Metodología para la Detección de Vulnerabilidades en
Contents
1. Adicionalmente se presenta un caso de estudio de aplicaci n de la metodolog a propuesta mediante el cual se logra establecer la utilidad y funcionalidad de esta TRABAJOS RELACIONADOS Romero et al 2009 presentan una herramienta metodol gica para identificar los activos relevantes en un proceso de identificaci n de riesgo en aplicaciones web para soportar el instrumento metodol gico propuesto se implementa un caso de estudio y se realiza un an lisis cuantitativo y cualitativo del mismo sin embargo este trabajo se limita a la identificaci n de activos expuestos a riesgos y no propone mecanismos para la detecci n del peligro al que dichos activos est n expuestos es decir no propone mecanismos para la detecci n de las vulnerabilidades de estos activos Por otro lado Pfleeger y Ciszek 2008 proponen una metodolog a de cuatro pasos que pretende ayudar a las organizaciones a evaluar los activos relevantes a ser protegidos determinar los potenciales atacantes y los posibles m todos para disminuir el riesgo sin embargo no se precisan t cnicas para evaluaci n de la seguridad de dichos activos por lo que da lugar a proteger elementos que no tienen riesgos De forma similar se propone una metodolog a Xinlan et al 2010 para evaluar el riesgo de seguridad de la informaci n pero est basada en un an lisis matem tico y no aporta herramientas para evaluar el grado de vulnerabilidad de un activo dentro de una organizaci n En otro t2. e instalado se debe ingresar el equipo o conjunto de equipos o segmento de red a escanear estos equipos se seleccionan a partir de la fase anterior posteriormente este presenta la opci n de generar reportes en los que se indican con amplia descripci n cada una de las vulnerabilidades encontradas y se presentan sugerencias de soluci n Se recomienda seguir el manual de usuario de la herramienta NeXpose para llevar a cabo el escaneo de vulnerabilidades Finalmente se anota que este esc ner de vulnerabilidades utiliza el repositorio de vulnerabilidades del gobierno de los Estados Unidos con lo que se garantiza que en todo momento las vulnerabilidades analizadas son todas las que han sido reportadas hasta la actualidad CASO DE ESTUDIO La metodolog a anteriormente expuesta ha sido aplicada en la red de datos de la Universidad de Cartagena arrojando los resultados mencionados a continuaci n Fase 1 Reconocimiento recolecci n de informaci n Mediante la ejecuci n de esta fase se logr encontrar lo siguiente 1 El nombre de dominio utilizado por la Universidad de Cartagena en internet 2 El servidor de alojamiento de la Universidad y su direcci n IP 3 Dominios de nivel superior asociados con la Universidad 4 Once subdominios de la forma X unicartagena edu co 5 Transferencia de zona contra los servidores de dominio de la Universidad a trav s de la cual se detectaron 26 nuevos subdominios de los cuales algunos se tomaron par
3. la seguridad inform tica Palabras clave detecci n de vulnerabilidades enumeraci n de servicios escaneo de puertos seguridad inform tica Methodology for Detecting Vulnerabilities in Data Networks Abstract The main objective of this study was to design a methodology for the detection of vulnerabilities in data networks This involved the development of different phases called recognition port scanning and service enumeration and vulnerability scanning each of which is supported by software tools The results of each phase supplied the necessary data for implementing the following stages To validate the usefulness of the proposed methodology this was implemented in the data network of the University of Cartagena in Colombia finding different types of vulnerabilities Finally based on the results it was found that the proposed methodology is useful for detecting vulnerabilities in data networks demonstrating their importance to the area of computer security Keywords vulnerability detection service enumeration port scanning information security Informaci n Tecnol gica Vol 23 N 3 2012 113 Metodolog a para la Detecci n de Vulnerabilidades en Redes de Datos Franco INTRODUCCION En la actualidad existen diferentes proyectos que tienen como finalidad encontrar vulnerabilidades en diferentes tipos de plataformas entre los mas importantes para este estudio podemos mencionar que en el campo de las aplicaciones Web sobres
4. Informaci n Tecnol gica Vol 23 3 113 120 2012 doi 10 4067 S0718 07642012000300014 Metodologia para la Deteccion de Vulnerabilidades en Redes de Datos David A Franco Jorge L Perea y Plinio Puello Universidad de Cartagena Facultad de Ingenier a Grupo de Investigaci n en Tecnolog as de las Comunicaciones e Inform tica GIMATICA Avenida del Consulado Calle 30 No 48 152 Cartagena Colombia e mail dfrancob unicartagena edu co jochyone gmail com ppuellom unicartagena edu co Recibido Sep 08 2011 Aceptado Oct 21 2011 Versi n final recibida Dic 20 2011 Resumen El objetivo principal de este trabajo fue dise ar una metodolog a para la detecci n de vulnerabilidades en redes de datos Para esto se desarrollaron diferentes fases llamadas reconocimiento escaneo de puertos y enumeraci n de servicios y escaneo de vulnerabilidades cada una de las cuales es soportada por herramientas de software Los resultados de cada fase suministran datos necesarios para la ejecuci n de las siguientes etapas Con el fin de validar la utilidad de la metodolog a propuesta se llev a cabo su implementaci n en la red de datos de la Universidad de Cartagena en Colombia encontrando diferentes tipos de vulnerabilidades Finalmente apoy ndose en los resultados obtenidos se encontr que la metodolog a propuesta es de gran utilidad para detectar vulnerabilidades en redes de datos lo que demuestra su importancia para el rea de
5. P en el rango del dominio objetivo con lo que se podr detectar cu les de ellos pertenecen o tienen relaci n con este lo cual ampl a la lista de equipos que se evaluar n posteriormente B squeda de dominios de nivel superior Esta b squeda permite detectar dominios de nivel superior ejemplo de tales dominios com net org asociados al nombre de dominio objetivo En caso de que se encuentre un dominio de nivel superior asociado al dominio objetivo este se incluir a la lista de equipos que se evaluar n en la fase siguiente La b squeda descrita anteriormente es soportada por la herramienta dnsrecon B squeda de dominios mediante fuerza bruta Esta b squeda permite hallar subdominios del dominio principal objetivo mediante fuerza bruta Subdominios como ftp dominio smtp dominio entre otros son el objetivo de esta etapa Una vez m s si se detecta un subdominio relacionado con la red objetivo se someter a evaluaci n en la fase siguiente Por otro lado se anota que la herramienta dnsrecon tambi n soporta esta etapa Transferencias de zona Consiste en realizar consultas a los servidores de nombres de dominios encargados del dominio objetivo Esto permitir conocer subdominios o dominios relacionados con este ltimo Cabe se alar que esta t cnica se aprovecha de la mala gesti n de servidores DNS que no se configuran para impedir que compartan base de datos de dominios con equipos diferentes de otros servidores DNS El sopor
6. a las fases siguientes 6 Detectar los segmentos de red de las diferentes sedes de la Universidad Fase 2 Escaneo de puertos y enumeraci n de servicios A trav s de esta fase se encontr lo siguiente Informaci n Tecnol gica Vol 23 N 3 2012 117 Metodolog a para la Detecci n de Vulnerabilidades en Redes de Datos Franco 1 Se escanearon cada uno de los segmentos de red de la Universidad 2 Se tabularon aquellos que presentaron servicios cr ticos como posibles candidatos de escaneo 29 servidores 3 Se determinaron 18 como servidores cr ticos para posterior escaneo de vulnerabilidades Fase 3 Escaneo de vulnerabilidades Es importante anotar que no se muestran los resultados detallados del caso de estudio para proteger la integridad de la red de datos evaluada A continuaci n un resumen de los resultados obtenidos con esta fase de la metodolog a 1 El 83 33 de los servidores present vulnerabilidades cr ticas requieren atenci n inmediata ya que son f ciles de aprovechar por parte de los atacantes para obtener control total sobre el sistema y severas son m s dif ciles de explotar que las anteriores y no proveen el mismo nivel de acceso 2 En el 100 de los servidores se encontraron vulnerabilidades moderada proveen informaci n a los atacantes para la ejecuci n de posteriores ataques Su reparaci n no es tan urgente como en los casos anteriores 3 Se logr establecer una categorizaci n de las vu
7. alen NeXpose tambi n util para plataformas de escritorio acunetix w3af entre otros Algunos de estos proyectos han sido examinados en trabajos de investigaci n Bau et al 2010 donde se evaluaron ocho diferentes escaneres de vulnerabilidades de aplicaciones web con el fin de determinar su efectividad en la detecci n de stas Adem s otro trabajo Shi et al 2010 realiz la evaluaci n de diferentes herramientas de seguridad a la vez que se compararon las habilidades de las mismas Por otro lado otros trabajos Hadavi et al 2008 Qualys 2009 Mell et al 2007 Huan et al 2010 Yun hua y Pei 2010 Harada et al 2010 Jensen et al 2008 Wren et al 2010 Al Fedaghi 2010 Kuhn y Johnson 2010 Garc a y V zquez 2005 buscan aportar al avance de la investigaci n relacionada con las vulnerabilidades en seguridad inform tica Pese a los trabajos que han sido realizados el problema que surge de la presencia de vulnerabilidades en redes de datos sigue causando grandes p rdidas a organizaciones e individuos en la actualidad por esto se han desarrollado diferentes metodolog as para la detecci n de dichas vulnerabilidades Watanabe et al 2010 En este art culo se presenta una metodolog a para la detecci n de vulnerabilidades en redes de datos de f cil uso y soportado integralmente en herramientas software dicha metodolog a presenta un enfoque pr ctico y conceptual para la detecci n y erradicaci n de vulnerabilidades
8. ations 295 299 2010 Jensen M Gruschka N y Luttenberger N The impact of flooding attacks on network based services in Proceedings of the The Third International Conference on Availability Reliability and Security ARES 2008 IEEE Computer Society 509 513 Barcelona Espa a Marzo 2008 Kuhn Rick y JohnsonChris Vulnerability Trends Measuring Progress IT Professional 51 53 Julio 2010 Mell P Scarfone K y Romanosky S A Complete Guide to the Common Vulnerability Scoring System Version 2 0 Junio 2007 National Institut of Standards and Tecnology National Vulnerability Database 2011 http nvd nist gov Acceso 22 de Noviembre 2011 Pfleeger S Ciszek T Choosing a Security Option The InfoSecure Methodology IT Professional volumen 10 numero 5 46 52 2008 QUALYS The Top Cyber Security Risks Two risks dwarf all others but organizations fail to mitigate them Septiembre 2009 Romero B Haddad H y Molero J A Methodological Tool for Asset Identification in Web Applications Security Risk Assessment 2009 Fourth International Conference on Software Engineering Advances 413 418 2009 Ruiz J Ponce l D az O Zavala J Zarate J y Fuentes A MISMA An Approach to Mexican Information Security Methodology and Architecture for PYMES conielecomp 2009 International Conference on Electrical Communications and Computers 65 68 2009 ShiH Chen B y YuL Analysis of Web Security Comprehe
9. de todos los servicios y puertos activos de cada uno de los equipos encontrados como cr ticos para la red objetivo El n mero total de vulnerabilidades evaluadas puede ascender hasta el total registrado en el repositorio de vulnerabilidades de los Estados Unidos base de datos nacional de vulnerabilidades NVD por sus siglas en ingl s la cual desde 2002 re ne la informaci n de todas las vulnerabilidades reportadas en el momento de escribir este art culo el n mero ascend a a 48620 y se mantiene en actualizaci n diaria con una tasa media de 10 vulnerabilidades nuevas Informaci n Tecnol gica Vol 23 N 3 2012 115 Metodolog a para la Detecci n de Vulnerabilidades en Redes de Datos Franco diariamente NIST 2011 El hecho de que se pueda evaluar hasta la totalidad de las vulnerabilidades reportadas en la NVD es posible debido a que la herramienta sugerida para llevar a cabo esta fase de la metodolog a utiliza dicha base de datos para realizar la b squeda de vulnerabilidades esto adem s permite que se puedan evaluar la mayor a de los servicios que se ejecutan en un equipo de c mputo Se sugiere utilizar la versi n 4r2 de la distribuci n de Linux BackTrack que fue el sistema operativo que se utiliz al momento de implementar la metodolog a propuesta esta distribuci n contiene pre instaladas la mayor a de las herramientas que la soportan Adicionalmente las gu as expuestas a continuaci n se realizan teniendo en cuenta e
10. e mediante las cuales se busca obtener las vulnerabilidades en los equipos de red tanto cableada como inal mbrica y servidores en las redes de datos objeto de estudio en adelante red objetivo Esta metodolog a se diferencia de otras en la medida en que se soporta cada etapa en herramientas software Por lo que en cada fase se puntualizan las acciones que se deben realizar y c mo se deben llevar a cabo a trav s de las herramientas apropiadas El esquema de la metodolog a para detecci n de vulnerabilidades en redes de datos se presenta en la figura 1 Como puede verse en esta figura la metodolog a propuesta consta de tres fases las cuales se detallan a continuaci n Objetivo ampliar informaci n sobre la red objetivo E d rt Subtases scaneo de pue ri y Busqueda de dominios AEN OS N inversa servicios Objetivo detectar las vulnerabilidades presentes en cada uno delos equipos objetivo Busqueda de dominios de nivel superior Busqueda de dominios mediante fuerza bruta Transferencias de zona Descubrimiento de topolog a de red Objetivo La detecci n de los puertos y servicios que se ejecutan en los equipos que pertenecen a un rango de red especifico Escaneo de vulnerabilidades Reconocimiento Fig 1 Esquema de la metodolog a para la detecci n de vulnerabilidades en redes de datos La figura anterior muestra cada una de las fases que deben
11. juega dentro de la red objetivo as como tambi n la naturaleza de los mismos servidores enrutadores equipos inal mbricos o nodos terminales Adicionalmente la informaci n obtenida de la fase anterior tambi n es til para realizar una evaluaci n indiscriminada de todos los segmentos de red de una organizaci n objeto de an lisis La herramienta que brinda soporte a esta etapa es NMAP Es importante indicar que en esta fase no se pretende encontrar vulnerabilidad alguna sino determinar los equipos cr ticos de la red objetivo a los cuales se les aplicar el procedimiento que se describe en la fase de la siguiente secci n Fase Ill Escaneo de vulnerabilidades La fase anterior proporciona una lista de equipos que se consideran cr ticos o sensibles para la red objetivo este subconjunto de equipos fue obtenido de un conjunto m s grande el conjunto de todos los equipos que la red objetivo tiene con presencia en internet mediante la ejecuci n de la primera fase de la metodolog a Los equipos que se encontraron como cr ticos son los que finalmente se someter n a evaluaci n en esta ltima fase en la que se procede a la utilizaci n de un esc ner de vulnerabilidades Este tiene como objetivo detectar los potenciales riesgos al que est n expuestos los equipos seleccionados debido a que estos juegan el rol m s cr tico para la red objetivo Para esta etapa se recomienda el uso del esc ner de vulnerabilidades NeXpose una vez descargado
12. llevarse a cabo La primera fase consiste en obtener tanta informaci n como sea posible de la red objetivo para esto se realizan implementan t cnicas que se basan en diferentes tipos de consultas a servidores DNS y t cnicas que se basan en el an lisis de los mensajes de enrutamiento Se resalta que esta fase no busca obtener vulnerabilidad alguna lo que se pretende con ella es obtener una lista lo m s amplia posible sobre los equipos con presencia en internet de la red objetivo Dicha lista de equipos de red es utilizada en la segunda fase llamada escaneo de puertos y enumeraci n de servicios en esta fase se eval an los equipos obtenidos para determinar los puertos y servicios que est n activos en cada uno de ellos Dependiendo del tipo de puerto y servicio que este activo en cada equipo se puede inferir el rol que este juega dentro de la organizaci n Nuevamente se anota que en esta fase no se pretende encontrar vulnerabilidad alguna sino determinar los equipos cr ticos de la red objetivo a los cuales se les aplicar el escaneo de vulnerabilidades que constituye la fase final de esta metodolog a Una vez obtenida la lista de los equipos de la red objetivo con presencia en internet y habiendo determinado cu les de ellos juegan un rol cr tico para la red se procede con la fase final de la metodolog a propuesta La cual evaluar a los equipos cr ticos en busca de vulnerabilidades Es en esta ltima fase en la que se realiza la evaluaci n
13. lnerabilidades encontradas con relaci n a los servicios afectados por las mismas por ejemplo en el servidor A se detectaron x vulnerabilidades de las cuales el y afectan el servicio http el 2 afectan el servicio ftp entre otros 4 Se obtuvo soluci n para cada una de las vulnerabilidades encontradas Los resultados presentados arriba permitieron categorizar las vulnerabilidades encontradas establecer el nivel de riesgo de cada una de ellas y brindar soluciones a las mismas Lo cual demuestra que la metodolog a propuesta es de gran utilidad para la detecci n de vulnerabilidades en redes de datos CONCLUSIONES Este art culo present el desarrollo de una metodolog a para la detecci n de vulnerabilidades en redes datos Dicha metodolog a se utiliz para la detecci n de vulnerabilidades al interior de la red de datos de la Universidad de Cartagena proporcionando como resultado el hallazgo de diferentes problemas de seguridad Bas ndose en los resultados obtenidos se concluye que la metodolog a propuesta 1 Ayuda a encontrar de manera satisfactoria vulnerabilidades cr ticas severas y moderadas en servidores que conforman redes de datos 2 Permite la categorizaci n de las vulnerabilidades encontradas clasific ndolas de acuerdo a los servicios afectados 3 Es de gran utilidad teniendo un gran impacto en las organizaciones que deseen implementarla y 4 De gran funcionalidad para hallar soluciones a estas vu
14. lnerabilidades por su f cil implementaci n REFERENCIAS Al Fedaghi Sabah System based Approach to Software Vulnerability socialcom IEEE Second International Conference on Social Computing 2010 1072 1079 2010 Bau J Bursztein E Gupta D Mitchell J State of the Art Automated Black Box Web Application Vulnerability Testing 2010 IEEE Symposium on Security and Privacy 332 345 2010 GARCIA M E y VAZQUEZ R Arquitectura de un Billete Electr nico An nimo Medios Electr nicos de Pagos Inf tecnol ISSN 0718 0764 en l nea 16 3 71 80 2005 http www scielo cl scielo php script sci_arttext8pid S0718 076420050003000108Ing es nrm iso Acceso 22 de Noviembre 2011 118 Informaci n Tecnol gica Vol 23 N 3 2012 Metodolog a para la Detecci n de Vulnerabilidades en Redes de Datos Franco Hadavi M A Sangchi H M Hamishagi V S y Shirazi H Software Security A Vulnerability Activity Revisit 2008 Third International Conference on Availability Reliability and Security 866 872 Marzo 2008 Harada Toshiki Kanaoka Akira Okamoto Eiji y Kato Masahiko Identifying Potentially Impacted Area by Vulnerabilities in Networked Systems Using CVSS 2010 10th IEEE IPSJ International Symposium on Applications and the Internet 367 370 2010 Huang Shuguang Tang Heping Zhang Min y Tian Jie Text Clustering on National Vulnerability Database 2010 Second International Conference on Computer Engineering and Applic
15. nsive Evaluation Tools 2010 Second International Conference on Networks Security Wireless Communications and Trusted Computing 285 289 2010 Watanabe Takanobu Cheng Zixue Kansen Mizuo y Hisada Masayuki A New Security Testing Method for Detecting Flash Vulnerabilities by Generating Test Patterns 2010 13th International Conference on Network Based Information Systems 469 474 2010 Wren Chris Reilly Denis y Berry Tom Footprinting A Methodology for Auditing eSystem Vulnerabilities 2010 Developments in E systems Engineering 263 267 2010 Xinlan Zhang Zhifang Huang Guangfu Wei y Zhang Xin Information Security Risk Assessment Methodology Research Group Decision Making and Analytic Hierarchy Process 2010 Second WRI World Congress on Software Engineering wcse volumen 2 157 160 2010 Yun hua Gu y PeiLi Design and Research on Vulnerability Database 2010 Third International Conference on Information and Computing 209 212 2010 Informaci n Tecnol gica Vol 23 N 3 2012 119 Metodolog a para la Detecci n de Vulnerabilidades en Redes de Datos Franco 120 Informaci n Tecnol gica Vol 23 N 3 2012
16. rabajo Ruiz et al 2009 se propone una metodolog a de cinco pasos para ayudar a disminuir los problemas de seguridad en las peque as y medianas empresas mexicanas no obstante dicha metodolog a no proporciona mecanismos concretos para la detecci n de vulnerabilidades y limita su alcance a cierto tipo de organizaciones de un pa s concreto mientras que la metodolog a que se propone en el presente art culo puede ser aplicada a cualquier tipo de organizaci n con independencia del pa s en el que se encuentre Debido a que los trabajos citados anteriormente carecen ya sea de mecanismos para la detecci n del riesgo de los activos de una organizaci n de herramientas que permitan encontrar vulnerabilidades o presentan un enfoque que impide su uso en organizaciones de distintos niveles de complejidad existe la necesidad de metodolog as que tengan en cuenta estos aspectos por lo anterior en el presente art culo se propone una metodolog a para la detecci n de vulnerabilidades en redes de datos equipada con los elementos necesarios para atender los requisitos planteados anteriormente 114 Informaci n Tecnol gica Vol 23 N 3 2012 Metodolog a para la Detecci n de Vulnerabilidades en Redes de Datos Franco METODOLOG A PARA LA DETECCI N DE VULNERABILIDADES EN REDES DE DATOS La metodolog a para la detecci n de vulnerabilidades en redes de datos que se propone en este art culo consta de tres fases soportadas por herramientas de softwar
17. sta distribuci n Fase I Reconocimiento recolecci n de informaci n Esta fase tiene como objetivo obtener y ampliar informaci n sobre la red objetivo a partir de su nombre de dominio Principalmente se pretende ampliar el n mero de equipos de c mputo en adelante equipos que se evaluar n posteriormente Para ello se realizar lo siguiente b squeda de nombres de dominio a partir de direcciones IP b squeda de dominios de nivel superior b squeda de dominios mediante fuerza bruta transferencias de zona descubrimiento de topolog a de red Cabe resaltar que en esta fase no se busca encontrar ninguna vulnerabilidad en absoluto lo que se pretende es obtener la mayor cantidad posible de equipos que la red objetivo tiene con presencia en internet B squeda de dominios inversa El objetivo de esta sub fase es encontrar nombres de dominios relacionados con el dominio objetivo y que se encuentren en el mismo segmento de red es decir una vez determinada la direcci n IP del dominio objetivo esta direcci n puede obtenerse mediante el comando ping se buscar en el segmento IP 24 aquellos nombres de dominio que tengan relaci n con el dominio principal Esta b squeda es soportada por la herramienta dnsrecon ubicado en BT 4 R2 bajo la ruta pentest enumeration dnsrecon Con lo anterior se suman equipos potenciales para posterior evaluaci n La ejecuci n de esta herramienta suministrar todos los dominios registrados a las direcciones I
18. te de esta etapa es la herramienta dnsenum Descubrimiento de topolog a de red En algunos casos la evaluaci n de seguridad se realiza desde el interior de la red objetivo en dichas situaciones es posible determinar la topolog a completa de la red mediante la escucha pasiva realizada con un sniffer Esto permitir capturar la informaci n del protocolo de enrutamiento concerniente a las subredes que conforman la topolog a Se resalta que esta t cnica es posible debido a la mala configuraci n de los administradores de redes de sus equipos activos puesto que la mayor a de estos ltimos tienen 116 Informaci n Tecnol gica Vol 23 N 3 2012 Metodolog a para la Detecci n de Vulnerabilidades en Redes de Datos Franco funciones para evitar la propagaci n de mensajes de enrutamiento a nodos terminales Luego el funcionamiento de esta subetapa deja en evidencia una d bil administraci n de la red Para soportar esta t cnica se utiliza la herramienta wireshark mediante la iniciaci n de su funci n para escuchar pasivamente a trav s de una interfaz de red espec fica Fase II Escaneo de puertos y enumeraci n de servicios De la ejecuci n de la fase anterior se obtiene una lista de todos los equipos que la red objetivo tiene con presencia en internet En la fase actual se examinar n los puertos y servicios de cada uno de estos equipos y con base en el tipo de servicios que ofrecen se realizar inferencia sobre el papel que cada uno
Download Pdf Manuals
Related Search