1.

Actividades y estrategias de aprendizaje

Actividad 1: Indago sobre los conceptos de anlisis de vulnerabilidades. Descripcin: Con mi grupo de trabajo investigo acerca de las caractersticas principales de un anlisis de vulnerabilidades y respondo a los siguientes interrogantes: 1. Qu tareas realizara si tuviera que hacer un anlisis de vulnerabilidades en una red? Reunir informacin 2. Test interior Test exterior Documentar e informar

Cmo puede detectar una vulnerabilidad? Mediante herramientas de deteccin de vulnerabilidades. Realizan un escaneo de puertos, y para los puertos que detecten abiertos intentan obtener informacin sobre el servicio que se encuentre corriendo. Con esta informacin buscan las vulnerabilidades asociadas a los servicios asociados. Qu mtodos se pueden usar para obtener informacin? Informacin de dominio a travs de consultas tipo WHOIS Consultas NSLOOKUP para saber cuales son los servidores que tiene la empresa Identificacin de la plataforma mediante OS fingerprinting Identificacin de los servicios mediante port-scanners

3.

4.

Qu comprende la seguridad de una red? La seguridad de la red, comprende tanto la proteccin fsica de los dispositivos al dao, robo omanipulacin como tambin la integridad, confidencialidad y autenticidad de las transmisiones dedatos que circulen por sta . La siguiente lista resume los puntos que comprende la seguridad de unared: La informacin debe estar protegida de una posible destruccin o modificacin accidental ointencional (integridad). Los datos no deben estar disponibles a los accesos no autorizados (privacidad). Las transacciones no deben ser modificadas en su trayecto desde un host a otro y se debeasegurar que quien las gener es quien dice ser (integridad, autenticidad y no repudio). Se mantenga la integridad fsica de los dispositivos de red como servidores, switches, etc. El uso de la red no debe ser con fines maliciosos o fines que no estn contemplados por laspolticas de utilizacin.

5.

La red debe estar disponible siempre y con la eficiencia necesaria, an ante fallas inesperadas(disponibilidad). Para qu sirve un anlisis de vulnerabilidad? A travs de un anlisis de vulnerabilidades, un analista en seguridad puede analizar exhaustivamentela robustez y seguridad de cada uno de los sistemas y dispositivos ante ataques y obtener lainformacin necesaria para analizar cules son las contramedidas que se pueden aplicar con el fin deminimizar el impacto de un ataque. Cundo es recomendable realizar un anlisis de vulnerabilidades en una red? El anlisis de vulnerabilidades debe realizarse:

6.

Cuando ocurran cambios en el diseo de la red o los sistemas: Un cambio de topologa, dedireccionamiento o de ubicacin de dispositivos representa un escenario totalmente diferentepara segurizar. Con cada cambio de diseo que se realice es imprescindible volver a revisar sise cumplen todos los requisitos de seguridad y los sistemas no quedan expuestos a posiblesataques. Cuando se realicen actualizaciones de los dispositivos: El reemplazo de un dispositivo por otroo simplemente la actualizacin del software de algn dispositivo puede incorporar algunavulnerabilidad que antes no estaba presente. Peridicamente: Existen numerosas entidades (las estudiar en secciones siguientes) que seocupan de realizar estudios de seguridad sobre productos e implementaciones. Comoresultado de estos estudios o por un ataque de algn usuario, salen a la luz vulnerabilidadesen las implementaciones y se buscan mecanismos para evitar su explotacin. Un anlisisperidico le indicar si sus sistemas continan siendo seguros o no.

7.

Suponga que Ud. quiere realizar un anlisis de vulnerabilidades de toda una red y el nico dato que tiene para realizar el anlisis es la direccin IP de un host Qu tipo de anlisis sera? Este tipo de anlisis seria de Caja Negra: A partir de esta informacin, el analista debe realizar toda la exploracin y obtener toda la informacin posible desde dicha IP y del resto de los equipos que se encuentren en el rango asociado. No se realiza ninguna intrusin, tan solo se detecta y se documenta 8. En qu circunstancias utilizara el Hacking tico? El hacking tico se utilizara cuando se est buscando debilidades y vulnerabilidades: Estudio de la red externa. Anlisis de servicios disponibles Estudio de debilidades. Anlisis de vulnerabilidades en dispositivos red. Anlisis de vulnerabilidades de implementaciones y configuraciones. Lista de vulnerabilidades y debilidades encontradas. Referencia tcnica a estas vulnerabilidades y sus contramedidas. 9. Cmo podemos detectar las vulnerabilidades de configuracin? Para detectar estas vulnerabilidades es necesario conocer de manera exhaustiva el software a analizar. De esta forma se pueden generar pruebas especficas para conocer cules han sido las opciones configuradas. 10. Cmo puede solucionar una vulnerabilidad de un dispositivo La solucin a este tipo de vulnerabilidades debe ser provista por los fabricantes o desarrolladores del dispositivo. En caso de no contar con una solucin, se debern utilizar medidas alternativas, como filtrado de paquetes, reemplazo del dispositivo afectado, etc. 11. Por qu existen protocolos inseguros? Existen mltiples protocolos que fueron definidos sin tener en cuenta la seguridad. Muchas veces no se tuvo en cuenta la seguridad porque cuando se cre el protocolo no exista una difusin tan grande de Internet, y otras veces no se agreg seguridad porque son protocolos simples que no soportaran la complejidad o el procesamiento de la seguridad. 12. Cules son tcnicas de escaneo de puertos? La forma ms clsica es intentar establecer una conexin con cada uno de los puertos, denominada Connect scanning. Se enva un SYN al puertodeseado, se espera por un SYN-ACK y se responde un ACK . Si el acuerdo de tres vas finalizacorrectamente, significa que el host se encuentra aceptando conexiones a ese puerto. Este mtodo esfcilmente detectable por los sistemas de deteccin de intrusos (IDS).Existen otras tcnicas para realizar escaneos de puertos, donde no se establece una conexincompleta: TCP SYN scanning: Esta tcnica no establece una conexin completa. Enva un SYN y esperala respuesta. Si recibe como respuesta un segmento RST, significa que el puerto no seencuentra activo. Si la respuesta es SYN-ACK, significa que el puerto se encuentra abierto [3],inmediatamente se enva un RST para evitar que se establezca la conexin. Esta tcnica al noestablecer una conexin, no es logueada por los sistemas estndares. TCP FIN scanning (Stealth scanning):

Esta tcnica se basa en un bug en las implementacionesTCP, por lo que no es 100% confiable. Este bug hace que si se enva un segmento FIN haciaun puerto abierto, el puerto lo descarta, y si el puerto se encuentra cerrado, enva comorespuesta el RST apropiado Fragmentation scanning:sta no es una tcnica nueva, sino que es una modificacin a otrastcnicas para evitar ser detectadas por Firewalls o IDS. Antes de enviar directamente el segmento apropiado, se fragmenta en pequeos paquetes IP. De esta forma, los dispositivosde control que no realicen un reensamblado de los paquetes, no podrn detectar el escaneo encurso. UDP ICMP port unreachable scanning este tipo de escaneo realiza prueba a puertos UDP.Como no se establecen conexiones se vuelve ms complicado realizar el escaneo. Pero engeneral, las implementaciones UDP devuelven un paquete ICMP_PORT_UNREACH cuando seenva un segmento a un puerto UDP que no se encuentra activo. De esta forma se puededetectar los puertos cerrados, y por exclusin, obtener los puertos abiertos. Dado que ni lossegmentos UDP ni los paquetes ICMP tienen la seguridad de llegar a destino, el escaneo depuertos UDP puede ser inexacto 13. Qu tipo de informacin pueden proveer los detectores de vulnerabilidades?

Vulnerabilidades conocidas de los servicios detectados

14. Para qu pueden ser utilizados los analizadores de protocolos? Para capturar contraseas de Telnet, Para capturar contraseas de FTP 15. Cmo se puede automatizar un intento de acceso a un host o servicio? Mediante password crackers 16. Cul es el principal objetivo de un test interior? Acceder a los servidores desde la red interna de la empresa como un usuario tpico con el fin de obtener privilegios y/o accesos no autorizados 17. Cul es el principal objetivo de un test exterior? Acceder en forma remota a los servidores de la empresa obteniendo accesos y/o privilegios no autorizados 18. Qu diferencia existe entre un test interior y un test exterior? Para realizar el test interior el analista en seguridad se ubica en la red interna y para el otro caso en la red externa 19. Qu informacin NO se debe incluir en la documentacin de un Anlisis de Vulnerabilidades realizado? Solucin a las vulnerabilidades detectadas 20. Cules son los pasos a seguir para realizar un anlisis de vulnerabilidades? Acuerdo de confidencialidad entre las partes, Establecimiento de las reglas, Reuniendo informacin, Test interior, Test exterior, Documentacin e informe Actividad 2: Reconozco las amenazas existentes Descripcin: Con mi grupo de trabajo construyo un mapa conceptual con los conceptos: amenazas, clasificacin de amenazas, malware, virus, consulto el documento cursodeseguridadsistemasdeinformacion.pdf que encuentro en el sitio y complemento con investigacin en Internet.

. Actividad 3: Describo la evolucin de las vulnerabilidades a travs del tiempo. Descripcin: Con mi grupo de trabajo elaboro un diagrama que describa a travs del tiempo la forma cmo ha evolucionado las vulnerabilidades.

Actividad 4: Prctico el uso de tcnicas de revisin de vulnerabilidad. Descripcin: Con mi grupo de trabajo realizo la siguiente prctica: Escaneo de Red con NMAP Escaneo de Vulnerabilidades en PC, utilizando Nessus Escaneo de Vulnerabilidades de servidor Web, utilizando Nessus Objetivos: Que el alumno se familiarice con las capacidades de una herramienta de Anlisis de vulnerabilidades y comprenda su forma de operar. Que el alumno sea capaz de interpretar los resultados obtenidos luego de haber llevado a cabo un Anlisis de Vulnerabilidades en una PC objetivo. Comprender la importancia de contar con un ciclo de administracin de vulnerabilidades en infraestructuras de red. Materiales: PC con Windows XP instalado, Nessus 3.0.6.1, NMAP 1.3.1

Material de apoyo: Los Anlisis de Vulnerabilidades son un componente esencial de un programa de seguridad de la informacin efectivo. Los Anlisis de Vulnerabilidad inicialmente son capaces de descubrir y definir una gua para el aseguramiento de los datos; el escaneo peridico provee informacin actualizada acerca de la administracin de las vulnerabilidades en un ambiente de red, son capaces de generar tendencias y reportes de cumplimiento con polticas. Las herramientas utilizadas para la ejecucin de Anlisis de vulnerabilidades proveen los fundamentos de seguridad para una infraestructura de red desde una base de datos de vulnerabilidades conocidas, la cual se actualiza peridicamente. Existen tres tipos de herramientas de Anlisis de Vulnerabilidades: Escaneo de red activo. Tambin conocido como Anlisis de Vulnerabilidades de Red, estos escanean de forma remota los dispositivos conectados a la red sin requerir la instalacin de agentes; una ms profunda evaluacin de los dispositivos puede ser realizada utilizando credenciales de administrador. Observacin del trfico de red pasivo. En este caso, no se escanea de forma activa a los sistemas, sino que se captura el trfico entre dispositivos de la red para determinar su estado basado en sus patrones de trfico. Aunque la Observacin Pasiva puede brindar informacin acerca de dispositivos que no pueden ser activamente escaneados (por ejemplo, equipos con Firewall Personales activados), esta tcnica por si sola no provee de suficiente informacin para las actividades de remediacin. Basado en agentes. Estn basados en agentes que residen en los dispositivos a analizar, coleccionando informacin del estado de los dispositivos en tiempo real. Estos pueden determinar aspectos de los dispositivos que no pueden ser determinados de forma remota, tal como aplicaciones y servicios que estn instalados pero que no se estn ejecutando. Para obtener resultados ms exactos sobre las vulnerabilidades en los sistemas, se requiere de acceso a credenciales administrativas sobre los mismos (ya sea a travs de la red o con la utilizacin de agentes). Las Organizaciones de Seguridad IT requieren que el anlisis de las vulnerabilidades se ejecute a travs de la red para que de forma precisa descubrir y evaluar las vulnerabilidades tanto en sistemas administrados como en no administrados. De cualquier forma, para que un Anlisis de Vulnerabilidades sea utilizado para mejorar la seguridad y satisfacer los requerimientos de auditora, ellos deben contar con capacidades de priorizacin de eventos y de reportes. Las Organizaciones tambin necesitan implementar un ciclo de vida para la administracin de vulnerabilidades si es que los administradores quieren usar los Anlisis de Vulnerabilidades para hacer el ambiente ms seguro. Descripcin: Escaneo de Red con NMAP Utilizando Nmap 1.3.1, el cual ya se encuentra instalado en la PC asignada, realizar los escaneos que se describen a continuacin. 1. Escaneo de red (ICMP) Utilizando Nmap realizar un escaneo ICMP PING de su red local y obtener el nmero de direcciones IP disponibles para esta red. 2. Escaneo de red (SYN TCP) Utilizando Nmap, realizar un escaneo TCP SYN de su red local y obtener el nmero de direcciones IP disponibles para esta red. 3. Escaneo TCP de host Utilizando Nmap y las dos primeras direcciones IP detectadas en el punto 1, realizar un escaneo de puertos TCP de estas dos mquinas, completando una tabla donde se indique direccin IP, puerto, estado y servicio del puerto asociado. 4. Deteccin de Sistema Operativo Utilizando Nmap, realizar un escaneo de sistema operativo de su red local. Con los datos obtenidos completar una tabla donde se indique direccin IP y sistema operativo que se est ejecutando en la mquina. Escaneo de Red y Vulnerabilidades con Nessus A continuacin se presentan los escaneos a realizar utilizando como herramienta el software Nessus. 5. Escaneo de Vulnerabilidades en PC Utilizando Nessus realizar un escaneo de puertos de su propia PC. Con los datos obtenidos, completar una tabla que indique, direccin IP del host, puertos TCP y UDP disponibles y riesgos de seguridad detectadas con Nessus. 6. Escaneo de Vulnerabilidades de servidor Web Utilizando Nessus, realizar un escaneo de las vulnerabilidades de dos servidores WEB cualquiera, analizando los puertos comprendidos entre el 15 y el 85, donde se realice una deteccin de Sistema Operativo. Con los

datos obtenidos se completar una tabla donde se indique, el servidor WEB, puertos disponibles, Sistema Operativo utilizado, y riesgos de seguridad. Investigacin: 1. Presentar las tablas solicitadas en los tems del 1 al 4 del procedimiento de esta prctica. 2. Utilizando Nmap, realizar un escaneo de los puertos comprendidos entre el 15 y el 85 de los servidores Web analizados en el tem 6 de esta prctica. Con los datos que se obtengan, presentar una tabla donde se indiquen los Servidores Web Analizados, direccin o direcciones IP asociadas, puertos disponibles y Sistema Operativo utilizado por los servidores Web. 3. Compare los resultados obtenidos al analizar los Servidores Web con Nmap y Nessus, indique si existe alguna diferencia entre ambos resultados y explique sus conclusiones. 4. Utilizando la informacin proporcionada por Nessus y los boletines de seguridad disponibles en Internet, indicar para cada uno de los riesgos y agujeros de seguridad detectados en el tem 5 y 6. Presentar la siguiente informacin: a. Identificacin del riesgo/agujero de seguridad. b. Descripcin del problema. c. Exploits disponibles para dicha vulnerabilidad. d. Solucin a los problemas detectados. Referencias: Nessus 4 Client Guide, TENABLE Network Security, Revision 20. http://nmap.org. http://cve.mitre.org. http://secunia.com.