Aplicacion de seguridadja sistemas.y redes Introduccion Mecanismos de seguridad En esta lectura nos introducimos a describir detalladamente casos particulares de herramientas de analisis de vulnerabilidades, como Nmap, una herramienta de cédigo abierto para escaneo de puertos y auditorias de seguridad, y Nessus, otra herramienta enfocada en la deteccién de vulnerabilidades en maquinas escaneadas. Ademas, se analizaran propiedades y fiabilidad de las aplicaciones de andlisis de c6digo fuente estatico (SSCA). Se destaca la importancia de abordar las vulnerabilidades de seguridad en software, incluyendo sistemas operativos, aplicaciones y protocolos, debido a la aparicién constante de nuevos virus y ataques. Se enfatiza en la necesidad de una politica de seguridad integral que contemple el andlisis periédico de vulnerabilidades, especialmente en equipos més propensos a ataques. Los analizadores de vulnerabilidades son herramientas clave, ya que buscan automaticamente debilidades en aplicaciones y sistemas, proporcionando un informe para que los administradores 0 desarrolladores tomen acciones correctivas. Estos programas estan experimentando un gran auge y en los ultimos afios han proliferado en entornos muy diferentes. Asi, hay diferentes tipos: + Los que buscan vulnerabilidades en aplicaciones y/o sistemas en tiempo real, en situaciones de uso real. Los hay mas especializados en tipos de aplicaciones (por ejemplo, los que se dedican a aplicaciones web) 0 en sistemas y software de comunicaciones. Todos ellos usan un cierto «motor de busqueda» y una lista de vulnerabilidades conocidas. Esta lista, ademés, crece con el tiempo, de acuerdo con la situacién real del momento. Figura 1: Las fases de desarrollo del proceso de seguridadeee Fuente: elaboracién propia, + Los analizadores de cédigo fuente estatico (SSCA), que buscan vulnerabilidades en el cédigo de aplicaciones y sistemas, independientemente de su estado de uso. Estos programas, en constante actualizacién, utilizan algoritmos variados relacionados con el lenguaje de programacién y el conocimiento de vulnerabilidades comunes para detectar debilidades en el cédigo. Se sugiere incrementar el uso de SSCA para integrar la seguridad en el ciclo de disefio y desarrollo del software (Orueta, Alzérriz_ Armendariz, Saneristébal_ Ruiz, Castro Gil, 2044, https://bit.ly/3LMqMce) Es necesaria la supervisién de un experto en seguridad al usar aplicaciones analizadoras de vulnerabilidades, debido a su complejidad. Es importante comprender ciertas definiciones comunes en este contexto: + Falso pos serlo. + Falso negativ + Verdadero positivo: una vulnerabilidad real detectada correctamente. : una supuesta vulnerabilidad detectada que, tras andlisis, resulta no na vulnerabilidad real que el analizador no logra detectar. Otra cualidad determinante es si son analizadores de sistemas centrados en el equipo concreto, 0 analizadores que, aunque instalados en un equipo y pudiendo buscar problemas en tal equipo, puedan buscar vulnerabilidades por la red, simulando muchos de los tipos de ataques que pueden tener lugar. Entre los propios de sistemas hay algunos muy extendidos, como el Tripwire para sistemas Linux y UNIX, que calcula firmas digitales de los ejecutables y ficheros de configuracién de un sistema y los compara regularmente, para comprobar si alguno se ha alterado. Para utilizarlos correctamente hay que considerar también los siguientes puntos:Ejecutarlos frecuentemente. Tener en cuenta el impacto en el trafico de la red. Tener en cuenta el impacto de algunos test. Informar al personal responsable, (Orueta, Alzérriz Armendariz, Sancristébal Ruiz, Castro Gil, 2014, https://bit.ly/3LMqMce) 1. La herramienta NMAP Nmap (Network Mapper) es una herramienta de cédigo abierto para escaneo de puertos y auditorias de seguridad. Permite detectar hosts activos en una red, identificar sus sistemas operativos, cortafuegos y filtros de paquetes, entre otros. Nmap es compatible con multiples sistemas, como Linux, Windows y Mac OS X. Aunque comenzé como una herramienta de linea de comandos, ahora también ofrece una interfaz grafica, Zenmap, que facilita su uso. Otras caracteristicas destacables de Nmap son + Flexibilidad: permite mapear redes con diversas técnicas, incluso cuando estén protegidas por cortafuegos 0 filtros de paquetes, incluyendo escaneo de puertos e identificacién de sistemas operatives, versiones, etc. * Potencia: ha sido utilizado en redes con cientos de miles de hosts conectados. + Documentacién: cuenta con amplia documentacién en varios idiomas, accesible desde http://nmap.orgidocs.html. (Orueta, Alzérriz Armendariz, Sancristébal Ruiz, Castro Gil, 2014, https://bit.ly/3LMqMce) Instala y.uso de Nmap Nmap se puede descargar en http:/nmap.org/download.html, donde se encuentra el cédigo fuente y los instaladores para diversas plataformas. Zenmap, su interfaz gréfica, facilita la configuracién del escaneo en diferentes sistemas, como Windows. Para realizar un escaneo, se debe ingresar la direccién IP o el dominio de! host que se desea analizar. Figura 2: Interfaz grafico de Nmap oe i bot te roe sie ac come ms Ta. Hi iY) [mc [srs rt at] sre Fuente: captura de pantalla de Nmap, http: nmap.org/download.himlSi se desea escanear un sector de la red bastard con indicar en «target la direccién de la red y la mascara con la que se define el rango de direcciones que se desea escanear. La figura muestra cémo especificar una biisqueda en todas las maquinas de una clase C. (Orueta, Alzérriz Armendariz, Sancristébal Ruiz, Castro Gil, 2014, https://bit ly/3LMqMce) Figura 3: Ejemplo de seleccién de target por rango de direcciones IP Sop_Toie_petle_beb rem: [12 16 0.07 emma [oan-14- 9216810004 Cees) [ree or rtsrt tole) os time 8 Fb Fuente: captura de pantalla de Nmap, hitp:/nmap.orgidownload. html El siguiente paso consiste en elegir el tipo de escaneo que queremos lanzar. Para ello podemos escribir a mano el comando Nmap que queremos lanzar, el cual podemos escribir en la seccién «Command», 0 podemos elegir entre los distintos perfiles de escaneo pre configurados en Zenmap, tal como se ve en la figura. (Orueta, Alzérriz Armendariz, Sancristébal Ruiz, Castro Gil, 2014, https://bit.ly/3LMqMce) Figura 4: Perfiles de escaneo pre configurados en Zenmap San Tsk Bale ta Tem: [re wasn 9] rte: [coe came [rave ae rower = er ang Cees sere) mses tt reese 1s rosa sce exons ssiote epics a Fuente: captura de pantalla de Nmap, hitp:fnmap.orgidownload.ntml Al seleccionar el tipo de escaneo en Nmap, es importante considerar que perfiles mas intensos envian més peticiones a los hosts objetivo, Jo que aumenta la probabilidad de ser detectado por herramientas de seguridad. Para conocer maquinas conectadas a un sector de red, se recomienda usar un "Ping Sean" 0 "Quick Scan" Para un examen exhaustivo de seguridad, se puede optar por una opcién de escaneo intenso.Figura 5: Ejemplo de «Ping Scan» lanzado para detectar las maquinas activas en un sector de red Sen lo Bote ie gt 923 074 ©) rete (beers comm ora Hv aeaBOH een as iP (Eee J [resents cman 05 4 te * eee er 8 J Pegs as caneh utara apde ean Fuente: captura de pantalla de Nmap, hitp:/nmap.orgidownload.html Nmap muestra los resultados del escaneo a medida que se obtienen, y la cantidad de informacién variara segiin el tipo de escaneo. Por ejemplo, en la figura 10.6 se muestra la pantalla de resultados de un "Ping Scan" en la red 192.168.10.0/24, donde se han detectado dos maquinas activas. Este escaneo proporciona poca informacién adicional, pero incluye la lista de host activos y la topologia de red detectada. Figura 6: Representacién de la topologia de red detectada (Dees) ima ts] roses en rok] sxe) (eeeeeriineeetone (are aes Fuente: captura de pantalla de Nmap, hitp:/nmap.orgidownlaad. him En este caso, se obtiene informacién limitada al detectar maquinas activas en la red, este es un paso previo comtin en ataques de obtencién de informacién. Tras esto, se puede realizar un escaneo intenso en una maquina especifica (ej. 192.168.10.100). Figura 7: Resultados de un «Intense Scan» contra la maquina 192.168.10.100Fuente: captura de pantalla de Nmap, hitp:/nmap.orgidownload. him Zenmap organiza y muestra la informacién de Nmap de forma ordenada, indicando los puertos abiertos, servicios y versiones de software detectadas. En el ejemplo, se identificaron tres puertos abiertos y los servicios, programas y versiones correspondientes. Figura 8: Servicios detectados en el «Intense Scan» a la maquina 192.168.10.100 | Fret: [192.108 10.100 Prt: | ene con 2 be) © cman [oma ear 110.00 w aos > sm2168s0100 Fuente: captura de pantalla de Nmap, hitp:fnmap.orgidownload.html En la pestafia «Host Details», se muestran los detalles obtenidos sobre el host escaneado. Zenmap habra tratado de detectar el sistema operativo y su versién, el estado del host, sus direcciones IP, su direccién MAC, la secuencia de paquetes TCP, etc. Figura 9: Datos obtenidos de 192.168.10.100 en el «intense Scan»a meee reel te em el Fue captura de pantala de Nmap, hitsomap.orldownload him Otra de las funcionalidades de la versién Zenmap es la de guardar los resultados obtenidos. Posteriormente estos resultados podrén ser comparados con escaneos posteriores a través de otra herramienta proporcionada por Zenmap. Figura 10: Opcién de ment para lanzar la herramienta de comparacién de escaneos Fuente: captura de pantalla de Nmap, hitp:fnmap.orgidownload. him Gracias a dicha herramienta podremos comparar de forma automatica las diferencias entre dos escaneos diferentes al mismo host, como se aprecia. Figura 11: Resultados obtenidos por la herramienta de comparacién de resultadosrere anon 6168101019) [Ben] [rrasanen eee. 9) (en) B xmeun Sano Fuente: captura de pantalla de Nmap, hitp:fnmap.orgidownload. html 2. La herramienta NESSUS Nessus es una herramienta comercial de andlisis de vulnerabilidades desarrollada por Tenable Network Security, que ayuda a detectar posibles vulnerabilidades en maquinas escaneadas. Es uno de los analizadores de vulnerabilidades mas populares y utiliza la tecnologia "Nessus Professional-Feed", mantenida por un equipo experto en investigacién de vulnerabilidades. Tenable busca constantemente nuevas vulnerabilidades, y cuando se encuentra una, crea un plugin para Nessus, lo prueba y lo pone a disposicién para su descarga, permitiendo que Nessus realice chequeos de red y host siempre actualizados. Los suscriptores de "Nessus Professional-Feed” pueden utilizar el contenido desarrollado por Tenable para realizar auditorias de configuracién en sistemas UNIX, Windows y bases de datos SQL. Estas auditorias se realizan segiin politicas personalizadas, configuraciones de sistemas activos y politicas basadas en organismos especializados como NIST, CERT, SANS 0 vendedores como Microsoft y Red Hat. Al momento de la publicacién, las actualizaciones son diarias, cubriendo mas de 50,000 vulnerabilidades Las caracteristicas mas significativas de Nessus son: + Analisis en profundidad. + Auditoria de dispositivos méviles. + Auditoria antivirus, de botnets y procesos maliciosos. « Integracién de gestién de parches de seguridad. (Orueta, Alzérriz Armendariz, Sancristébal Ruiz, Castro Gil, 2014, https://bit.ly/3LMqMce) Instalacién y uso de Nessus Nessus es una herramienta de andlisis de vulnerabilidades que funciona con una estructura cliente-servidor. Est4 disponible para sistemas operativos como Linux, Windows, Mac OS X, Solaris y también tiene versiones para dispositivos méviles iOS y Android, Para utilizar Nessus, primero se debe instalar el programa servidor, que puededescargarse desde el sitio web oficial de Tenable. La instalacién es sencilla y automatizada, Una vez instalado, Nessus se iniciaré como un servicio y estar listo para ser accedido a través del programa cliente. Figura 12: Pantalla inicial del cliente Nessus Fuente: captura de pantalla de Nessus, hiipslip_servidor_nessus:8834, En las versiones mas recientes de Nessus, el cliente es un cliente web. Para conectar con el mismo, simplemente hay que acceder. a la__ siguiente. URL: https://ip_servidor_nessus:8834. La primera vez que se accede al servidor Nessus desde el cliente web, es necesario realizar la configuracién inicial de la aplicacién. Esto incluye la creacién de una cuenta de administrador y el registro de un proveedor de plugins. Los plugins permiten al servidor Nessus llevar a cabo los escaneos de vulnerabilidades. Figura 13: Configuracién de la cuenta del administrador Init Account Setup Fuente: captura de pantalla de Nessus, hitp:sip_servidor_nessus:8834, Al configurar Nessus, se solicita un cédigo de activacién para un proveedor de plugins. ‘Aunque Nessus es una herramienta comercial, ofrece una opcién gratuita llamada "Home Feed" para usuarios individuales sin fines de lucro, que se puede obtener en http://www.tenable,com/products/nessus/nessushomefeed. Tras completar el formulario de registro, se recibe el cédigo de activacién en el correo electrénico proporcionade. Este cédigo debe ingresarse en el cliente Nessus para activarlo Figura 14: Introduccién del cédigo de registroFuente: captra de pantala de Nessus, hpst/p_servdor_nessus:6834. Después de la activacién, Nessus descargaré los plugins disponibles para el feed registrado. Una vez descargados, se inicializard el servidor Nessus y se mostraré la interfaz principal, como se ve en la figura. Esta pantalla sera la que aparezca cada vez que se inicie el cliente Nessus, ya que la inicializacién se realiza solo la primera vez que se arranca el cliente Figura 15: Pantalla de login del cliente Nessus Fuente: captura de pantalla de Nessus, https:ip_servidor_nessus:8834, En la pantalla inicial del cliente Nessus, se pueden ver resultados de escaneos anteriores © definir nuevos. Para lanzar un nuevo escaneo, se debe seleccionar "Add" y en la siguiente ventana, definir el objetivo (direccién IP, dominio 0 rango de direcciones IP). Figura 16: Creacién de un nuevo escaneoFuente: captura de pantalla de Nassus,hitps:/ip_servidor_nessus:8834, Luego, se debe indicar el tipo de andlisis a realizar, que puede ser un escaneo interno o externo, segiin si la maquina objetivo se encuentra en la misma red o a través de Internet. (Orueta, Alzérriz Armendariz, Sancristébal Ruiz, Castro Gil, 2014, https:/bit.ly/3LMqMce) El escaneo en Nessus prueba el host especificado con todos los plugins predeterminados para cada caso, Si se desea, se pueden agregar politicas de escaneo personalizadas en la seccién "Policies" Para cada nueva politica, se deben definir caracteristicas relevantes: + Nombre de la politica. + Puertos a escanear. + Tipo de escaneo de puertos a realizar. + Numero de conexiones paralelas. + Credenciales para un escaneo mas en profundidad de determinados servicios. * Definicién de las plug-ins que se van a utilizar en el andlisis de vulnerabilidades que se esta definiendo + En la ultima pantalla de configuracién se podran definir una serie de preferencias que van a permitir ajustar tanto la forma de realizar el andlisis como el detalle del mismo. Al usar una politica de escaneo, estandar 0 personalizada, se debe seleccionar el objetivo y la politica, decidir si el escaneo se realizara de inmediato o de forma programada y luego iniciar el proceso con "Launch Scan’, El escaneo en curso aparecerd en la lista de escaneos y mostrara su estado. Una vez finalizado, se movera a la lista de “reports”, donde se mostraran los resultados de todos los escaneos realizados hasta el momento. Para examinar los resultados de un escaneo, seleccione el reporte deseado y presione “Browse”. La primera pantalla mostrara un resumen de las vulnerabilidades encontradas, agrupadas por su nivel de riesgo.Figura 17: Resumen de vulnerabilidades encontradas por nivel de riesgo Fuente: captura de pantalla de Nessus, https/ip_servidor_nessus:8834, Al hacer clic en una entrada, se accede a los detalles, donde las vulnerabilidades encontradas se agrupan por nivel de riesgo y también por el puerto en el que se detectaron. jura 18: Resumen de vulnerabilidades encontradas por nivel de riesgo y puerto eiseese sEUHLETOaey] Fuente: captra de pantala de Nessus, hpst/p_servdor_nessus:6834, Y pulsando en un determinado puerto se ve una lista detallada de las plugins que han detectado vulnerabilidades en dicho puerto, como se puede ver en la figura Figura 19: Detalle de las vulnerabilidades encontradas en un puerto Fuente: captura de pantalla de Nessus, hitp/ip_servidor_neseus:8834, Finalmente, pulsando sobre cada una de las vulnerabilidades se mostrard informacién detallada sobre la misma. En dicha informacién se da una explicacién detallada sobre la vulnerabilidad encontrada e incluso se proporciona informacién sobre cémo corregirla. jura 20: Detalle de vulnerabi lidad encontradaFuente: captura de pantalla de Nessus, hitpssip_servidor_nessus:8834, Herramientas de andlisis de vulnerabilidades en cédigo fuente La importancia de utilizar diversas estrategias y herramientas para garantizar la fiabilidad del software antes de su lanzamiento. Se menciona que los analizadores de vulnerabilidades en cédigo fuente (SSCA) son una herramienta util para examinar el cédigo heredado y también para utilizarla en el ciclo de desarrollo de software. Se destaca que el andlisis estatico de cédigo fuente es una técnica de deteccién de errores que no requiere la ejecucién del programa. Las herramientas de andlisis estatico de seguridad de cédigo fuente se estén utilizando cada vez més y se incluyen en muchas estrategias de desarrollo de software. Se describe un esquema sencillo para su uso y se destaca que estas herramientas estén disefiadas para detectar vulnerabilidades de seguridad que, si no se abordan, pueden convertirse en agujeros de seguridad explotables una vez que el programa esté disponible y en uso. Figura 21: Proceso de revisién del software para desarrollo de cédigo.Fue aboracién propia, Caracteristicas generales de las herramientas SSCA Cualquiera de estas herramientas sigue el mismo proceso cuando se aplica a una pieza de cédigo fuente: 1. El cédigo a analizar se transforma en un «modelo», un conjunto de estructuras de datos, que representan el cédigo. 2. Se analiza este «modelo», siguiendo una serie de reglas variadas y/o propiedades concretas de eédigo. 3. Se muestran los resultados En el primer paso, el cédigo se transforma utilizando una combinacién de técnicas de anilisis Iéxico y seméntico y de parsing. Luego se realiza un andlisis intra-procedimiento (local) y andlisis inter-procedimiento (global) para detectar posibles vulnerabilidades. Estas reglas pueden variar dependiendo de la herramienta seleccionada, y las herramientas comerciales pueden proporcionar menos informacién que las herramientas de cédigo abierto. Finalmente, los resultados se presentan en términos de las posibles vulnerabilidades encontradas y su nivel de severidad Tipos de herramientas SSCA Pueden clasificarse teniendo en cuenta los lenguajes que entienden o también las clases de vulnerabilidades que son capaces de buscar. Otro posible criterio es la longitud del cédigo que es capaz de analizar, ya que sélo algunas permiten analizar correctamente piezas de cédigo de cientos de miles, o incluso millones, de lineas de cédigo. La clasificacién mas usada es la del libro de referencia de Chess y West. Esta taxonomia hace referencia al propésito general de cada herramienta y diferencia entre:De chequeo de estilos. De chequeo de propiedades, De tipo «bug finding». De tipo «security review», éQué herramienta seleccionar? Existen mas de 40 herramientas de andlisis de seguridad de cédigo fuente (SSCA) disponibles, tanto de cédigo abierto como comerciales, pero ninguna ha alcanzado un nivel de seguridad suficiente para garantizar al 100% la deteccién de vulnerabilidades Aunque las herramientas mas caras y sofisticadas no pueden detectar el 100% de las vulnerabilidades, se ha observado que algunas herramientas pueden detectar cierto tipo de vulnerabilidades con facilidad, mientras que otras detectan grupos diferentes. Por lo tanto, se recomienda utilizar varias herramientas o ser especialmente cuidadoso con los resultados obtenidos mediante su uso. (Orueta, Alz6rriz Armendériz, Sanoristébal Ruiz, Castro Gil, 2014, https://bit.ly/3LMqMce) Referencias Diaz Orueta, G., Alzérriz Armendariz, |., Sancristébal Ruiz, E. y Castro Gil, A. M. (2014). Procesos y herramientas para la seguridad de redes. Madrid: Universidad Nacional de Educacién a Distancia,