11 d’abril de 2022

PAC2 Seguretat en xarxes de computadors

Francisco García Caparrós

05.574 Seguretat en xarxes de computadors

Curs: 2022 – Semestre: feb.22 jul.22

Consultor: Francesc Sebé Feixas

 PAC2 Seguretat en xarxes de computadors
Alumne: Francisco García Caparrós

Control del document

DOCUMENT

Títol del document: PAC2 Seguretat en xarxes de computadors

Tipus de document: Prova d’avaluació continuada Nº: 2

Assignatura: 05.574 Seguretat en xarxes de computadors Aula: 1

Data 11/04/22 Pàgines: 17

REGISTRE DE CANVIS

Versió Data de modificació Motiu del canvi

1.0 11/04/2022 Creació

Seguretat en xarxes de computadors – PAC2 Hivern 2022 p2

Estudis d'Informàtica, Multimèdia i Telecomunicació
 PAC2 Seguretat en xarxes de computadors
Alumne: Francisco García Caparrós

Taula de continguts
1 Introducció ........................................................................................................................................4

2 Activitat 1 ..........................................................................................................................................5

3 Activitat 2 ........................................................................................................................................10

4 Activitat 3 ........................................................................................................................................13

5 Biblografia .......................................................................................................................................16

Seguretat en xarxes de computadors – PAC2 Hivern 2022 p3

Estudis d'Informàtica, Multimèdia i Telecomunicació
 PAC2 Seguretat en xarxes de computadors
Alumne: Francisco García Caparrós

1 Introducció
Aquest document conté les respostes de la segona prova d’avaluació continuada de l’assignatura
Seguretat en xarxes de computadors. Per a cada activitat s’indicaran les respostes en color blau sense
copiar l’enunciat original.

Seguretat en xarxes de computadors – PAC2 Hivern 2022 p4

Estudis d'Informàtica, Multimèdia i Telecomunicació
 PAC2 Seguretat en xarxes de computadors
Alumne: Francisco García Caparrós

2 Activitat 1
Cada apartat es respondrà per separat.
1) Es farà una descripció dels tres mecanismes.

Encaminadors amb filtratge de paquets

Un encaminador amb filtratge de paquets és un dispositiu de tallafoc ubicat entre la xarxa

externa i interna d’una organització amb el propòsit general d’encaminar el tràfic des de la xarxa
externa cap a la interna o viceversa. Aquest encaminament es realitza seguint unes regles de
filtratge que determinaran quins paquets s’han d’encaminar i quins no. Els encaminadors
treballen a nivell de xarxa, així que gestiona trànsit amb els protocols TPC, UDP i IP per poder
llegir la informació de les capçaleres i així aplicar les regles de filtratge.

Una organització que disposi d’aquests tipus de tallafoc ha de decidir quin tipus de política de
filtratge ha d’aplicar. Es pot fer una política de denegació per defecte, cosa que farà que
l’encaminador només deixi passar els paquets que compleixin els requeriments de les regles,
o una política d’acceptació per defecte, que s’encarregarà només de refusar aquells paquets
indicats a les regles. La primera opció és més segura, ja que només deixarà passar el tràfic que
és reconegut com a segur. Ara bé, a causa de la denegació total, es poden bloquejar serveis
legítims i la seva gestió és més costosa. Quant a la segona opció, és més fàcil de mantenir i
provocarà menys problemes amb el tràfic legítim. No obstant a això, és menys segura, ja que
pot haver-hi tràfic maliciós no definit a les regles que l’encaminador no reconegui.

Els encaminadors amb filtratge de paquets acostumen a ser solucions econòmiques d’instal·lar.
Si això li sumem que poden gestionar la majoria de polítiques de seguretat existent, fent que
aquest tipus de tallafoc sigui un bon mecanisme de prevenció. Per contra, alguns dispositius
que fan aquestes funcions poden tindre vulnerabilitats que els facin insegurs davant d’atacs. A
més, la implantació de moltes regles i la complexitat d’algunes d’elles, poden fer que la gestió i
la seguretat siguin difícils de mantenir.

Passarel·les a nivell d’aplicació

Una passarel·la a nivell d’aplicació és un sistema de tallafoc que pot estar ubicat entre la xarxa
externa i interna, encara que es pot ubicar a la mateixa xarxa interna i complementar-se amb
l’encaminador de paquets. Aquest tipus de serveis s’acostumen a conèixer com a servidors
intermediaris o proxy, i s’encarreguen de realitzar les connexions cap a l’exterior o des de
l’exterior amb els dispositius de la xarxa interna. Així mateix, també disposen d’una sèrie de
normes per permetre o denegar les connexions.

Quant al filtratge de les normes, aquest tipus de mecanismes treballen a nivell d’aplicació, cosa
que els hi permeten una anàlisi del tràfic a aquest nivell, el qual serà més efectiu respecte als
encaminadors de paquets. Tota aquesta gestió és transparent per l’usuari, encara que en xarxes
amb molta saturació es pot veure afectat el rendiment dels dispositius, i en conseqüència, el

Seguretat en xarxes de computadors – PAC2 Hivern 2022 p5

Estudis d'Informàtica, Multimèdia i Telecomunicació
 PAC2 Seguretat en xarxes de computadors
Alumne: Francisco García Caparrós

funcionament de la xarxa que perceben els usuaris. A més a més, a causa dels possibles
endarreriments en el procés d’autenticació entre la passarel·la i l’usuari, els servidors
intermediaris guarden una còpia de les dades ja transmeses per tornar-les a enviar en cas que
algun usuari les tornés a demanar.

Aquest tipus de sistemes solen ser complementats amb els encaminadors de paquets.
D’aquesta manera, s’augmenta la seguretat i es poden aplicar polítiques de seguretats en els
dos sistemes. És més, les passarel·les també poden filtrar connexions per adreça IP, iguals que
els encaminadors. Per altra banda, pel fet de poder filtrar els serveis de la capa d’aplicació, les
passarel·les també poden filtrar el funcionament aquests, permetent o denegant certes tasques.
Finalment, i com a desavantatge, en alguns casos la gestió de la connexió entre el client i el
servidor pot requerir passos addicionals per garantir la comunicació.
Passarel·les a nivell de circuit
Una passarel·la a nivell de circuit és semblant als dos sistemes indicats anteriorment. En primer
lloc, igual que l’encaminador, està ubicat entre la xarxa externa i interna. Així mateix,
s’encarrega de determinar quines connexions estan permeses, però no les filtra a nivell
d’aplicació, sinó de paquets. En segon lloc, cal establir una connexió prèvia per tal de transmetre
la informació, igual que es fa amb els servidors intermediaris. És a dir, no és com l’encaminador
de paquets, que un cop filtrat el tràfic, el deixa passar o no a la xarxa.
En definitiva, les passarel·les a nivell de circuit fan servir diverses funcions dels encaminadors
de filtratge de paquets i passarel·les a nivell d’aplicació que els fan treballar de forma més ràpida
i sense disminuir la seguretat.

2) Considerarem que la font d’informació d’aquest exercici és la que es troba en el següent article:
WAF: cortafuegos que evitan incendios en tu web: https://www.incibe.es/protege-tu-
empresa/blog/waf-cortafuegos-evitan-incendios-tu-web
Web Application Firewall (WAF)
Segons l’article, els sistemes anomenats Web Application Firewall (WAF) són sistemes de
tallafoc especialitzats en serveis web. Aquest tipus de sistemes s’encarreguen d’analitzar totes
les connexions que es fan cap a una plana web en concret per realitzar un filtratge posterior
segons les polítiques de seguretat configurades.

Els WAF poden estar ubicats en diferents punts on es troba l’entorn a protegir. Pot estar a la
mateixa xarxa on està el servei web, en el mateix servidor on es troba instal·lat el servei web, i
com a servei cloud. Mentre els dos primers acostumen a ser mantinguts per la pròpia
organització que gestiona el lloc web, l’últim és gestionat per tercers.

Pel que fa al funcionament, aquests tipus de tallafoc s’encarreguen d’analitzar de forma

bidireccional el tràfic que generat per l’usuari que visita la pàgina web i el servidor/s que allotgen
el servei web. Durant aquesta anàlisi, es poden aplicar normes per bloquejar molts atacs
identificats per l’OWASP, com per exemple, injecció de codi, pèrdua d’autenticació o exposició

Seguretat en xarxes de computadors – PAC2 Hivern 2022 p6

Estudis d'Informàtica, Multimèdia i Telecomunicació
 PAC2 Seguretat en xarxes de computadors
Alumne: Francisco García Caparrós

a dades sensibles. A banda d’aquests atacs destinats al lloc web, també poden oferir altres
serveis, com antivirus o protecció davant d’atacs DoS. Per últim, igual que en els encaminadors
de filtratge de paquets, els WAF tenen dos models de seguretat de base, el negatiu, que
bloqueja tot menys el que està definit a les regles, i el positiu, que ho permet tot menys el que
està definit a les regles.

En definitiva, aquests tipus de tallafoc estan orientats únicament a protegir serveis web. Ara bé,
comparteixen moltes funcionalitats amb els sistemes que s’han comentat en el primer exercici:

1. Es poden ubicar en diferents ubicacions de la xarxa. Entre la xarxa externa i interna com
els encaminadors, i dins de la mateixa xarxa, com les passarel·les d’aplicació.
2. Poden filtrar el contingut de les connexions des del punt de vista de l’aplicació (HTTP), igual
que les passarel·les a nivell d’aplicació. A més, disposen de configuracions de blocatge
generals igual que els encaminadors de filtratge de paquets.
3. Es pot complementar amb altres sistemes de tallafoc per augmentar la seguretat. A més,
ofereixen altres serveis, com el monitoratge del tràfic, o atacs DoS.

3) A continuació llistem cinc de les solucions WAF que hem trobat a la xarxa.
- Prophaze: Per alguns, la millor solució WAF. Està especialitzat en serveis al núvol.
Proporciona protecció contra els 10 atacs més importants identificats per l’OWASP.
- Akamai WAF: Un dels més famosos, pot detectar molts atacs, com atacs granulars, injecció
SQL o DDoS. Ofereix serveis addicionals com la monitorització i reporting. Destaca el
producte Akamai Kona Site Defender.
- Cloudflare WAF: Ofereix protecció davant molts atacs i serveis addicionals. Ideal per
empreses, siguin petites o grans.
- AWS WAF: És el producte de famós gegant tecnològic Amazon. Pot proporcionar solucions
pels 10 atacs més importants identificats per l’OWASP.
- MS Azure WAF: Igual que l’anterior, és una solució d’un gegant tecnològic. En aquest cas,
Microsoft. A banda de la gran quantitat d’atacs que detecta, també ofereix altres serveis
com monitoratge o adaptació del servei a les normatives de seguretat de l’organització.

A més dels productes indicats anteriorment, també s’han trobat altres com AppTrana, F5 WAF,
Imperva WAF, Citrix WAF, Barracuda WAF, etc.

4) Per fer aquest exercici considerarem els següents articles:

- UTM, un firewall que ha ido al gimnasio: https://www.incibe.es/protege-tu-

empresa/blog/utm-firewall-ha-ido-al-gimnasio

- Firewall tradicional, UTM o NGFW. Diferencias, similitudes y cuál elegir según tus
necesidades: https://www.incibe.es/protege-tu-empresa/blog/firewall-tradicional-utm-o-
ngfw-diferencias-similitudes-y-cual-elegir-segun

Seguretat en xarxes de computadors – PAC2 Hivern 2022 p7

Estudis d'Informàtica, Multimèdia i Telecomunicació
 PAC2 Seguretat en xarxes de computadors
Alumne: Francisco García Caparrós

Resposta de l’exercici
A continuació farem una descripció dels dos sistemes de tallafoc per poder veure les diferències
entre ells.

Unified Threat Management (UTM)

Tal com el seu nom indica, els UTM són una unificació de la gestió d’amenaces. En aquest
sentit, aquests sistemes de tallafoc aglutinen un volum ampli dels serveis que estan implicats
en la ciberseguretat. Alguns serveis serien antivirus, tallafoc, IDS, IPS, Antiphishing, VPN,
protecció WIFI i filtratge de continguts. Els UTM haurien d’estar ubicats entre la xarxa interna i
externa, ja que són dispositius de seguretat perimetral.

Quant al funcionament, disposen de dos tipus d’inspecció de la informació. El primer seria el

mètode transparent, que s’encarrega d’identificar i bloquejar amenaces mitjançant a patrons.
Aquest mètode no requereix molta capacitat de processament, així que l’endarreriment en les
comunicacions és pràcticament impredictible. Pel que fa al segon, s’anomena mètode proxy, i
a causa del segon anàlisi que ha de fer un cop s’inspecciona la informació, requerirà més
capacitat de processament. Malgrat això, aquest segon mètode és més segur, atès que pot
eliminar i modificar l’amenaça per una advertència.

Aquesta unificació de serveis permet una gestió centralitzada i més eficient de la seguretat a
una organització. Ara bé, la centralització no és sempre un avantatge, ja que en cas d’haver-hi
vulnerabilitat en el mateix UTM o que hi hagués una caiguda del servei, es podrien produir
problemes de seguretat o disponibilitat respectivament.

Next Generation Firewalls (NGFW)

A diferència dels UTM, els NGFW són sistemes de tallafoc que estan formats per diversos
elements que no conviuen en el mateix sistema. Cada element serà independent, cosa que
garantirà la continuïtat del servei si un d’ells es veu afectat. A causa d’aquesta independència,
també hi ha un millor rendiment a l’hora de processar les amenaces.

Els serveis que poden oferir els NGFW anirà des del filtratge de paquets, NAT, VPN o IPS. No
obstant a això, també poden prevenir atacs a nivell d’aplicació i es poden combinar amb altres
serveis, com antivirus, gestió d’identitats, protecció de xarxes WIFI, etc.

Pel fet que els NGFW disposen els serveis descentralitzats, cal una major inversió a la seva
implantació. De fet, aquests dispositius estan recoamants per organitzacions grans amb un
volum de connexions elevat. Un exemple serien les empreses que ofereixen serveis cloud o
hosting a gran escala.

Conclusions

Després de llegir l’article, hem pogut constatar l’evolució tecnològica de la ciberseguretat a

causa de les noves amenaces. Aquesta evolució ha comportat l’addició de més serveis a

Seguretat en xarxes de computadors – PAC2 Hivern 2022 p8

Estudis d'Informàtica, Multimèdia i Telecomunicació
 PAC2 Seguretat en xarxes de computadors
Alumne: Francisco García Caparrós

inspeccionar, cosa que ha generat dues solucions. La primera, els UTM, on tots els serveis
estan unificats, i la segona, els NGFW, on hi ha una descentralització.

Els dos sistemes ofereixen pràcticament els mateixos serveis. Ara bé, l’arquitectura dels
mateixos i la gestió és diferent. De fet, aquesta diferència és fonamental a l’hora de decidir que
sistema escollir per a la seguretat d’una organització. Mentre els UTM estan pensats per a
petites i mitjanes empreses amb una inversió en seguretat especifica, els NGFW han sigut
concebuts per a grans organitzacions amb molt de tràfic i serveis, on la ciberseguretat és un
servei més del negoci.

5) Es classificaran les solucions comercials trobades a la xarxa per a cada producte.

UTM

- SonicWall UTM
- Azure Security Center
- WatchGuard Firewbox UTM
- Sophos UTM
- Check Point UTM

NGFW

- FortiGate NGFW
- Cisco Firepower
- Juniper Networks SRX
- Palo Alto Networks PA Series
- Forcepoint NGFW

Seguretat en xarxes de computadors – PAC2 Hivern 2022 p9

Estudis d'Informàtica, Multimèdia i Telecomunicació
 PAC2 Seguretat en xarxes de computadors
Alumne: Francisco García Caparrós

3 Activitat 2
Igual que hem fet en l’exercici anterior, respondrem cada apartat per separat.
1) Tal com s’ha demanat, es farà una descripció dels mecanismes per a la detecció d’atacs i
intrusions.
Mecanismes de detecció d’atac i intrusions
Els mecanismes de prevenció com els tallafocs o les passarel·les no són suficients per a
garantir la seguretat a la xarxa d’una organització. Malgrat que aquests dispositius es poden
combinar entre ells i col·locar estratègicament per protegir la xarxa, existeixen vulnerabilitats
que els atacants detecten amb les fases de vigilància, cosa que els hi permetrà explotar-les
més endavant per accedir als sistemes i robar informació. A causa d’això, cal implementar
mecanismes de deteccions que siguin capaç de detectar i registrar aquestes accions que en
un primer moment es poden considerar legitimes.

Els sistemes de detecció d’intrusions, també coneguts com Intrusion Detection System (IDS),
s’encarreguen de detectar i reportar accions que es podrien considerar legítimes però que en
realitat són accions malicioses per part de personal no autoritzat, les quals tenen com a objectiu
accedir a un sistema o a certa informació d’una organització. En aquest sentit, els mecanismes
de detecció han de poder detectar totes les accions que han derivat a aquesta intrusió amb el
propòsit d’identificar-les i executar una acció preventiva si fos necessari. Per poder fer això,
disposen de bases de dades amb informacions d’atacs ja coneguts, cerquen comportaments
anòmals mitjançant patrons o recorren a l’estadística per determinar si és una acció normal.

Per tal que els sistemes de detecció d’intrusions puguin realitzar les tasques que s’han
comentat anteriorment, aquest han de complir una sèrie de característiques. En primer lloc, han
de ser precisos i eficients, ja que han d’evitar confondre accions legítimes com a fraudulentes,
cosa que pot generar una denegació de servei. Quant a l’eficiència, han de detectar el màxim
d’accions malicioses possibles i així evitar els falsos negatius, que és quan no es detecten
aquestes accions. En segon lloc, han de proporcionar un rendiment que permeti la detecció
de la intrusió en temps i forma. A més, han de ser escalables per adaptar-se al creixement dels
entorns i ser tolerant a les fallades quan hi hagi problemes amb altres components o amb el
mateix. Fins i tot, quan sigui atacat.

Pel que fa a l’arquitectura, els sistemes de detecció d’intrusions disposen dels següents
elements:

- Recol·lectors d’informació: S’encarreguen de la recollida d’informació dels equips

monitorats. Aquesta informació estarà catalogada com a esdeveniments i s’enviarà al
processador d’informació per la seva anàlisi. Servirà per a prendre decisions si fos
necessari. Els recol·lectors també s’anomenen sensors, i hi ha de tres tipus, basats en
equip, en xarxa, o en aplicació.

Seguretat en xarxes de computadors – PAC2 Hivern 2022 p 10

Estudis d'Informàtica, Multimèdia i Telecomunicació
 PAC2 Seguretat en xarxes de computadors
Alumne: Francisco García Caparrós

- Processadors d’esdeveniments: S’encarreguen d’analitzar la informació recollida pels

sensors. Realitzen una cerca de patrons d’atacs o activitats dirigida a certes vulnerabilitats
dels sistemes. Hi ha dos tipus d’analitzadors, els besants en reconeixement de patrons o
en transició d’estats.

- Unitats de resposta: Són les encarregades de realitzar les accions quan es detecta un
atac o intrusió. Les respostes automàtiques s’anomenen respostes actives, mentre que les
fetes per l’acció humana, passives. Igual que els sensors, tenim dues categories, unitats
basades en equip i en xarxa.

- Elements d’emmagatzematge: A causa de la gran quantitat d’esdeveniments produïts,

s’han de disposar de sistemes d’emmagatzematge per guardar tota la informació. Tota la
informació emmagatzemada s’ha de poder consultar en el temps adequat i es pot valorar
establir una política de classificació de la informació en funció de si l’anàlisi és a curt o mig
termini. Mentre que la informació d’anàlisi a curt termini es pot guardar en els mateixos
sensors, la de mig termini e pot guardar durant dos o tres dies en dispositius secundaris.

En definitiva, els mecanismes de detecció d’atacs i intrusions van més enllà de la seguretat
perimetral dels tallafocs o la gestió de les connexions de les passarel·les a nivell d’aplicació.
Aquests sistemes han de ser capaços de detectar accions malicioses emmascarades en
accions legítimes que poden aprofitar debilitats o vulnerabilitats dels sistemes d’informació. No
obstant això, ha de complir una sèrie de característiques per evitar talls de servei i així poder
detectar el màxim d’intrusions o atacs de forma continuada i amb un rendiment adequat. Per
últim, la seva composició està formada per una sèrie de components, els quals tenen tasques
ben diferenciades, però que treballen conjuntament per registrar i analitzar els esdeveniments
amb l’objectiu d’actuar si fos necessari.

2) Per aquest exercici, es farà servir el següent article.

¿Qué son y para qué sirven los SIEM, IDS e IPS?: https://www.incibe.es/protege-tu-
empresa/blog/son-y-sirven-los-siem-ids-e-ips
- SIEM: Conegut com a SIEM (Security information and Event Management), és un sistema
de gestió d’esdeveniments que s’encarrega de gestionar la informació de seguretat i els
esdeveniments de seguretat. Mitjançant una revisió en temps real, recull alertes i
esdeveniments de programari i maquinari de la xarxa. Tota aquesta informació l’agafa dels
arxius log dels sistemes i fa una anàlisi eficient per evitar falsos positius i així generar una
resposta si fos necessari. Malgrat que la centralització de la informació permet una millora
de la gestió de la seguretat i estalvia tasques de gestió, els sistemes SIEM tenen un alt cost
de manteniment i cal una formació addicional pel personal que el farà servir, ja que
l’externalització de la gestió del sistema pot esdevenir una pèrdua del control de la
informació.

Seguretat en xarxes de computadors – PAC2 Hivern 2022 p 11

Estudis d'Informàtica, Multimèdia i Telecomunicació
 PAC2 Seguretat en xarxes de computadors
Alumne: Francisco García Caparrós

- IDS: Aquest sistema és el que s’ha descrit a l’apartat anterior. L’Intrusion Detection System
(IDS) és un sistema que monitora la xarxa per trobar accessos no autoritzats i així emetre
la corresponent alerta. El sistema disposa d’una base de dades per fer l’anàlisi dels atacs,
els quals poden ser fets esporàdicament per usuaris o de forma continuada mitjançant
eines automàtiques. Malgrat que són sistemes que permeten veure el que està passant a
la xarxa en temps real, cal destacar que el model passiu d’aquesta eina no podrà prevenir
l’atac. Per altra banda, són sistemes vulnerables als atacs DDoS.
- IPS: L’Intrusion Prevention System (IPS) és un programari que treballa en temps real amb
les connexions i protocols per prevenir o detectar atacs. El seu funcionament es basa en
patrons, anomalies o comportaments sospitosos. Com disposa del control d’accés a la
xarxa, pot implementar polítiques basades en el monitoratge, les quals li permeten emetre
alarmes o descartar paquets i connexions. Aquest tipus de sistemes es pot trobar en
tallafocs o sistemes UTM. Aquests sistemes solen ser escalables, de fàcil instal·lació i
poden donar resposta una varietat àmplia d’atacs. Com a punt negatiu, serien els falsos
positius, els quals poden produir un gran impacte a l’organització si es produeixen.

3) Es classificaran les opcions trobades a la xarxa segons el concepte. Per a cada concepte, es
proporcionaran cinc solucions.
SIEM
- Splunk
- IBM QRadar
- Microsoft Sentinel
- SolarWinds
- Elastic Security
IDS
- Snort
- Suricata
- Security Onion
- Zeek
- Palo Alto Networks
IPS
- Cisco NGIPS
- McAfee’s Network Security Platform
- Fidelis Network
- SecBlade IPS
- Virtual Next-Generation IPS (NGIPSv) form VMware

Seguretat en xarxes de computadors – PAC2 Hivern 2022 p 12

Estudis d'Informàtica, Multimèdia i Telecomunicació
 PAC2 Seguretat en xarxes de computadors
Alumne: Francisco García Caparrós

4 Activitat 3
A continuació es troben les respostes de cada apartat.
1) Es realitzarà una descripció del terme sol·licitat.
Escàners de vulnerabilitats
Mitjançant programari dissenyat per tal efecte, els escàners de vulnerabilitats s’encarreguen de
fer proves o atacs controlats per descobrir vulnerabilitats a una xarxa o un sistema d’informació.
Aquests mecanismes permeten descobrir debilitats del sistema que els atacants poden fer
servir per accedir de forma no autoritzada. A diferència dels mecanismes definits en el mòdul
anterior, aquests sistemes treballen sota demanda. És a dir, són un sistema de caràcter estàtic
que no està contínuament cercant vulnerabilitats. En aquest sentit, actuen en tres fases, on
s’encarreguen de fer una primera recollida d’informació on seguidament es compararà amb una
referència i finalment, es farà un informe.

Existeixen dos tipus d’escàners de vulnerabilitats segons la ubicació de les dades. Els primers,
coneguts com a escàners basats en màquina, tenen com a objectiu detectar les deficiències
d’un sistema d’informació en concret, siguin vulnerabilitats o parametritzacions incorrectes. A
causa que tenen una estreta relació amb el sistema operatiu, un dels propòsits principals
d’aquests escàners és determinar si es poden aconseguir permisos d’administració de forma
no autoritzada. Per exemple, l’aplicació TIGER en Unix realitzaria una auditoria per verificar
deficiències en aquest aspecte. Quan al segon tipus d’escàners, aquests s’anomenen
escàners basat en xarxa, ja que obtenen la informació de les connexions de xarxa que hi ha
amb l’objectiu a atacar. D’aquest tipus d’escàner existeixen dues tècniques, la primera, i més
agressiva, s’anomena prova per explotació, perquè du a terme atacs rals contra l’objectiu per
determinar si la vulnerabilitat està present. La segona tècnica anomenada mètodes d’inferència
és menys agressiva, atès que s’encarrega de buscar proves d’atacs anteriors. D’aquest tipus
d’escàners destaca l’eina Nessus, la qual disposa d’un propi protocol de comunicació.

En conclusió, els escàners de vulnerabilitats són eines de reacció reactiva que permeten trobar
els punts febles dels sistemes d’informació. Aquest tipus d’escàner pot fer servir tant pels
atacants, com per les mateixes organitzacions. Mentre que el primer grup ho fa servir per
aconseguir accessos no autoritzats, el segon grup ho pot fer servir en combinació amb altres
mecanismes de detecció per descobrir defectes dels sistemes i així prevenir futurs atacs.
Existeixen dos tipus d’escàners en funció de la ubicació de la informació, el primer seria
l’escàner basat en xarxa, que escaneja un sistema en concret, i l’altre rep el nom d’escàner
basat en xarxa, el qual descobreix vulnerabilitats mitjançant les connexions que hi ha amb
l’objectiu.
2) Per aquest apartat es tindrà en compte el següent article:
NVT: testeando la seguridad en redes Industriales: https://www.incibe-cert.es/blog/nvt-
testeando-seguridad-redes-industriales

Seguretat en xarxes de computadors – PAC2 Hivern 2022 p 13

Estudis d'Informàtica, Multimèdia i Telecomunicació
 PAC2 Seguretat en xarxes de computadors
Alumne: Francisco García Caparrós

Network Vulnerability Test (NVT)

Els Network Vulnerability Test (NVT) són aplicacions desenvolupades en llenguatge d’script
anomenat NASL que es fan servir amb alguns escàners de vulnerabilitats per detectar
deficiències a la xarxa que s’està escanejant. Així mateix, disposen de serveis d’actualització
per incorporar les vulnerabilitats i així ser més efectives durant la consulta que realitzen per
trobar forats de seguretat. D’aquest tipus d’eines, destacant l’OpenVas, gratuïta i de codi obert
que permet integració amb altres serveis d’escaneig, i el Nessus, que també s’integra amb
altres serveis. Aquesta última també disposa d’una versió comercial.

Aquest tipus d’eines són executades de forma controlada i automatitzada per les organitzacions
per fer auditories de seguretat en xarxes industrials. A més, es poden combinar amb altres
eines per tal d’augmentar la probabilitat de trobar vulnerabilitats. El seu ús comporta diversos
beneficis, com la realització de proves a mida, integració amb el internet de les coses,
adaptacions personalitzades mitjançant el llenguatge d’script NASL, execució controlada sense
risc pels sistemes, i compliment d’estàndard de proves FAT (Factory Acceptance Test) i SAT
(Site Acceptance Test). No obstant a això, es recomana el seu ús prèviament a entorns de
laboratori, ja que en cas d’una incorrecta configuració, sí que es pot produir impacte als
sistemes.

En conclusió, els NVT són una eina molt potent que ajuda a detectar vulnerabilitats o
deficiències a la xarxa de grans organitzacions. Són fets servir per eines com OpenVAS i
Nessus, cosa que potència la seva efectivitat. De fet, si es fa servir en un entorn controlat,
poden aportar molts beneficis en el moment de fer les auditories de seguretat. Finalment, cal
destacar que hi ha moltes eines d’escàners de vulnerabilitats, així que podem dir que els NVT
es podrien considerar com una eina més que s’ha de fer servir en cas que compleixi les
necessitats de l’escaneig a realitzar.
3) Aquesta eina ja es va descriure a l’anterior PAC, així que farem servir l’anterior resposta i la
complementarem amb el servei d’actualitzacions que disposa. Aquesta part la marcarem de
color groc.
Open Vulnerability Assessment (OpenVAS)
L’Open Vulnerability Assessment System, també conegut com a OpenVAS, és un explorador
de vulnerabilitats gratuït que ofereix moltes característiques, com la capacitat de realitzat tests
autenticats o no autenticats, alt i baix nivell d’escanejos de protocols d’internet, i escanejos a
gran escala.

Per tal de garantir l’efectivitat i precisió de l’eina, l’empresa propietària de la solució, Greenbone,
disposa d’un servei d’actualitzacions de vulnerabilitats diari. Aquest servei està a disposició de
manera gratuïta per a la comunitat i per als clients que disposin les versions empresarials del
programari. A causa d’això, algunes actualitzacions només estan disponible per a la versió
empresarial. Per altra banda, el procés d’actualització del servei de Greenbone disposa de
diferents fases fins a arribar a la comunitat i els seus clients. Aquest servei es pot iniciar des

Seguretat en xarxes de computadors – PAC2 Hivern 2022 p 14

Estudis d'Informàtica, Multimèdia i Telecomunicació
 PAC2 Seguretat en xarxes de computadors
Alumne: Francisco García Caparrós

dels seus laboratoris o quan hi ha una alerta de seguretat. En el primer cas, hi ha altres actors
involucrats com la comunitat, socis i la pròpia empresa del programari. A la imatge següent es
pot veure les fases d’aquest procés.

Font: Greenbone
Per altra banda, l’actualització del client OpenVas s’ha de realitzar a mà o mitjançant un script
que el mantingui actualitzat abans del seu ús.

Quant al funcionament, es pot escanejar una IP per obtenir els ports oberts, serveis actius,
problemes de configuració i vulnerabilitats del programari. Un cop finalitzat l’escaneig, fa un
informe de les deficiències de seguretat de l’equip en concret. Així mateix, es poden configurar
alertes en el mode de monitoratge continu, cosa que provocarà un avís quan es detecti alguna
vulnerabilitat. Per últim, OpenVAS disposa d’una àmplia comunitat que dona suport al
funcionament d’aquest. A continuació mostrarem una imatge del programari.

Seguretat en xarxes de computadors – PAC2 Hivern 2022 p 15

Estudis d'Informàtica, Multimèdia i Telecomunicació
 PAC2 Seguretat en xarxes de computadors
Alumne: Francisco García Caparrós

5 Biblografia
GARCIA ALFARO, Joaquín. Mecanismes de prevenció [en línia]. Barcelona: Universitat Oberta de
Catalunya. [consulta: 9 d’abril de 2022]. Disponible a:
https://materials.campus.uoc.edu/cdocent/P07_05070_02623.pdf

GARCIA ALFARO, Joaquín. Mecanismes per a la detecció d’atacs i intrusos [en línia]. Barcelona:
Universitat Oberta de Catalunya. [consulta: 9 d’abril de 2022]. Disponible a:
https://materials.campus.uoc.edu/cdocent/P07_05070_02626.pdf

What is Azure Web Application Firewall on Azure Application Gateway? [en línia] [consulta: 9 d’abril de
2022]. Disponible a https://docs.microsoft.com/en-us/azure/web-application-firewall/ag/ag-overview

Buyer’s Guide to WAFs – 12 Best Web Application Firewalls for 2022 [en línia] [consulta: 9 d’abril de
2022]. Disponible a https://www.comparitech.com/net-admin/best-web-application-firewall/

11 BEST Web Application Firewalls (WAF) Vendors In 2022 [en línia] [consulta: 9 d’abril de 2022].
Disponible a https://www.softwaretestinghelp.com/web-application-firewall-waf/

WAF: cortafuegos que evitan incendios en tu web [en línia] [consulta: 9 d’abril de 2022]. Disponible a
https://www.incibe.es/protege-tu-empresa/blog/waf-cortafuegos-evitan-incendios-tu-web

OEASP Top Ten [en línia] [consulta: 9 d’abril de 2022]. Disponible a https://owasp.org/www-project-top-
ten/

UTM un firewall que ha ido al ginnasio [en línia] [consulta: 9 d’abril de 2022]. Disponible a
https://www.incibe.es/protege-tu-empresa/blog/utm-firewall-ha-ido-al-gimnasio

Firewall tradicional, UTM o NGFW. Diferencias, similitudes y cuál elegir según tus necesidades [en línia]
[consulta: 9 d’abril de 2022]. Disponible a https://www.incibe.es/protege-tu-empresa/blog/firewall-
tradicional-utm-o-ngfw-diferencias-similitudes-y-cual-elegir-segun

8 Best Unified Threat Management Software [en línia] [consulta: 9 d’abril de 2022]. Disponible a
https://www.comparitech.com/net-admin/unified-threat-management-software/

9 Best Next-Gen Firewalls (NGFW) [en línia] [consulta: 9 d’abril de 2022]. Disponible a
https://www.comparitech.com/net-admin/next-gen-firewalls/

Seguretat en xarxes de computadors – PAC2 Hivern 2022 p 16

Estudis d'Informàtica, Multimèdia i Telecomunicació
 PAC2 Seguretat en xarxes de computadors
Alumne: Francisco García Caparrós

Las 8 mejores soluciones de gestión unificada de amenazas (UTM) para pequeñas y grandes empreses
[en línia] [consulta: 9 d’abril de 2022]. Disponible a https://geekflare.com/es/best-unified-threat-
management-solutions/

Next-generation firewall [en línia] [consulta: 9 d’abril de 2022]. Disponible a

https://en.wikipedia.org/wiki/Next-generation_firewall

Top 11 Best SIEM Tools In 2022 For Real-Time Incident Response And Security [en línia] [consulta: 9
d’abril de 2022]. Disponible a https://www.softwaretestinghelp.com/siem-tools/

Intrusion Detection Systems Explained: 13 Best IDS Software Tools Reviewed [en línia] [consulta: 9
d’abril de 2022]. Disponible a https://www.comparitech.com/net-admin/network-intrusion-detection-
tools/

Intrusion Detection and Prevention Systems Reviews and Ratings [en línia] [consulta: 9 d’abril de 2022].
Disponible a https://www.gartner.com/reviews/market/intrusion-prevention-systems

NVT: testeando la seguridad en redes industriales [en línia] [consulta: 9 d’abril de 2022]. Disponible a
https://www.incibe-cert.es/blog/nvt-testeando-seguridad-redes-industriales

Greenbone. (2022). OpenVAS – Open Vulnerability Assessment Scanner. https://www.openvas.org/

Grenbone Enterprise Feed: The Daily Vulnerability Update [en línia] [consulta: 9 d’abril de 2022].
Disponible a https://www.greenbone.net/en/enterprise-feed/

Seguretat en xarxes de computadors – PAC2 Hivern 2022 p 17

Estudis d'Informàtica, Multimèdia i Telecomunicació