Está en la página 1de 15

INFORME DE VULNERABILIDAD

Julián David Rúa


Andres Moreno Álvarez
Edisson Castillón
INTRODUCCIÓN
Debido a los múltiples riesgos y amenazas que hoy en día atentan contra la
seguridad de la información y la protección y privacidad de los datos, es
fundamental que las organizaciones establezcan, implementen, mantengan
y mejoren continuamente un sistema de gestión de seguridad de la
información basado en los riesgos y a su vez, alineado con los objetivos
estratégicos y necesidades tanto del negocio como de sus partes
interesadas.
OBJETIVOS
GENERAL
Con este informe se pretende mostrar un resumen de información de carácter
general, sobre las vulnerabilidades que se pudieron evidenciar en los diferentes
dispositivos i|nformáticos dentro de la Organización, luego de realizar el proceso de
análisis de vulnerabilidad.

ESPECÍFICOS
 Análisis de vulnerabilidad según lo establecido en la guía para la identificación de
amenazas y análisis de vulnerabilidades por el analista. 
 Realizar la toma de muestras de amenazas de los equipos informáticos de la
Organización realizado con la herramienta Nessus. 
 Identificación de Servicios vulnerables sin llegar a explotar dicha(s)
vulnerabilidad(es).
ALCANCE

El informe se realiza para el apoyo en la


identificación, evaluación, valoración y observaciones
correspondientes de las amenazas derivadas de la
vulnerabilidad de la Entidad, permitiendo establecer
medidas preventivas, correctivas y de mitigación,
contribuyendo así a que los integrantes conozcan y
empleen acciones necesarias que permitan actuar
adecuadamente ante un evento o amenaza a la
seguridad informática, a su vez actualizar el plan de
seguridad informática y contingencias.
VULNERABILIDADES SMB

SMB es un protocolo de red que permite a una aplicación o al usuario de una


aplicación compartir archivos, discos, directorios, impresoras, puertos seriales y mail
slots, a través de una red que usa el sistema operativo Microsoft Windows.

El tráfico SMB sin NetBIOS que usa asignación directa de host utiliza el puerto 445


(TCP y UDP). En esta situación, un encabezado de cuatro bytes precede al
tráfico SMB. El primer byte de este encabezado siempre es 0x00 y los tres bytes
siguientes son la longitud de los datos restantes
PUERTO TCP/IP 445

Es fundamental para compartir archivos a través de una red TCP/IP


Windows.
SMB puede permitir a un atacante remoto obtener información confidencial de los
sistemas afectados. El puerto 445 ya ha sido utilizado por varios tipos de ataques,
incluyendo los gusanos Sasser y Nimda, para esto dicho puerto necesita estar
abierto en entornos Windows.
DETECCIÓN
SMB hace uso principalmente del
puerto 445, aunque puede utilizar los
puertos TCP: 139 y UDP: 137, 138. El
reporte de “Accesible SMB” se basa en
peticiones TCP al puerto 445 de
servidores con direcciones IPv4, e
identifican los hosts que tienen el servicio
en el puerto 445 y el cual es accesible
desde Internet. El comando que se utiliza
para verificar si el puerto para SMB está
abierto es:
Puerto 22/SSH

Las contraseñas débiles pueden hacer que SSH y el puerto 22 sean objetivos fáciles. El
puerto 22, el puerto designado de Secure Shell que permite el acceso a shells remotos en
el hardware del servidor físico es vulnerable donde las credenciales incluyen nombres de
usuario y contraseñas predeterminados o fáciles de adivinar. Las contraseñas cortas de
menos de ocho caracteres que usan una frase familiar junto con una secuencia de
números son demasiado fáciles de adivinar para los atacantes.
Puerto 22/SHH
¿Cómo mitigarlo?

La empresa puede proteger SSH usando la autenticación de clave pública


SSH, deshabilitando los inicios de sesión como root y moviendo SSH a un
número de puerto más alto para que los atacantes no lo encuentren
fácilmente. Si un usuario se conecta a SSH en un número de puerto alto
como 25,000, será más difícil para los atacantes ubicar la superficie de
ataque para el servicio SSH
Ethernet card manufacturing

La vulnerabilidades concierne al modo en el que los dispositivos NIC


(network interface card) transmiten los datos de una máquina a otra a
través de una red Ethernet, los flujos de información enviados sobre
una red Ethernet deberían estar organizados en grupos de al menos 46
bytes.
Ethernet card manufacturing
¿Cómo solventarlo?

Tanto fabricantes de software como de hardware han señalado que sus productos aún son
vulnerables a posibles ataques.

Matiza que la mayoría de dispositivos instalados en las máquinas envían información desde
éstos para completar el espacio.

La información filtrada no es accesible para todo el mundo que trate de accede a la red desde
el exterior, él sólo tuvo pequeños problemas. Estos datos a los que hackers especializados
pueden acceder son parte de archivos confidenciales de las empresas en los que se incluyen
datos de los empleados, así como cuentas de Internet.
Puerto 137/Servicio de nombres

Los puertos 137, 138 y 139 los utiliza el protoco TCP a la hora de
compartir ficheros e impresoras el SO de Windows. Sin estos puertos el
enunciador del servicio de RED no funcionaria , el 137 se encarga de la
resolución de nombres.

Estos nombres, son utilizados generalmente para identificar otras


computadoras que comparten archivos a través de una red.
Curiosamente, Windows también intenta obtener un "nombre de
Windows" de cualquier otra computadora que intente conectarse con él.
El resultado, es que Windows posee el hábito de "sondear" el puerto
137.
Puerto 137/Servicio de nombre
¿Cómo reducirlo?
Es muy fácil verificar si usted es vulnerable. El comando de MS-DOS "NETSTAT -NA", mostrará las
conexiones actuales y si su PC está esperando alguna conexión entrante.

Para ejecutar este test, siga estos pasos:

1. Primero, asegúrese estar conectado a Internet.

2. Luego, pinche en Inicio, Ejecutar.

3. Escriba COMMAND y pulse Enter.

4. Escriba desde la línea de comandos del MS-DOS (C:\>_) lo siguiente, dando Enter al final:
NETSTAT -NA
5. Si el resultado contiene las siguientes tres líneas al menos, su PC es
vulnerable (pueden aparecer muchas otras, pero estas tres son de las
que debemos preocuparnos en este caso). Recuerde que lo importante
es el puerto (:139, :137, :138), ya que la dirección IP dependerá de la
asignada por su proveedor, pudiendo ser diferente a la mostrada en el
ejemplo (200.60.22.12):

Conexiones activas

Proto Dirección local Dirección remota Estado


TCP 200.60.22.12:139 0.0.0.0:0 LISTENING
UDP 200.60.22.12:137 *:*
UDP 200.60.22.12:138 *:*

También podría gustarte