Identificacion y Determinacion de Las Amenazas, Vulnerabilidades Riesgos a Nivel Mundial y en Vzla
IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS …
101
1 IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS INFORMÁTICAS EN LABORATORIOS SIEGFRIED Daniel Alberto Avella Martinez & Heimar Fabián Molano Duarte Fundación Universitaria Panamericana Facultad de Ingeniería Ingeniería de Telecomunicaciones Bogotá, Colombia Mayo de 2015
Transcript of IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS …
1
IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS INFORMÁTICAS
EN LABORATORIOS SIEGFRIED
Daniel Alberto Avella Martinez
&
Heimar Fabián Molano Duarte
Fundación Universitaria Panamericana
Facultad de Ingeniería
Ingeniería de Telecomunicaciones
Bogotá, Colombia
Mayo de 2015
2
IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS INFORMÁTICAS
EN LABORATORIOS SIEGFRIED
Daniel Alberto Avella Martínez
&
Heimar Fabian Molano Duarte
Proyecto de trabajo de grado presentado como requisito para optar al título de:
(Ingeniero de Telecomunicaciones).
Director (a):
Título (Magister) Eduardo León
Línea de Investigación:
Asesor Técnico (a):
Johnn Eduar Criollo
Titulo Ingeniero de Sistemas.
Especialista en Redes de Alta Velocidad
Especialista en Tecnologías de la Información Aplicadas a la Educación
Diplomado en Gestión de la Calidad Para El Sector Educativo
Grupo de Investigación en Ingeniería de Sistemas GIIS
Fundación Universitaria Panamericana
Facultad de Ingeniería
(Ingeniería de Telecomunicaciones)
Bogotá, Colombia
Mayo de 2015
3
Dedicatoria
Dedico este proyecto a Dios, a mi hija Samanta Molano Torres, a mis padres Manuel José
Molano y María Del Rosario Duarte, los que con dedicación y apoyo incondicional han
hecho de mi una persona de bien y me han dado la motivación suficiente para sacar
adelante este proyecto.
HEIMAR FABIÀN MOLANO DUARTE
Dedico este proyecto a mis padres Seila Martínez y Alberto Avella, ya que gracias a su
constante apoyo y a su orientación he logrado crecer de tal manera que estoy a punto de
convertirme en ingeniero de telecomunicaciones, de esta manera espero retribuir un poco
al gran esfuerzo que han hecho por mí para formarme como profesional y principalmente
como persona.
DANIEL ALBERTO AVELLA MARTÍNEZ
4
Agradecimientos
Agradecemos a todos los maestros que hemos tenido a lo largo de la carrera por compartir
su conocimiento y por hacer que nos exigiéramos al máximo en todo momento.
Al jefe de programa Ingeniero Luis Manuel Flórez, quien nos ha acompañado y orientado
durante los ciclos de nuestra carrera propendiendo siempre por lograr nuestro beneficio.
A los Ingenieros Dalmiro Bermúdez, Maick Peter, Peter Fierro quienes nos han inspirado y
nos sirvieron como ejemplo a seguir para ser un excelente profesional.
De la misma manera agradecemos al Ingeniero Eduardo León quien nos oriento y nos
apoyo durante las distintas etapas del proyecto, igualmente al ingeniero Edward Criollo por
brindarnos su conocimiento en el diplomado de ciberseguridad y por su asesoría técnica
durante la elaboración de este proyecto.
5
Declaración
Los autores certifican que el presente trabajo es de su autoría, para su elaboración se han
respetado las normas de citación tipo APA, de fuentes textuales y de parafraseo de la
misma forma que las cita de citas y se declara que ninguna copia textual supera las 400
palabras. Por tanto, no se ha incurrido en ninguna forma de plagio, ni por similitud ni por
identidad. Los autores son responsables del contenido y de los juicios y opiniones emitidas.
Se autoriza a los interesados a consultar y reproducir parcialmente el contenido del trabajo
de investigación titulado Identificación de vulnerabilidades y amenazas informáticas en
Laboratorios Siegfried, siempre que se haga la respectiva cita bibliográfica que dé crédito al
trabajo, sus autores y otros.
Director
EDUARDO LEÓN BELTRAN
Estudiantes
HEIMAR FABIÁN MOLANO DUARTE
DANIEL ALBERTO AVELLA MARTÍNEZ
6
Resumen
El presente proyecto tiene como finalidad realizar un análisis de riesgos y vulnerabilidades
en la infraestructura tecnológica de Laboratorios Siegfried con el objetivo de determinar si
existe un entorno seguro para los servicios y los recursos informáticos con los que cuenta la
organización.
La primera fase del proyecto está enfocada en la obtención de la mayor cantidad de
información concerniente a la infraestructura de red del laboratorio, como también del
personal involucrado durante el desarrollo del mismo.
La segunda fase consiste en la descripción de la metodología utilizada para el análisis de
riesgos y búsqueda de vulnerabilidades, se opto por adoptar la metodología ISSAF ya que
de una manera sistemática permite enfocarse en diferentes campos como lo son la
planeación, identificación, análisis e implementación de políticas que permitan el
aseguramiento de los recursos informáticos de la compañía.
En esta etapa también se realiza la identificación de riesgos la cual se divide en
identificación de activos o puntos de acceso de igual manera la identificación y búsqueda
de vulnerabilidades dentro del sistema.
La siguiente fase consiste en el análisis de los resultados arrojados en la etapa anterior con
el fin de elaborar un plan de acción que permita realizar una valoración del riesgo en cuanto
al impacto técnico y el impacto de negocio.
La cuarta fase describe el desarrollo y la generación del plan de mitigación de los riesgos,
esto basado en el análisis realizado en la etapa anterior con el fin de describir las medidas y
recomendaciones descritas en la metodología ISSAF para la mitigación de los riesgos e
incidentes de seguridad.
Por último se exponen resultados y las recomendaciones necesarias para mitigar las
vulnerabilidades y amenazas detectadas durante la ejecución de este proyecto.
Palabras Claves
ISSAF
Amenazas de Seguridad
Ciberseguridad
Incidente de Seguridad
7
Abstract
This project aims to conduct an analysis of risks and vulnerabilities in the IT infrastructure
Siegfried Laboratories in order to determine whether there is a safe environment for
services and computing resources are there in the organization.
The first phase is focused on obtaining as much information regarding the lab network
infrastructure, as well as personnel involved in its development.
The second phase consists of the description of the methodology used for risk analysis and
vulnerability scanning it was decided to adopt the ISSAF methodology as a systematic
manner can focus on different fields such as planning, identification, analysis and
implementation of insurance policies to the computing resources of the company.
At this stage risk identification which is divided into asset identification or access points
equally identifying and finding vulnerabilities in the system it is also performed.
The next phase is the analysis of the results obtained in the previous stage in order to
develop a plan of action to carry out a risk assessment on the technical impact and business
impact.
The third phase describes the development and the generation of the plan to mitigate the
risks, this based on the analysis in the previous stage in order to describe the measures and
recommendations described in the ISSAF methodology for risk mitigation and incidents
security.
Finally the necessary results and recommendations are presented to mitigate vulnerabilities
and threats detected during the execution of this project.
Keywords
ISSAF
Security Threats
Cyber security
Security Incident
8
Tabla de contenido Pg.
Introducción .......................................................................................................................... 12
1. Planteamiento de la pregunta o problema de investigación .......................................... 13
2. Justificación ................................................................................................................... 14
3. Objetivos ....................................................................................................................... 15
4. Marco de referencia ....................................................................................................... 16
5. Diseño Métodologico .................................................................................................... 28
6. Consideraciones éticas .................................................................................................. 41
7. Posibles riesgos y dificultades....................................................................................... 43
8. Cronograma de actividades ........................................................................................... 47
9. Análisis .......................................................................................................................... 48
10 Resultados y productos ................................................................................................. 81
11.1 Impactos ....................................................................................................................... 81
11.2 Capacidad del equipo.................................................................................................... 85
12. Presupuesto .................................................................................................................. 87
12.1 Tabla de Presupuesto .................................................................................................... 87
13. Conclusiones .............................................................................................................. 88
14. Recomendaciones ...................................................................................................... 89
15. Referencias ................................................................................................................ 90
16. Anexos. ...................................................................................................................... 92
16.1 Anexo No. 1. Cronograma ............................................................................................ 91
16.2 Anexo No. 2. Diagrama de Gantt ................................................................................. 92
9
Índice De Tablas Pg.
Tabla 1 Factores de riesgo 44
Tabla 2 Estimación de Riesgos 45
Tabla 3 Segmentación de la red 49
Tabla 4 Segmentación de la red de servidores 50
Tabla 5 Dispositivos red WAN 50
Tabla 6 Comparación de software para el mapeo de la red 51
Tabla 7 Identificación de los servicios por puertos 56
Tabla 8 Identificación de los servicios de cada servidor 64
Tabla 9 Resumen de los sistemas operativos de los servidores 70
Tabla 10 Vulnerabilidades encontradas 72
Tabla 11 Seguridad de las contraseñas 72
Tabla 12 Evaluación del antivirus 76
Tabla 13 Características red inalámbrica 78
Tabla 14 Seguridad de los usuarios en internet 78
Tabla 15 Seguridad física 79
Tabla 16 Apreciación de riesgos 80
Tabla 17 Valoración del riesgo técnico 80
Tabla 18 Valores de riesgos 82
Tabla 19 Criterios de evaluación y número de vulnerabilidades 83
Tabla 20 Capacidad del equipo 85
Tabla 21 Presupuesto 87
10
Índice de figuras Pg.
Figura 1 Seguridad privacidad y medios de prevención 17
Figura 2 Sistemas de gestión de la seguridad 18
Figura 3 Gestión del riesgo 19
Figura 4 Análisis y gestión de riesgos 21
Figura 5 Metodología ISSAF 30
Figura 6 Diagrama físico de red Laboratorios Siegfried 48
Figura 7 Diagrama lógico de red Laboratorios Siegfried 49
Figura 8 Ping servidores Laboratorios Siegfried 52
Figura 9 Escaneo de puertos servidor de impresoras 54
Figura 10 Escaneo de puertos servidor de DNS, DHCP, AD 54
Figura 11 Escaneo de puertos servidor web Linux 55
Figura 12 Escaneo de puertos servidor web y mensajería instantánea (Linux) 55
Figura 13 Escaneo de puertos servidor web en Windows 56
Figura 14 Versión de los servicios del servidor DNS, directorio activo y DHCP 59
Figura 15 Versión de los servicios del servidor de impresoras 60
Figura 16 Versión de los servicios del servidor web en Windows 61
Figura 17 Versión de los servicios del servidor web Linux 62
Figura 18 Versión de los servicios del servidor web y de mensajería instantánea 62
Figura 19 Identificación del S O del servidor de impresoras con NMAP 66
Figura 20 Identificación sistema operativo servidor DNS, AD y DHCP 66
Figura 21 Identificación sistema operativo servidor de impresoras 67
Figura 22 Identificación sistema operativo servidor Web Linux 68
Figura 23 Identificación sistema operativo servidor Web Linux y de mensajería 69
Figura 24 Parámetros de red de los servidores 71
11
Figura 25 Prueba de conectividad de los Stack 73
Figura 26 Identificación del sistema operativo del switch core 74
Figura 27 Escaneo de puertos del Firewall 75
Figura 28 Porcentajes de riesgos de impacto técnico en Laboratorios Siegfried 1 84
Figura 29 Porcentajes de riesgos de impacto técnico en Laboratorios Siegfried 2 85
12
Introducción
Hoy en día toda la información que maneja una organización es uno de los activos más
importantes, por lo cual es indispensable mantenerla segura. Para Laboratorios Siegfried no
es la excepción ya que la interacción con los clientes tanto internos como externos, los
funcionarios y las tácticas de comercialización de sus productos es lo que más preocupa a
las directivas de la organización.
En la actualidad los sistemas de información se han convertido en campos de acción para
conductas delincuenciales que atentan contra la disponibilidad, confidencialidad e
integridad de la información, ya sea en el recorrido por los distintos recursos de red o en su
almacenamiento. Esta situación preocupa de una manera considerable a los directivos de la
compañía dado el incremento de este tipo de actividades delictivas.
Con el objetivo de incrementar la seguridad de la información y los servicios informáticos
del laboratorio se tomo la decisión por parte del gerente de sistemas generar métodos de
prevención y protección para salvaguardar la infraestructura de red del laboratorio.
En este proyecto se quiere mitigar el impacto ante cualquier amenaza o incidente de
seguridad mediante el análisis de vulnerabilidades que permita identificar agujeros de
seguridad que se encuentren expuestos tanto en la red interna como en sus dispositivos. De
esta manera el análisis de vulnerabilidades y la generación de posibles soluciones se
quieren reducir los riesgos y mitigar el impacto ante cualquier incidente de seguridad que
se pueda presentar en el futuro.
El alcance de este proyecto se limita a la seguridad lógica y busca hallar vulnerabilidades y
amenazas dentro de la infraestructura de red del laboratorio, con base en los hallazgos y
mediante la elaboración de un informe detallado realizar un análisis de las mismas, en el
que describa de manera veraz su nivel de impacto (bajo, mediano o alto) y las posibles
soluciones a las misma.
Los estándares y metodologías en seguridad informática propenden mejorar los sistemas de
seguridad de las compañías e instituciones, en este caso para el laboratorio se opto por
escoger la metodología de pruebas de intrusión ISSAF que está constituida por tres fases
para la identificación y mitigación de amenazas y vulnerabilidades, aunque también se
utilizaron como referencia conceptos de la metodología MAGERIT y del estándar
ISO2700.
Para Laboratorios Siegfried tener segura la infraestructura de red conlleva beneficios,
credibilidad y reconocimiento que garantizan su sostenibilidad y su continuo crecimiento
tal cual como lo tiene expresado en su misión institucional.
13
1 Descripción del problema
La infraestructura de red de datos es uno de los activos más importantes para la compañía,
dado que por ella viaja la información y se almacenan datos relevantes para la misma, por
tal razón es necesario administrar los riesgos con políticas y procesos que garanticen la
disponibilidad, integridad y privacidad de la información de la compañía.
Hoy en día las principales amenazas a que se enfrenta el laboratorio y cualquier tipo de
institución o negocio, se originan gracias a múltiples intrusos o usuarios mal
intencionados que intentan de cualquier forma vulnerar los sistemas de comunicación e
información. Al mismo tiempo, a nivel interno, se pueden presentar situaciones que pueden
generar incidentes de seguridad ya sea por descuidos internos, un mal procedimiento o un
software mal configurado, revelando así un sistema inseguro carente de normas y de
políticas de seguridad.
Las consecuencias en muchos casos generan la no disponibilidad de servicios, pérdidas o
modificación de datos, la obtención de información confidencialidad por personal no
autorizado, o simplemente la prestación de un mal servicio tanto a nivel interno como
externo.
Al presentarse un incidente de este tipo se tienen que realizar acciones correctivas cuando
se pudo haber implementado un control o una determinada acción para impedir que las
amenazas o las vulnerabilidades exploten.
1.1 Pregunta de investigación
¿Cómo reducir los riesgos y amenazas, a partir de la realización de un análisis de
vulnerabilidades en la infraestructura tecnológica y de red, de Laboratorios Siegfried sede
Bogotá?
14
2 Justificación
Este proyecto de investigación tiene la finalidad de contribuir en el fortalecimiento de los
niveles de seguridad informática de la compañía Laboratorios Siegfried ubicada en la
ciudad de Bogotá, una empresa dedicada al sector farmacéutico que cuenta con una
infraestructura tecnológica en constante crecimiento, de esta infraestructura dependen
muchos de los procesos, dependencias y el funcionamiento tanto administrativo como
comercial de la compañía.
La información más relevante de la compañía se encuentra alojada en los servidores y
equipos de almacenamiento, también viaja constantemente por la red de área e internet para
poder tener interacción con los clientes internos, externos y proveedores. Uno de los
objetivos principales de este proyecto es analizar si existen brechas de seguridad que
puedan afectar la integridad, confidencialidad y disponibilidad de la información ya que
esta representa uno de los activos más valiosos y sensible para el laboratorio.
En la actualidad cualquier empresa u organización independientemente de su actividad,
tiene que considerar dentro de sus normas o políticas, el aseguramiento de la infraestructura
de red, esto con el fin de garantizar el flujo seguro de la información, la confidencialidad,
disponibilidad e integridad de la misma.
Mediante la ejecución de un análisis de vulnerabilidades y amenazas dentro de la
infraestructura de red de la compañía, se quiere dar a conocer el estado actual en términos
de seguridad informática de la misma. Por tal razón se decidió en conjunto con la jefatura
de sistemas de Laboratorios Siegfried elaborar un documento que contenga resultados con
base en los análisis anteriormente descritos, de igual manera generar una propuesta de
mejoramiento para la mitigación de las amenazas y vulnerabilidades detectadas.
15
3 Objetivos
Objetivo general
Identificar métodos de prevención y protección con base en el análisis de
vulnerabilidades y amenazas, efectuado en la infraestructura de red de laboratorios
Siegfried.
Objetivos específicos
Identificar y clasificar los activos de información existentes en la infraestructura
de red del laboratorio.
Aplicar la metodología de evaluación de riesgos ISSAF con el fin de definir las
vulnerabilidades y amenazas de seguridad existentes en la infraestructura
tecnológica de la compañía.
Determinar qué tipo de herramientas de software libre se utilizan actualmente
para la detección de vulnerabilidades.
Elaborar un documento que contenga los hallazgos encontrados y las
recomendaciones que permitan definir procedimientos para mitigar las
vulnerabilidades y amenazas encontradas.
16
4 Marco de referencia
4.1 Antecedentes
Hoy en día las principales amenazas a que se enfrentan las compañías y negocios se
originan gracias a múltiples intrusos o usuarios mal intencionados que intentan de
cualquier forma vulnerar los sistemas de comunicación e información. Al mismo tiempo, a
nivel interno, se generan situaciones que pueden generar incidentes de seguridad ya sea por
descuidos internos, un mal procedimiento, software mal configurado, o simplemente un
colaborador insatisfecho.1
Las consecuencias en muchos casos generan la no disponibilidad de servicios, pérdidas o
modificación de datos y la obtención de información confidencialidad por personal no
autorizado.
En consideración con lo anterior y partiendo de que la información es uno de los activos
más importantes para la compañía, surgió la necesidad de determinar el estado de seguridad
de la infraestructura de red del laboratorio. Con la confianza que da contar con una
infraestructura tecnológica acorde con las necesidades actuales de comunicación, se planteo
realizar un análisis de riesgos informáticos con base en la revisión de algunos antecedentes
y mediante la realización de varias pruebas de análisis e intrusión en los sistemas.
Muchos de los problemas que surgen día tras día en seguridad informática hacen que las
compañías dediquen gran parte de sus esfuerzos a protegerse, para mitigar este tipo de
inconvenientes se crearon diferentes estándares que fueron desarrollados para gestionar la
seguridad de la información, muchos a manera global, otros se centran en la gestión de
riesgos como la norma ISO/IEC 27000)2, existen algunos con tendencias para desarrollar
modelos de madurez que velan continuamente por la seguridad de la información por
ejemplo ISM3 o ISSAF3. De esta manera cada compañía o institución enfoca sus esfuerzos
dependiendo de sus propias consideraciones y necesidades.
1 RUIZ L. Hernando. RESOLUCION 160-005326 Política de Seguridad de la información
de la superintendencia de Sociedades. 2008. 2
ISO 2700. Sistema de gestión de seguridad de la información. Términos de uso
información iso27000.es ©, 2012 3 Draft, (ISSAF) 0.2.1. (2006) Information systems security assessment framework Open
Information Systems Security Group (OISSG). [En línea]. Disponible en
http://www.oissg.org [2015, 3 de Marzo].
17
La norma internacional UNE/ISO 270014, establece especificaciones para la creación,
implementación, funcionamiento, supervisión, revisión, mantenimiento y mejora de un
sistema de gestión de seguridad de la información (SGSI)5. Esta norma plantea un enfoque
encaminado por procesos y se basa en el ciclo Deming, que plantea la gestión de la
seguridad como un proceso de mejora continua, a partir de la repetición cíclica de cuatro
fases como lo son planificar, hacer, verificar y actuar, aunque este proyecto se basa en el
estándar ISSAF, también se tienen en cuenta las normas y demás metodologías descritas
anteriormente.
En el año 2013 se presento un incidente de seguridad en el laboratorio por causa de una
intrusión en el servidor Asterisk que es el encargado de gestionar la telefonía IP, por esta
causa la compañía perdió sumas de dinero bastante significativas por causa de llamadas
internacionales, como también la caída del servicio durante tiempos prolongados.
4.2 Marco teórico
4.2.1 Seguridad informática
La seguridad de la información consiste en la capacidad de salvaguardar de manera intacta
y protegida independientemente de su formato la información en cualquier tipo de sistema
informático. La Información en sí misma es un activo invaluable para cualquier
organización con la misma o mayor importancia de cualquier otro de los bienes de la
misma, por tal razón es necesaria su protección.
Figura 1 Seguridad privacidad y medios de prevención6
4
ISO 2700. Sistema de gestión de seguridad de la información. Términos de uso
información iso27000.es ©, 2012 5 PALLAS MEGA, Gustavo. Metodología de implantación de un SGSI en un grupo
empresarial jerárquico. Universidad república de Montevideo (Uruguay), 2009. 6
(2014) Seguridad privacidad y medios de prevención [Seguridad Informática].
Recuperado de http://seguridad-privacidad-y-medidas-de-
prevencion.wikia.com/wiki/File:Seguridad-informatica.jpg
18
La seguridad informática tiene tres principios fundamentales:
- Integridad
- Disponibilidad
- Confidencialidad
La integridad hace referencia a que la información no sea objeto de manipulación,
alteración o cambiada por personal no autorizado o por el propio sistema.
Existen diferentes mecanismos para mantener la integridad de la información como
es el cifrado.
Figura 2 Sistemas de gestión de la seguridad7
Según el estándar MAGERIT la disponibilidad es el grado en el que la información está en
el lugar, momento y forma en que es requerido por el personal autorizado, es decir un
sistema seguro debe mantener la información disponible para los usuarios que la requieran.
La confidencialidad consiste en la seguridad de que la información no es captada por
personas o sistemas ajenos a la organización y que no cuentan con el permiso para hacerlo,
esta se controla mediante la verificación y autorización.8
7
(2014) Sistemas de gestión de la seguridad [Confidencialidad, Integridad y
disponibilidad]. Recuperado de http://iberplanet.com/es/tecnologia/seguridad/sistemas-de-
gestion-de-la-seguridad/ 8 BOLAÑOS, María C y ROCHA G. Mónica. 25 de marzo de 2014. Auditoria de SI.
Magerit V3 (Metodología de análisis y gestión de riesgos de los sistemas de información).
[en linea]:http://asijav.weebly.com/auditoria-de-sistemas-de-informacioacuten/magerit-v3-
metodologa-deanlisis-y-gestin-de-riesgos-de-los-sistemas-de-informacion.
19
4.2.2 Gestión de riesgos en la seguridad informática
La Gestión de riesgo es un método para determinar, analizar, valorar y clasificar el
riesgo para posteriormente implementar mecanismos que permitan controlarlo.
La Gestión de Riesgo se divide en cuatro fases, Análisis, Clasificación, y Reducción
y Control. 9
- Análisis: En esta fase se determinan los componentes del sistema que
requieren protección, se identifican las amenazas y vulnerabilidades que lo
ponen en peligro con el fin de develar el grado de riesgo.10
- Clasificación: En esta etapa se clasifican y se determina si los riesgos
encontrados y los riesgos restantes son aceptados.
- Reducción: en esta fase se define e implementa las medidas para proteger el
sistema, de igual manera se sensibiliza y se da una capacitación a los
usuarios de acuerdo a las necesidades.
- Control: en esta última etapa se hace un análisis sobre el funcionamiento, la
efectividad y el cumplimiento de las medidas y de ser necesario se deben
ajustar.
Características de la seguridad
Figura 3 Gestión del riesgo 11
9 Portal administración electrónica. MAGERIT v3: Metodología de Análisis y Gestión de
Riesgos de los sistemas de información. [en línea].
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pa
e_Magerit.html#.VCmVZhZRVJQ 10
ERB, Markus, Gestión de Riesgo en la Seguridad Informática. 2011. Accedido el 23 de
marzo, 2015, desde https://protejete.wordpress.com/gestion_riesgo_gestion_si/
20
4.2.3 Análisis de riesgos
Según Aguilera (2010) si se pretende implementar un programa de seguridad informática
a un sistema es necesario determinar los elementos o activos que requieren protección,
identificar el nivel de vulnerabilidad de cada uno frente a determinadas amenazas y valorar
el impacto que produciría un ataque sobre el sistema informático.
Los activos en este caso son los recursos que pertenecen al sistema de información, que se
clasifican de la siguiente manera:
- Datos: Los datos concentran el núcleo (core) de la organización, para toda
empresa u organización los datos representan uno de los activos más
importantes éstos pueden ser del tipo: Económicos, fiscales, recurso
humano, clientes o proveedores.
- Software: Es el conjunto de aplicaciones instaladas que se encuentran en los
equipos, y que hacen parte del sistema de información, dichas aplicaciones
reciben, gestionan y transforman los datos.
- Hardware: Conjunto de equipos de red o computo (Servidores, Enrutadores
y Terminales) que contienen las aplicaciones y permiten su funcionamiento,
algunos de estos sirven para almacenar los datos del sistema de información.
- Redes: Representan las rutas de comunicación y transmisión de datos.
- Soportes: Son los lugares donde la información queda registrada y
almacenada durante un periodo de tiempo o de manera permanente: Como
por ejemplo Tarjetas de memoria (USB, SD), Discos duros, DVD.
- Usuarios: Está conformado por el recurso humano que interactúa con el
sistema de información: Programadores, Administradores, Usuarios internos
y externos. Gran parte de los problemas o incidentes de seguridad se
producen por la gestión humana.12
11
(2014) Calidad en las TIC [Gestión del Riesgo]. Recuperado de
http://calidadtic.blogspot.com/2014/02/gestion-del-riesgo.html 12
Portal administración electrónica. MAGERIT v3: Metodología de Análisis y Gestión de
Riesgos de los sistemas de información. [en línea].
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pa
e_Magerit.html#.VCmVZhZRVJQ
21
4.2.4 Amenazas
Las amenazas son eventos que pueden desencadenar un incidente en cualquier organización
o compañía, produciendo daños materiales o perdidas inmateriales en sus activos.
La consecuencia de la amenaza, si es que se materializa, se convierte en un incidente que
modifica el estado de seguridad de los activos amenazados, en otras palabras hace pasar el
activo de un estado inicial conocido a otro posterior, que puede ser no deseable.
Los activos están expuestos a muchos tipos de amenazas las cueles pueden explotar sus
vulnerabilidades.
Los controles de seguridad que se implementen se seleccionaran teniendo en cuenta las
vulnerabilidades no las amenazas.
En seguridad informática se define la amenaza como la presencia de uno o más factores
(Personas, máquinas o sucesos) que al presentarse una oportunidad realizan un ataque al
sistema aprovechándose del nivel de vulnerabilidad del mismo y causando daños
considerables.13
Figura 4 Análisis y gestión de riesgos, base fundamental del SGSI metodología Magerit14
13
Fuente: Risk Assessment, Fuente: ISSAF versión 0.2.1, página 98 14
(2015) Maestría en Seguridad Informática [Análisis y Gestión de Riesgos, Base
fundamental del SGSI Metodología Magerit]. Recuperado de http:/www.oec.edu
22
Según la intervención o el daño las amenazas se pueden clasificar en 4 grupos:
interrupción, interceptación, modificación y fabricación.
- Interrupción: El propósito de ésta amenaza es deshabilitar el acceso a la
información. Esta amenaza se puede llevar a cabo destruyendo componentes
físicos como el disco duro, saturando los canales de comunicación o
bloqueando el acceso a los datos.
- Interceptación: La Interceptación es el acceso no autorizado a un
determinado recurso del sistema con el objetivo de captar información
confidencial de la organización.
- Modificación: El objetivo de esta amenaza consiste en acceder a la
información y modificarla.
- Fabricación: Esta amenaza se encarga de agregar información falsa en el
conjunto de información del sistema.
Para realizar un análisis de riesgos en un sistema de información es necesario:
1 Ejecutar un proceso secuencial de análisis de activos.
2 Identificar las vulnerabilidades.
3 Identificar y valorar las amenazas.
4 Identificar las medidas de seguridad existentes.
5 Identificar los objetivos de seguridad de la información en la
organización.
6 Determinar la medición de los riesgos, el impacto del ataque.
7 Seleccionar las medidas de protección.
4.2.5 Control de los riesgos
El control de los riesgos tiene por objetivo determinar qué servicios posee el sistema de
información y que servicios quedan al descubierto para posteriormente desarrollar
mecanismos de seguridad que permitan dotar al sistema con mecanismos y elementos
suficientes para cumplir con los objetivos de la organización.15
15
(2015) Maestría en Seguridad Informática [Análisis y Gestión de Riesgos, Base
fundamental del SGSI Metodología Magerit]. Recuperado de http:/www.oec.edu
23
4.2.6 Servicios de seguridad
El objetivo de la seguridad informática es garantizar mediante un conjunto de
procedimientos, estrategias y herramientas la integridad, la disponibilidad y la
confidencialidad de la información de la entidad u organización.
El objetivo de cualquier atacante es aprovechar las vulnerabilidades de un sistema o una red
para encontrar debilidades y explotarlas.16
Los servicios de seguridad se clasifican de la siguiente manera:
- Confidencialidad: La confidencialidad proporciona protección contra la
revelación voluntaria o accidental de los datos en una comunicación.
- Integridad: La integridad asegura que los datos del sistema de información
no hayan sido alterados por personas no autorizadas también garantiza que
el contenido de los mensajes recibidos sea el correcto.
- Disponibilidad: La disponibilidad permite que la información esté
disponible cuando la requiera personal autorizado.
- Autenticación: La autenticación se refiere a que el sistema debe ser capaz de
verificar que un usuario identificado que accede a un sistema de información
es efectivamente quien dice ser.
- No repudio: El no repudio consiste en no poder negar haber emitido una
información que sí se emitió y en no poder negar su recepción, cuando sí fue
recibida.
- Control de acceso: En el control de acceso solo podrán acceder a recursos
del sistema usuarios con autorización.
4.2.7 Mecanismos de seguridad
Los mecanismos de seguridad se clasifican según la función que desempeñen, estos pueden
ser preventivos, detectores o correctores.
Preventivos: Estos mecanismos actúan antes de que se produzca un ataque, su misión
principal es evitar el ataque.
16
Mieres, J. (2009) Ataques informáticos (Debilidades de seguridad comúnmente
explotadas). [En línea]. Disponible en
https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf
24
Detectores: Los mecanismos detectores actúan cuando el ataque se ha efectuado y antes de
que éste cause daños en el sistema.
Correctores: Los mecanismos correctores actúan después de que se ha presentado un ataque
y se han producido daños. Su principal objetivo es el de corregir las consecuencias del
daño.
Existen otros mecanismos de seguridad que dependiendo del sistema de información, de su
función y de los riesgos a los que se expone el sistema, entre los cuales se encuentran los
mecanismos de seguridad físicos y lógicos.
Los Mecanismos de Seguridad Físicos y Lógicos tienen como objetivo prevenir, detectar o
corregir ataques al sistema, garantizando que los servicios de seguridad queden cubiertos. 17
- Seguridad Física: Su objetivo es proteger al sistema de peligros físicos y
lógicos. Dentro de estos se pueden encontrar dispositivos físicos de
protección como los detectores de humo, de presión, fusibles para proteger
hardware, etc. Y por otro lado se encuentran las copias de respaldo o copias
de seguridad de la información.
- Seguridad Lógica: Su principal objetivo es proteger digitalmente la
información. Un ejemplo de ellos puede ser:
- Antivirus: Estos detectan e impiden la entrada de virus y software malicioso.
Protege la integridad de la información.
- Control de acceso: Utilizando nombres de usuario y contraseña.
- Cifrado de datos: Los datos se enmascaran utilizando algoritmos de
encriptación. Fortalece la confidencialidad.
- Cortafuegos: Los cortafuegos son dispositivos de software, hardware o
mixtos que restringen el acceso al sistema. Protege la integridad de la
información.
- Firma digital: Es utilizada para la transmisión de mensajes telemáticos y en
la gestión de documentos electrónicos. Protege la integridad y
confidencialidad de la información.
17
Colombia. Ministerio de tecnologías de la información y de las telecomunicaciones
(mintic).
25
- Certificados digitales: Son documentos digitales que garantizan que una
persona es quien dice ser. Protege la Integridad y confidencialidad de la
información.
4.2.8 Mecanismos de análisis y gestión de riesgos
Los objetivos y normas de seguridad están recopilados en las políticas de seguridad de
cualquier organización.
4.2.8.1 Política de seguridad
La política de seguridad recopila una serie de objetivos de la organización en
materia de seguridad del sistema de información, los cuales se encuentran
categorizados de la siguiente manera.
- El primero de ellos es identificar las necesidades de seguridad y los riesgos
que amenazan el sistema de información y de igual forma evaluar el impacto
frente a un eventual ataque.
- Tomar todas las medidas de seguridad que deban implementarse para
afrontar los riesgos de cada activo.
- Determinar las reglas y los procedimientos que deben aplicarse para afrontar
los riegos.
- Detectar todas las vulnerabilidades del sistema de información y controlar
los fallos que se producen en los activos.
- Por último definir un plan de contingencia.18
4.2.8.2 Auditoría
La Auditoría es un examen minucioso de un sistema de información, que permite
identificar y corregir vulnerabilidades en los activos que lo conforman y en los
procesos que se realizan. La finalidad de la Auditoría es verificar que se cumplan
los objetivos de la Política de Seguridad de la organización, así pues proporciona
una imagen real y actual del estado de seguridad de un sistema de información.
Luego de realizar una Auditoría, es decir, de realizar un análisis e identificar
vulnerabilidades, el Auditor elabora un informe que debe contener una descripción
de los activos y procesos analizados, una evaluación de las vulnerabilidades
18
RUIZ L. Hernando. RESOLUCION 160-005326 Política de Seguridad de la información
de la Superintendencia de Sociedades. 2008.
26
detectadas, una verificación del cumplimiento de la normatividad y una propuesta
de medidas preventivas y correctivas.19
4.2.8.3 Plan de contingencia
El Plan de Contingencia contiene las medidas preventivas y de recuperación frente a
cualquier tipo de amenaza. Estas pueden ser de tres tipos:
- Plan de Respaldo: En el plan de respaldo se aplican medidas
preventivas ante cualquier amenaza para evitar que se produzcan
daños. Por ejemplo, Copias de respaldo.
- Plan de Emergencia: En el plan de emergencia se determina qué
medidas tomar cuando se está materializando una amenaza o cuando
acaba de producirse. Por ejemplo, restaurar las copias de seguridad.
- Plan de Recuperación: En el plan de recuperación se indican las
medidas que se aplicarán cuando se ha producido un desastre. El
objetivo principal es evaluar el impacto y regresar a un estado
normal de funcionamiento del sistema.20
4.2.9 Análisis de riesgos informáticos
Definición de riesgos
- Aguilera López (2010) se puede denomina riesgo a la posibilidad de que se
materialice una amenaza aprovechando una vulnerabilidad.21
- De acuerdo a Martín Vilches (2011) el riesgo es cualquier variable importante de
incertidumbre que interfiera con el logro de los objetivos y estrategias de negocio.
En otras palabras es la posibilidad de ocurrencia o suceso de un hecho no deseado.22
19
BOLAÑOS, María C y ROCHA G. Mónica. 25 de marzo de 2014. Auditoria de SI.
Magerit V3 (Metodología de Análisis y Gestión de Riesgos de los Sistemas de seguridad de
la información). [en línea]: http://asijav.weebly.com/auditoria-de-sistemas-de-
informacioacuten/magerit-v3-metodologa-anlisis-y-gestin-de-riesgos-de-los-sistemas-de-
informacion. 20
Colombia. Ministerio de tecnologías de la información y de las telecomunicaciones
(mintió). 21
Seguridad informática (Google emboo). Purificación Aguilera López. Edites, Junio
1, 2010 - Educación - Pagina 240.
27
- Según la definición de riesgo de ISSAF versión 0.2.1 el riesgo puede ser definido
como la perdida potencial sufrida para el negocio como resultado de un evento no
deseado que se traduce en la perdidas comerciales o de producción por la
interrupción del negocio.23
- De acuerdo a Fernando Izquierdo (2012) el riesgo es un incidente o situación que
ocurre en un sitio concreto durante unos intervalos de tiempo el cual acarrea
consecuencias negativas qué afectan la consecución de los objetivos.24
4.2.10 Ataques y vulnerabilidades
Las redes de las instituciones y compañías son constantemente víctimas de
atacantes que emplean diferentes técnicas para vulnerar la seguridad de las mismas.
Algunos de los ataques más conocidos son:
- Denegación del servicio
Es un tipo de ataque cuyo objetivo fundamental es negar el acceso de la
victima a un recurso determinado dentro de sus propios recursos.
Algunos ejemplos de este tipo de ataque son:
- “Floodear” (inundar) una red, evitando de esta manera el tráfico legítimo de
datos en la misma.
-
Interrumpir conexiones entre dos máquinas evitando, de esta manera, el
acceso a un servicio.
- Técnicas para evitar que una determinada persona tenga acceso a un
servicio.
- Técnicas de interrupción de un servicio específico a un sistema o a un
usuario.
22
VILCHES T, Martín. El riesgo [en line]. EN: Machuca C, John. (Magister en
Contabilidad y Auditoría). Tesis Guía para la evaluación del sistema de riesgo operativo en
la Cooperativa de Ahorro y Crédito Jardín Azuayo. Cuenca – Ecuador. Universidad de
Cuenca, 2011. P.21. http://dspace.ucuenca.edu.ec/bitstream/123456789/2729/1/tm4487.pdf 23
Criterios de evaluación, Fuente: ISSAF versión 0.2.1, página 18 24
IZQUIERDO D, Fernando. La administración y los riesgos. [en line]. EN: mexicana C,
Jennifer D. (Auditor en control de gestión). 2005. P.39.
http://www.cib.espol.edu.ec/Digipath/D_Tesis_PDF/D-33960.pdf
28
4.2.11 Modalidades de ataque
Existen tres modos de ataques básicos para la negación del servicio
1- Consumo de recursos escasos, limitados, o no renovables.
2- Destrucción o alteración de información de configuración.
3- Destrucción o alteración física de los componentes de la red.
5 Diseño metodológico
Estos son los puntos que se van a manejar en la investigación:
Definición de los objetivos del proyecto.
Recopilación de información.
Análisis de información y verificación de fallas.
Creación de la documentación para la mitigación de fallas
5.1 Metodología para el análisis de vulnerabilidades y amenazas ISSAF
La metodología de pruebas de intrusión ISSAF (Information Systems Security Assessment
Framework) está diseñada para evaluar la red, sistemas y aplicaciones.25
Es una metodología estructurada con procedimientos bastante detallados para realizar
pruebas y análisis de vulnerabilidades en varios dominios. Tiene la capacidad de
contemplar detalles de y criterios de evaluación con objetivos específicos para cada una de
las pruebas de manera tal que se ven reflejadas situaciones que afrontan las corporaciones y
entidades día tras día la gran ventaja es que esta metodología esta publicada bajo la licencia
GNU y GPL.26
25
Open Information Sistema Security Grupo, Metodología de Pruebas de Intrusión ISSAF
[En línea],
<www.oissg.org/wiki/index.php?title=PENETRATION_TESTING_METHODOLOGY>,
[Citado el 30 de Abril de 2015] 26
GNU, GNU es Nota Unix, (GNU No es Unix acrónimo recursivo), GPL, General Publica
Licencie, (Licencia Publica General)
29
Ésta metodología consta de 3 fases y 9 pasos de evaluación.
Las fases son:
Fase 1: Planeación y preparación
Fase 2: Evaluación
Fase 3: Presentación de Informes
5.1.2 Fase 1 planeación y preparación
Esta fase comprende los pasos para el intercambio de información inicial, planificar y
prepararse para la prueba. Antes de la prueba de intrusión, se firmará un acuerdo formal
entre ambas partes, (Empresa y auditor de seguridad), para proveer un mecanismo básico
de protección legal. También se debe especificar el grupo de trabajo, las fechas exactas, los
tiempos de la prueba, ruta de escalamiento y otras evaluaciones.
Las actividades previstas en esta fase son:
Identificación de contactos de parte y parte.
Reuniones abiertas para confirmar el alcance, enfoque y metodología.
Estar de acuerdo en los casos de prueba específicos y rutas de escalamiento.
5.1.3 Fase 2 evaluación
En esta fase es en realidad en la que se va a llevar a cabo la prueba de intrusión. Esta fase
aplica un enfoque por capas, en donde cada capa representa un mayor nivel de acceso a los
activos de la información. Las capas son las siguientes:
1. Recopilación de Información.
2. Mapeo de la Red.
3. Identificación de vulnerabilidades.
4. Intrusión.
5. Ganando acceso y escalando privilegios.
6. Enumeración adicional.
7. Comprometiendo usuarios/sitios remotos.
8. Manteniendo acceso.
9. Cubriendo rastros.
30
Metodología ISSAF
Figura 5 Metodología ISSAF.
27
1 Recolección de información
La recolección de información incluye el uso de internet para encontrar datos y conceptos
sobre el objetivo (Empresa y/o persona), usando métodos, técnicos (DNS y Whois) y no
técnicos como motores de búsqueda, grupos de noticias, listas de correo, etc. Esta es la
etapa inicial de una auditoría de seguridad de la información, que muchas personas tienden
a pasar por alto. Cuando se realiza cualquier tipo de prueba en un sistema de información,
la recopilación de información y minería de datos son esenciales, porque proporcionan toda
la información posible para iniciar las siguientes fases. En la recopilación de información,
es importante ser lo más imaginativo posible. Se debe intentar explorar todas las vías
posibles para obtener una mayor comprensión del objetivo y sus recursos. Cualquier cosa
que se consiga en esta etapa de la prueba es útil: folletos de la empresa, tarjetas de visita,
anuncios en periódicos, documentos internos, y así sucesivamente. La recolección de
información no requiere que el auditor establezca contacto con el objetivo. La información
se recoge (principalmente) a partir de fuentes públicas en Internet y de las organizaciones
que mantienen la información pública (por ejemplo, agencias de impuestos, bibliotecas,
etc.) Esta sección de la evaluación es muy importante para el auditor. Las evaluaciones son
generalmente limitadas en tiempo y recursos. Por lo tanto, es fundamental identificar los
puntos que probablemente son más vulnerables, y centrarse en ellos. Incluso las mejores
27
2011 [Ethical hacking: Test de intrusion. Principales metodologías]
http://2.bp.blogspot.com/_NcZQ3njhqn8/SeSxbyfodYI/AAAAAAAAADc/nOW3hjQNfTE
/s1600-h/453px-Image001.png
31
herramientas son inútiles si no se utilizan adecuadamente en el lugar y tiempo correcto. Es
por eso que los auditores experimentados invierten una importante cantidad de tiempo en la
recopilación de información.
2 Mapeo de la red
La información que tenga que ver con la red se toma de la sección anterior y se expande
para producir una topología de red probable del objetivo. Muchas herramientas y
aplicaciones se pueden utilizar en esta etapa para ayudar al descubrimiento de información
técnica sobre los hosts y redes involucrados en la prueba. Encontrar hosts disponibles.
Escaneo de puertos y servicios. Mapeo del perímetro de red (enrutadores, cortafuegos).
Identificación de servicios críticos. Identificación del tipo de Sistema Operativo.
Identificación de rutas. Identificación de versiones y software en los servicios Para ser
efectivo, el mapeo de red debe realizarse de acuerdo al plan. Este plan incluirá probables
puntos débiles y/o puntos más importantes para la organización auditada y tendrá en
consideración toda la información obtenida en la sección anterior. El mapeo de red ayudará
al auditor a completar la información previamente adquirida y a confirmar o descartar
algunas hipótesis sobres los sistemas objetivo (por ejemplo, marcas de software/hardware,
configuración, arquitectura, relaciones con otros recursos y relaciones con procesos de
negocio).28
3 Identificación de vulnerabilidades
Antes de comenzar esta sección, el auditor debe escoger los puntos específicos a probar y la
manera de como probarlos. Durante la identificación de vulnerabilidades, el auditor tendrá
que realizar varias actividades para detectar y explotar los puntos débiles. Estas actividades
incluyen: Identificar los servicios vulnerables usando servicios de banners. Realizar
escaneo de vulnerabilidades conocidas. La información con respecto a vulnerabilidades
conocidas puede ser obtenida de anuncios de seguridad, de bases de datos públicas como
Security Focus, CVE o los anuncios de CERT. Realizar la verificación de falsos positivos y
falsos negativos (por ejemplo, correlación de vulnerabilidades y con información
previamente adquirida). Enumerar las vulnerabilidades descubiertas. Estimar el impacto
probable (clasificar las vulnerabilidades encontradas) Identificar las rutas de ataque y
escenarios para la explotación.
4 Intrusión
Aquí el auditor intentará obtener acceso no autorizado, para eludir las medidas de seguridad
y tratará de llegar al mayor nivel de acceso posible. Este proceso se debe dividir en los
siguientes pasos: Encontrar una prueba de concepto código/herramienta: Encontrar códigos
fuentes disponibles en repositorios propios o públicos para encontrar vulnerabilidades. Si el
28
OWASP Fundación, guía para construir aplicaciones y servicios web seguros [En
línea],<https://www.owasp.org/images/b/b2/OWASP_Development_Guide_2.0.1_Spanish.
pdf>, [Citado el 30 de Abril de 2015]
32
código está en su propio repositorio de confianza y ha sido probado a fondo, se puede
utilizar directamente, de lo contrario se debe probar el código en un entorno aislado. 63
Desarrollar herramientas/scripts: En algunas circunstancias será necesario (y rentable) para
el auditor. Hacer pruebas de concepto código/herramienta, o personalizar prueba de
concepto código/herramienta, o probar pruebas de concepto código/herramienta en un
entorno aislado. Usar pruebas de concepto frente al objetivo:
La prueba de concepto código/herramienta es utilizada frente al objetivo para obtener
mayor cantidad de puntos de acceso no autorizados como sea posible.
Verificar o desaprobar la existencia de vulnerabilidades: Solo los auditores pueden
confirmar o desaprobar vulnerabilidades definitivamente.
Documentar las conclusiones: Esta documentación contiene explicaciones detalladas de las
vías de explotación, el impacto de la auditoria y pruebas de la existencia de la
vulnerabilidad.
5 Ganando acceso y escalando privilegios
Las actividades en esta sección permiten a los auditores confirmar y documentar intrusiones
posibles y/o propagación de ataques automatizados. Esto permite una mejor evaluación del
impacto para la organización. Ganando acceso: obtener privilegios mínimos. Ganar los
privilegios mínimos es posible por medio de acceso a cuentas sin privilegios a través de
varios medios, incluyendo: Descubrir combinaciones de usuario/contraseña (por ejemplo,
ataques de diccionario, ataques de fuerza bruta). Descubrir contraseñas vacías o contraseñas
por defecto en las cuentas del sistema. Explotar configuraciones por defecto de fabricantes
(parámetros de configuración de red, contraseñas, entre otros). Descubrimiento de los
servicios públicos que permiten ciertas operaciones dentro del sistema (por ejemplo,
escribir/crear/leer archivos). Escalando privilegios: En esta etapa el objetivo es obtener
privilegios de administrador, las principales barreras son las actualizaciones,
endurecimiento del sistema y herramientas de integridad del sistema (incluyendo antivirus),
que pueden detectar y en algunos casos bloquear la acción en la prueba de concepto de
explotación.
6 Enumeración adicional
Obtener contraseñas encriptados con cracking offline (sin conexión a internet), por
ejemplo, con el archivo de contraseñas SAM de Windows o con los archivos /etc/passwd y
/etc/shadow en sistemas Linux. Obtener contraseñas (texto plano o encriptados) usando
sniffing u otras técnicas. Rastrear el tráfico y analizarlo. Recoger las cookies y usarlas para
explotar sesiones y para ataques de contraseña. Recolectar correos electrónicos. Identificar
rutas y redes. Mapear redes internas. Realizar los pasos del 1 al 6 de nuevo con este sistema
como punto de partida.
33
7 Comprometiendo usuarios/sitios remotos
Un solo agujero de seguridad es suficiente para exponer toda la red, independientemente de
qué tan seguro el perímetro de red pueda ser. Las comunicaciones entre usuarios/sitios
remotos y redes empresariales pueden ser con métodos de autenticación y cifrado, como
VPN, para asegurar que los datos no sean modificados mientras viajan en la red, sin
embargo, esto no garantiza que los extremos de comunicación no han sido comprometidos.
En tales escenarios el auditor debe tratar de comprometer a los usuarios remotos,
trabajadores virtuales y/o sitios remotos de una empresa. Los que pueden dar acceso
privilegiado a la red interna.
8 Mantener el acceso
El software de túnel, puertas traseras y rootkits, entre otros, no se usan a menudo debido al
riesgo de que un atacante los descubra y obtengan acceso privilegiado al sistema.
9 Cubrir los rastros
Es una práctica normal durante las pruebas de intrusión para actuar lo más abierto posible
(Excepto cuando es solicitado por el cliente) y para producir información en detalle y
registros de todas las actividades, por lo que esta sección de abajo es principalmente para
fines de referencia: Ocultar archivos: Ocultar archivos es importante si el auditor requiere
ocultar actividades que se han hecho durante las pruebas de intrusión. Esto también es
importante para ocultar las herramientas y no tenerlas que subir cada vez que se quiera
ejecutar una operación. Borrar registros: Lo importante de esta fase es entender que si un
atacante experimentado tiene acceso al sistema, éste intentará borrar las evidencias de los
registros del sistema. Esto solo es efectivo sino hay un servidor remoto que registre las
actividades del sistema.
5.1.4 Fase 3 presentación de informes
Informe Verbal
1 Informe verbal: Si en el transcurso de las pruebas de intrusión se encuentra una
vulnerabilidad en el sistema, se debe informar inmediatamente a la organización
para que sea consciente del problema.
2 Informe final: Tras la finalización de todos los casos de prueba definidos en el
alcance del trabajo, se debe hacer un informe escrito que describa los resultados de
las pruebas con las recomendaciones de mejora respectivas. El informe deberá
ajustarse a una estructura bien documentada, de la siguiente manera:
34
Resumen de gestión.
Alcance del proyecto (y partes del alcance de salida).
Herramientas que han sido usadas (incluyendo exploits).
Fechas y tiempos de las pruebas en el sistema.
Cada salida de las pruebas realizadas (excluyendo los casos de análisis de
vulnerabilidades que pueden ser incluidos como archivos adjuntos).
Una lista de vulnerabilidades identificadas con las recomendaciones de cómo
resolverlas.
Una lista de puntos de acción (Qué recomendación realizar primero, cuál es la
solución recomendada).
Limpiar el sistema de las pruebas de intrusión realizadas.
Remover todas las herramientas, archivos, software que se hayan instalado en el
sistema. En el caso de no poderlos quitar, informar al cliente, para que éste tome las
acciones necesarias.
5.2 Tipos de pruebas de penetración
Existen diferentes tipos de pruebas de penetración, que constan de 3 enfoques que son
ampliamente aceptados en general por las instituciones y la industria:
Pruebas de caja negra.
Pruebas de caja blanca.
Pruebas de caja gris.
5.2.1 Pruebas de caja negra
Básicamente consiste en el análisis de la ejecución de herramientas en la búsqueda de
vulnerabilidades. Este enfoque también es conocido como pruebas de intrusión, el auditor
no conoce el funcionamiento interno de la aplicación web (el código fuente no está
disponible) y utiliza técnicas de pruebas automatizadas, que son capaces de generar y
enviar datos secuenciales o aleatorios a una aplicación web o a las solicitudes HTTP, esta
técnica es conocida también como Fuzzing.
La prueba de Intrusión será llevada a cabo en las siguientes fases:
35
Recolección de Información.
Mapeo de la red.
Identificación de vulnerabilidades.
Intrusión.
Presentación del reporte.
Recolección de información: En esta fase se recolecta toda la información posible (desde
Internet, periódicos, anuncios) de la organización que se quiere auditar, como, correos,
direcciones, nombres, proveedores, infraestructura, etc. Con el fin de hacer un mapa
general de la organización.
Mapeo de la red: En esta fase se identifica que servicios y puertos tiene abierto el servidor
Web donde se encuentra alojada la aplicación Web, este proceso puede hacerse con la
herramienta nmap. Cuando se empieza a analizar la red se revisa la seguridad tanto física
como lógica, ya que cualquiera de las dos puede ser un hueco de seguridad para vulnerar el
sistema.
Identificación de vulnerabilidades: En esta fase se usan las herramientas de pruebas de
intrusión mencionadas anteriormente, aunque si se identifican algunas herramientas
adicionales, éstas pueden utilizarse.
Intrusión: Una vez encontradas las vulnerabilidades, se descartan cuales son falsos
positivos. Luego de haberlas clasificado, explotarlas y revisar si el sistema ha sido
comprometido.
Presentación de reporte: Esta fase es la más importante, debido que con ella se demuestra
que el sistema es o no seguro.
El reporte debe contener:
Fecha.
Duración de las pruebas de Intrusión.
Persona responsable de las pruebas de Intrusión.
Vulnerabilidades clasificadas por categoría e impacto.
Puntos por donde se logró el acceso.29
29
OWASP Fundación, guía para construir aplicaciones y servicios web seguros [En
línea],<https://www.owasp.org/images/b/b2/OWASP_Development_Guide_2.0.1_Spanish.
pdf>, citado el 1 de Mayo de 2015]
36
5.2.2 Pruebas de caja blanca
La esencia de este enfoque es analizar el código fuente en búsqueda de vulnerabilidades.
Esto puede traer una serie de complicaciones si el código es muy complejo, debido a que se
dificulta encontrar los problemas de seguridad.
Por lo tanto se plantea hacer estos análisis en el ciclo de desarrollo del Software (SDLC)
para quitarle complejidad a éste problema, en conjunto con el Sistema de Gestión de la
seguridad de la Información (la norma ISO 27001), que es el estándar de facto que las
organizaciones deben certificar para demostrar que ofrecen seguridad en la información de
sus clientes, además de darle una gestión eficiente a los riesgos y vulnerabilidades. A
continuación se citan consideraciones adicionales a tener en cuenta en la fase de desarrollo.
La seguridad como requerimiento adicional. Los clientes siempre hacen requerimientos de
cómo quieren sus aplicaciones, pero la seguridad no siempre es tenida en cuenta, por esto
tener la seguridad como algo adicional en el desarrollo del producto, trae un valor agregado
y una reputación especial hacia la organización. Por lo tanto, se aplicará este enfoque en la
metodología.30
5.2.3 Pruebas de caja gris
La combinación de ambos tipos de pruebas se conoce como pruebas de caja gris.
Este tipo de prueba puede ayudar a tomar mejores decisiones al tener un enfoque global de
las vulnerabilidades tanto internas como externas de la organización.31
5.3 Recolección de información
Una vez identificados los puntos de acceso específicos, se realiza la identificación de
puntos débiles y que se pueden explotar mediante las siguientes actividades:
Realizar el mapeo de la red.
Identificar los servicios vulnerables en puertos abiertos o filtrados.
Buscar vulnerabilidades conocidas.
30
OWASP Fundación, guía para construir aplicaciones y servicios de red seguros [En
línea],<https://www.owasp.org/images/b/b2/OWASP_Development_Guide_2.0.1_Spanish.
pdf>, [Citado el 1 de Mayo de 2015] 31
OWASP Fundación, guía para construir aplicaciones y servicios de red seguros [En
línea],<https://www.owasp.org/images/b/b2/OWASP_Development_Guide_2.0.1_Spanish.
pdf>, [Citado el 1 de Mayo de 2015]
37
Hacer una búsqueda de falsos positivos y de falsos negativos.
Enumerar todas las vulnerabilidades encontradas.
Estimar el impacto probable (mediante la clasificación de las vulnerabilidades
encontradas).
Identificar los puntos de ataque y escenarios que son factibles para la explotación.32
5.3.1 Herramientas para la recolección de información
El primer paso del proceso de intrusión es la recopilación de información sobre un objetivo.
La recopilación de información, también conocida como FootPrinting o huella, es el
proceso de recopilación de toda la información disponible acerca de una organización.
En la actualidad la información está disponible en partes y piezas de muy diversas fuentes
dentro de la Internet.
La ventaja de utilizar herramientas de footprinting es que utiliza Google u otros
navegadores para obtener información.
De esta forma el atacante determina la mejor manera de acceder a los objetivos.
Antes de un ataque o la utilización de algún exploit que pueda ser puesto en marcha, el
atacante comprueba el sistema operativo y versión, así como los tipos de aplicaciones que
se ejecutan para que el ataque resulte más eficaz y puedan ser lanzados contra el objetivo.
Nmap
Es una herramienta para escanear que servicios están disponibles y en que puertos, es muy
útil para descubrir qué tipo de sistema operativo tiene un dispositivo, como también sus
versiones, que tipo de servicios y que software tiene instalado.33
Openvas
(Open Vulnerability Assessment System), es un framework de código abierto que analiza
de manera profunda que vulnerabilidades poseen los servicios que tiene instalado un
32
HOLGUIN, José Miguel. pentest: recolección de información(Information Gathering),
Instituto Nacional de Tecnologías de la Comunicación (INTECO), España,
http://www.inteco.es/ 33
NMAP, Network Mapper, (Mapeador de Redes) Fuente: http://nmap.org/man/es/, (mayo
2012)
38
sistema operativo, éste genera un reporte de utilidad que posteriormente se usa para
parchear y corregir los problemas de seguridad de los mismos.34
Nessus
Es un escáner de vulnerabilidades que ofrece actualizaciones diariamente sobre problemas
de seguridad, dando la posibilidad de analizar qué tipo de problemas se encuentran en los
sistemas, para posteriormente instalar un parche.
Nessus posee un cliente para Windows y Linux. Este cliente se conecta al Servidor Nessus
y agrega los hosts objetivo para buscar las vulnerabilidades.35
5.3.2 Definiciones
Amenaza
En sistemas informáticos una amenaza es la presencia de uno o varios factores de
diversa índole (máquinas, personas o sucesos) que al presentarse una oportunidad
atacaran el sistema aprovechándose del nivel de vulnerabilidad y ocasionando serios
daños.
HTTP
Es uno de los protocolos más importantes utilizado en Internet; es el protocolo que
rige la comunicación entre un cliente que utiliza un navegador Web. Su principal
función es poner a disposición de clientes páginas Web.
Activos informáticos
Son recursos que pertenecen al sistema de información o que están relacionados con
éste: Datos, Hardware, Software, Redes, Soporte (tarjetas de memoria, DVD,
Discos duros, etc).
Tics
Tecnologías de la Información y las Comunicaciones.
34
La bitácora de Gabriel, Instalando OpenVas [En
línea],<http://labitacoradegabriel.wordpress.com/2010/05/28/instalando-openvas/>, [Citado
el 13 de Septiembre de 2011] 35
ClubHACKMag, Nessus [En línea], <http://chmag.in/article/apr2010/nessus>, [Citado el
14 de Septiembre de 2011]
39
Vulnerabilidad
Es un fallo de seguridad. Es la debilidad en un sistema que permite a un atacante
violar la confidencialidad, integridad, disponibilidad, control de acceso y
consistencia del sistema o de sus datos y aplicaciones.
Metasploit
Es un framework con un conjunto de herramientas y exploits, que permiten el
acceso a un sistema con vulnerabilidades o huecos de seguridad.
Framework
Es un entorno de trabajo que posibilita hacer las cosas rápidamente a través de
herramientas.
Magerit
Metodología de análisis y gestión de riesgos de los sistemas de información.
Riesgo
Se denomina riesgo a la posibilidad de que se materialice o no una amenaza
aprovechando una vulnerabilidad.
Ataque
El ataque es la materialización de una amenaza.
Impacto
El impacto son las consecuencias de la materialización de una o más amenazas
sobre los activos, es decir son los daños causados.
Seguridad informática
Disciplina que se encarga de crear normas, procedimientos, técnicas y métodos
destinados a construir un sistema de información seguro y confiable.
Auditoría
Es una actividad consistente en la emisión de una opinión profesional sobre si el
objeto sometido a análisis representa adecuadamente la realidad que pretende
reflejar o cumple con las condiciones que han sido acordadas en el nivel de servicio.
40
Auditoría informática
La auditoría es un análisis pormenorizado de un sistema de información que permite
descubrir, identificar y corregir vulnerabilidades en los activos que lo componen y
en los procesos que se realizan. Su finalidad es verificar que se cumplen los
objetivos de la política de seguridad de la organización. Proporciona una imagen
real y actual del estado de seguridad de un sistema de información3.
Protocolo de seguridad
Un protocolo de seguridad es un conjunto de programas que usan esquemas de
seguridad criptográfica.
Pruebas de intrusión (PENTEST)
Un test de penetración es el arte de ejecutar hacking ético donde un grupo de
especialistas en seguridad de la información verifican y documentan la seguridad o
los controles de protección de una plataforma tecnológica con las mismas técnicas
de un hacker/cracker con el fin de lograr comprometer a algún activo alcanzable por
algún punto de la superficie de ataque de un sistema.
Web shell
Aplicación web para ejecutar comandos de sistema operativo.
Prueba de concepto
La prueba de concepto se refiere a una demostración que en principio demuestre
cómo un sistema puede ser protegido o ser comprometido, sin la necesidad de
construir un equipo de trabajo completo para ese propósito.
Comando
Es un software que es ejecutado a través de una Shell.
Shell: Intérprete de comandos que posibilita el acceso a servicios del sistema
operativo.
Exploit
Software creado con la finalidad de explotar y aprovechar una vulnerabilidad ó
hueco de seguridad.
41
Consola
Es una interfaz de Usuario que posibilita el uso de una Shell para ejecutar acciones
en el sistema operativo.
6 Consideraciones éticas
6.1 Investigación proyectiva
Propuesta ---> Proceso causal ---> Evento a modificar
1 ¿Cual es el problema a resolver?
2 ¿Cuales son las intenciones?
3 ¿Cuales son las posibilidades?
4 ¿Que se está haciendo actualmente?
5 ¿Que Ventajas y debilidades se tienen?
6 Identificar causas de la situación a resolver
7 Anteceder situaciones futuras
8 Propuesta
6.2 Lineamientos para la elaboración del presente proyecto
El presente proyecto se realizó con estricto apego a la ley y al marco normativo vigente en
Colombia, se respetaron los derechos de autor con base en las normas APA, toda la
información suministrada en este proyecto fue realizada por los autores.
A continuación se detallan aspectos importantes que se tuvieron en cuenta para la
elaboración de este proyecto:
- El titulo de la investigación es responsabilidad de los autores del proyecto.
- Registro del contacto principal o investigador en caso de que los sujetos de
investigación requieran contactarlo.
- El objetivo del proyecto es conocido por todos los interesados.
- La duración del proyecto y la participación de los interesados en el mismo.
42
- Explicación de la metodología, herramientas y procedimientos a seguir en el estudio
y claridad respecto a las actividades que se van a realizar.
- La confidencialidad de los datos obtenidos y de la identidad de los participantes e
involucrados.
- Se garantiza que:
La participación de los sujetos es voluntaria.
Todos los interesados están informados adecuadamente sobre la finalidad
del proyecto.
Todos los participantes están informados sobre el tipo de intervención que
se hará sobre ellos.
Todos los interesados están informados de los posibles riesgos y beneficios,
efectos secundarios o reacciones adversas esperadas.
El software utilizado durante las pruebas es de uso libre, se conto con la aprobación de la
compañía Laboratorios Siegfried para realizar todas las pruebas y procedimientos dentro de
sus instalaciones y su infraestructura tecnológica.
La información suministrada en el presente proyecto acerca de escaneos, pruebas de
pentesting entre otros será editada o protegida para salvaguardar la confidencialidad de la
información.
6.3 Marco normativo
Ley 1273 de 2009
Los tres principios fundamentales de la seguridad son la confidencialidad, la integridad y la
disponibilidad como se citó anteriormente. Para preservar estos principios el Congreso de
Colombia aprobó la Ley 1273 de 2009, que pretende proteger la información, los datos y la
preservación integral de los sistemas que utilicen tecnologías de la información y las
Comunicaciones.
La ley en su primer capítulo tiene en cuenta los siguientes artículos, que son los más
esenciales y directos con la información:
Acceso abusivo a un sistema informático.
43
Obstaculización ilegítima de sistema informático o red de telecomunicación.
Interceptación de datos informáticos.
Daño informático.
Uso de software malicioso.
Violación a datos personales.
Suplantación de sitios web para capturar datos personales.
Circunstancias de agravación punitiva.
Esta ley es de gran importancia como un apoyo legal para proteger la información de las
organizaciones o personas, ya que no están exentas a estos problemas.
Además conocer las multas y penas de estas violaciones, posibilitan un mecanismo de
respuesta rápido de las organizaciones o personas para defender su activo más importante
que es la información.36
7 Riesgos y dificultades
La metodología ISSAF contempla un conjunto de contramedidas determinada para cada
una de las pruebas realizadas dentro de las fases de la metodología, así como medidas
globales para cada entidad de evaluación.
36
Secretaría del Senado, Ley1273 de 2009 [En línea], Disponible en
http://www.secretariasenado.gov.co/senado/basedoc/ley/2009/ley_1273_2009.html, [Citado
el 3 de Abril de 2015].
44
7.1 Factores de riesgo
Factor De
Riesgo
Tipo Riesgo Descripción
Posibles
Consecuencias Interno Externo
Hardware,
software y
aplicaciones
X Desactualización
Costos elevados
de ciencias del
software utilizado
tanto en los
equipos de red y
servicios,
negligencia y
descuido de los
encargados del
manejo de los
Sistemas
Informáticos.
La compañía es
propensa a ser
atacada por
vulnerabilidades
encontradas en
las versiones
caducas del
software desde
los dispositivos
de red, sistemas
operativos y
aplicaciones en
las que basan su
funcionamiento.
Sistemas de
información
(políticas de
seguridad)
X Perdida de
información
Divulgación de
información
sensible implícita
o explícitamente
por parte del
personal a
terceros,
contaminación de
los sistemas con
malware y virus
especializados por
medio del
incumplimiento o
desconocimiento
del tratamiento a
la información.
Perdida de datos
confidenciales y
Acceso del
intruso a los
sistemas del
laboratorio
45
Infraestructura
de red X
Snniffers e
intrusiones
Comunicaciones
sin encriptación,
Descuido en el
diseño de red al no
contar con la
detección y
contramedidas
contra Snniffers y
ataques de
envenenamiento
ARP.
Exposición de
información,
denegación de
servicios.
Desastres
naturales X
Perdida de
activos e
información
Perdidas de
información a
causa de backups
desactualizados.
Inaccesibilidad a
los últimos
respaldos lo cual
origina perdida de
recursos y
tiempo.
Tabla 1 Factores de riesgo37
Consecuencias
Ligeramente
dañino Dañino
Extremadamente dañino
Probabilidad
Baja
Perdida de activos e
información
Media
Snniffers e intrusión
Alta
Desactualización Fuga de información
Tabla 2 estimación de Riesgos38
7.2 Dificultades
Entre las principales dificultades para la realización de este proyecto, se encuentra el
tiempo ya que ha sido muy escaso, la realización de las pruebas y procedimientos se
realizaron en horarios dominicales y nocturnos ya que entre semana y los sábados
trabajamos y estudiamos.
A continuación se nombran algunas dificultades presentadas durante las fases del
proyecto:
37
Tabla elaborada por los autores. 38
Tabla elaborada por los autores.
46
En la construcción de la propuesta, durante la elaboración del plan de trabajo, en la
elaboración del cronograma de actividades para poder ajustarlo al poco tiempo para
trabajar.
Tanto en la investigación y recolección de información en la compañía fue complicado
coordinar el plan de trabajo en conjunto con el sponsor del proyecto.
La recopilación de información acerca de la propuesta, la consulta y reuniones con los
asesores, discutir la información recopilada, buscar soporte y asesoría técnica, entre
otros.
El poco tiempo para la realización de pruebas y la presentación de avances, para la
retroalimentación del mismo.
47
8 Cronograma de actividades
48
8 Análisis
Identificación del diseño de arquitectura de red
El método ISSAF incluye listas que tienen componentes claves, con puntos estratégicos de
acceso a evaluar dentro de cada capa y bloques del diseño de la arquitectura de red del
laboratorio.
El laboratorio cuenta con 2 data center uno ubicado en el segundo piso y otro en el tercer, el
data center principal es el que se encuentra en el segundo piso ya que hay se encuentra los
dispositivos principales de la empresa firewall, switchcore, la planta telefónica y los routers
de las ISP (Level3 y ETB), también podemos observar en el diagrama que hay otro switch
en otra sede (cosmética).
Diagrama físico de red de Laboratorios Siegfried.
La infraestructura tecnología del laboratorio tiene tecnología a su servicio como lo es el
backbone que permite la conexión de los distintos switchs que forman parte de la
arquitectura de red, la velocidad de transmisión entre los mismos es de Ten Gigabit (10G)
esto para garantizar el buen funcionamiento de la red.
Figura 6 Diagrama físico de red Laboratorios Siegfried
49
Diagrama lógico Laboratorios Siegfried
En este diagrama podemos observar que la red del laboratorio se encuentra separada de
manera lógica (VLAN’s), esta segmentación de la red da mayor seguridad ya que aísla el
tráfico de red de los usuarios que se encuentran incluidos en esa VLAN. Esta segmentación
es soportada físicamente pos los switch y la controladora inalámbrica.
Figura 7 Diagrama lógico de red Laboratorios Siegfried.
ID de VLAN Nombre de la VLAN
10 Usuarios
20 Servidores
30 VOIP
40 Call center
50 Tesorería
60 Wifi invitados
70 Móviles corporativos
Tabla 3 Segmentación de la red.39
Podemos observar que el tráfico se encuentra segmentado de tal forma que personal externo
de la compañía no tenga ningún tipo de acceso al tráfico de red de los funcionarios de la
empresa, también logramos identificar que el área de tesorería se encuentra separada del
resto del tráfico de red de la empresa, es debido al tipo de información y transacciones que
se realizan desde allí.
39
Tabla elaborada por los autores.
50
Switchcore/Distribución
La metodología de ISSAF dice que se debe definir por separado los dispositivos clave a
evaluar, en la capa de distribución y para la del capa Core, pero la infraestructura
tecnológica de Laboratorios Siegfried cuenta con un equipo core que también tiene
funciones de la capa de distribución. En la imagen -- podemos ver el switch de capa 3 y su
punto de acceso.
VLAN de servidores
La metodología ISSAF dice que a determinados servidores se deben evaluar como
elementos clave; en la siguiente tabla, se encontraran las IP’s para la VLAN de servidores.
Servidores a evaluar Subred
Firewall Se encuentra en la Vlan 100
Servidor de Dominio 192.168.90.0/ 24
Servidor DNS 192.168.90.0/ 24
Servidor de correo Se encuentra en Ecuador
Servidor HTTP Linux 1 192.168.90/24
Servidor HTTP, mensajería instantánea
Linux 192.168.90.0/24
Servidor HTTP Windows 172/16.0.0/24
Servidor de impresoras 192.168.90.0/24
Administración de VOIP Se encuentra en la VLAN 30
Servidor HIDS No tienen
Servidor NIDS No tienen
Servidor de certificados No tienen
Servidor NTP No tienen
Tabla 4 Segmentación de la red de servidores.40
Bloque WAN
En la siguiente tabla, lograremos identificar los dispositivos clave a evaluar para el
segmento de la red WAN.
Dispositivos a evaluar Segmento de red
Firewall 201.234.190.226/29
Router1 (Level3) 201.234.190.226/29
Router2 (ETB) 190.27.197.194/29
Tabla 5 Dispositivos red WAN.41
40
Tabla elaborada por los autores.
51
Ambiente para las pruebas
La metodología técnica ISSAF contiene procedimientos concretos para cada prueba con
herramientas especializadas en seguridad, ejemplos y resultados; la distribución de Linux
“Kali linux”, que incluye una gran diversidad de herramientas Dedicadas a la seguridad
informática que son útiles para efectuar las Pruebas. Por este motivo el sistema operativo
Kali Linux de debe instalar en un sistema virtualizado y que este configurado de tal manera
que obtenga una dirección IP dinámica.
Selección de la herramienta para el mapeo de red
Para escoger la herramienta de mapeo de red a utilizarse, se analizaran características
fundamentales para poder llevar a cabo un buen mapeo de la red se escogieron las tres
herramientas más conocidas para realizar estos tipos de escaneo. nmap, netcat y hping.
Características NMAP Hping Netcat
Realiza escaneo de
puertos SI SI SI
Realiza escaneo
avanzado de puertos SI NO NO
Permite realizar
traceroute SI SI NO
Obtiene
características del
Hardware del
objetivo
SI NO NO
Realiza escaneo
avanzado de puertos SI NO NO
Software Libre SI SI SI
Determina que
Sistema Operativo y
versión SI NO NO
utiliza el objetivo
Contiene entorno
grafico SI NO NO
Tabla 6 Comparación de software para el mapeo de la red.42
Se escogió la herramienta de software libre nmap ya que reúne todas las características
necesarias para realizar un escaneo a fondo de la red de Laboratorios Siegfried.
41
Tabla elaborada por los autores. 42
Tabla elaborada por los autores.
52
Mapeo de la red
Identificación de puertos y servicios.
La finalidad de este ítem es escanear los puertos que tiene la red (65535) y verificar cuales
están activos y son de alto riesgo para posibles ataques informáticos en los servidores de la
compañía.
Ping
Con esta herramienta, podremos verificar por medio del envió de paquetes ICMP, el status
de conexión con algunos servidores de la empresa (DNS, DHCP, AD, impresoras, web,
etc.).
Figura 8 Ping servidores Laboratorios Siegfried.
53
Nmap
Es una herramienta que permite hacer sondeos TCP SYN, son técnicas de escaneo
sigilosas ya que no dejan rastros en la red escanea, consiste en enviar paquetes SYN
emulando en abrir una conexión real y después se espera un paquete de respuesta; si es
recibido un paquete SYN/ACK esto significa que el puerto en esta abierto, si por respuesta
se recibe un RST esto significa que el puerto no está escuchando y si no se recibe ningún
tipo de respuesta se dice que este mismo esta filtrado.
La opción –sS y –p en nmap, verifica el estado de los puertos (65535) TCP, en la siguiente
imagen podremos ver el estado de los puertos en los servidores DNS, DHCP, web apache y
IIS, impresoras, avaya, AD y de mensajería instantánea.
Servidor de impresoras
54
Figura 9 Escaneo de puertos servidor de impresoras.
Servidor DNS, DHCP, AD.
Figura 10 Escaneo de puertos servidor de DNS, DHCP, AD.
55
Servidor web Linux
Figura 11 Escaneo de puertos servidor WEB Linux.
Servidor web y mensajería instantánea (Linux).
Figura 12 Escaneo de puertos Servidor web y mensajería instantánea (Linux).
56
Servidor web en Windows
Figura 13 Escaneo de puertos servidor web en Windows.
En la siguiente tabla encontraremos un resumen con los puertos encontrado en los
servidores de impresoras, AD, DNS, HTTP Windows y HTTP mensajería instantánea
Linux
Servidor Puertos identificados
23/tcp open telnet
53/tcp open domain
135/tcp open msrpc
139/tcp open netbios-ssn
427/tcp open svrloc
Impresoras 445/tcp open microsoft-ds
515/tcp open printer
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1027/tcp open IIS
1028/tcp open unknown
1029/tcp open ms-lsa
1032/tcp open iad3
1403/tcp open prm-nm-np
1471/tcp open unknown
1528/tcp open mciautoreg
1723/tcp open pptp
1880/tcp open unknown
57
2062/tcp open icg-swp
2063/tcp open unknown
2064/tcp open dnet-keyproxy
2910/tcp open tdaccess
2938/tcp open unknown
2939/tcp open unknown
2941/tcp open unknown
2942/tcp open unknown
3050/tcp open gds_db
3389/tcp open ms-wbt-server
4111/tcp open xgrid
4941/tcp open unknown
4942/tcp open unknown
5111/tcp open taep-as-svc
5357/tcp open wsdapi
5988/tcp open wbem-http
5989/tcp open wbem-https
6988/tcp open unknown
7800/tcp open asr
8009/tcp open ajp13
8080/tcp open http-proxy
8443/tcp open https-alt
9788/tcp open unknown
9789/tcp open unknown
9898/tcp open monkeycom
63548/tcp open unknown
53/tcp open domain
80/tcp open http
88/tcp open kerberos-sec
135/tcp open msrpc
139/tcp open netbios-ssn
AD, DNS, DHCP 389/tcp open ldap
443/tcp open https
445/tcp open microsoft-ds
464/tcp open kpasswd5
593/tcp open http-rpc-epmap
636/tcp open ldapssl
1027/tcp open IIS
58
1028/tcp open unknown
1030/tcp open iad1
1031/tcp open iad2
1038/tcp open mtqp
1049/tcp open td-postman
1053/tcp open remote-as
1688/tcp open nsjtp-data
3268/tcp open globalcatLDAP
3269/tcp open globalcatLDAPssl
3389/tcp open ms-wbt-server
5722/tcp open msdfsr
5800/tcp open vnc-http
5900/tcp open vnc
9389/tcp open unknown
40640/tcp open unknown
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
Servidor HTTP Widows 1688/tcp open nsjtp-data
3389/tcp open ms-wbt-server
47001/tcp open unknown
49152/tcp open unknown
49153/tcp open unknown
49154/tcp open unknown
49183/tcp open unknown
49187/tcp open unknown
49190/tcp open unknown
Servidor HTTP y mensajería instantánea
22/tcp closed ssh
80/tcp open http
443/tcp closed https
3306/tcp open mysql
5222/tcp open xmpp-client
7777/tcp open cbt
9090/tcp open zeus-admin
21/tcp open ftp
22/tcp open ssh
Servidor Web en linux 111/tcp open rpcbind
59
1099/tcp open rmiregistry
3306/tcp open mysql
8009/tcp open ajp13
8010/tcp open xmpp
8080/tcp open http-proxy
8081/tcp open blackice-icecap
8082/tcp open blackice-alerts
8083/tcp open us-srv
8095/tcp open unknown
9090/tcp open zeus-admin
38241/tcp open unknown
52771/tcp open unknown
Tabla 7 Identificación de los puertos.43
Una vez encontrados los puertos abiertos y filtrados, se procede a determinar las
Versiones de los servicios con la opción que nos ofrece la herramienta nmap – sV ; en la
siguiente figura podemos observar las versiones de cada uno de los servidores con que
cuenta la compañía.
Servidor DNS, directorio activo y DHCP
43
Tabla elaborada por los autores.
60
Figura 14 Versión de los servicios del Servidor DNS, directorio activo y DHCP.
Servidor de impresoras
Figura 15 Versión de los servicios del servidor de impresoras.
61
Servidor web en Windows
Figura 15 Versión de los servicios del Servidor de impresoras
Figura 16 Versión de los servicios del Servidor web en Windows.
Servidor WEB en Linux
Figura 17 Versión de los servicios del Servidor web Linux.
62
Servidor web y de mensajería instantánea
Figura 18 Versión de los servicios del servidor web y de mensajería instantánea.
Las consultas realizadas muestran detalladamente las versiones de cada uno de los
servicios, estas mismas se hubieran podido evitar si en el firewall existiera una política de
DROP, ya que todas las sondas que envía nmap quedaran filtradas y de esta manera se
podrá evitar el descubrimiento de puertos, versiones de servicio y sistemas operativos, etc.
Nmap tiene herramientas útiles para poder evitar sistemas de detección de intrusos y
también puede llegar a evitar las restricciones de Firewall; una de estas acciones es evitar
hacer ping antes de comenzar cualquier análisis, otra manera es dividir los paquetes
enviados en pequeñas partes de 8 bytes o también pueden llegar a ser menos y otra opción
es ejecutar un análisis con peticiones enviadas a la máquina objetivo desde direcciones IP
distintas a la dirección IP origen. En nmap Las alternativas -Pn, -f, y –D. Se utilizan para
realizar un escaneo más profundo y más complejo de detectar para el Firewall.
Por último, recopilamos la información obtenida escaneando los servidores DNS, DHCP,
HTTP Windows, HTTP Linux, Mensajería instantánea y al servidor de impresoras en la
siguiente tabla, se realiza un análisis de los puertos abiertos y servicios que están
escuchando, se puede observar que hay puertos en comunes abiertos en los servidores
anteriormente.
63
Servidor Servicios
DNS,
directorio
activo y
DHCP
domain
Microsoft
DNS
6.1.7601
http Mi
crosoft IIS
httpd 7.5
kerberos-
sec Windows
2003 Kerberos
msrpc
Microsoft
Windows RPC
msrpc
Microsoft
Windows
RPC
ssl/http M
icrosoft IIS
httpd 7.5
ncacn_http Mic
rosoft Windows
RPC over HTTP
1.0
msrpc
Microsoft
Windows RPC
ncacn_http
Microsoft
Windows
RPC over
HTTP 1.0
msrpc
Microsoft
Windows RPC
open msrpc
Microsoft
Windows RPC
vnc V
NC (protocol
3.8)
http-
proxy ss
lstrip
msrpc
Microsoft
Windows RPC
ms-wbt-
server Microsoft
Terminal Service
globalcatLDAP
ssl?
Impresoras
tcpwrapped
http A
pache
Tomcat/Coyote
JSP engine 1.1
ssl/http Apac
he Tomcat/Coyote
JSP engine 1.1
http A
pache
Tomcat/Coyote
JSP engine
1.1RPC
ajp13
Apache
Jserv
(Protocol
v1.3)
http W
eb-Based
Enterprise
Management
CIM
serverOpenPeg
asus WBEM
httpd
http Micro
soft HTTPAPI
httpd 2.0
(SSDP/UPnP)
taep-as-svc?
ms-wbt-
server
Microsoft
Terminal
Service
firebird
Firebird
RDBMS
Protocol
version 10
firebird
Firebird RDBMS
Protocol version 10
firebird
Firebird
RDBMS
Protocol
version 10
domain
Microsoft
DNS
6.0.6002
telnet
Microsoft
Windows XP
telnetd
64
HTTP
Linux
ftp
vsftpd 2.2.2
ssh
OpenSSH 5.3
(protocol 2.0)
ssh OpenSSH
5.3 (protocol 2.0)
rmiregistry
Java RMI
MySQL
(unauthorize
d)
Apache Jserv
(Protocol v1.3)
Apache
Tomcat/Coyote JSP
engine 1.1
Apache httpd
2.2.15
((CentOS))
HTTP y
mensajería
instantánea
domain
Microsoft
DNS
6.1.7601
http Apache httpd 2.2.15
((CentOS))
http Apache
httpd 2.2.15
((CentOS))
socks
5
http Zimbra http config
Servidor
HTTP
Windows
ttp Mic
rosoft IIS
httpd 7.5
msrpc Mic
rosoft Windows
RPC
netbios-ssn
ms-
wbt-
server
Micro
soft
Termi
nal
Servic
e
http M
icrosoft
HTTPAPI
httpd 2.0
(SSDP/UPn
P)
msrpc Microsoft Windows RPC
Tabla 8 Identificación de los servicios de cada servidor44
44
Tabla elaborada por los autores.
65
Identificación del sistema operativo
El objetivo de este apartado es identificar el Sistema Operativo de los servidores ya
detallados anteriormente, y para llevar a cabo este escaneo se realiza análisis del paquete
de respuesta que es enviado por el servidor objetivo. NMAP posibilita identificar el Sistema
Operativo y su versión esta comprobación son basadas en huellas TCP/IP; son enviados una
serie de paquetes TCP y UDP al servidor objetivo, posteriormente se compara casi en
totalidad los bits de las respuestas con la base de datos nmap-os-fingerprints, y al
momento que encuentre algún tipo de similitud se muestran en la pantalla la información
del sistema operativo identificado
Servidor de impresora
Figura 19 Identificación del sistema operativo del servidor de impresoras con NMAP.
La consulta realizada con nmap podemos observar que el sistemas operativos del servidor
de impresoras es Windows server 2008 sp1.
66
Servidor DNS, directorio activo y DHCP
Figura 20 Identificación sistema operativo servidor DNS, AD y DHCP.
En el escaneo realizado al servidor de AD, DNS, DHCP podemos observar que es un
servidor con Windows server 2008 R2 y tienes abierto es puerto 53 que es usado por el
servicio DNS, corroborando que verdaderamente es el servidor DNS de laboratorio.
67
Servidor web en Windows
Figura 21 Identificación sistema operativo servidor de impresoras.
En la figura – podemos observar que el sistema operativo de este servidor es Windows
server 2008 SP1, con el puerto 80 abierto que es utilizado por HTTP.
68
Servidor web en Linux
Figura 22 Identificación sistema operativo servidor web Linux.
En la figura – podemos observar la versión del kernel Linux del servidor web, también
identificamos que el puerto 21 está abierto y este mismo es utilizado por el servicio FTP.
69
Servidor web en Linux y mensajería instantánea.
Figura 23 Identificación sistema operativo servidor web Linux y de mensajería.
En la figura se puede observar la versión del kernel Linux, también encontramos el puerto
80 abierto que es utilizado para aplicaciones web
70
En la tabla se encontrara el resumen de la información del sistema operativo de los
servidores obtenido por medio de la herramienta nmap.
Servidor Sistema operativo
Servidor de impresora Windows server 2008 SP1
Servidor DNS, directorio activo y DHCP Windows server 2008 R2
Servidor WEB en Windows Windows server 2008 SP1
Servidor web en Linux Linux 2.6.32 – 3.10
Servidor web en Linux y mensajería
instantánea Linux 2.6.32 – 3.10
Tabla 9 Resumen de los sistemas operativos de los servidores.45
Identificación del contorno de red
Se busca identificar todo lo que se pueda de los routers y el firewall que separa la red local
con el internet, para esto se utiliza Firewalking, con este método se obtiene información de
cualquier red que se encuentra por un firewall físico o lógico.
Con el Firewalking en muchos ocasiones permite observar casi en su totalidad los routers
que se encuentran en la red entre el equipo de filtrado que es el firewall y el destino final;
se utilizan técnicas conocidas como lo es el tracerouting que este mismo lo que hace es
enviar a un objetivo destino paquetes de tipo TCP, UDP o ICMP, que se incrementa poco a
poco en cada salto, “El TTL como tal es un campo en la estructura del paquete del
protocolo IP. Sin este campo, paquetes enviados a través de rutas no existentes, o a
direcciones erróneas, estarían vagando por la red de manera infinita, utilizando ancho de
banda sin una razón positiva.
El TTL o TimeToLive, es utilizado en el paquete IP de manera que los routers puedan
analizarlo y actuar según su contenido. Si un router recibe un paquete con un TTL igual a
uno o cero, no lo envía a través de sus puertos, sino que notifica vía ICMP a la dirección IP
origen que el destino se encuentra "muy alejado" y procede a descartar dicho paquete. Si un
paquete es recibido por un router que no es el destino, éste decrementa el valor del TTL en
uno y envía el paquete al siguiente router (next hop). En el protocolo IP, esta información se
almacena en un campo de 8 bits. El valor óptimo para aprovechar el rendimiento en Internet
es de 128”46
45
Tabla elaborada por los autores. 46
( 2015) Redes y Comunicación Disponible en http://redesycomunicacionblog.blogspot.com/2013_08_01_archive.html
71
Traceroute47
Traceroute es una consola de diagnóstico que permite seguir la pista de los paquetes que
vienen desde un host (punto de red). Se obtiene además una estadística del RTT o latencia
de red de esos paquetes, lo que viene a ser una estimación de la distancia a la que están los
extremos de la comunicación. Esta herramienta se llama traceroute en UNIX, Mac1 y
GNU/Linux, mientras que en Windows se llama tracert.
Figura 24 Parámetros de red de los servidores.
48
47
(2015) Traceroute [En línea] Disponible http://es.wikipedia.org/wiki/Traceroute. 48
H, Ballesteros – Franco, E. (2015) Telemática II Lo dado en clase de telemática II. [En
línea]. Disponible en https://telematicaupc.wordpress.com/author/telematicaupc/page/3/
72
Resultados del mapeo de red
En la siguiente tabla encontraremos un resumen de las vulnerabilidades encontradas
mapeando la red.
Características Observaciones
Peticiones ICMP de Servidores Los servidores están respondiendo a estas
peticiones
Puertos abiertos en los servidores DNS,
DHCP, AD, WEB LINUX, Mensajería
instantánea
Hay muchos puertos abiertos en los
servidores que no son necesarios que estén
abiertos y pueden ser utilizados por
troyanos
Servidores muestran versión de servicios
activos y del Sistema Operativo
Todos los servidores arrojan información
del sistema operativo y las versiones de los
servicios de cada servidor
Tabla 10 Resumen de los sistemas operativos de los servidores.49
Seguridad de contraseñas
La metodología ISSAF específica que las pruebas de seguridad que se deben realizar no
deben ser intrusivas por consiguiente se procede a evaluar las características de las
contraseñas de los servidores anteriormente evaluados, En la tabla 10 podremos ver las
características y observaciones de las contraseñas utilizadas en la empresa. Características
Parámetro de seguridad de contraseñas Características
Contraseñas escritas en cuadernos SI
Uso de palabras conocidas o comunes NO
Uso de mayúsculas y minúsculas SI
Longitud de las contraseñas 8 caracteres de longitud
Cambio regular de las contraseñas NO
Contraseñas en los Servidores Son iguales en la mayoría de servidores
Utilización de símbolos (“@&/) SI
Generación de contraseñas aleatorias Son generadas por un software
Utilización de letras y números SI
Tabla 11 Seguridad de contraseñas.50
Seguridad en los switch
La metodología ISSAF propone una serie de pruebas de seguridad para los despóticos de
telecomunicaciones que se encuentran ubicados en la capa de acceso del diseño de
49
Tabla elaborada por los autores. 50
Tabla elaborada por los autores.
73
arquitectura de red, para esto son considerados los switch de capa 2. en la siguiente imagen
podremos observar el estado de conexión de cada switch en nuestro caso no se realizaran
pruebas de conectividad por cada switch si no por stack es una tecnología con la que cuenta
el laboratorio, en la topología de red que la podemos observar en la figura 6 podremos
ver como se encuentran distribuidos los switch por stack, esto facilita nuestro trabajo en
cuanto los tiempos y la consolidación de la información ya que no toca realizar un escaneo
por cada switch si no por stack.
En las siguientes imágenes podremos ver el estado de conexión de los stack.
Figura 25 Prueba de conectividad de los Stack.
74
Seguridad switch core.
Figura 26 Identificación del sistema operativo del switch core.
75
Seguridad en el firewall
Nuestro objetivo en este punto es identificar que puertos tiene abierto, filtrados, servicios
activos y que políticas tiene activa.
Se realiza un escaneo con nmap con la siguiente línea de comando “nmap -sV -p 1 – 65535
172.16.*.*” obteniendo un resultado nulo para nuestro proyecto ya que el firewall no
responde a este tipo de peticiones.
Si en caso contrario hubiéramos tenido resultado con este escaneo la metodología infiere
que si son identificados puntos críticos en la seguridad que pongan en riesgo la
infraestructura tecnológica del laboratorio durante el desarrollo de este proyecto, se deberá
informar verbalmente a los jefes inmediatos del área de sistemas, a continuación en la tabla
se puede observar esta situación.
Figura 27 Escaneo de puertos del Firewall.
Seguridad del sistema anti-virus
El ISSAF incorpora una apreciación de la seguridad que debe tener el Sistema Anti-virus,
la buena gestión de las políticas de control y las normas para la buena administración del
anti-virus; este se divide en dos tipos, los que son instalados en la red y los que son
instalados en los equipos de los usuarios finales.
La metodología dice que en la red los Anti-virus deben ser instalados junto con el
Firewall, con un fin de eliminar los virus que se encuentran a nivel.
76
Características de seguridad
Características de seguridad Observaciones
Escaneo de virus es programado
automáticamente No se está realizando
Actualizaciones en los equipos cliente En algunos equipos no se está realizando
la actualización automática
Definiciones de virus cada 30 minutos NO
Actualización automática de la base de
datos de virus
En algunos equipos no se está realizando
la actualización automática
Eventos de virus son identificados por el
Servidor Antivirus No cuentan con un servidor antivirus
Usuarios tienen acceso a desactivar o
deshabilitar el Sistema Anti-virus No tienen acceso
Actualización automática de la versión del
Sistema Anti-virus
En algunos equipos no se está realizando
la actualización automática
Configuración por defecto del Sistema
Anti-Virus SI
Servidor Anti-virus permite administración
y gestión del Sistema No cuentan con un servidor antivirus
Detecta y protege de virus, gusanos,
troyanos y macros SI
Anti-virus instalado en equipos de usuarios
finales SI
Anti-virus instalado con el Firewall NO
Tabla 12 Evaluación del antivirus.51
51
Tabla elaborada por los autores.
77
Seguridad en la red inalámbrica
En este apartado se busca detectar las redes inalámbricas escanear los canales el ESSID
(Extended Service Set Identifier), de los puntos de acceso (AP) desde el exterior de la
instalación, y obtener las direcciones IP y direcciones MAC de los puntos de acceso (AP) y
de los clientes.
Las pruebas que son establecidas en la metodología para las redes inalámbricas deben ser
de manera intrusiva y primordialmente externa, esto mismo con el fin de verificar los
niveles de seguridad configurados en los dispositivos de red inalámbrica; en nuestro caso
no se van a realizar las pruebas intrusivas se realizaran pruebas internas. Por con siguiente
lo que se procede a realizar es verificar la configuración en un entorno general los
dispositivos inalámbricos, en la tabla 12 podremos ver el resumen de las configuraciones.
Laboratorios Siegfried cuenta con Access point basados por controladora. Ofrecen
administración LAN inalámbrica de varios puntos de acceso, capacidades de agrupación de
controladores, organización automática, optimización automática, reparación automática y
mecanismos de seguridad avanzados para facilitar el despliegue, la administración y las
operaciones de la red.52
Características de seguridad Observaciones
Access point basados en controladora SI
Modo de Operación de Red WLAN AP en infraestructura
Access point configurado por defecto NO
SSID configurado por defecto NO
Posee autenticación RADIUS NO
Tipo de autenticación WPA – WEB –WPA2
Tipo de encriptación AES
Administración de las claves de acceso Solo personal de sistemas
Longitud de clave Inferior a 10 dígitos
Control de acceso a la Administración Solo por medio de la controladora
Contiene controles basados en direcciones
MAC
NO
SSID Broadcast ACTIVO
Los dispositivos permiten establecer
políticas y controles
Por medio de la controladora
Tabla 13 Características red inalámbrica.53
52
(2015) Controladores inalámbricos. [En línea]. Disponible en
http://www.dlink.com/es/es/business-solutions/wireless/unified-wireless/wireless-
controllers 53
Tabla elaborada por los autores.
78
Seguridad de usuarios de internet.
La metodología establece evaluaciones de seguridad para navegadores, Outlook y la
conexión remota. En la siguiente tabla podremos ver un resumen del análisis realizado al
laboratorio.
Características de seguridad Observaciones
Habilitada la conexión al escritorio remoto
de Windows
No solo lo tiene habilitado los servidores y
una maquina virtual con Windows 8
utilizada para el acrobat
Se utiliza software para conexión remota
Para realizar soporte en la red LAN del
laboratorio se utiliza VNC y
primordialmente teamviever
Uso de otros programas para correos
electrónicos Se utiliza el Outlook 2010 de Microsoft
Ultimas versiones y parches de los
exploradores
No porque se encuentra bloqueado por el
firewall las actualizaciones de Windows
Uso de Internet Explorer Si todavía se utiliza por algunos usuarios
de la compañía
Descubrimiento de la dirección IP por
parte del usuario
Muy pocos usuarios lo saben hacer el
descubrimiento de la IP
Transferencia de código malicioso Este punto no se controla
Uso de otros Exploradores Se utiliza google chrome y mozilla
Uso de Microsoft Outlook SI
Uso de contraseñas seguras para la
administración remota
Solo se realizan conexión remota a los
servidores contraseña menor de 10 dígitos
Tabla 14 Seguridad de los usuarios en internet.54
Seguridad física en Laboratorios Siegfried.
Con este apartado buscamos validar que la seguridad física sea garantizada, proteger los
accesos a rack telecomunicaciones y otros componentes importantes para el laboratorio
como lo es el servicio de energía eléctrica, los aires acondicionados, la planta telefónica
avaya. El ISSAF abarca 4 puntos importantes de revisión: qué tipo de sistema de control
de acceso se maneja, que medidas de acción hay en caso de incendio, control ambiental e
interceptación de datos; en la tabla 14, se observan los parámetros de seguridad física para
los puntos mencionados anteriormente.
54
Tabla elaborada por los autores.
79
Parámetros de seguridad Características
Se puede observar desde el exterior que
tipos de equipos son lo de
telecomunicaciones
No los vidrios y las puertas se encuentran
polarizados
Data center se encuentra protegido por
algún tipo de barrera SI
Guardias permiten ingreso a zonas
sensibles
En esta caso no hay guardias en los data
center
Existe tarjetas de proximidad para el
ingreso a los data center
Si los guardas de seguridad tienen tarjetas
RFID para poder ingresar en caso de
emergencia.
Tienen sistema biométrico
Si en cada data center hay un biométrico
para permitir el acceso solo al personal de
TI
Personal con acceso a zonas sensibles
Solo el personal encargado de las
telecomunicaciones 2 personas
Registro de ingreso y salida es supervisado NO
Hay Control de ingresos y salidas a zonas
sensibles por CCTV No hay solo en caso de emergencia
Existe sensores de movimiento Si para encender la luz
Existe sistema de detección de incendios NO
Sistemas críticos muestran información
sensible en pantallas NO
Existen Interferencia Electromagnética NO
Existe UPS SI
Equipos críticos conectados a UPS SI
Existe generador de energía eléctrica NO
Data center se encuentra protegido por
algún tipo de barrera SI
Existe Sistema de Aire acondicionado SI
Existe equipos de extinción de fuego NO
Tabla 15 Seguridad física.55
55
Tabla elaborada por los autores.
80
Evaluación de los riesgos encontrados.
En este apartado la finalidad en dar valor a las vulnerabilidades encontradas en cada punto
de evaluación.
Punto de evaluación Vulnerabilidades
Mapeo de Red 3
Seguridad de Contraseñas 4
Seguridad del Reuter 2
Seguridad del firewall 0
Seguridad en el anti-virus 6
Seguridad de VLAN 0
Seguridad Física 4
Seguridad de los usuarios en Internet 3
Tabla 16 Apreciación de riesgos.56
Valoración del riesgo.
En la tabla 16 se valorizara las vulnerabilidades del impacto técnico 1 será un riesgo muy
alto y 5 un riesgo muy bajo.
Severidad Valor asignado
Vulnerabilidad de Riesgo Muy Alto 5
Vulnerabilidad de Riesgo Alto 4
Vulnerabilidad de Riesgo Medio 3
Vulnerabilidad de Riesgo Bajo 2
Vulnerabilidad de Riesgo Muy Bajo 1
Tabla 17 valoración del riesgo técnico.57
56
Tabla elaborada por los autores. 57
Tabla elaborada por los autores.
81
10 Resultados y productos
Se obtuvo un estado general de la seguridad informática en Laboratorios Siegfried en los
siguientes aspectos:
En los servidores, en los switches, en los router, en el firewall, en el sistema antivirus, en el
acceso a internet por parte de los usuarios, en la seguridad física en los cuartos de
telecomunicaciones.
Se dio a conocer el plan de mitigación de los riesgos informáticos encontrados en este
proyecto, para de esta manera evitar inconvenientes generados por este tipo de
vulnerabilidades y amenazas que puedan generar la perdida de información, posibiliten la
divulgación o manipulación de los documentos, como también posibles caídas de los
sistemas de información que son relevantes para los procesos diarios del laboratorio.
Se adquirió información sobre los posibles ataques informáticos que se pueden realizar por
medio de las vulnerabilidades encontradas en el proyecto.
Se retroalimento con el personal interno del laboratorio, procesos de buenas prácticas para
mitigar los accesos no autorizados y los incidentes que se puedan presentar por
desconocimiento o malos procedimientos.
El producto tangible del presente proyecto es el documento que se entregara al
departamento de sistemas de Laboratorios Siegfried.
11.1 Impactos
El objetivo es obtener una lista definitiva de vulnerabilidades según la gravedad de riesgo
en base al impacto en los procesos de negocio y teniendo en cuenta que esta clasificación
puede ser diferente a la clasificación de riesgo técnico.
Impacto técnico
El análisis de impacto técnico se realiza por parte de Daniel Avella en compañía de persona
técnico de la compañía, aprovechando que el labora en el departamento de sistemas por lo
que cuenta con las herramientas y permisos necesarios para dicha actividad.
82
En la siguiente tabla se presentan los valores de riesgo para cada una de las
vulnerabilidades más importantes que se encontraron dentro de la organización de
compañía.
Tipo de Evaluación Vulnerabilidades Valor del Riesgo
Mapeo de Red
Respuesta ICMP de
servidores Alto
Puertos abiertos en los
servidores DNS, Correo y
HTTP
Muy alto
Servidores muestran versión
de servicios activos y del S
O
Alto
Detalles perímetro de RED Bajo
Seguridad del Reuter
Reuter muestra puertos
abiertos y servicios activos Medio
Reuter muestra versión del
Sistema Operativo Medio
Reuter tiene protocolos de
enrutamiento estático Bajo
Seguridad del Firewall
Firewall muestra puertos
abiertos y servicios activos Bajo
Firewall presenta puertos
con servicios utilizados por
la dirección de TIC
Bajo
Firewall presenta puertos
abiertos no establecidos por
la Bajo
Dirección de TIC
Firewall tiene pocas reglas
de filtrado Bajo
Firewall presenta puertos
que pueden ser usados por
troyanos
Bajo
Seguridad del IDS HIDS Instalado Muy alto
NIDS Instalado Muy alto
Seguridad del Antivirus Anti-virus no está instalado
en el Firewall Medio
Seguridad de los Usuarios
de Internet
Revelación de direcciones
IP por parte del usuario Alto
83
Instalación de IRC's no
permitidos Bajo
Transferencia de código
malicioso Medio
Usuarios víctimas de correo
no deseado Bajo
Tabla 18, Valoración de riesgos.58
A continuación se presenta un sumario de vulnerabilidades de impacto técnico; en la tabla
17, se muestran los criterios a evaluar y el número de vulnerabilidades para cada nivel de
riesgo.
Entidad de
Evaluación Muy Alto Alto Medio Bajo Muy Bajo
Mapeo de Red 2 x 1 x x
Seguridad del
Reuter 2 x x x x
Seguridad del
Firewall x x x x x
Seguridad del
IDS 2 x x x x
Seguridad del
Antivirus 2 1 1 2 1
Seguridad de
los usuarios
en la red
2 1 x x x
Tabla 19 Criterios de evaluación y número de vulnerabilidades.59
En la tabla anterior se muestra que hay 10 vulnerabilidades de riesgo muy alto, 2 de riesgo
alto, 2 de riesgo medio, 2 de riesgo bajo y 1 de riesgo muy bajo.
58
Tabla elaborada por los autores. 59
Tabla elaborada por los autores.
84
Porcentajes de riesgos de impacto técnico en Laboratorios Siegfried 1
Figura 28 Porcentajes de riesgos de impacto técnico en Laboratorios Siegfried 1
60
60
Esquema elaborado por los autores.
MUY ALTO, 28,26
ALTO, 17,39
MEDIO, 10,86
BAJO, 10,86
MUY BAJO, 6,52
MUY ALTO
ALTO
MEDIO
BAJO
MUY BAJO
0 5 10 15 20 25 30
85
Porcentajes de riesgos de impacto técnico en Laboratorios Siegfried 2
Figura 29 Porcentajes de riesgos de impacto técnico en Laboratorios Siegfried 2
61
11.2 Capacidad del equipo
Rol Nombres Apellidos Funciones Dedicación
Director de
Proyecto Eduardo Leon Supervisar, orientar y evaluar. 30%
Gerente de
Proyecto
Daniel Avella
Martinez
Recopilación de información,
realizar análisis, presentar
informes, documentar todas las
actividades realizadas, coordinar
reuniones con e sponsor,
interlocutor ante el sponsor.
100%
Investigador
Ejecutor
Fabian Molano
Duarte
Elaboración de informes, realizar
análisis, pruebas, investigar
técnicas y metodologías para el
desarrollo del proyecto, diseñar la
propuesta metodológica
100%
Tabla 20 Capacidad del equipo.62
61
Esquema elaborado por los autores. 62
Tabla elaborada por los autores.
MUY ALTO 38%
ALTO 23%
MEDIO 15%
BAJO 15%
MUY BAJO 9%
86
Plan de control de riesgos en base a los análisis técnicos
El plan de control de los riesgos es una actividad que tiene como finalidad desarrollar un
conjunto de actividades de control de los riesgos basado en el análisis de impacto técnico
para poder llegar a reducir los impactos negativos.
Contramedidas para las vulnerabilidades encontradas
La metodología ISSAF infiere una serie de contramedidas específicas para cada prueba
realizada en las fases del proyecto, también específica contramedidas globales para cada
entidad de evaluación.
Mapeo de red
• Bloquear las peticiones ICMP en el router.
• Desactivar todos los servicios innecesarios en los servidores DNS, DHCP,
AD, servidor web Linux, web Windows y de mensajería instantánea.
• Bloquear paquetes TPC SYN innecesarios.
• Bloquear paquetes UDP innecesarios.
• Configurar políticas en el firewall permitiendo solo lo absolutamente
necesario.
• Cambiar los nombres y números de versión de los servicios instalados,
actualmente.
• Configurar el firewall para permitir el tráfico a través del firewall sólo a
hosts específicos.
• Filtrar puertos de administración.
Seguridad del router
• Activar la configuración del registro y seguimiento de logs regularmente.
• Filtrado de paquetes por medio de las ACL.
• Configurar filtrado de paquetes para evitar ataques DoS.
• Limitar el envío de paquetes ICMP.
87
• Implementar interceptación TCP para evitar inundaciones SYN.
Seguridad del firewall
• Deshabilitar el acceso web desde ip's publicas.
Seguridad de usuarios de internet
• Utilizar los parches sugeridos para los navegadores.
Seguridad del sistema anti-virus y seguridad física
Según ISSAF no considera contramedidas específicas ni en general, Pero considera
importante que la compañía cuente con sistemas de bloqueo como lo es el antivirus para
minimizar los riesgos.
12 Presupuesto
CONCEPTO CANTIDAD VALOR
UNITARIO VALOR TOTAL
TRANSPORTES (Presupuesto mensual) 4 60.000 240.000,00
SERVICIOS PUBLICOS (Energía consumo mes) 4 15.000 60.000,00
TIEMPO DE CONSULTA EN INTERNET (25% consumo mensual) 4 30.000 120.000,00
TIEMPO EN HORAS LABORALES 384 8.000 3.072.000,00
ASESORIAS PARTICULARES (Hora asesoría) 8 30.000 240.000,00
IMPRESIONES Y PAPELERIA N/A N/A 50.000,00
REFRIGERIOS N/A N/A 120.000,00
LLAMADAS TELEFONICAS (Llamadas fijos y celulares) N/A N/A 120.000,00
IMPREVISTOS 7% N/A N/A 281.540,00
TOTAL
4.303.540,00
Tabla 21 Presupuesto63
63
Tabla elaborada por los autores.
88
13 Conclusiones
Con el uso de la metodología ISSAF se comprobó que cuenta con las técnicas y
herramientas necesarias para convertir un entorno de red inseguro en un entorno seguro,
gracias a su metodología práctica y de fácil utilización en el análisis de riesgos y
vulnerabilidades a partir de una concisa evaluación de los mismos. Por otro lado se
tiene en cada uno de los casos medidas globales y especificas que permiten mitigar de
manera considerable las amenazas encontradas.
Se concluyo que el uso de herramientas de software libre para la identificación y
análisis de vulnerabilidades es bastante confiable y no representa ningún gasto adicional
para la compañía.
Se logro identificar las principales vulnerabilidades de la infraestructura tecnológica y
de red del laboratorio, de tal manera que se determinaron las de mayor relevancia y que
requieren un nivel de atención mayor a la hora de generar medidas y controles sobre las
mismas.
Gracias a un análisis exhaustivo de la infraestructura de red, protocolos aplicaciones y
dispositivos informáticos del laboratorio y con la información obtenida de los mismos
se realizo una serie de recomendaciones y propuestas de mejora basado en la
metodología para la mitigación de amenazas y vulnerabilidades informáticas ISSAF.
Se ha realizado una propuesta de mejores prácticas para el tratamiento de la
información y el uso de los recursos involucrados de y de tal manera proteger la
infraestructura de red que, de la misma manera se informa a la compañía la
importancia de llevar registros sobre cualquier tipo de incidente que pueda afectar la
seguridad de la infraestructura tecnológica de la compañía.
Se concluye que es indispensable conocer las amenazas y vulnerabilidades informáticas
a las que está expuesta la compañía, esto con el fin de conocer en todo momento que tan
segura o insegura está la información y los distintos dispositivos que la gestionan, de
esta manera establecer medidas que permitan disminuir el impacto que estas ocasionan
a nivel técnico y productivo.
Por último se especifica que las amenazas y vulnerabilidades encontradas el día de hoy
no serán las mismas que existirán dentro de una semana, por tal razón es necesario
gestionar métodos de evaluación de manera constante.
89
14 Recomendaciones
Es de vital importancia comenzar a llevar registros sobre incidentes de seguridad,
documentar información como inventarios, procesos, recursos tareas y actividades del
personal que maneja los sistemas y recursos informáticos, ya que de esta manera se
aumenta la eficiencia y la calidad de los procesos de evaluación y análisis.
Es indispensable retroalimentar el proceso de análisis de riesgos que obedecen a los
siguientes: realización de cambios en el sistema, incidentes de seguridad y revisiones
periódicas.
Se recomienda aplicar de manera inmediata las correcciones y consideraciones que para
cada caso se exponen en este proyecto.
Se recomienda utilizar la metodología empleada en este proyecto ya que cuenta con
herramientas y procedimientos estructurados, ordenados y efectivos para realizar
análisis de impacto y criticidad en cuanto a la identificación de vulnerabilidades y las
posibles formas de mitigación para las mismas.
Se recomienda la utilización de software libre para la identificación y para el análisis de
vulnerabilidades en futuras pruebas.
Es necesario ir integrando dentro de los planes de mejoramiento, las recomendaciones
contempladas en la metodología ISSAF, así como su plan de mejores prácticas y la
inclusión dentro de las mismas del personal a cargo de las TIC dentro de la compañía.
Incluir dentro de las tareas del equipo de sistemas auditorios periódicos a los activos de
información para actualizar los controles y de esta manera contribuir con el desarrollo
de mejores prácticas relacionadas con la seguridad de la información.
Se recomienda realizar jornadas de capacitación acerca de las amenazas informáticas
que surgen día tras día con la finalidad de implementar nuevos controles de seguridad.
Los resultados del análisis de riesgos debe conocerlos la Dirección de TIC, así como del
plan de mitigación de riesgos, con el fin de que sepan que acciones realizar en caso de
presentarse incidentes de seguridad y con el propósito de establecer actividades para
mitigar o reducir los riesgos detectados con medidas de seguridad necesarias para
proteger la información de la Institución.
90
15 Referencias
1. Amórtegui, T. Ciberseguridad y Ciberterrorismo, [En línea], Disponible en
http://www.acis.org.co/fileadmin/Revista_119/Informe_Diego_Amortegui.pdf,
[2015, 31 de Marzo].
2. Cano, S Ciberseguridad y ciberdefensa: Dos tendencias emergentes en un contexto
global. [En línea], Disponible en
http://www.acis.org.co/fileadmin/Revista_119/Editorial.pdf , [2015, 15 de Abril].
3. Caselli, M. y Kargl, F. (2013). Security Testing Methodology: Irlanda. [En línea].
Disponible en http://www.crisalis-project.eu/sites/crisalis-
project.eu/files/crisalis_deliverable-D5.1.pdf [2015, 04 de Abril].
4. Draft, (ISSAF) 0.2.1. (2006) Information systems security assessment framework
Open Information Systems Security Group (OISSG). [En línea]. Disponible en
http://www.oissg.org [2015, 3 de Marzo].
5. Enrique, J. y Chinchilla, S. (2009). Test de penetración como apoyo a la evaluación
de riesgos en seguridad de la información: Colombia. [En línea]. Disponible en
http://www.uac.edu.co/images/stories/publicaciones/revistas_cientificas/prospectiva
/volumen-7-no-1/articulo5-v7n1.pdf [2015, 23 de Marzo].
6. Fedesoft, Colombia es el cuarto país más vulnerable de América Latina en
seguridad informática. [En línea]. Disponible en
http://www.fedesoft.org/noticiastic/colombia-esel-cuarto-pais-mas-vulnerable-de-
america-latina-en-seguridad-informatica, [2015, 31 de Marzo].
7. Guía de referencia de Nmap, [En línea]. Disponible en http://nmap.org/man/es/,
[2015, 25 de Abril].
8. Guía de referencia Metasploit. [En línea]. Disponible en http://www.metasploit-
es.com.ar/wiki/index.php/Mass-Client_Attack [2015, 25 de abril].
91
9. Herzog, P. (2003) Manual de metodología abierta de testeo de seguridad
(OSSTMM) 2.1., Institute for Security and Open Methodologies (ISECOM).
10. Holguin, J.M. (2009) Pentest: Recolección de información (Information gathering),
instituto Nacional de Tecnologías de la Comunicación (INTECO), España. [En
línea]. Disponible en http://www.inteco.es [2015, 10 de Marzo].
11. Matalobos, V. (2009) Análisis de riesgos de seguridad de la información,
universidad Politécnica de Madrid, España.
12. McClure, S. (2009). Hackers, Secretos y soluciones para seguridad de redes,
Osborne: Editorial McGraw-Hill [En línea]. Disponible en http://www.book-
info.com/isbn/84-481-2786-2.htm [2015, 23 de Marzo].
13. Metasploit Unleashed. [En línea]. Disponible en http://www.offensive-
security.com/metasploit-unleashed/Main_Page [2015, 25 de abril].
14. Meyers, M. (2010). Redes administración y mantenimiento. España. Editorial
Anaya Multimedia.
15. Stuart, S. (2001) Hackers, Secretos y soluciones para seguridad de redes, Osborne.
Editorial McGraw-Hill.
16. Wilhelm, T, W. (2010). Professional Penetration Testing, USA. Editorial Elsevier,
pags.197-214.
17. Wilhelm, T, W. (2010). Professional Penetration Testing. USA. Editorial Elsevier,
pags. 157-171.
92
16 Anexos
Anexo 1: Cronograma
93
Anexo 2: Diagrama de Gantt
94
95
96
97
98
99
100
101
