VULNERABILIDAD

5/17/2018 VULNERABILIDAD - slidepdf.com

http://slidepdf.com/reader/full/vulnerabilidad-55b07a7f36ed6 1/9

ANALISIS DE LAS VULNERABILIDADES DE UNA RED

Son errores que permiten realizar desde afuera actos sin permiso deladministrador del equipo, incluso se puede suplantar al usuario, actualmente, yahay muchas amenazas que tratan de acceder remotamente a los ordenadores, yasea para hacerlos servidores ilegales de Spam o para robar información.

COMO EVITARLAS

Es imposible evitar las vulnerabilidades al 100% incluso cuando tenemosoperando en nuestro sistema cortafuegos, antispam, antivirus, y detectores decódigo maligno.

Lo que si es posible es tratar de evitarlas al máximo. Tengamos presente que las

comunicaciones en la red constan de 7 capas según el modelo OSI, y lasvulnerabilidades pueden estar presentes en varias capas, o incluso dentro delnúcleo de nuestro sistema operativo. No debemos imaginar que con un buenantivirus podemos estar libres de vulnerabilidades, ya que las vulnerabilidades noson solo mediante virus que estén radicando en nuestro computador sino quetambién pueden llegar a ser mediante ejecución de código mientras visitemosalguna página web, o cuando el atacante tiene privilegios de acceso a niveladministrativo a nuestro computador.

Lista de recomendaciones para tener nuestra computadora libre de virus:

1. Actualice o cheque las actualizaciones cada cierto tiempo, pues eso permitecasi adelantarse a cualquier peligro que se aproveche de la vulnerabilidad.

2. Activar Firewall.

3. Programar escaneos completos del Antivirus mensuales.

4. No caer en trampas obvias como correos spam diciéndote que ganaste lalotería en un país que ni siquiera conoces

5. Si vas a descargar música, libros, programas ejecutables, etc. procura hacerlosolo de fuentes confiables

6. Vacunar unidades externas. (Genaro aportation).

Las formas de obtener información para los análisis de vulnerabilidades son:• Escaneo de puertos• Escaneo por servicios



• Escaneo de vulnerabilidades de Aplicaciones como lo son :

OPENVAS (Software libre – licenciado bajo la GPL)NESSUS: comienza escaneando los puertos con nmap y después intenta variosexploits para atacarlo.METASPLOITS: Este proporciona información acerca de la las vulnerabilidadesde la seguridad y ayuda para los sistemas de detección de intrusos.NEXPOSE: Es una herramienta para analizar e identificar las vulnerabilidades deredes.

METODOS

Tipos de análisis de vulnerabilidades

CAJA NEGRA:Es una unidad la cual su estructura interna se desconoce, pero la función estádocumentada. Los diseñadores de hardware y de software utilizan este términopara hacer referencia a los circuitos o al código de programación que ejecutandeterminada función. La mecánica interna de la función no es algo que interese aldiseñador que utiliza una caja negra para obtener una función. Por ejemplo, unchip de memoria puede considerarse una caja negra. Muchas personas utilizanchips de memoria, e incluso los diseñan para los equipos informáticos, pero por logeneral sólo los diseñadores de chips de memoria necesitan comprender sufuncionamiento interno.Existe un analista al cual solo se le da la información para acceder a la red o alsistemas esta puede ser una dirección IP, por lo tanto este analista debe obtener toda la información posible.

CAJA BLANCA.Es el Método de prueba del software que pone a prueba las estructuras internas oel funcionamiento de una aplicación en lugar de su funcionalidad (pruebas de cajanegra).En las pruebas de caja blanca el código fuente o un binario compilado se evalúadesde un punto de vista interno para buscar vulnerabilidades de seguridad yerrores de programación. Generalmente se utiliza en fases tempranas deldesarrollo, mientras el código y los módulos son creados.El analista puede tener acceso a toda la red q va a analizar, tiene el privilegio deentrar a todos los equipos de la red como super usuario, lo cual permite que seamas completo.

TEST DE PENETRACION.En este el analista simula ser un atacante, desde esta posición se realizan intentos



de ataques a la red, buscando debilidades y vulnerabilidades:-estudio de la red externa

-análisis de servicios disponibles-estudio de debilidades-análisis de vulnerabilidades en dispositivos de red-análisis de vulnerabilidades de implementaciones y configuraciones-denegación del servicio

Existen otros tipos de análisis de vulnerabilidades:

1. Análisis de Vulnerabilidades Interno: se trata de pruebas de penetracióndesde la red interna que identifican los riesgos de las redes y sistemasinternos, demostrando lo que podría hacer un usuario que ha ganado acceso a la

red, simulando ser un usuario interno malintencionado. Este tipo de pruebas sonmuy interesantes pues estudios realizados sobre la seguridad de la informacióndemuestran que alrededor del 80 al 90% de las violaciones de seguridad seoriginan desde usuarios internos.2. Análisis de Vulnerabilidades Externo: se trata de pruebas de penetracióndesde internet que identifican los riesgos de la red perimetral (es una red local quese ubica entre la red interna de una organización y una red externa,generalmente Internet.)y analizan si estos pueden ser utilizados para acceder a sured, violando sus medidas de seguridad, y en tal caso examinar si se produce eldebido registro de lo que está sucediendo y si se accionan o no las alertasapropiadas, verificando la efectividad de los firewalls, de los sistemas de detección

de intrusos (IDS), de los sistemas operativos y de los dispositivos decomunicaciones visibles desde Internet.3. Análisis de Vulnerabilidades de aplicaciones web: identifica los riesgos delas Aplicaciones Web, verificando los esquemas de autenticación y probando lastecnologías utilizadas en la implementación de las mismas.Los Análisis de Vulnerabilidades deben efectuarse periódicamente, pues a diariose descubren Nuevas Vulnerabilidades debido a su carácter evolutivo.



El objetivo de la protección no son los datos como tal si no el contenido de lainformación sobre las personas para que no sean modificadas.Las vulnerabilidades permiten a un atacante acceder a la información confidencial,modificarla y negar un servicio.En los siguientes elementos de la infraestructura que puede haber vulnerabilidades son:•Servidores•Aplicaciones•Estaciones de trabajo

•Bases de datos (Confidencialidad)•Firewalls•Enrutadores (Hardware): afecta la disponibilidad, integridad, confidencialidad

METODOLOGÍA PARA VULNERABILIDAD EN LA SEGURIDAD INFORMÁTICA.

Definiciones importantes.

Activos de la información: son aquellas recursos hardware y software que tieneuna empresa.

Amenazas: son los eventos que tiene el potencial suficiente para afectar negativamente la confidencialidad, integral o disponibilidad de los activos de lainformación.

Vulnerabilidad: hace referencia a una debilidad en un sistema permitiendo a unatacante violar la confidencialidad, integridad, disponibilidad, control de acceso yconsciencia del sistema o de sus datos y aplicaciones.



Riesgo: la posibilidad de que una amenaza en particular explote una

vulnerabilidad y afecte a un activo de información.

TECNICAS PARA DETECTAR LAS VULNERABILIDADES DE LOS ACTIVOS.

Una auditoría de seguridad informática o auditoría de seguridad de sistemas deinformación es el estudio que comprende el análisis y gestión de sistemas llevadoa cabo por profesionales generalmente por ingenieros técnicos en la informáticapara identificar, enumerar y posteriormente describir las diversas vulnerabilidadesque pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo,

redes de comunicaciones o servidores.Técnica de seguridad perimetral.mediante la simulación de un ataque externo, con objetivos maliciosos, evaluamosla seguridad de la red externa de la empresa . Gracias a esa evaluación podemosdescribir las vulnerabilidades y fallos de seguridad que tiene el sistema, y obtener información privada de la misma , que permitirá elaborar planes preventivos deseguridad adaptados a las necesidades de la seguridad de la empresa.

Técnicas de seguridad Wireless.simulando un ataque interno y externo a los sistemas de información que forman

la infraestructura wireless de la empresa se detectan las vulnerabilidades delsistema y conocer el grado de seguridad que tiene las redes wireless, los tipos deataques que pueden sufrir, en qué condiciones los puede sufrir, así como losorígenes y consecuencias de los mismo.

Técnica del Autoservicio Bancario.Evalúa y analiza el nivel de seguridad de la plataforma informática y la red IP delautoservicio bancario, detecta las vulnerabilidades del sistema e implanta unasolución para eliminarlas y aumentar el nivel de seguridad. Se describe todos losdatos de acceso a los que podría acceder un intruso en el autoservicio bancario,los problemas del acceso, cantidad de acceso etc.

Técnica de Seguridad Interna. Análisis y protección contra los riesgos procedentes de empleados ( vulnerabilidadinterna) capaces de violar la seguridad de los sistemas de información de laempresa.Se localizan todas las posibles vías da acceso que puede tener un agresor interno.Un análisis desde un sistema conectado a la red interna de la empresa.( simulando ser un atacante interno), se utiliza a los mejores profesionales



especializados en el Hacking ético (penetración controlada en los sistemasinformáticos de una empresa, de la misma forma que lo haría un haker o pirata

informático pero de forma ética y con previa autorización por escrito).

Técnica de Análisis Forense.La técnica del análisis forense ayuda a:descubrir las vulnerabilidades que han hecho posible el ataque.Descubrir el origen y el autor del ataque.Identificar y determinar las acciones realizadas, la herramientas y métodosutilizados en el ataque.Establecer las medidas adecuadas para que la situación no se repita.

El análisis forense es una metodología de estudio ideal para el análisis posterior

de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en elsistema, a la par que se volaran los daños ocasionados. Si los daños hanprovocado la inoperatividad del sistema, el análisis se denomina análisisPOSTMORTEM(después de la muerte).

Análisis de Aplicativos y del Código Fuente. Ayuda a las empresas a conocer el nivel de seguridad de las aplicacionesutilizadas en sus sistemas de información, estudia el nivel de seguridad del códigode las aplicaciones de la empresa y del software de base en que se apoya.

Análisis del código tanto de aplicaciones páginas web como de cualquier tipo deaplicación, independiente del lenguaje empleado.

Análisis de Paginas Web.Entendida como el análisis externos de la web, comprobando vulnerabilidad comola inyección de código sql, verificación de existencia y anulación de posibilidadesde Cross Site Scripting (XSS) inseguridad informática o agujero de seguridad, etc.

HAKING ÉTICO

profesionales de la seguridad que aplican sus conocimientos de hacking con fines

defensivos (y legales).Desde el Punto de vista de Un individuo, un Hacker Ético es un profesional quetiene las habilidades para evaluar la seguridad de un sistema informático de formaintegral, llevando a la practica una serie de pasos secuenciales y teniendo comoun criterio trasversal una “Ética Profesional”.

Desde el Punto de vista Comercial, el Hacking Ético es un servicio de Auditoría de



T.I, que ofrecen empresas especializadas, con el fin de evaluar la seguridad de unsistema informático de forma integral.

PRUEBAS DE INTRUSIÓN.

El objetivo general de las pruebas de intrusión es descubrir áreas de la red de laempresa donde los intrusos pueden sacar partido de las vulnerabilidades deseguridad. Es necesario realizar varios tipos de pruebas de intrusión para losdistintos tipos de dispositivos de red. Por ejemplo, una prueba de intrusión de uncortafuegos es distinta de la de un equipo de usuario estándar. Incluso una pruebade intrusión de dispositivos en la zona de transición (DMZ) es diferente a cuando

se realiza un escaneo para comprobar si es posible la intrusión en una red. Hayque sopesar el tipo de prueba de intrusión frente al valor de los datos del equipo alque se están realizando las pruebas y la necesidad de conectividad a un servicioespecífico.

PASO 1: DEFINICIÓN DEL CONTEXTO .

Antes de iniciar una prueba de intrusión, la empresa tiene que definir el contextode la prueba. Este paso incluye la determinación de la extensión de la prueba, aqué elementos se realizarán las pruebas, desde dónde se hará y quién lo hará.

Pruebas a gran escala frente a pruebas específicas: Una empresa tiene que decidir si va a realizar una prueba a gran escala de toda lared, si se va centrar en dispositivos específicos, como el cortafuegos o si va hahacer las dos cosas. Por lo general es mejor hacer las dos para determinar el nivelde exposición a la infraestructura pública, así como objetivos de seguridad oindividuales.

Dispositivos, sistemas y contraseñas : Al definir el contexto del proyecto la empresa también tiene que decidir acerca delámbito de la prueba. Por ejemplo: ¿está buscando sólo vulnerabilidades quepuedan poner en peligro un dispositivo o también busca la susceptibilidad a

ataques de denegación de servicio? Además, la empresa tiene que decidir sipermitirá que el equipo de seguridad piratee su archivo de contraseña paracomprobar la selección de contraseña de sus usuarios y si someterá a susdispositivos a rutinas de averiguación de contraseñas en toda la red.

Pruebas remotas frente a pruebas locales : A continuación, la empresa tiene que decidir si las pruebas se realizarán desdeuna ubicación remota a través de Internet o en el mismo lugar a través de la red



local. Esta decisión se dicta en gran medida por los objetivos seleccionados paralas pruebas y por las implantaciones de seguridad actuales. Por ejemplo, una

prueba remota de un equipo detrás de un cortafuegos que oculta la traducción dela dirección de red para el acceso a Internet fallará si el cortafuegos evita elacceso al equipo de forma adecuada. Sin embargo, la prueba al mismocortafuegos para comprobar si protegerá los equipos de los usuarios de unescaneo remoto sí tendrá éxito.

Pruebas internas frente a pruebas externas :Después de haber determinado el contexto de las pruebas el equipo de tecnologíade la información tiene que decidir si va a utilizar recursos internos para realizar las pruebas o si va a recurrir a consultores externos. Sólo se deben utilizar laspruebas internas si una empresa no cuenta con fondos para contratar consultores

externos o si la información es tan confidencial que nadie que no pertenezca a laempresa debe verla. En el resto de los casos se recomienda contratar consultoresexternos.PASO 2: REALIZACIÓN DE LAS PRUEBAS DE INTRUSIÓN.

Una metodología correcta, que implica la recopilación de información y la pruebasal entorno específico, es esencial para el éxito de la prueba de intrusión. Elproceso de pruebas comienza con la recogida de tanta información como seaposible acerca de la arquitectura de red, la topología, el hardware y el softwarepara encontrar todas las vulnerabilidades de seguridad.

Cualquier vulnerabilidad de la que se sospecha su veracidad se vuelve a examinar o se le vuelven a aplicar las pruebas utilizando otras herramientas o secuenciaspersonalizadas. Para realizar pruebas en busca de nuevas vulnerabilidades queno se hayan actualizado en los escáneres comerciales o gratuitos, los ingenierosde seguridad realizan pruebas adicionales y ejecutan ataques de recienteaparición. (Este último paso es necesario porque cada día aparecen nuevosataques y pueden pasar varias semanas o meses antes de que estasvulnerabilidades se incluyan en las bases de datos de vulnerabilidades de lasherramientas de escaneo automatizadas.)

Una vez que se haya realizado el escaneo, los ingenieros de seguridad puedenrealizar pruebas para elementos adicionales definidos en el contexto de laspruebas de intrusión, incluidos los ataques de denegación de servicio y lasvulnerabilidades de contraseñas. Para realizar pruebas para dichos ataques en unentorno de producción sin temer los cortes de dispositivos, una empresa puedecrear una imagen duplicada del dispositivo de producción y a continuación colocar la imagen en hardware similar para realizar las pruebas.



PASO 3: INFORME Y ENTREGA DE RESULTADOS .

Después de finalizar las pruebas de intrusión los ingenieros de seguridad analizantoda la información derivada del procedimiento de pruebas. Entonces enumeranlas vulnerabilidades y establecen la prioridad entre las mismas, clasifican losriesgos como altos, medios o bajos y recomiendan soluciones si se encuentranvulnerabilidades. También pueden proporcionar recursos, como enlaces deInternet, para encontrar información adicional u obtener parches para solucionar las vulnerabilidades.

El informe definitivo puede incluir las siguientes partes:

un resumen ejecutivo de los resultados de las pruebas de intrusión y lainformación revelada concerniente a los aspectos fuertes y débiles del sistema deseguridad existente. También se incluyen los puntos clave de los resultados de laspruebas; un informe técnico más detallado de los resultados que indicainformación acerca de las vulnerabilidades de cada dispositivo, que clasifica yestablece la prioridad sobre los riesgos y que propone recomendaciones acercade las soluciones, incluida la provisión de información técnica adicional sobrecómo solucionar cualquier vulnerabilidad; información adicional, como elementosde salida del escáner sin procesar, registros whois, capturas de pantalla ydiagramas, así como peticiones de comentarios (Request For Comment, RFC) ylibros blancos relevantes, incluidos en un apéndice.

Documents

VULNERABILIDAD