-127122.
Nivel de riesgo: medio. Nivel de riesgo: alto.
Cantidad de equipos afectados: 1 Cantidad de equipos afectados: 1
Solución: actualizar OpenSSL a la última Solución: actualizar PHP a la última
versión. versión.
Código: nsvuln019 Código: nsvuln020
Nombre: SMB Signing Disabled. Nombre: SSL Certificate Cannot Be
Descripción: No es necesario firma en el Trusted.
servidor SMB remoto. Un atacante remoto Descripción: El certificado X.509 del
no autenticado puede aprovechar esto para servidor no tiene una firma de una
realizar ataques man-in-the-middle contra el autoridad de certificación, Esto podría
servidor SMB. hacer que sea más fácil de llevar a cabo
Nivel de riesgo: medio. ataques man-in-the-middle contra el host
remoto.
Cantidad de equipos afectados: 14
Nivel de riesgo: medio.
Solución: hacer cumplir la firma de
mensajes en la configuración del host. Cantidad de equipos afectados: 3
Solución: adquirir o generar un
certificado adecuado para este servicio.
Código: nsvuln021 Código: nsvuln022
Nombre: SSL RC4 Cipher Suites Supported Nombre: Terminal Services Encryption
(Bar Mitzvah). Level is Medium or Low.
Descripción: Compatibilidad con cifrado Descripción: El servicio de Terminal
RC4 no seguro. Ref.: CVE-2013-2566, remoto no está configurado para utilizar la
CVE-2015-2808. criptografía fuerte.
Nivel de riesgo: bajo. Nivel de riesgo: medio.
Cantidad de equipos afectados: 3 Cantidad de equipos afectados: 5
Solución: reconfiguración de la aplicación Solución: cambiar el nivel de cifrado
afectada para evitar el uso de algoritmo de RDP a uno de alto nivel de cifrado.
cifrado RC4.
Código: nsvuln023
Nombre: Terminal Services Doesn't Use
Network Level Authentication (NLA) Only.
Descripción: Los Servicios de Terminal
remoto no está configurado para usar la
autenticación de nivel de red (NLA).
Nivel de riesgo: medio.
Cantidad de equipos afectados: 2
47
IV - Resultados y discusiones
12
10
6 5
4
4 3 3 3 3 3 3
2 2 2
2 1 1 1 1 1 1 1 1 1 1 1
48
IV - Resultados y discusiones
Log
80,13%
Gráfico 3 - Estado general de vulnerabilidades según OpenVAS
49
IV - Resultados y discusiones
50
IV - Resultados y discusiones
51
IV - Resultados y discusiones
4
4
3
2
2
1 1 1 1 1
52
V - Conclusiones
V - CONCLUSIONES
Se pudo identificar que la red analizada está estructurada físicamente sobre una
topología en estrella y lógicamente, en malla, la cual permite una amplia
interconexión de los equipos dentro de la red. Además se observó que la red está
conformada en su mayoría por equipos que ejecutan el sistema operativo Windows 7
o inferior, por lo cual se establecieron grupos de trabajos o dominios como forma de
dividir la red en sectores, lo cual es comúnmente utilizado en redes con equipos que
utilizan el sistema operativo Windows.
Se logró determinar que, todos los equipos informáticos que conforman la muestra
seleccionada, poseen algún tipo de vulnerabilidad detectable por Nessus. Con Nessus
se pudieron identificar un total de 23 tipos de vulnerabilidades, de las que la
vulnerabilidad nsvuln019 es la de mayor incidencia, la cual afecta a 14
computadoras, seguida de nsvuln022, que está presente en 5 computadoras y la
vulnerabilidad nsvuln006 que compromete a 4 computadoras.
53
V - Conclusiones
54
VI - Recomendaciones
VI - RECOMENDACIONES
Para futuros trabajos sobre el tema en cuestión, se deben tener en cuenta la posibilidad
de profundizar el análisis de vulnerabilidades por medio de la explotación, esto dará al
investigador una mejor visión sobre el riesgo que implica cada vulnerabilidad
encontrada.
55
VII - Referencias Bibliográficas
[3] M. del P. Alegre Ramos, A. García, y C. Hurtado, Seguridad Informática, 11a ed.
Madrid, 2011.
[9] C. Tori, Hacking Ético, 1a. Buenos Aires: Mastroianni Impresiones, 2008.
56
VII - Referencias Bibliográficas
[18] P. Herzog, “OSSTMM 3.0 - The Open Source Security Testing Methodology
Manual”, Isecom. Institute for Security and Open Methodologies, 2010.
[20] Kali Linux ©, “About Kali Linux”, 2016. [En línea]. Disponible en:
57
VII - Referencias Bibliográficas
[23] I. Tenable Network Security, “Welcome to Nessus”, 2016. [En línea]. Disponible
en: https://docs.tenable.com/nessus/6_9/Content/GettingStarted.htm. [Accedido:
22-mar-2016].
58
Anexos
ANEXOS
59
Anexos
60
Anexos
61
Anexos
62
Anexos
63
Anexos
64
Anexos
65
Anexos
END LOOP;
END$BODY$
66