AUDITORIA A NIVEL LGICO Y FSICO DE LA RED DEL CENTRO DE ESTUDIOS DE TELEINFORMTICA DE LA UNIVERSIDAD NACIONAL DEL TCHIRA (CETI)

BLANCO OSCAR LEN GLENDY MORA SILVIA

INTRODUCCIN Nuestro caso de estudio se centra en una auditoria de red realizada en el centro de estudios de telecomunicaciones CETI, de la Universidad Experimental del Tchira tanto a nivel fsico como lgico: Auditoria fsica: contemplar todo lo relacionado al hardware y Cableado existente, es decir, la distribucin fsica de los equipos y el cuarto de cableado presente, la topologa de red implementada y la verificacin de estndares pertinentes. Auditoria lgica: se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin, abarca todo lo referente a los servicios TCP/IP y UDP/IP activos, seguridad lgica, Realizar un escaneo de puertos y determinar las vulnerabilidades en cada uno de los servidores disponible.

OBJETIVOS DE CONTROL GENERAL Evaluar el funcionamiento, calidad, integridad y disponibilidad de la red del departamento de telecomunicaciones (CETI) de la Universidad Nacional Experimental del Tchira (UNET) sealando sus puntos vulnerables tanto a nivel fsico como lgico, siguiendo las normativas de estandarizacin EIA/TIA

ESPECIFICOS A NIVEL FSICO Recopilar informacin necesaria para describir la estructura fsica de la red y el inventario de los equipos y dispositivos que la conforman. Verificar si se mantienen actualizados los diagramas de red que documentan las conexiones fsicas y lgicas entre las comunicaciones. Verificar la existencia de control de ingreso a las reas donde estn ubicados los equipos de comunicaciones, previniendo as accesos inadecuados. Evaluar la proteccin y tendido adecuado de cables, lneas de comunicaciones, para evitar accesos fsicos. Realizar pruebas en el cableado de la red para verificar el cumplimiento de los estndares establecidos. Comprobar la existencia de procedimientos de prevencin, deteccin y correccin frente a cualquier tipo de falla dentro de la red. Confirmar la utilizacin de equipos de pruebas de comunicaciones, usados para monitorizar la red y su trfico, que impidan su utilizacin inadecuada. A NIVEL LOGICO Comprobar la existencia de contraseas. Realizar un escaneo de puertos y determinar las vulnerabilidades en cada uno de los servidores disponible.

INVENTARIO
Servidor Principal (Kepler)
Especificaciones: Equipo HP 9000 Modelo RP5470 Doble procesador HPP Aris Versin 1.1 1 GB de RAM 3 discos duros de 15000 rpm de 36 GB c/u 3 interfaces de red: 2 10/100 Mbps 1 10/ 100.000 Mbps Funciones: Maneja correo, Web, DNS principal, las BD del site, los site de los usuarios.

Servidor DNS Secundario (Copernico)

Especificaciones: procesador de 257 Mhz 256 de RAM 2 discos duros serial ATA de 200 Gb cada uno. Tarjeta de red 100 Unidad de CD SCSI Funciones: sirve de espejo al DNS principal.

4 servidores
Especificaciones: Equipo HP 350 ML G4 2 procesadores XEON de 32 Gb 4Gb de RAM 6 discos duros de 36.4 GB Funciones: Administrar la data de Control de estudios, 3 de base de datos y uno para aplicaciones.

Servidor Proxy
Especificaciones: Equipo compaq proliant ML370 93 tower doble procesador Xeon 2.4 Ghz 2 GB de RAM 6 discos duros de 36 GB montados como un arreglo Ray Funciones: Es el servidor FTP de la universidad, maneja todo lo que es navegacin, Actualmente maneja parte de los servicios Web internos, herramientas internas de trabajo como groupware que es con el que se manejan las tareas internas, y la planificacin. Tambin posee un servidor de BD, los servicios de estadsticas internas del Proxy y un sistema de foro que estar en funcionamiento prximamente en la universidad.

Equipos de Comunicaciones
1 Router CISCO 2620 2 Switchs ATM 8260-A17 ATM WS-2924M-XL-EN 2 Hubs 8237-001 mdulo de fibra ptica 8237-002 mdulo de fibra ptica 2 DTU: 1 es de CANTV y otro tambin es de CANTV pero reaccium.

Especificaciones del Software Utilizado

En cuanto al Sistema Operativo en el servidor principal se tiene instalado HPUX Versin 11i que es la 1111 Versin 1. El resto de los equipos del CETI tienen instalados Linux con Devian como distribuidor, bsicamente de acuerdo a los servicios que ofrece se configura el equipo y se instalan los paquetes requeridos.

PUNTOS AUDITADOS A NIVEL FSICO

NORMATIVAS DE ESTANDARIZACIN ANSI/TIA/EIA
ANSI/TIA/EIA-568-A "Norma para construccin comercial de cableado de telecomunicaciones". ANSI/EIA/TIA-569, "Norma de construccin comercial para vas y espacios de telecomunicaciones ANSI/TIA/EIA-606, "Norma de administracin para la infraestructura de telecomunicaciones en edificios comerciales". ANSI/TIA/EIA-607, "Requisitos de aterrizado y proteccin para telecomunicaciones en edificios comerciales",

CABLEADO PUNTOS FUERTES La conexin interna se hace a travs de un cableado UTP de categora 5e. El cableado se encuentra empotrado. La distancia desde la tarjeta de red hasta la toma posee un mximo de 3 metros, y de la toma hasta el centro de cableado mximo 90 metros. Los componentes metlicos que componen las estructuras de las tuberas de la red se encuentran conectados a pozos de aterramiento. Las salidas elctricas de las estaciones de trabajo se encuentran polarizadas y conectadas a tierra comn. El formato de identificacin del cableado utilizado es consistente en toda la red. Estn actualizados los Diagramas de Red, para analizar la distribucin y conexin tanto fsica como lgica. Existen planes de redes de cableado integral para cualquier nuevo edificio. No hay Cables en el piso que fcilmente pueden pisarlos.

PUNTOS DEBILES Los cables no se encuentran rotulados para su mejor identificacin, por el contrario se identifican a travs de un escritura que fcilmente puede ser borrada o modificada. (Ver norma) Los componentes del cableado (blindaje, paneles, equipos de interconexin) no estn conectados a tierra. EL REA DE TRABAJO

PUNTOS FUERTES La iluminacin se considera aceptable dentro de las instalaciones del CETI. Solo personal autorizado se mantiene dentro de las instalaciones del CETI. Existe un espacio amplio entre los pasillos que separan las estaciones de trabajo. El ambiente presenta una temperatura aceptable.

PUNTOS DEBILES Solo existe un extintor manual y adems no es el adecuado y est vencido. No existe alarma en el lugar donde se encuentran los equipos para detectar y notificar cualquier eventualidad. No existe actualmente un espacio adicional dentro de las instalaciones para posibles remodelaciones fsicas. No existen procedimientos formales de pruebas para la introduccin de un nuevo equipo cambios en la red. EL CUARTO DE TELECOMUNICACIONES PUNTOS FUERTES El espacio actualmente se considera aceptable para el alojamiento de todos los equipos y cableado existentes en el cuarto de telecomunicaciones. El piso del cuarto de cableado posee un nivel ms alto, que el del rea total del CETI. El piso esta revestido de cermica permitiendo as proteger los equipos de polvo y protegerlos de electricidad esttica.

 Los sistemas que le brindan iluminacin son aceptables. Solo el personal autorizado puede tener acceso al rea de telecomunicaciones. Poseen un aire acondicionado independiente. Los servidores, equipos de comunicacin y estaciones de trabajo estn conectados a una fuente de poder ininterrumpidas. Las conexiones elctricas reciben un voltaje de 110. Se cuentan con 10 UPS, siendo stos la forma ms efectiva de proteger los equipos contra problemas de la corriente elctrica ya que estos dispositivos mantienen un flujo de corriente correcto y estable. Entre las esquinas del cuarto existe una ms de 30 cm. libres facilitando el trabajo a la hora de darle mantenimiento.

PUNTOS DEBILES Nos disponen actualmente de espacio adicional para agrandar el cuarto de cableado en una futura reforma. Las paredes no estn revestidas de un material contra incendios futuros. La puerta hacia el rea de telecomunicaciones abre hacia adentro, y no cumple con el tamao establecido en la norma. No existe alarma en el lugar donde se encuentran los equipos para detectar y notificar cualquier eventualidad. No existe Un plan general de recuperacin de desastres; pobreza en el cableado y conexiones, fallo de Hardware, cada de la potencia elctrica.., etc. La temperatura del cuarto oscila entre 20 o 22 grados centgrados.

PUNTOS AUDITADOS A NIVEL LGICO

PUNTOS FUERTES Existe una seguridad bsica en los PCs, como lo son las contraseas. La contrasea no es mostrada en pantalla cuando se teclea. Se encuentra suscrito a listas de seguridad. Las direcciones IP son estticas, estn certificadas y documentadas Se vigila la actividad de la red y se realizan ajustes para mejorar el rendimiento. Existe cifrado en la comunicacin. Los respaldos se hacen semanalmente.

PUNTOS DEBILES El nmero de intentos infructuosos al ingresar las contraseas son 5. El servidor de monitoreo no tiene la capacidad suficiente y el servidor que controla el dominio tiene indicios de fallas en el disco duro. No existe un plan adecuado que ofrezca continuidad al negocio Actualmente el respaldo se hace de forma manual

AUDITORIA LOGICA Servidores escaneados: Control, Coprnico ,Proliant, Kepler SERVIDOR de CONTROL:
(80 / TCP) WWW Servidor Web Causa: (80/TCP) El servidor Web soporta los mtodos TRACE y/o TRACK, estos son mtodos HTTP que son usados para depurar las conexiones del servidor Web. Se ha comprobado que los servidores que soportan estos mtodos estn sujetos a ataques de Cross-Site-Scripting (XSS o ataque de intersitio), Cross-Site-Tracing (XST o ataque intersitio) cuando se usa en conjunto con varias debilidades en browsers. Efecto: Un atacante puede usar este defecto para trampear a sus usuarios web legtimos para darles sus credenciales. Solucin: Deshabilitar estos mtodos. Si se usa Apache, agregue estas lneas a cada host virtual en el archivo de configuracin: RewriteEngine on RewriteCond %{REQUEST_METHOD}^(TRACE|TRACK) RewriteRule .* - [F] 2. (443 / TCP) HTTPS Causa: La misma mostrada en el punto 1, un servidor SSL v2 respondi a este puerto, el tipo de Servidor Web Remoto es Apache/2.0.54 (Win32) mod_ssl/2.0.54 OpenSSL/0.9.7g Solucin: Adicional a la planteada en el punto 1: Habilite la directiva Server Tokens Prod para limitar la informacin emanante del servidor en su cabecera de respuesta. 1.

AUDITORIA LOGICA SERVIDOR de CONTROL

3. (443 / TCP) HTTPS Causa: Aqu est el certificado SSL v2 server, este respondi a la conexin y se verific su certificado y su disponibilidad (compartida) cifras SSL v2. Efecto: El servidor SSL v2 ofrece 5 cifras fuertes, pero tambin 0 fuerzas medias y 2 cifras dbiles de la clase de exportacin". Las cifras de dbiles/medias se pueden elegir por un grado de exportacin o software gravemente configurado del cliente. Estas ofrecen solamente una proteccin limitada contra un ataque de fuerza bruta. Solucin: Inhabilite esas cifras y actualice su software del cliente si es necesario. Consulte http://support.microsoft.com/default.aspx?scid=kb;en-us;216482 http://httpd.apache.org/docs-2.0/mod/mod_ssl.html#sslciphersuite Este servidor SSLv2 tambin acepta las conexiones SSLv3 y TLSv1.

AUDITORIA LOGICA SERVIDOR PROLIANT:

1. (80 / TCP) WWW Causa: RedHat Linux 6.0 instala por defecto un cgi script administrador de squid cache sin permisos de acceso restringidos. Efecto: Este script puede ser usado para realizar un escaneo de puertos desde la mquina cgihost. Solucin: Si no est usando la caja como un servidor Squid www Proxy/cache entonces desinstale el paquete mediante la ejecucin de: /etc/rc.d/init.d/squid stop ; rpm e squid Si desea continuar usndolo, haga lo siguiente para apretar la seguridad a la interfaz del administrador: mkdir /home/httpd/protected-cgi-bin mv /home/httpd/cgi-bin/cachemir.cgi /home/httpd/protected-cgi-bin/ y agregue las siguientes directivas a /etc/httpd/conf/access.conf y srm.conf : --- start access.conf segment --# Protected cgi-bin directory for programs that # should not have public access order deny,allow deny from all allow from localhost #allow from .your_domain.com AllowOverride None Options ExecCGI --- end access.conf segment ----- start srm.conf segment --ScriptAlias /protected-cgi-bin/ /home/httpd/protected-cgi-bin/ --- end srm.conf segment ---

AUDITORIA LOGICA SERVIDOR PROLIANT:

2. (80 / TCP) WWW Servidor Web (Servidor Web soporta mtodos TRACK and TRACE) 3. (389 / TCP) LDAP Causa: Los servidores LDAP configurados inapropiadamente permitirn al directorio BASE ser puesto en NULL. Efecto: Esto permite que la informacin sea entresacada sin ningn conocimiento anterior de la estructura del directorio. Junto a un BIND NULL, un usuario annimo puede consultar a su servidor de LDAP usando una herramienta tal como ' LdapMiner '. Solucin: Dehabilite las consultas NULL BASE en el servidor LDAP. 4. (631 / TCP) IPP Causa: Parece ser que el mtodo PUT est habilitado en su servidor Web. Efecto: Aunque Nessus no logr vulnerarlo pero es mejor deshabilitarlo. Solucin: Deshabiltelo. 5. (3128 / TCP) Desconocido El mismo mostrado en el punto 1. 6. (3128 / TCP) Desconocido El mismo mostrado en el punto 1.

AUDITORIA LOGICA SERVIDOR KEPLER:

1. (25 / TCP) Causa: El servidor SMTP remoto est insuficientemente protegido contra retransmisin Efecto: Esto significa que los spammers pueden ser capaces de usar su servidor de correo para enviar sus correos al mundo. Nessus fue capaz de retransmitir correos enviando estas secuencias: MAIL FROM: <nobody@example.com> RCPT TO: nobody@example.com Solucin: actualice el software o mejore la configuracin para que el servidor SMTP no retransmita ms correo. 2. (53 / TCP) domain Causa: El servidor de Nombres Remoto permite que las transferencias de la zona DNS sean realizadas. Efecto: Una zona de transferencia permitir a atacantes remotos poblar inmediatamente una lista de blancos potenciales, adems las compaas usan a menudo una convencin de nombramiento que pueden dar indirectas a las aplicaciones primarias del servidor. Como tal, esta informacin est de gran uso a un atacante que puede utilizarla para obtener la informacin sobre la topologa de su red y para marcar nuevos blancos. Solucin: Restrinja las zonas de transferencia de DNS a nicamente los servidores que absolutamente lo necesitan. 3. (80 / TCP) WWW Servidor Web (soporta mtodos TRACE and TRACK) 4. (80 / TCP) WWW Causa y Efecto: Este blanco est corriendo una versin del Mailman mailing list que permite a los suscriptores de la lista recuperar la contrasea de cualquier otro suscriptor por medio de un mensaje de correo especialmente hecho a mano para el servidor. Esto es, un mensaje enviado a $listname-request@$target conteniendo las lneas: Password address=$victim Password address=$suscriber Retornar la contrasea de tanto $vctima como el $suscriber para la lista $listname@$target. Solucin: actualice el Mailman a la versin 2.1.5 o ms reciente.

AUDITORIA LOGICA SERVIDOR KEPLER:

5.(110 / TCP) POP3: Causa: Los servidores remotos POP3 sueltan informacin acerca del software que est corriendo a travs del login banner. Efecto: Esto puede ayudar a un atacante a escoger una estrategia de ataque. Solucin: Cambie el login banner a algo genrico. 6.(443 / TCP) HTTPS (Servidor Web soporta mtodos Trace and Track) La misma razn mostrada en el punto 3. 7.(443 / TCP) HTTPS (Este blanco est corriendo una versin del Mailman mailing list) La misma razn mostrada en el punto 4.

AUDITORIA LOGICA SERVIDOR COPERNICO:

1.(53 / TCP) domain. Causa: El servidor de Nombres Remoto permite que las transferencias de la zona DNS sean realizadas. Efecto: Una zona de transferencia permitir a atacantes remotos poblar inmediatamente una lista de blancos potenciales, adems las compaas usan a menudo una convencin de nombramiento que pueden dar indirectas a las aplicaciones primarias del servidor. Como tal, esta informacin est de gran uso a un atacante que puede utilizarla para obtener la informacin sobre la topologa de su red y para marcar nuevos blancos. Solucin: Restrinja las zonas de transferencia de DNS a nicamente los servidores que absolutamente lo necesitan. 2. (389 / TCP) LDAP Causa: Los servidores LDAP configurados inapropiadamente permitirn al directorio BASE ser puesto en NULL. Efecto: Esto permite que la informacin sea entresacada sin ningn conocimiento anterior de la estructura del directorio. Junto a un BIND NULL, un usuario annimo puede consultar a su servidor de LDAP usando una herramienta tal como ' LdapMiner '. Solucin: Deshabilite las consultas NULL BASE en el servidor LDAP. Las siguientes vulnerabilidades se encuentran todas alojadas en el puerto 10000 con el protocolo TCP 3. Causa: El guestbook.pl est instalado. Efecto: Este CGI tiene un defecto de seguridad bien conocido que le permite a cualquiera ejecutar comandos arbitrarios del demonio http (root o nadie). Solucin: Removerlo de la carpeta cgi-bin.

AUDITORIA LOGICA SERVIDOR COPERNICO:

4. Causa: mt-load.cgi est instalado por el Movable Type Publishing Platform. Efecto: De permanecer, se podra permitir a algn otro crear un Weblog en la instalacin del Movable Type y ganar acceso a los datos. Solucin: Remueva el script mt-load.cgi despus de la instalacin. 5. Causa: El CGI CgiMail.exe existe en este servidor. Algunas versiones de este archivo son vulnerables a ataques remotos. Efecto: Un atacante puede utilizar este defecto para acceder a los datos confidenciales o para extender ms lejos sus privilegios. Solucin: Remueva este archivo de su carpeta de scripts. 6. Causa: El CSNews.cgi existe en este servidor Web. Algunas versiones de este archivo son vulnerables a la falla remota. Efecto: Un atacante puede hacer uso este archivo para acceder a los datos confidenciales o para extender sus privilegios en el Servidor Web. Solucin: Remuvalo del /cgi-bin o del directorio de scripts. 7. Causa: Muchos servidores de la red envan con los cgi por defecto los scripts que permiten el acceso y la configuracin de ODBC. Algunas de estas herramientas ODBC estn presentes en el web server remoto. Efecto: Estas herramientas podran permitir que un usuario maligno secuestre y vuelva a dirigir trfico de ODBC, obtenga nombres del usuario del SQL y contraseas o escriba archivos a la impulsin local de un servidor vulnerable. Solucin: Las siguientes herramientas ODBC fueron encontradas en el servidor: /scripts/tools/getdrvrs.exe /scripts/tools/dsnform.exe Remuvalas.

AUDITORIA LOGICA SERVIDOR COPERNICO:

8. Causa: Este servidor Web es probablemente susceptible a una vulnerabilidad comn del IIS. Efecto: Esta vulnerabilidad habilita a un atacante a ejecutar comandos en el servidor con privilegios de administrador. Solucin: Solo se encontr el archivo /msadc/msadcs.dll as que esto pudo ser un positivo falso. Vea el boletn de seguridad MS99-025 para informacin del parche o http://www.securityfocus.com/bid/529 9. Causa: alya.cgi se encuentra en el servidor. Efecto: Es un backdoor distribuido con mltiples rootkits. Este puede dejar puertos abiertos. Solucin: Remuvalo. 10. Causa: foxweb.dll o foxweb.exe se encuentra en el servidor. Efecto: La versin 2.5 y las menores de este programa CGI tienen un hueco de seguridad que permite a un atacante ejecutar cdigo arbitrario en el servidor remoto. Solucin: Remuvalo o actualice si su versin es menor o igual al 2.5. 11. Causa: El ' nph-publish.cgi ' est instalado. Efecto: Este cgi tiene un defecto de seguridad bien conocido que deja a un atacante ejecutar comandos arbitrarios con los privilegios del demonio HTTP (generalmente raz o nadie) Solucin: Qutelo del /cgi-bin. 12. Causa: Cross site scripting,, sobre flujo del buffer y ejecucin de comandos remotos en QuickTime/Darwin Streaming Administration Server. Esto es debido a problemas de anlisis con per script.. Efecto: La peor de estas vulnerabilidades permite la ejecucin de comandos remotos usualmente como root o administrador, estos servidores estn instalados por defecto en el puerto 1220. Solucin: Obtenga un parche o nuevo software de Apple o bloquee este puerto (TCP 1220) de acceso a Internet.

AUDITORIA LOGICA El resto de advertencias y vulnerabilidades de todos los servidores se encuentra en este documento htm adjunto servidores-principales.html

C d ig o d e c o lo r e s p a r a la s e tiq u e ta s
ANSI/TIA/EIA-606
Tipo de terminacin Punto de demarcacin Conexiones de red Equipo comn Backbone de primer nivel Backbone de segundo nivel Estacin Backbone entre edificios Miscelneos Sistemas de telefono importantes Color Naranja Verde Prpura Blanco Gris Azul Caf Amarillo Rojo Comentario Terminales CO Terminales de circuitos auxiliares PBX, hosts, LANs, MUX TerminacionesMC-IC Terminaciones IC-TC Terminaciones de cableado horizontal Terminaciones de cables de campus Mantenimiento, seguridad, auxiliares

Regresar

Regresar

Regresar

Regresar

Regresar

Regresar