• Author / Uploaded
• Hugo de Yorozuya

Citation preview

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Caso N° 3 Portafolio Informe de Riesgos y Vulnerabilidades Cristóbal Varas, Hernán Rodríguez, Alex Vargas

1

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Índice Introducción .......................................................................................................................................3 Carta Gantt .........................................................................................................................................4 Análisis del Caso .................................................................................................................................5 Inventario de Servidores y Activos .................................................................................................5 Identificando Amenazas .................................................................................................................9 Activos Vulnerables ........................................................................................................................9 Análisis de Vulnerabilidades .........................................................................................................10 Escaneo Servidor Linux-WEB ....................................................................................................10 Vulnerabilidades Encontradas y Soluciones .............................................................................11 Vulnerabilidades Corregidas .....................................................................................................15 Escaneo Servidor Windows-DNS ..............................................................................................17 Vulnerabilidades Encontradas y Soluciones .............................................................................18 Vulnerabilidades Corregidas .....................................................................................................19 Clasificación de Riesgos ................................................................................................................20 Magnitud de daño ....................................................................................................................20 Probabilidad de Amenaza .........................................................................................................20 Matriz de Riesgo .......................................................................................................................21 Análisis Cualitativo de los Riesgos ............................................................................................22 Mitigación de Riesgo ....................................................................................................................23 Herramientas de Seguridad ......................................................................................................25 Conclusión ........................................................................................................................................27

2

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Introducción En las empresas actuales, donde existe regularmente un centro de información que almacena datos de importancia de diversa índole para cada una, la protección de los mismos datos es una tarea primordial, ya que cuidar esa información es cuidar la empresa misma. El objetivo de este informe es mostrar los análisis de vulnerabilidades mediante software y atravez de los técnicos especialistas, con el fin de enfatizar en aquellas vulnerabilidades más importantes de acuerdo a los intereses de la empresa, de manera que el mandante no vea afectado su negocio, o en su defecto esté preparado para enfrentar las dificultades que se pudieran generar producto de algún ataque informático.

3

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Carta Gantt

4

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Análisis del Caso Primero es necesario analizar el caso de forma global, creando un inventario, revisando posibles amenazas, generar un escaneo de la red, analizar los activos mas importantes y finalmente crear un plan de acción de acuerdo a lo revisado.

Inventario de Servidores y Activos Los Servidores a analizar son 3, servidor WEB, el cual tiene varios servicios corriendo en el, servidor Rsyslog, el cual tiene solo el servicio syslog, y finalmente un servidor Windows que contiene servicio Active Directory, Estos tienen las siguientes IP: Servidor WEB

192.12.118.100

WAN

Servidor Rsyslog

192.12.118.107

WAN

Servidor AD

172.16.1.2

DMZ

Por ultimo los servicios se encuentran distribuidos de la siguiente manera:

5

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Servicio FTP

Nombre Servicio Versión Servicio Dirección IP Dirección MAC Sistema Operativo Versión Sistema Operativo Puertos Servicio

FTP vsftpd-3.0.2-25.el7.x86_64 192.12.118.100 A2:14:1B:78:02:7F CentOS 7 9021

Servicio DNS

Nombre Servicio Versión Servicio Dirección IP Dirección MAC Sistema Operativo Versión Sistema Operativo Puertos Servicio

DNS bind-9.9.4-73.el7_6.x86_64 192.12.118.100 A2:14:1B:78:02:7F CentOS 7 9053

Servicio HTTP-HTTPS

Nombre Servicio Versión Servicio Dirección IP Dirección MAC Sistema Operativo Versión Sistema Operativo Puertos Servicio

HTTP httpd-2.4.6-89.el7.centos.x86_64 192.12.118.100 A2:14:1B:78:02:7F CentOS 7 9080 y 9443 para ssl 6

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Servicio MySQL

Nombre Servicio Versión Servicio Dirección IP Dirección MAC Sistema Operativo Versión Sistema Operativo Puertos Servicio

MySQL mariadb-5.5.60-1.el7_5.x86_64 192.12.118.100 A2:14:1B:78:02:7F CentOS 7 9306 (solo acceso remoto)

Servicio Postfix

Nombre Servicio Versión Servicio Dirección IP Dirección MAC Sistema Operativo Versión Sistema Operativo Puertos Servicio

Postfix postfix-2.10.1-7.el7.x86_64 192.12.118.100 A2:14:1B:78:02:7F CentOS 7 9025

Servicio Syslog

Nombre Servicio Versión Servicio Dirección IP Dirección MAC Sistema Operativo Versión Sistema Operativo Puertos Servicio

Syslog rsyslog-8.24.0-34.el7.x86_64 192.12.118.98 x CentOS 7 9514

7

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Servicio Active Directory

Nombre Servicio Versión Servicio Dirección IP Dirección MAC Sistema Operativo Versión Sistema Operativo Puertos Servicio

Active Directory rsyslog-8.24.0-34.el7.x86_64 172.16.1.2 C2:DE:D7:A7:83:15 Windows Server 2012 x

8

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Identificando Amenazas En la empresa Tecnidata se encuentran distintos departamentos, los cuales tienen también distintas necesidades informáticas, sin embargo todos los usuarios ocupan sistemas operativos Windows, el cual es un sistema sumamente amigable para el usuario, pero al ser tan masivo es blanco de múltiples virus, spyware, y otros malware que le pueden afectar, a esto se suma que normalmente el usuario no cuenta con un conocimiento avanzado de informática de manera que la responsabilidad de mantener la empresa lo mas limpia de ataques informáticos, y tener medidas de mitigación, es nuestra asumiendo que el factor humano es la mayoría de las veces la parte más débil en la seguridad informática, y por eso en las soluciones ellos son considerados parte importante.

Activos Vulnerables Se considera por nuestra parte que los activos vulnerables son todos, especialmente aquellos que están expuestos a la red WAN en este caso, servicio DNS, WEB, FTP, RSYSLOG, y CORREO, de manera que la mayoría de los activos son especialmente vulnerables y todos son considerados de alto riesgo de ataque.

9

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Análisis de Vulnerabilidades El análisis de vulnerabilidades se ejecuta en este caso mediante un software llamado Nessus, que es una potente aplicación de detección de vulnerabilidades, mostrándonos información, riesgos bajos, medios y altos de vulnerabilidades. El Primer Analisis es la maquina con IP 192.12.118.100 que corresponde a servidor WEB, que contiene servicio Http, DNS, Correo, Ftp, Samba/CIFS.

Escaneo Servidor Linux-WEB

Esto corresponde solo a una captura del informe completo, pero nos sirve para revisar las vulnerabilidades encontradas y su nivel de riesgo.

10

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Vulnerabilidades Encontradas y Soluciones 1.- SSH Server CBC Mode Ciphers Enabled

Servidor SSH esta configurado para admitir cifrado CBC, esto podría permitir que un atacante recupere información confidencial. La solución seria deshabilitar el cifrado de modo CBC y habilitar cifrado del modo CTR o GCM(Counter). 2.- SSL Certificate Cannot Be Trusted

No se puede confiar en el certificado X.509 del servidor. Esta situación puede ocurrir de tres formas distintas: Es posible que la parte superior de la cadena de certificados enviada por el servidor no proceda de una autoridad de certificación publica conocida. La cadena de certificados puede contener un certificado que no es valido en el momento del escaneo. La cadena de certificados puede contener una firma que no coincide con la información del certificado o no se pudo verificar. La solución seria generar o comprar un certificado apropiado para este servicio, las empresas suelen comprarlos.

11

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

3.- SSL Self-Signed Certificate

La cadena de certificados X.509 para este servicio no esta firmada por una autoridad de certificación reconocida, de manera que el servidor se está auto certificando. La solución seria comprar o generar un certificado para este fin.

4.- DNS Server Cache Snooping Remote Information Disclosure

El servidor DNS remoto es vulnerable a los ataques de espionaje caché. El servidor DNS responde a las consultas de dominios de terceros que no tienen establecido el bit de recursión. Esto puede permitir a un atacante remoto determinar que dominios se han resuelto recientemente a través de este servidor DNS y por tanto que hosts se han visitado recientemente. Hay una serie de recomendación que nos pueden llevar a una solución, serian ponerse en contacto con el proveedor del software DNS para buscar una solución. Pero también hay que notar que este error normalmente se reporte en servidores que permiten resolución recursiva, en este caso la solución sería dejar habilitada la recursión solo en caso de que el Servidor DNS se encuentre en una red empresarial a la que no puedan acceder clientes no confiables o no permitir el acceso publico a los servidores DNS que realizan recursión o definitivamente deshabilitar la recursión.

12

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

5.- DNS Server Recursive Query Cache Poisoning Weakness

El servidor remoto de nombres permite que el host que ejecuta nessusd realice consultas recursivas. Es posible consultar el servidor de nombres remoto para los nombres de terceros. Si este es su servidor de nombres interno, entonces el vector de ataque puede estar limitado a los empleados o al acceso de invitados, siempre que esté permitido. Si es un servidor de nombres remoto o DNS en WAN, entonces permite que cualquiera lo use para resolver nombres de terceros. Esto permite a los atacantes realizar ataques de envenenamiento de caché contra este servidor de nombres. Si el host permite estas consultas recursivas a través de UDP, entonces se puede usar para rebotar los ataques de Denegación de Servicio (DoS) contra otra red o sistema. La solución es restringir las consultas recursivas a los hosts que deberían usar el servidor DNS como por ejemplo la LAN para la que sirve. En este caso como usamos BIND 9 podemos definir una agrupación de direcciones internas usando ACL. Luego en las opciones del servicio named.conf se puede indicar explícitamente: 'allow-recursion {hosts_defined_in_acl}'

13

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

6.- DNS Server Spoofed Request Amplification DDoS

El Servidor DNS podría usarse en un ataque de denegación de servicio distribuido (DDoS), El servidor DNS al responder a cualquier solicitud es posible consultar los servidores de nombre (NS) de la zona raíz y obtener una respuesta que sea mayor que la solicitud original, al falsear la dirección IP origen un atacante remoto puede aprovechar esta “amplificación” para lanzar un DDoS contra un host de terceros utilizando nuestro DNS server. La Solución es restringir el acceso al servidor DNS desde la red publica o rechazar estas consultas externas. 7.- HTTP TRACE / TRACK Methods Allowed

El servidor web admite los métodos TRACE y/o TRACK los cuales son métodos HTTP que se utilizan para depurar conexiones de servidor web. La solución consiste en deshabilitar estos métodos.

8.- SSL Medium Strength Cipher Suites Supported (SWEET32)

El host admite el uso de cifrado SSL que ofrece un cifrado de intensidad media. Nessus considera la resistencia media como cualquier encriptación que utiliza longitudes de clave de al menos 64 bits y menos de 112 bits, o bien que utilizado cifrado 3DES. La solución es configurar la aplicación afectada para evitar uso de cifrado de media intensidad.

14

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Vulnerabilidades Corregidas Luego de ejecutar las soluciones recomendadas por Nessus se vuelve a ejecutar un escaneo de Vulnerabilidades con el fin de verificar que efectivamente las vulnerabilidades no aparezcan o disminuya su calificación de riesgo, en otros casos se asume el riesgo, aunque esto solo en caso de que no exista otra alternativa.

15

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Análisis de riesgos posteriores Luego de ejecutar el primer análisis, corregir de acuerdo con las soluciones ofrecidas o recomendadas por Nessus y finalmente volver a ejecutar el análisis de vulnerabilidades, se puede observar que sigue en riesgo medio todo lo relacionado con SSL, esto es debido a que lo mejor en estos casos es contar con los certificados emitidos por una entidad certificadora, esa situación se le debe comunicar a la empresa mandante realizar la compra de certificados y aplicar la solución(por nuestra parte) en la medida que ellos quieran y/o puedan, siempre cuidando de explicarles la importancia de contar con dichos certificados. Con respecto a este primer análisis del servidor WEB de la empresa Tecnidata se puede concluir que se resuelve sin mayores inconvenientes la mayoría de los problemas ya que no necesitamos una intervención mayor de la empresa, aunque queda pendiente los certificados SSL, que se debe gestionar su compra con Tecnidata.

16

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Escaneo Servidor Windows-DNS Luego del primer escaneo al servidor WEB, ahora es necesario escanear el servidor Windows, el cual quedo de la siguiente manera:

Esto es solo una parte del reporte entregado por Nessus, pero muestra las vulnerabilidades encontradas.

17

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Vulnerabilidades Encontradas y Soluciones

1.- SMB Signing not required

El login no es necesario en el servidor SMB remoto, un atacante remoto no autenticado puede explotar esta vulnerabilidad. La solución pasa por habilitar la firma obligatoria en la configuración del host.

2.- Security Update for SAM and LSAD Remote Protocols

El host remoto Windows puede ser afectado por una vulnerabilidad de elevación de privilegio en protocolos Security Account Manager y Local Security Authority Domain Policy. Esto debido a una indebido nivel de autenticación de negociación en las Llamadas de Procedimiento Remoto (RPC).

Microsoft declara haber liberado parches para tratar esta vulnerabilidad.

18

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Vulnerabilidades Corregidas Luego de ejecutar las soluciones recomendadas por Nessus que en este caso eran meras actualizaciones se vuelve a ejecutar un escaneo de Vulnerabilidades con el fin de verificar que efectivamente las vulnerabilidades no aparezcan o disminuya su calificación de riesgo, en otros casos se asume el riesgo, aunque esto solo en caso de que no exista otra alternativa.

Se puede observar que ahora no hay vulnerabilidades de acuerdo al análisis del software Nessus.

19

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Clasificación de Riesgos Una vez finalizado y revisado el análisis de vulnerabilidades es necesario evaluar y clasificar el riesgo que tenemos en nuestra red. Es necesario con tal fin realizar tablas de manera que podamos mostrar y comprender mas claramente el riesgo en nuestro entorno.

Para ello tenemos que generar valores en 2 variables que son Magnitud de daño y Probabilidad de Amenaza.

Magnitud de daño 1) leve daño, no genera molestia alguna ni al funcionamiento ni a la productividad de la empresa. 2) leve daño, perceptible a la empresa afecta ligeramente a la productividad y/o al funcionamiento. 3) medio daño, daño sensible para la empresa en algunos casos irresoluble afecta productividad. 4) daño alto o altísimo, daño gravísimo para la empresa y afecta notoriamente productividad.

Probabilidad de Amenaza 1) poco probable que ocurra, 1 vez al año a lo sumo. 2) poco probable, 2 o 3 veces en un año como máximo. 3) probable al menos 1 vez al mes puede ocurrir. 4) muy probable al menos 1 vez a la semana ocurre.

20

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Matriz de Riesgo

Esta matriz de riesgo es de acuerdo a los puntos tratados anteriormente, donde las zonas en verde son importantes, aunque no son prioridad, las zonas amarillas son mas importantes y son prioridad y las zonas rojas son máxima prioridad y pueden significar que el técnico de redes de la empresa deba concurrir con urgencia a esta, y ninguna otra tarea puede interrumpir la resolución de esta incidencia.

21

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Análisis Cualitativo de los Riesgos Servicio ftp samba correo dns web rsyslog ssh mysql active directory

Servidor CentOS CentOS CentOS CentOS CentOS CentOS CentOS CentOS Windows

nivel de riesgo medio medio alto alto alto medio alto alto medio

probabilidad de ataque bajo bajo alto medio medio bajo medio bajo medio

22

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Mitigación de Riesgo Ya que están realizados los análisis correspondientes se hace necesario planificar las formas de mitigar los riesgos asociados. Normalmente las empresas tienen jerarquizada su estructura de manera que los cargos mas altos tienen labores de mayor importancia y por consiguiente la información que manejan es mas delicada o mas importante, esto no necesariamente es asi ni tampoco se menosprecia la información tratada por el resto de la empresa, pero si es una buena política respaldar los equipos personales de gerencia especialmente debido a lo explicado anteriormente. También ya que trabajaremos con servidores que idealmente deben tener un uptime lo mas alto posible, es bueno monitorearlos mediante herramientas como PRTG Network Monitor, Zabbix o Nagios, estas herramientas nos permitirán saber en todo momento que ocurre con nuestro servidores ya que podemos chequear cada cierto tiempo CPU, RAM, Espacio en Disco y cualquier cosa que consideremos critica, incluso si el servidor ha caído esto ya que podemos configurar que envíe correos(incluso SMS) según las alertas que se le configuran. Aun cuando se tienen los servidores monitoreados y en general funcionando bien, siempre existe la posibilidad de perder la información, de manera que el respaldo siempre se recomienda, la maquina completa debe ser respaldada de forma que en el peor de los casos se puede volver a tener una maquina en funcionamiento aun si acaba de ser gravemente dañada. Actualizar, la política de actualizaciones puede ser determinante a la hora de contar con una empresa segura, en el año 2017 cuando ataca el Malware WannaCry, muchas empresas se vieron afectadas, esto debido a que los equipos no estaban actualizados con el ultimo parche de seguridad ofrecido por Microsoft tan solo un mes antes, obligar a actualizar los equipos en el dominio mediante políticas de grupo, y prohibir el ingreso de equipos externos es una medida adicional de seguridad que puede ayudar.

23

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Las redes son la base sobre la que se sostiene la estructura de servidores de la empresa, de manera que cuidar la red es cuidar los servidores, por lo mismo bloquear el acceso a redes Wifi es otra política, solo permitir el acceso a equipos con MAC conocida, esto se debe hacer manualmente equipo a equipo, pero garantiza que no tendrán equipos desconocidos conectados. Hay otro tipo de políticas de seguridad como por ejemplo que los usuarios cambien sus contraseñas una vez al mes, incluso si los equipos están en un dominio mediante GPO se puede obligar a ello, que las claves contengan mayúsculas, minúsculas, longitud de contraseña, etc. Restringir el acceso físico a la sala de servidores, solo a los técnicos autorizados para ello. Finalmente hay políticas de seguridad que apelan al buen comportamiento del usuario como tal, por ejemplo, que si este se para o abandona su puesto de trabajo debe dejar el protector de pantalla para que el equipo quede bloqueado, o avisar inmediatamente si recibe correo malicioso, u otros.

24

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Herramientas de Seguridad No solo políticas de seguridad son necesarias en la empresa, también los servidores cuentan con programas que nos pueden ayudar a mejorar la seguridad, en este caso utilizaremos básicamente 2 barreras protectoras, uno es el firewall de Linux desde la versión 7 en adelante Firewalld, y Selinux(Security-Enhanced Linux).

Aquí podemos observar la política de Selinux mediante el comando getenforce, de esta manera sabemos que Selinux está trabajando de acuerdo a las reglas configuradas por nosotros.

25

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

En esta captura podemos chequear el funcionamiento del sistema de firewall de Linux, desde la versión 7 en delante de CentOS viene por defecto el Daemon Firewalld, sin embargo, se puede habilitar rápidamente el antiguo IPtables.

Este es un ejemplo del funcionamiento básico del Firewall.

26

Escuela de Informática y Telecomunicaciones Administración de Redes Computacionales

Conclusión Finalmente podemos concluir que sabiendo que la información es el activo mas importante para una empresa, ya que permite saber todo lo que debe hacer para funcionar, esta se debe cuidar por los medios necesarios con el fin de que la empresa mantenga una fluida productividad. Esto mediante distintos métodos, como definir políticas de seguridad, análisis constante de los riesgos de la empresa, activos expuestos, equipos infectados con el fin de impedir la fuga, perdida y alteración de la información. Que si bien las máquinas son las que contienen la información y por tanto parte importante de la seguridad se encuentra orientada a ellos, tampoco debemos olvidar que el eslabón más débil en la cadena de la seguridad informática es el mismo usuario, aunque se trate de un técnico calificado de Duoc.

27