Analisis de vulnerabilidades · comandos •Plugins de Nessus •Base de datos de conocimientos •Librerías de soporte. Certified Offensive and Defensive Security Professional

Certified Offensive and Defensive Security Professional

- Entrenamiento E-learning -

3- ANÁLISIS DE VULNERABILIDADES

© www.dsteamseguridad.com

Análisis Vulnerabilidades

“Es la tercera fase del ciclo de auditoria del tipo HackingÉtico, y tiene como objetivo el identificar si un sistema esdébil o susceptible de ser afectado o atacado de algunamanera (Hardware, Software, Telecomunicaciones,Humanos)”




� Identificación vulnerabilidades en Versiones de Aplicación y Sistemas Operativos � Gestión de Parches (Patch Management)� Identificar Vulnerabilidades Tecnológicas y Humanas.� Configuraciones por Defecto.� Vulnerabilidades Técnicas y Funcionales

El éxito de un Análisisde Vulnerabilidades,depende de la gestiónque se les haga.


Ejemplo de Vulnerabilidades:

Funcional

Técnica

Tipos de Vulnerabilidades

Humana




Definiciones:

• Que es una Vulnerabilidad?“Una Vulnerabilidad es una debilidad que puedellevar a un compromiso de un sistema Informático.”


Clases de Vulnerabilidades (Software): Hay tres clases generales:

- (Misc) Configuraciones- de usuario o vendedor de Software, queviene a menudo de forma predeterminada.

A nivel de Software se pueden tener:




viene a menudo de forma predeterminada.

- Aplicación:-los errores de codificación que resulta endesbordamientos de búfer, inyecciones SQL, XSS, entre otros.

- Diseño: Las cuales son inherentes en el protocolo o en la arquitecturade aplicaciones


Algunos aspectos importantes que deben de tenerse en cuenta en el análisis de Vulnerabilidades, es el siguiente:

Aspectos Importantes:

� Las herramientas automatizadas de análisis de




� Las herramientas automatizadas de análisis devulnerabilidades se basan en Plugins, por lo tanto esimportante mantenerlos actualizados.

� Configurar de forma adecuada el perfil del análisisde vulnerabilidades, según la informaciónrecolectada en fases pasadas.

� Experiencia un factor “Relevante”


¿Donde se presentan las Vulnerabilidades?

Las vulnerabilidades existen en:

•Host: Sistemas Operativos y Servicios• Dispositivos: Routers, Switches, Balanceadores de Carga, Firewalls,




• Dispositivos: Routers, Switches, Balanceadores de Carga, Firewalls,Appliance de Red,entre otros.• Aplicaciones: Clientes/Servidor, Web, Aplicaciones, bases de datos,entre otros.• Humanos: Administradores de redes, desarrolladores, empleado, etc.



� El análisis de vulnerabilidades, es una etapa

Aspectos Importantes:




� El análisis de vulnerabilidades, es una etapasecuencial a la recolección de información, escaneode puertos, y enumeración, por lo tanto la adecuadainformación obtenida en etapas anteriores, será degran ayuda en esta etapa de análisis devulnerabilidades, para no generar Falsas alarmas.



� Herramientas Apunte y Tire: Es de vital importancia conocer bien alobjetivo, con el fin de poder generar un buen y adecuado perfil, al

Aspectos Importantes




objetivo, con el fin de poder generar un buen y adecuado perfil, almomento de realizar un análisis de vulnerabilidades con una herramientaautomatizadas para ello.

Con esto logramos:

• Minimizar Trafico de red• Minimizar Falsos Positivos• Optimizar Análisis de resultados.


Descubrimiento de Vulnerabilidades.

Si una vulnerabilidad es descubierta, que caminos se pueden tomar?

� Comunicarlos al proveedor de forma directa.� Comunicarlo a las Listas de “Full

Las vulnerabilidades encontradas en un Análisis de seguridad, se clasifican con respecto a bases de datos del Conocimiento.




� Comunicarlo a las Listas de “Full Disclosure”.� Comunicarlo en un evento de seguridad (Black Hat, DEFCON, Etc)� Venderlo a empresas que o compran Exploit.� Conservar el descubrimiento en secreto.

http://cve.mitre.org

http://www.first.org/cvss

Las vulnerabilidades también pueden ser objeto de investigación en la Base de Datos Nacional de la vulnerabilidad (NVD)

http://nvd.nist.gov/


Clasificación de las Vulnerabilidades

Las vulnerabilidades, pueden ser clasificadas según su nivel de importancia y de criticidad y se clasifican en:




• Bajas• Medias• Altas• Criticas



Bajas: Son vulnerabilidades relacionadas con aspectos de la configuración de un

sistema, la cual probablemente podría ser utilizada para violar la seguridad delsistema, sin embargo no constituyen por si sola una vulnerabilidad, ya que para serexplotada, requiere de un conjunto de criterios que no necesariamente seriaconseguido de forma directa por un atacante. Un ejemplo para este tipo de




conseguido de forma directa por un atacante. Un ejemplo para este tipo devulnerabilidad seria el siguiente:

“Luego de una exploración de puertos y vulnerabilidades con un softwarepreviamente preparado por un atacante, se ha tenido dentro del reporte delaplicativo que ha usado el atacante la siguiente información: “El puerto 23 estaabierto y tiene ejecutando una versión de este protocolo. Un atacante podría usarun analizador de protocolos, para poder identificar el trafico, y así poderencontrar el nombre de usuario y contraseña para pode entrar en el equipovictima, ya que el servicio de Telnet, es un protocolo que no cifra o codifica asconexiones, sino que estas viajan el texto claro”.



Medias: Son vulnerabilidades asociadas funcionalidades disponibles en forma

remota en el sistema identificado como objetivo, las cuales normalmente sonutilizadas por los atacantes informáticos para explotar otra vulnerabilidad. Es decirque este tipo de vulnerabilidades no son el objetivo final en ningún ataque, sinoque dan pie o base a otras vulnerabilidades mas criticas, para poder comprometer




que dan pie o base a otras vulnerabilidades mas criticas, para poder comprometerel sistema, tales como el uso de escalar privilegios



Altas: Son un tipo de vulnerabilidades que pueden ser usadas para obtener

acceso a recursos que deberían estar protegidos en el host remoto. Estasvulnerabilidades como tal comprometen el sistema afectado, ya que si sonexplotadas por un atacante, este conseguirá el control parcial o total del sistema,




explotadas por un atacante, este conseguirá el control parcial o total del sistema,además de que podrá ver y cambiar información confidencial, y ejecutar comandosy programas en el equipo afectado. Un ejemplo para este tipo de vulnerabilidadseria el siguiente:Luego de una exploración de puertos y vulnerabilidades con un softwarepreviamente preparado por un atacante, se ha tenido dentro del reporte delaplicativo que ha usado el atacante la siguiente información: “Es posible accedera recursos compartidos en el equipo objetivo, ya que el equipo tiene carpetascompartidas de lectura/escritura, con lo que un atacante podría obtenerinformación confidencial del equipo analizado”.



Criticas: Son similares a las vulnerabilidades de tipo alta, sin embargo las

criticas suelen ser mas peligrosas y requieren de la evaluación y corrección porparte de los administradores de informática de forma inmediata. Un ejemplo paraeste tipo de vulnerabilidad seria el siguiente:“Luego de una exploración de puertos y vulnerabilidades con un software




“Luego de una exploración de puertos y vulnerabilidades con un softwarepreviamente preparado por un atacante, se ha tenido dentro del reporte delaplicativo que ha usado el atacante la siguiente información: “ Se ha identificadoque el Host analizado tiene el puerto TCP 1433 abierto y en este puerto se estacorriendo una versión del servidor de bases de datos SQL Server Versión 9, elsistema de bases de datos tiene la clave del usuario SA (System Administrador)con la palabra password, por lo cual un atacante podría adivinar dicha clave débily tomar control total del sistema de bases de datos de forma remota o local”


Herramientas Automatizadas

http://www.openvas.org/ http://www.gfi.com/lannetscan http://www.saintcorporation.com/




http://www.acunetix.com/ http://www.nessus.org/nessus/intro.phpwww.qualys.com

http://www.saintcorporation.com/

http://www.sensepost.com/labs/tools/pentest/bidiblah








Características:

• Se puede obtener una versión Gratuita, para uso no comercial, la cual

http://www.gfi.com/lannetscan/




• Se puede obtener una versión Gratuita, para uso no comercial, la cualcubre 5 direcciones IP, con todas las funcionalidades de la aplicación,menos la gestión de parches para aplicaciones no Microsoft.• Gestión Automatizadas de Parches de Seguridad (Identificación yRemediación)• Escaner de Puertos TCP-UDP y de Vulnerabilidades• Contiene un Cliente RDP.• Permite crear análisis de vulnerabilidades programadas.• Solo funciona en equipos Windows








Características:

• Es un Scanner de vulnerabilidades orientado a Aplicaciones Web.

http://www.acunetix.com/vulnerability-scanner/




• Es un Scanner de vulnerabilidades orientado a Aplicaciones Web.• Se puede descargar una versión Trial de la pagina.• Solo funciona en Windows, pero analiza S.O multiplataforma (Linux,Windows, Solaris)• Analiza vulnerabilidades orientadas al XSS ,SQL Injection, entre otroas.• Escanner de puertos• Soporta análisis de vulnerabilidades programados.• Soportes para la base de datos GOOGLE. Google Hacking• Directory Traversal Attacks


Herramientas Automatizadas: “Nessus”






http://www.tenable.com/products/nessus/

Nessus es un escáner de vulnerabilidades y puertos, el cual tiene una grancantidad de datos relacionados con las diferentes vulnerabilidades que




cantidad de datos relacionados con las diferentes vulnerabilidades queaparecen en muchos software comerciales y sistemas operativos. Nessustiene varios componentes para poderlo trabajar, el primero es un demonio ocomponente principal, el cual es el que se encarga de los chequeos devulnerabilidades en un host, el segundo es un cliente que se conecto alservicio o demonio Nessus, mediante el cual se pueden dar directrices opolíticas de escaneo de vulnerabilidades, además es por medio de estecliente donde se ven los reportes. El tercer componente son los Script deNessus, los cuales son llevados a la práctica en lenguaje de programaciónNASL.



Características Generales:

* Evaluación de vulnerabilidades automatizado* Interface de usuario basada en Web* Escaneos de vulnerabilidades basado en host y en red




* Escaneos de vulnerabilidades basado en host y en red* Auditoria de Parches* Auditoria de Cumplimiento * Informes y Reportes.

- XML (nessus).- HTML y y personalizado XSL- Texto delimitado (NBE).



http://www.tenable.com/products/nessus/Otras Características:

• Software multiplataforma, ya que soporta la instalación en varios sistemasoperativos tipo UNIX, Linux y Windows.• En una actividad de identificación de vulnerabilidades, Nessus comienza a usar




• En una actividad de identificación de vulnerabilidades, Nessus comienza a usarinternamente el software Nmap, para identificar los puertos abiertos de lamaquina objetivo.• Es un software que se actualiza a diario, ya que todos los días son descubiertasnuevas vulnerabilidades en los sistemas a nivel de aplicación o a nivel de sistemaoperativo.• Es una potente herramienta de identificación de vulnerabilidades, pero puedecausar la caída de un sistema evaluado sino se usa de forma adecuada.• Se puede bajar una versión gratuita, para uso no comercial con todas lasfuncionalidades base.




* Identificación de las debilidades en el sistema, aplicaciones, red y dispositivosa través de métodos de Scanning a host y de red.




- El descubrimiento de activos y el inventario es un requisito previo para ladetección de la vulnerabilidad

- Soporta Exploración con credenciales y sin credenciales

* Nessus es el escáner de vulnerabilidad mas popular del mundo

- Motor de análisis para centro de seguridad- Chequeos para 32,000 y mas- Escaneo de puertos y más




Antes de herramientas automatizadas, como Nessus había que hacer losiguiente:




- Encuentra tus objetivos en la red- Hacer exploraciones de puertos individuales- Captura de Banners o información, con otra aplicación- Ejecutar escáneres para aplicaciones específicas- Con cuidado, ejecutar algunos exploits específicos para detectar lasvulnerabilidades conocidas- Verificar los resultados y evitar falsos positivos / negativos-Gestión de datos y los resultados del informe




* Configuraciones * Descubrimiento de Host* Scanning de Puertos




* Scanning de Puertos* Detección de Servicios* Detección de sistema Operativos* Análisis de Vulnerabilidades


Herramientas Automatizadas: “Nessus”•(Daemon) Nessus•Herramientas de línea de comandos•Plugins de Nessus•Base de datos de conocimientos•Librerías de soporte.




Web Interface (Puerto 8834)•Selección del objetivo•Configuración del Scanner•Manejo del scanner•Resultados del Scanner•Reportes (Informes)


Herramientas Automatizadas “Otras herramientas automatizadas”

• SATAN• RETINA• ISS SECURITY SCANNER




• ISS SECURITY SCANNER• NIKTO

Documents

Analisis de vulnerabilidades · comandos •Plugins de Nessus •Base de datos de conocimientos •Librerías de soporte. Certified Offensive and Defensive Security Professional