Вы находитесь на странице: 1из 119

APLICACION DE UN SISTEMA DE GESTIN DE VULNERABILIDADES PARA LA

INFRAESTRUCTURA INFORMATICA DE ABC LTDA.

Por: Sandra Milena Daza Triana

Mauricio Andrs Giraldo Murillo

UNIVERSIDAD EAN

FACULTAD DE INGENIERIA

Bogot D.C., Colombia

2012

I
APLICACION DE UN SISTEMA DE GESTIN DE VULNERABILIDADES PARA LA

INFRAESTRUCTURA INFORMATICA DE ABC LTDA.

POR: SANDRA MILENA DAZA T

MAURICIO ANDRS GIRALDO M

Proyecto de Grado para optar por el ttulo de

Ingenieros de Sistemas

Asesor:

JHON JAIRO PORRAS VEGA

Ingeniero de Sistemas

UNIVERSIDAD EAN

FACULTAD DE INGENIERIA

Bogot D.C., Colombia

2012

II
Nota Aceptacin

_______________________

_______________________

_______________________

_______________________

____________________________

Ing. John Jairo Porras Vega

Director

____________________________

Ing.

Jurado 1 Diego Adolfo Rodrguez C.

____________________________

Ing. Mario Briceo Torres

Jurado 2

Bogot D.C. Marzo 2012

III
1. TABLA DE CONTENIDO

1. TABLA DE CONTENIDO ........................................................................................ IV


2. NDICE DE TABLAS ................................................................................................. VI
3. NDICE DE DIAGRAMAS........................................................................................ VI
4. NDICE DE ANEXOS .............................................................................................. VI
1. TTULO ..................................................................................................................... 1
2. PLANTEAMIENTO DEL PROBLEMA ....................................................................... 1
2.1 ENUNCIADO DEL PROBLEMA ............................................................................. 1
2.2 FORMULACIN DEL PROBLEMA........................................................................ 2
3. OBJETIVOS .............................................................................................................. 3
3.1 OBJETIVO GENERAL ............................................................................................ 3
3.2 OBJETIVOS ESPECFICOS ................................................................................... 3
4. ALCANCE ................................................................................................................. 4
5. INTRODUCCIN ...................................................................................................... 5
6. MARCO TERICO ................................................................................................... 6
7. MARCO CONCEPTUAL ........................................................................................... 7
8. MARCO LEGAL ........................................................................................................ 9
9. ANLISIS ORGANIZACIONAL ............................................................................... 12
9.1 PRESENTACIN DE LA EMPRESA ABC LTDA ................................................. 12
9.2 RESEA HISTRICA......................................................................................... 12
9.3 MISIN ................................................................................................................. 13
9.4 VISIN................................................................................................................. 14
9.5 ESTRATEGIA ORGANIZACIONAL ..................................................................... 14
9.6 PROCESOS DE LA ORGANIZACIN................................................................. 20
9.6.1 PROCESOS DE DIRECCIN GENERAL ..................................................... 21
9.6.2 PROCESOS MISIONALES ............................................................................ 22
9.6.3 PROCESOS DE APOYO .............................................................................. 22
10. ANLISIS DE LA INFRAESTRUCTURA TECNOLGICA ................................... 23

IV
1O.1 DATACENTER ABC LTDA.. .............................................................................. 23
10.1.1 CONDICIONES GENERALES DEL DATACENTER ....................................... 24
10.2 ESTACIONES DE TRABAJO ............................................................................. 25
11. IDENTIFICACION DE RIESGOS ......................................................................... 27
11.1 IDENTIFICACIN DE LOS RIESGOS INFORMTICOS DE LA
INFRAESTRUCTURA INFORMTICA DE ABC LTDA............................................ 27
11.1.1 Resumen Ejecutivo ................................................................................. 27
11.2 RESULTADOS GENERALES DEL ANLISIS CON MSAT ............................ 28
11.2.1 INFRAESTRUCTURA..................................................................................... 29
11.2.1.2 AUTENTICACIN .................................................................................... 29
11.2.1.5 PERSONAL ................................................................................................. 33
11.2 ACCIONES A TOMAR DE ACUERDO A SU PRIORIDAD ............................ 33
12. TEST DE VULNERABILIDADES DE LA INFRAESTRUCTURA INFORMTICA
DE ABC LTDA. ............................................................................................................... 35
12.1 ANALISIS DE LAS VULNERABILIDADES DE LOS SERIVORES, EQUIPOS DE
TRABAJO Y PROPUESTA PARA MITIGARLAS. .................................................... 36
13. PROPONER UN PROCEDIMIENTO Y UN PLAN DE ACCIN QUE PERMITA A
ABC LTDA. HACER GESTIN DE VULNERABILIDADES. .......................................... 37
14. PROCEDIMIENTO DE GESTIN DE VULNERABILIDADES ............................. 37
15. FORMATO CARACTERIZACION PROCEDIMIENTO DE GESTIN DE
VULNERABILIDADES .................................................................................................... 45
16. CONCLUSIONES ................................................................................................. 50
17. BIBLIOGRAFA..................................................................................................... 51
18. ANEXOS .................................................................................................................. 52

V
2. NDICE DE TABLAS

Tabla 1: Referentes Estratgicos de ABC LTDA. ...................................................... 15

3. NDICE DE DIAGRAMAS

Diagrama 2: Arquitectura datacenter ABC LTDA ........................................................... 24


Diagrama 3: Arquitectura Clientes de ABC LTDA.. ....................................................... 26

4. NDICE DE ANEXOS

18.1 Anexo 1: Descripcin Servidores ........................................................................... 52


18.2 Anexo 2: Descripcin estaciones de trabajo........................................................... 57
18.3 Anexo 3: Resultados .............................................................................................. 64
18.4 Anexo 4: Detalle de anlisis MSAT ........................................................................ 64
18.5 Anexo 5: Anlisis de riesgos .................................................................................. 68
18.6 Anexo 6: Vulnerabilidades del servidor WEB ......................................................... 81

VI
1. TTULO

APLICACION DE UN SISTEMA DE GESTIN DE VULNERABILIDADES PARA LA

INFRAESTRUCTURA INFORMATICA DE ABC LTDA.

2. PLANTEAMIENTO DEL PROBLEMA

2.1 ENUNCIADO DEL PROBLEMA

En un contexto en el cual las tecnologas de la informacin y la comunicacin se han

convertido en focos estratgicos para muchas organizaciones, se hace necesario

identificar las vulnerabilidades asociadas a la infraestructura informtica sobre la cual se

apoyan muchos procesos crticos, como parte de la adopcin de buenas prcticas para

la gestin de TIC. No basta con instalar sistemas de deteccin y prevencin de intrusos

compuestos por hardware y software, sistemas de antivirus y firewalls, son respuestas

a stas claras amenazas a las que se ven expuestas, sin embargo se deben tomar

medidas que permitan implementar sistemas de gestin de vulnerabilidades que

1
faciliten identificar y solucionar las falencias de seguridad que se presentan en la

infraestructura informtica.

ABC LTDA., es una empresa dedicada al desarrollo de software administrativo y

financiero y a la consultora financiera. Actualmente mantiene vnculos contractuales

que exigen confidencialidad, integridad y disponibilidad de la informacin gestionada en

las aplicaciones desarrolladas; esto motiv a la alta direccin de ABC LTDA., a disear

estrategias de innovacin y actualizacin de su plataforma tecnolgica e incorporar

buenas prcticas para la gestin de la infraestructura informtica que contribuyan a dar

cumplimiento con las obligaciones contractuales contradas con sus clientes

2.2 FORMULACIN DEL PROBLEMA

ABC requiere un marco de trabajo que le permita la incorporacin de buenas prcticas

aplicadas a sus procesos y procedimientos, que garanticen una gestin adecuada a las

vulnerabilidades de la infraestructura informtica para contribuir en el cumplimiento de

sus compromisos contractuales.

2
3. OBJETIVOS

3.1 OBJETIVO GENERAL

Aplicar un sistema de gestin de vulnerabilidades a la infraestructura informtica de

ABC LTDA.

3.2 OBJETIVOS ESPECFICOS

Identificar los referentes estratgicos, procesos y procedimientos de ABC LTDA.

Identificar los riesgos a los que se enfrenta la infraestructura informtica de

ABC LTDA.

Realizar un test de vulnerabilidades a la infraestructura informtica de ABC

LTDA.

Proponer un procedimiento y un plan de accin que permita a ABC LTDA. hacer

gestin de vulnerabilidades.

3
4. ALCANCE

Este proyecto tiene como alcance:

La identificacin de los referentes estratgicos, procesos y procedimiento de la

empresa ABD LTDA.

La aplicacin de un sistema de gestin de vulnerabilidades a la infraestructura

informtica de ABD LTDA., de tal manera que permita identificar y gestionar las

debilidades en cuanto a la seguridad de la plataforma tecnolgica.

Mediante la utilizacin de la herramienta MSAT, se identificaran los riesgos a los

que se enfrenta la infraestructura informtica de ABD LTDA.

Finalmente se sugerir un procedimiento y un plan de accin que permita a la

empresa mitigar todas las vulnerabilidades y riesgos encontrados.

4
5. INTRODUCCIN

En un contexto tecnolgico y empresarial en el cual las organizaciones cuentan con

recursos de tecnologa para la gestin de la informacin y dichas herramientas se

hacen cada da ms fciles de adquirir, surgen aspectos inherentes a la gestin de las

organizaciones relacionados con el tratamiento de la informacin, proteccin de los

datos y aseguramiento de los servicios tecnolgicos.

Es en este mbito, que los sistemas de gestin aplicados a la seguridad de la

informacin, empleando referentes como las normas y estndares internacionales

como los propuestos por la ISO, contribuyen a las organizaciones a generar factores y

caractersticas diferenciadoras que fortalecen la gestin organizacional y coadyuvan a

la definicin de estrategias empresariales.

Este documento muestra como mediante un proceso sistemtico en el cual se tuvo en

cuenta recomendaciones y directrices que componen el grupo de estndares ISO

27000; referentes estratgicos de la organizacin y herramientas tecnolgicas, se

identificaron factores de riesgo asociados a la gestin tecnolgica y se conform un

procedimiento para hacer gestin de vulnerabilidades informticas en el cual se aplica

5
el ciclo PHVA1 para la mejora continua e igualmente se generan indicadores que

permitirn medir como la aplicacin del procedimiento diseado contribuye para la toma

de decisiones en la gestin de seguridad informtica de ABC LTDA.

6. MARCO TERICO

Actualmente se pueden encontrar reportes en los diarios y medios de televisin, que

ms de una compaa est siendo atacada por hackers con el propsito de tener

acceso a su informacin y poder sacar provecho de ella, hecho que cada da preocupa

ms a los empresarios, ya que todos buscan tener el control de su valiosa informacin.

No obstante estas situaciones no son recientes, de hecho hacia 1972 con la aparicin

de los IBM Serie 360 surge tambin el primer virus informtico el cual se conoce como

Creeper incluso en hechos histricos de la segunda guerra mundial existan grupos

dedicados a interceptar comunicaciones y descifrar los mensajes que viajaban cifrados.

De tal forma que el tema de la seguridad de la informacin no es realmente un tema de

moda; el fenmeno de la seguridad de la informacin toma un concepto formal a

1
El ciclo PHVA es una herramienta de la mejora continua, se basa en un ciclo de 4 pasos: Planificar,
Hacer, Verificar y Actuar.

6
mediados de la dcada de los noventa con la formulacin por parte del BSI 2 de la BS

7799. Esta ya es una aproximacin respecto a la gestin de TIC incorporando buenas

prcticas de seguridad de la informacin la cual fue tomada por la ISO y desarrollada de

tal forma que hoy da ya existe una familia de estndares orientados a la conformacin

de sistemas de gestin en muchos mbitos relacionados con la seguridad y la gestin

de TIC.

Es precisamente la familia de estndares ISO contenidos bajo la serie 27000 la que

orienta a las organizaciones para conformar procesos y procedimientos que permean a

la organizacin para obtener niveles de gestin y operacin segura de la infraestructura

tecnolgica y el despliegue de servicios de TI en los cuales la disponibilidad, integridad

y privacidad son los motivadores principales.

7. MARCO CONCEPTUAL

Para entender mejor la investigacin se debe tener presente algunos trminos que

sern utilizados de manera constante en este estudio.

2
Sigla del ingls para British Standar Institution. Esta multinacional Britnica se encarga de crear normas
y estndares aplicables a los procesos de las organizaciones.

7
Nessus: Es un programa de evaluacin de vulnerabilidades en diversos

sistemas operativos.

MSAT: MSAT (Microsoft Security Assessment Tool) Herramienta de evaluacin

de la seguridad, identifica debilidades del entorno informtico.

CVE: CVE (Common Vulnerabilities and Exposures), Vulnerabilidades y

amenazas comn, es un cdigo asignado a una vulnerabilidad que permite ser

identificada de manera univoca. El cdigo identificador es del modo CVE ao

nmero.

SIEM: (Security Information and Event Management), es una solucin completa

que permite el monitoreo, anlisis y control de todas las plataformas existentes

en la red.

TIC: Tecnologa de la Informacin y la Comunicaciones. Son aquellas

tecnologas que permiten transmitir y procesar y difundir informacin de manera

instantnea.

Vulnerabilidad: Es una debilidad que tiene un sistema, lo cual permite a un

atacante violentar la confidencialidad, integridad, disponibilidad, control de

acceso y consistencia del sistema o sus datos.

Riesgo: Es la probabilidad de que ocurra o se realice una eventualidad que

podra estar prevista y si se diera podra impedir el cumplimiento de un objetivo.

NISL: NIST (National Institute of Standards and Technology) Instituto Nacional

de Estndares y Tecnologa, es una de las tres agencias de E.E U.U que

administran la tecnologa.

8
MITRE: Es una corporacin que permite a los usuarios conocer de una forma

ms objetiva una vulnerabilidad de un programa o sistema. Es la creadora del

cdigo CVE

ISO27000:La familia de estndares ISO que aborda aspectos relacionados con

la Gestin de la Seguridad de la Informacin

8. MARCO LEGAL

Para Colombia existe un marco normativo en materia penal definido por la Ley 1273 de

Enero 5 de 2009 por medio de la cual se crea el bien jurdico denominado De la

proteccin de la informacin y de los datos de la misma forma esta ley propende por la

preservacin de los sistemas que utilizan tecnologas de la informacin y las

comunicaciones. En este contexto se sealan algunos apartados de la norma que se

consideraron relevantes para ser tenidos en cuenta en la gestin de vulnerabilidades

informticas.

Artculo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMTICO. El que, sin

autorizacin o por fuera de lo acordado, acceda en todo o en parte a un sistema

informtico protegido o no con una medida de seguridad, o se mantenga dentro del

mismo en contra de la voluntad de quien tenga el legtimo derecho a excluirlo, incurrir

en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de

100 a 1000 salarios mnimos legales mensuales vigentes.

9
Artculo 269B: OBSTACULIZACIN ILEGTIMA DE SISTEMA INFORMTICO O RED

DE TELECOMUNICACIN. El que, sin estar facultado para ello, impida u obstaculice el

funcionamiento o el acceso normal a un sistema informtico, a los datos informticos all

contenidos, o a una red de telecomunicaciones, incurrir en pena de prisin de cuarenta

y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mnimos

legales mensuales vigentes, siempre que la conducta no constituya delito sancionado

con una pena mayor.

Artculo 269C: INTERCEPTACIN DE DATOS INFORMTICOS. El que, sin orden

judicial previa intercepte datos informticos en su origen, destino o en el interior de un

sistema informtico, o las emisiones electromagnticas provenientes de un sistema

informtico que los trasporte incurrir en pena de prisin de treinta y seis (36) a setenta y

dos (72) meses.

Artculo 269D: DAO INFORMTICO. El que, sin estar facultado para ello, destruya,

dae, borre, deteriore, altere o suprima datos informticos, o un sistema de tratamiento

de informacin o sus partes o componentes lgicos, incurrir en pena de prisin de

cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios

mnimos legales mensuales vigentes.

Artculo 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello,

produzca, trafique, adquiera, distribuya, venda, enve, introduzca o extraiga del territorio

nacional software malicioso u otros programas de computacin de efectos dainos,

incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en

multa de 100 a 1000 salarios mnimos legales mensuales vigentes.

10
Artculo 269F: VIOLACIN DE DATOS PERSONALES. El que, sin estar facultado para

ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda,

intercambie, enve, compre, intercepte, divulgue, modifique o emplee cdigos

personales, datos personales contenidos en ficheros, archivos, bases de datos o medios

semejantes, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96)

meses y en multa de 100 a 1000 salarios mnimos legales mensuales vigentes.

11
9. ANLISIS ORGANIZACIONAL

9.1 PRESENTACIN DE LA EMPRESA ABC LTDA

ABC LTDA. Es una empresa constituida desde 1990, su objeto social es desarrollar e

implementar, distribuir, comercializar y alquilar programas de Computadora. Prestar

servicios de Asesora contable, Evaluacin del personal, Consultora, Digitacin,

Revisora fiscal, Auditora y dems servicios inherentes o relacionados con la

contabilidad. Con ubicacin en Bogot en la direccin Carrera 124 B No. 6D - 11

sector de, como sede principal.

9.2 RESEA HISTRICA

1999: El 29 de abril se constituye la empresa ABC E.U.

2000: se tiene completos los mdulos de contabilidad, cuentas por pagar,

tesorera, nmina y operacin conjunta del sistema Accountant.

2001: se adhieren al sistema los mdulos de facturacin, inventarios, activos fijos

y propiedad horizontal.

2002: El sistema Accountant comienza a ser reconocido dentro del sector

petrolero como una herramienta fcil y rpida de implementar.

12
2005: se incorpora el mdulo de control de costos como una solucin para la

elaboracin y control de rdenes de Compra, Servicios y contratos.

2006: Se inicia reingeniera a todos los procesos y reportes del sistema

Accountant aprovechando las mejoras significativas que se presentan en la

ltima versin de la herramienta de desarrollo.

9.3 MISIN

ABC LTDA. tiene como referente estratgico su misin la cual se seala a continuacin:

Somos una organizacin privada que desarrolla y comercializa software para

administrar y gestionar la informacin contable originada desde las diferentes reas de

las entidades, por medio de las herramientas Accountant Soft Plus y Accountant Web

las cuales estn encaminadas a suplir las necesidades y requerimientos especficos de

las PYMES de orden nacional, apoyado en el trabajo y conocimientos de un equipo

interdisciplinario, permitiendo de esta forma, ofrecer productos y servicios que le

permitan a nuestros clientes optimizar y maximizar recursos, siendo sus referencias

nuestra mejor carta de presentacin.

13
9.4 VISIN

ABC LTDA. tiene como referente estratgico su visin la cual se seala a continuacin.

Ser reconocido a nivel Latinoamericano como una de las mejores casas de Desarrollo

de Software contable y administrativo

9.5 ESTRATEGIA ORGANIZACIONAL

ABC LTDA., cuenta con unos focos estratgicos para continuar con el desarrollo y

crecimiento como empresa desarrolladora de software; en la tabla 1 se puede observar

el plan estratgico de la empresa.

14
Tabla 1: Referentes Estratgicos de ABC LTDA.

PLAN ESTRATGICO ABC LTDA.

FOCO
ESTRATEGIA ACTIVIDADES
ESTRATGICO

Realizar material publicitario

simplificado

Realizar, coordinar, disear,

producir, correo directo

dirigidos a nichos
Mediante la publicidad
especiales.
lograremos crear una marca
Estructurar conferencias en
de posicin y valor siendo
universidades, con el objeto
Mercadeo reconocida en el medio
de dar a conocer el producto
financiero, pautando en
y la empresa, ya que
diferentes medios dirigidos al
muchos estudiantes
sector empresarial
normalmente estn

haciendo pasantas en

empresas del sector.

Organizar, coordinar la

participacin en ferias y

15
PLAN ESTRATGICO ABC LTDA.

FOCO
ESTRATEGIA ACTIVIDADES
ESTRATGICO

eventos del sector

Lograr alianzas estratgicas

con gremios que nos

permitan vincularnos a

compaas en crecimiento.

Direccionar la consecucin

Con nuestro producto de bases de datos por

tendremos un mejoramiento sector para segmentar el

continuo, siendo cada vez producto y utilizar lo que se

ms fcil de manejar para los denomina un CVN Centro

usuarios, trabajando con Virtual de Negocios, para

herramientas de ltima contactar y analizar la


Producto
tecnologa, brindando una demanda.

mejor cobertura en el Acelerar el cambio de

soporte, generando plataforma tecnolgica.

confianza y satisfaccin en Lograr el desarrollo de

nuestros clientes. servicios Plus, tales como

consultora contable

asociada a y que forme

16
PLAN ESTRATGICO ABC LTDA.

FOCO
ESTRATEGIA ACTIVIDADES
ESTRATGICO

parte de la solucin. Para

ello, debe tomarse la

decisin de ampliar la planta

de personal que soporte

este servicio. Resaltar como

ventaja competitiva la

facilidad de manejo del

software y su simplicidad

para implementarlo.

Estructurar polticas de

precios y descuentos

Manejar promociones, que llamativos para Servicios

permitan ofrecerle al cliente Profesionales adicionales


Precio
adquirir ms servicios a Establecer polticas de

menores costos. descuento y de

financiacin.

17
PLAN ESTRATGICO ABC LTDA.

FOCO
ESTRATEGIA ACTIVIDADES
ESTRATGICO

Capacitar y entrenar

mediante charlas y clnicas

de ventas peridicas.
En el manejo de las ventas
Hacer un pronstico de
resaltaremos los atributos
ventas aproximado y
que generan valor a nuestro
asignar cuotas por vendedor
Software de tal manera que
Crear sistema de incentivos
Ventas permitan fortalecer los
por cumplimiento a metas.
beneficios que recibirn los
Conseguir nuevos aliados
clientes logrando ser ms
de negocio que generen
atractivos para que ellos
volumen de ventas
adquieran nuestro producto.
Documentar los Casos de

xito.

18
PLAN ESTRATGICO ABC LTDA.

FOCO
ESTRATEGIA ACTIVIDADES
ESTRATGICO

Establecer estmulos en

servicios profesionales por

referir nuevos clientes.

Establecer un seguimiento

Con el fin de lograr la de los ndices de

satisfaccin completa de los satisfaccin mediante


Posventa y
clientes con nuestro encuestas telefnicas.
Servicio al
producto, hemos creado Tener un apropiado soporte
Cliente
servicios postventa que a su tcnico para los clientes

vez generan valor agregado Dictar ciclo de charlas de

servicio al cliente a todas las

reas de la organizacin.

Dar garanta de nuestros

productos y servicios.

19
9.6 PROCESOS DE LA ORGANIZACIN

Una vez claros los referentes estratgicos de ABC LTDA., es importante identificar

cules son los procesos organizacionales que conforman su cadena de valor. En

el Diagrama No. 1, se identifican los diferentes procesos de ABC LTDA.

20
9.6.1 PROCESOS DE DIRECCIN GENERAL

Su funcin principal es velar por la conservacin y cumplimiento de los objetivos

de la compaa, de acuerdo a lo estipulado en los estatutos de ABC LTDA.., en

este grupo de procesos se identifican

Direccin General: La direccin general en ABC LTDA. se encarga de

unificar, apoyar e impulsar los objetivos de los procesos que conforman la

compaa para logar cumplir con lo plasmado tanto en la Misin como en la

Visin.

Planeacin: Mediante la elaboracin y ejecucin del plan de desarrollo,

ABC se asegura que todos los procesos estn unificados, es decir, que

cada uno de ellos estarn encaminados a cumplir con los objetivos que

tiene la empresa para dar cumplimiento a su Misin y Visin.

21
9.6.2 PROCESOS MISIONALES

Investigacin: La investigacin constante hace parte del crecimiento de ABC, lo

que permite el mejoramiento continuo de tecnologa y mtodos de desarrollo para

mejor desempeo de cada producto ofrecido.

Formacin: Para ABC es fundamental formar permanentemente a su equipo de

trabajo, mediante el desarrollo continuo de capacitaciones, apoyando la

generacin de competencias de todos los que hacen parte de la compaa.

Gestin de Desarrollo Humano: Al interior de ABC , el personal es debidamente

seleccionado, manteniendo y motivando el mejor talento humano disponible para

nuestra compaa, siendo verdaderamente agradable y fructfero trabajar en

equipo para el logro de los objetivos propuestos destacando su calidad humana.

9.6.3 PROCESOS DE APOYO

Gestin de Mercadeo y Ventas: En ABC existe personal con habilidades que

le permiten aumentar las ventas y difusin de los productos y servicios, los cuales

se generan debido a sus excelentes resultados ante los clientes, teniendo en gran

medida una estrategia de venta, que se basa en mercadeo relacional, es decir,

se genera alianzas con los clientes mediante referidos.

22
Gestin de Tecnologa de Informacin y Comunicacin: Para ABC, es

esencial estar vigente en el medio del desarrollo de software, por lo que cuenta

con profesionales lideres en tecnologa que se encargan de realizar actualizacin

de herramientas que nos permitan mantenernos a la vanguardia ofreciendo

calidad, innovacin y respaldo de acuerdo a lo mejor en tecnologa y a las

necesidades del cliente.

Gestin Financiera: ABC se ha mantenido con recursos propios y financiacin

de Bancoldex, para de esta manera cumplir con las metas y continuar con el

crecimiento como empresa.

10. ANLISIS DE LA INFRAESTRUCTURA TECNOLGICA

Durante el proceso de reconocimiento a la infraestructura tecnolgica de ABC

LTDA.., se pudo identificarlos aspectos que se sealan a continuacin.

1O.1 DATACENTER ABC LTDA.

El datacenter est conformado por tres estaciones de trabajo que cumplen la

funcin de servidores, un modem Thomson al que llega la conexin de internet y

23
un switch D-Link en donde se encuentran conectados los servidores. El diagrama

2 describe la arquitectura del datacenter.

Diagrama 1: Arquitectura datacenter ABC LTDA

10.1.1 CONDICIONES GENERALES DEL DATACENTER

24
Fsicamente cualquier persona puede entrar al datacenter pues este se encuentra

ubicado en el mismo espacio que estn las estaciones de trabajo, no se cuenta

con un control de acceso restringido, tampoco se cuenta con algn tipo de sistema

de temperatura controlada y herramientas preventivas contra incendio tales como

sistemas de deteccin de humo aunque s con extintores de incendio. En el anexo

1, tabla 2, se pueden observar las caractersticas de cada uno de los servidores.

10.2 ESTACIONES DE TRABAJO

Despus de haber identificado los aspectos del datacenter, se hizo el

reconocimiento a la infraestructura de las estaciones de trabajo instaladas en las

oficinas de ABC , se observ que cuenta con un modem Thomson al que llega

la respectiva conexin de internet a travs de cable coaxial Tipo 2, un switch D-

Link conectado directamente al modem con cable RJ45, un router Linksys que se

encuentra conectado al switch usando cableado RJ45, una estacin de trabajo de

escritorio conectado por medio de cable RJ45 al switch, tres estaciones de

trabajo porttiles los cuales se usan para dar soporte, capacitaciones y pruebas,

conectados al modem haciendo uso de la conexin WIFI que soporta los

protocolos 802.11 y una ltima estacin de trabajo porttil conectado por medio de

cable RJ45 al router. Lo anterior se puede ver de manera grafica en el diagrama

25
3, y en el anexo 2, tabla 3, se describen las caractersticas de cada una de las

estaciones de trabajado.

Diagrama 2: Arquitectura Clientes de ABC LTDA.

26
11. IDENTIFICACION DE RIESGOS

11.1 IDENTIFICACIN DE LOS RIESGOS INFORMTICOS DE LA

INFRAESTRUCTURA INFORMTICA DE ABC LTDA.

11.1.1 Resumen Ejecutivo

El presente documento tiene como objetivo principal evidenciar de manera precisa

los riesgos reportados despus de ejecutar la herramienta MSAT (Microsoft

Security Assessment Tool), la cual fue elegida por estar diseada para uso de

identificacin de riesgos en la seguridad en la infraestructura informtica y solucin

de los mismos.

MSAT es una herramienta basada en los estndares ISO/IEC 17799 tambin

conocida como ISO27002, y la NIST-800. (National Institute of Standards and

Technology) Instituto Nacional de Estndares y Tecnologa, as como tambin con

recomendaciones establecidas por el grupo de seguridad de Microsoft.

El manejo para el estudio de los riesgos con esta herramienta de realiza

abarcando diferentes planos tales como el personal, procesos y tecnolgica,

permitiendo mejorar el entorno de la seguridad en todos los aspectos.

27
Despus del proceso de ejecucin de la herramienta y al obtener el reporte

generado se logra evidenciar los riesgos que estn afectando la empresa, los

cuales estn poniendo en riesgo la infraestructura informtica, y pueden llegar a

causar daos no solo en la informacin sino traer consecuencias econmicas y

afectar el buen nombre.

De igual manera se sugieren las posibles soluciones que permitan mitigar, aceptar

o delegar estos riesgos, al tiempo fortaleciendo la seguridad de la misma. Estas

sugerencias tienen como fin encaminar a la empresa a la aplicacin de buenas

prcticas.

11.2 RESULTADOS GENERALES DEL ANLISIS CON MSAT

Despus de haber ejecutado la herramienta del MSAT, en el anexo 3 tabla 4, se

puede observar el estado en que se halla la seguridad de ABC LTDA., la cual fue

analizada en cuatro aspectos como lo son: la Infraestructura, las Aplicaciones, las

Operaciones y finalmente el Personal. Generando un resultado de carencias

severas en las cuatro reas analizadas.

28
11.2.1 INFRAESTRUCTURA

En la Infraestructura se logra evidenciar que los puntos crticos se encuentran

relacionados con:

11.2.1.1 Defensa del Permetro: siendo este el primer escudo de proteccin

contra intrusos, se encontraron dos puntos crticos que ponen en riesgo la

seguridad de la infraestructura informtica de la empresa. Los cuales fueron el

Acceso remoto ya que no cuentan con una forma de conexin segura como lo es

hacerlo mediante una tecnologa VPN, y en la parte en cuanto a la conexin

inalmbrica a la red de la empresa, Ya que no utiliza un cifrado que le mayor

seguridad y no cuenta con una restriccin de acceso mediante MAC.

Se Sugiere

Utilizar una VPN para la conectividad de acceso de usuario remoto basada en las

tecnologas IPSec, SSL, y SSH.

Manejar una conectividad sitio-a-sitio basada en la tecnologa IPSec. Configurar

listas de acceso a redes y de usuario para limitar el acceso a los recursos

corporativos necesarios. Revisar con regularidad la lista de acceso de los usuarios

en el dispositivo VPN.

11.2.1.2 AUTENTICACIN

29
No se encontraron procedimientos estrictos de autenticacin de usuarios,

administradores y usuarios remotos los cuales ayudan a asegurar que los

intrusos no accedan sin autorizacin a la red mediante ataques locales o remotos.

Despus del anlisis se encuentran dos puntos en estado crtico los cuales son

las directivas de contraseas - cuenta de administrador y cuenta de usuario, no se

utilizan directivas de contraseas para las cuentas. Los usuarios tienen habilitados

accesos administrativos a sus estaciones de trabajo.

Se Sugiere:

Considere eliminar el acceso administrativo de usuarios, para limitar la posibilidad

de modificar la creacin segura, adicional a eso se debe implantar otro factor de

autenticacin para disminuir el riesgo de accesos no autorizados, tambin es de

considerar poner en prctica controles avanzados para la gestin de cuentas y el

registro de acceso de cuentas como son:

Poner en prctica una directiva de contraseas complejas para las cuentas

administrativas con contraseas que cumplan estas condiciones:

+ Alfanumrico

+ Maysculas y minsculas

+ Contiene al menos un carcter especial

+ Contiene como mnimo 14 caracteres

30
Para limitar ms los riesgos de ataques a las contraseas, ponga en

prctica los controles siguientes:

+ Caducidad de contraseas

+ Bloqueo de la cuenta despus de entre 7 y 10 intentos de registro fallidos

+ Registro del sistema

Adems de las contraseas complejas, puede recurrir a la autenticacin

multifactorial. (No permita que se compartan cuentas).

11.2.1.3 APLICACIONES

En el rea de las aplicaciones el reporte generado indica que existen dos puntos

crticos, Almacenamiento y comunicaciones de datos y la implementacin y uso,

las mayor importancia son la de conocimiento de vulnerabilidades y la aplicacin

y recuperacin de datos, ya que no se realizan peridicamente pruebas de la

recuperacin de aplicaciones y datos.

Se Sugiere

Realice copias de seguridad regularmente. Probar regularmente el mecanismo de

copias de seguridad y recuperacin que restaura la aplicacin a un estado normal

de operacin, la empresa no conoce sus vulnerabilidades, Puede recurrir a una

31
evaluacin independiente para que un tercero pueda valorar el diseo de la

seguridad de la aplicacin e identificar otros problemas que necesiten ms

mecanismos de seguridad.

11.2.1.4 OPERACIONES

Para el rea de operaciones se visualizan tres puntos crticos los cuales

corresponden a: la directiva de seguridad, Gestin de actualizaciones y revisiones

y a las Copias de seguridad y recuperacin, ya que no hay pautas individuales

para regular el uso adecuado y seguro de las tecnologas al igual que los procesos

de la empresa, esta rea incluye las directivas para todos los aspectos de la

seguridad, como los usuarios, los sistemas los datos. Tambin se evidencia que

no existe un proceso de gestin de cambios y configuraciones.

Se Sugiere

Es importante que las directivas junto con el equipo de seguridad TI, establezcan

pautas en los protocolos y servicios permitidos en el entorno corporativo y

documentar las pautas. Es de destacar que estas pautas deben ser de acuerdo a

los estndares de aplicacin como: (ISO17799, CoBIT) etc., es importante que

todos los empleados estn familiarizados con estas pautas.

32
11.2.1.5 PERSONAL

La empresa no cuenta con evaluaciones de seguridad al personal interno,

tampoco cuenta con algn programa de capacitacin especfica para la seguridad

de la empresa mostrando como punto crtico este aspecto en al rea del personal.

Se Sugiere

Informar y capacitar al personal interno sobre el manejo de la seguridad que

implementara la empresa, esto le permitir actuar de manera rpida ante posibles

problemas en materia de seguridad, despus realice auditorias de seguridad

frecuente, mantenga unas pautas para el manejo de los empleados que dejan la

empresa y evale los posibles hechos que se puedan presentar con la salida.

11.2 ACCIONES A TOMAR DE ACUERDO A SU PRIORIDAD

Prioridad Alta

Despus del anlisis realizado a las cuatro reas, se recomienda actuar con los

siguientes puntos considerados de prioridad alta, para fortalecer la infraestructura

informtica de ABC LTDA.

33
Infraestructura gestin y control: Es importante contar con los equipos

adecuados para uso de servidores, ya que son ms robustos y se prestan para dar

un mayor control de la seguridad de la informacin, se hace necesario

implementar controles fsicos en todos los equipos. Se debe utilizar una sola

solucin para el acceso remoto.

Gestionar un proceso de creacin de informes de incidentes y repuesta

documentado para garantizar que todos los problemas e incidentes se revisan y se

evalan de forma coherente, permitiendo llevar un indicativo de los incidentes

presentados al igual que las soluciones dadas en su momento, para que sirva de

referencia a futuros incidentes.

Operaciones (copias de seguridad y recuperacin): Parte fundamental para el

continuo desarrollo de los procesos de la empresa, es contar con un adecuado

sistema de copias de seguridad y recuperacin en caso de desastres para

reanudar el negocio sin afectar funcionamiento.

Prioridad Intermedia

Infraestructura (Autenticacin - Usuarios administrativos): Se debe

considere implantar otro factor de autenticacin para disminuir el riesgo de

accesos no autorizados.

34
Piense en poner en prctica controles avanzados para la gestin de cuentas y el

registro de acceso de cuentas.

Evale la utilizacin de un sistema de autenticacin multifactor de acceso remoto y

limite el acceso nicamente a aquellos empleados que tengan una necesidad

empresarial de conectividad remota.

Operaciones (copia de seguridad): Piense en descargar los archivos de registro

a un servidor seguro en el entorno de gestin para fines de almacn. Se debe

limitar el acceso a stos a slo el equipo de seguridad para analizar incidentes.

12. TEST DE VULNERABILIDADES DE LA INFRAESTRUCTURA

INFORMTICA DE ABC LTDA.

Una vez identificados los riesgos informticos de ABC LTDA. se desea conocer el

estado respecto a las vulnerabilidades de la infraestructura informtica de la

empresa ABC LTDA., empleando la herramienta Nessus.

35
12.1 ANALISIS DE LAS VULNERABILIDADES DE LOS SERIVORES,

EQUIPOS DE TRABAJO Y PROPUESTA PARA MITIGARLAS.

De acuerdo a las vulnerabilidades encontradas especficamente en el Servidor

Web en el anexo 3, 4,5,6, y 7, se pueden observar las descripciones de cada una

de las vulnerabilidades reportadas por la herramienta, su tipo de impacto y se

sugiere su respectiva solucin.

Del reporte de Nessus, se puede deducir que todos los problemas se reducen a la

falta de actualizacin del Apache y PHP, ya que al no actualizarnos permite que

existan riesgos de que un atacante pueda modificar la informacin sin

autorizacin a la vez puede divulgarla y hasta causar una interrupcin del servicio.

Se Sugiere

Como prioridad para la seguridad de la infraestructura informtica de la empresa

ABC LTDA., es necesario actualizar a las ltimas versiones existentes de Apache

y PHP, para evitar que u atacante pueda daar y manipular la informacin.

36
13. PROPONER UN PROCEDIMIENTO Y UN PLAN DE ACCIN QUE

PERMITA A ABC LTDA. HACER GESTIN DE VULNERABILIDADES.

A partir del reporte generado por las herramientas MSAT y NESSUS, y despus

de analizar la informacin se plantea un procedimiento que permite gestionar las

vulnerabilidades encontradas, el cual se observa a continuacin.

14. PROCEDIMIENTO DE GESTIN DE VULNERABILIDADES

PROCEDIMIENTO DE GESTIN DE Versin: 0001

VULNERABILIDADES Cdigo:

Fecha: 21/05/2012

REGISTRO DE VERSIONES

FECHA
VER REVISADO DESCRIPCIN
ELABORADO DE APROB FIRMA
N POR DE CAMBIOS
REVISIN

Sandra Milena

Daza Edison Mayo 22 de Juan Carlos


0.
Mauricio Camargo 2012 Chamorro Gerente

Giraldo

37
1.

2.

Este documento pertenece a la empresa ABC S.A.S se prohibe reproducirlo total o

parcialmente, o guardarlo en un sistema electrnico sin previa autorizacin

TABLA DE CONTENIDO

1. Objetivos

2. Alcance

3. Definiciones

4. Responsabilidades

5. Documentos relacionados

6. Diagrama de Flujo

7. Secuencia de Actividades

1. OBJETIVO

Formalizar el procedimiento de la gestin de vulnerabilidades para ABC

LTDA..., apoyado en herramientas de tecnologa de seguridad informtica.

2. ALCANCE

El procedimiento inicia con la ejecucin de la herramienta de anlisis de

vulnerabilidades y culmina con la conformacin del plan de trabajo, para la

38
mitigacin de las mismas; el cual ser entregado a los responsables de ABC

LTDA., quienes se encargaran de la ejecucin de ste.

3. PERIOCIDAD: El procedimiento podr ser ejecutado por ABC LTDA. De

acuerdo a la estimacin que le considere conveniente.

4. DEFINICIONES

NESSUS Herramienta que permite realizar anlisis de

vulnerabilidades en diversos sistemas operativos.

NISL NIST (National Institute of Standards and Technology)

Instituto Nacional de Estndares y Tecnologa, es una de

las tres agencias de E.E U.U que administran la

tecnologa.

CVE CVE (Common Vulnerabilities and Exposures),

Vulnerabilidades y amenazas comn, es un cdigo

asignado a una vulnerabilidad que permite ser identificada

de manera univoca. El cdigo identificador es del modo

CVE ao nmero.

MITRE Es una corporacin que permite a los usuarios conocer

de una forma ms objetiva una vulnerabilidad de un

programa o sistema. Es la creadora del cdigo CVE

MSAT MSAT (Microsoft Security Assessment Tool) Herramienta

de evaluacin de la seguridad, identifica debilidades del

entorno informtico.

39
ISO27000 La norma ISO 27000 habla sobre Sistemas de Gestin de

la Seguridad de la Informacin

4. RESPONSABILIDADES

Sera responsable de aprobar los procedimientos y a su


Gerente
vez tendr cumplirlos y hacerlos cumplir

Sera el responsable de la implementacin de la gestin

Lder de Tecnologa de vulnerabilidades informticas, ejecutando el plan de

trabajo.

Sern responsables de vigilar que todas las actividades

se estn ejecutando de a cuerdo al procedimiento,


El Personal de
tambin deber informar cualquier anomala que se
soporte en sistemas
pueda presentar que afecte el desarrollo del

procedimiento.

Sera responsable de ejecutar el sistema de anlisis

Proveedor vulnerabilidades y entregar un informe tcnico de las

mismas, con las posibles soluciones

40
5. DOCUMENTOS RELACIONADOS

NOMBRE CODIGO TIPO DE LUGAR TIEMPO

DOCUMENTO

Reporte tcnico generado por el TI_010 Confidencial Bogot

software Nessus

Documentacin tcnica TI_011 Publica Bogot

respecto a vulnerabilidades

tecnolgicas reportadas por la

organizacin Mitre

Documentacin tcnica TI_012 Publico Bogot

respecto a vulnerabilidades

tecnolgicas del Instituto NISL

Reporte tcnico de riesgos TI_013 Confidencial Bogot

generado por el software

MSAT

ISO27000 TI_014 Publico Bogot

41
42
7. SECUENCIA DE ACTIVIDADES

Plan de ejecucin: Inicio del procedimiento, este cronograma define las fechas y

periodicidad en la que debe ser ejecutado el anlisis de vulnerabilidades

Ejecutar el sistema de anlisis de vulnerabilidades: El proveedor es el

responsable de ejecutar la herramienta de escaneo de vulnerabilidades y generar

un anlisis de vulnerabilidades, que a lo largo de este documento llamaremos

primera fase, a travs del cual se pueden identificar las amenazas presentes

Generar el reporte de la herramienta de anlisis de vulnerabilidades: El

proveedor deber entregar un documento con el reporte de las vulnerabilidades

encontradas e identificadas por la herramienta de anlisis de vulnerabilidades.

Generar los indicadores: El proveedor deber realizar un informe documentando

el nmero de vulnerabilidades halladas de criticidad crtica, un informe con la

cantidad de vulnerabilidades de criticidad alta y otro con el nmero de

vulnerabilidades de criticidad media.

Analizar el documento: El lder de tecnologa deber utilizar el documento de

reporte de la herramienta de anlisis de vulnerabilidades como entrada para definir

una solucin acorde y ptima segn su experticia en la organizacin

Generar la solucin para cada vulnerabilidad: El lder de tecnologa debe

generar un documento en donde se encuentran plasmadas cada una de las

43
soluciones propuestas por l como medida correctiva ante las vulnerabilidades

encontradas en la primera fase

Generar informe de aprobacin: El gerente debe aprobar las soluciones

propuestas por el lder de tecnologa y firmarlas como garanta de satisfaccin

Implementacin de las medidas correctivas: El lder de tecnologa es quien

pondr en marcha las soluciones y medidas correctivas previamente aprobadas

por el gerente.

PROCEDIMIENTO Edison Camargo Juan Carlos Chamorro

REVISO EL APRUEBA EL

DOCUMENTO DOCUMENTO

Versin. Mayo 21 de 2012

44
15. FORMATO CARACTERIZACION PROCEDIMIENTO DE GESTIN DE VULNERABILIDADES

La caracterizacin del procedimiento describe lo que se quiere lograr con este procedimiento, las secuencias de

actividades y sus respectivos responsables.

CARACTERIZACIN Versin: 0001

Cdigo:

PROCEDIMIENTO DE GESTIN DE VULNERABILIDADES Fecha: 21/05/2012

1. OBJETIVO

Formalizar el procedimiento de la gestin de vulnerabilidades para ABC LTDA., apoyado en herramientas de

tecnologa de seguridad.

45
2. ALCANCE

El procedimiento inicia con la ejecucin de la herramienta de anlisis de vulnerabilidades y culmina con la

conformacin del plan de trabajo, para la mitigacin de las mismas; el cual ser entregado a los responsables de

ABC LTDA., quienes se encargaran de la ejecucin de ste.

3. Actividades y Responsabilidades

SIPCO

PROVEEDOR ENTRADA ACTIVIDADES PHVA SALIDAS CLIENTE

ACTIVIDAD 1

Parametrizar la herramienta de escaneo de


Reporte de las vulnerabilidades
Proveedor de vulnerabilidades Lder de
Plan de ejecucin PHV encontradas
seguridad Ejecutar el sistema de anlisis de vulnerabilidades tecnologa
Documento con los indicadores
Generar el reporte de las vulnerabilidades

encontradas Generar los indicadores

46
Reporte de las ACTIVIDAD 2
Lder de Documento con la solucin para
vulnerabilidades Analizar el documento PH Gerente
tecnologa cada vulnerabilidad
encontradas Generar la solucin para cada vulnerabilidad

ACTIVIDAD 3
Documento con la
Revisa el documento Lder de
Gerente solucin para cada HV Informe de aprobacin
Analiza las soluciones y aprueba las que considera tecnologa
vulnerabilidad
pertinentes Firma las soluciones aprobadas

ACTIVIDAD 4
Lder de
Informe de aprobacin Revisa el informe con las soluciones aprobadas HVA
tecnologa
Implementa las medidas correctivas

4. INFORMACIN DEL PROCESO

INDICADORES DE GESTIN REQUISITOS ISO 27000 DOCUMENTOS DEL PROCESO RECURSOS RESPONSABLES

Nmero de vulnerabilidades Cumplir con las buenas Reporte tcnico generado por el software Los equipos y la Sandra Milena

encontradas en estado crtico. prcticas que generan Nessus informacin Daza T

Nmero de vulnerabilidades seguridad en la empresa Reporte tcnico de riesgos generado por el suministrada por Mauricio Andrs

encontradas con criticidad Alta. software MSAT la empresa ABC Giraldo

Nmero de vulnerabilidades Formatos de caracterizaciones S.AS. Software

encontradas con criticidad media libre de buena

47
calidad y

confiabilidad

MECANISMOS DE CONTROL REQUISITOS LEGALES DOCUMENTOS SOPORTES COMUNICACIN PRODUCTO

Manejo de indicadores Reporte tcnico generado por el software Va email Documento con

Nessus Telefnica reporte de

Documentacin tcnica respecto a Reuniones vulnerabilidades y

vulnerabilidades tecnolgicas reportadas por riesgos

la organizacin Mitre encontrados,

Reporte tcnico de riesgos generado por el despus del

software MSAT anlisis a la

Iso 2700 infraestructura

Confidencialidad y buen manejo de la informtica de


REQUISITOS DEL CLIENTE
informacin ABC LTDA.., con

Contar con la informacin necesaria y apoyo sus respectivas

de la empresa para obtener los mejores sugerencias para


REQUISITOS DE LA
resultados mitigarlos y
ORGANIZACIN
mejorar la

seguridad.

48
Juan Carlos
PROCEDIMIENTO Edison Camargo
Chamorro

REVISO EL APROBO EL
Versin. 01 FECHA 21/05/2012
DOCUMENTO DOCUMENTO

49
16. CONCLUSIONES

Mediante el proceso realizado en ABC LTDA., se logro identificar que la empresa

cuenta con focos estratgicos que van alineados con la misin y la visin, lo cual les

permiten mantenerse vigente y un continuo crecimiento.

Se identificaron los riesgos y las vulnerabilidades a los que estaba expuesto ABC

LTDA., lo cual permiti generar un plan de accin para su mitigacin y proteccin de

la infraestructura informtica de la empresa.

Se propuso un procedimiento que permiti generar un plan de accin para mitigar

las vulnerabilidades de la infraestructura informtica de ABC LTDA.

Es necesario ejecutar cada tres meses el procedimiento propuesto para lograr llevar

un ndice de vulnerabilidades encontradas con sus respectivas soluciones y de esta

manera tener indicativos que orienten el buen desarrollo de la prctica

50
17. BIBLIOGRAFA

Jeimy. Introduccin a la informtica forense.Colombia:2da Edicin,

2008,65p.ISBN 8965-95.32.

Incontec Sistema de Gestin de la Seguridad de la Informacin (SGSI).

Compendio, Segunda Edicin, Julio de 2009 ISBN9789589383933

1
[en lnea]. http://www.revistasic.com/respuestassic/14/RPS14_programa.pdf

[citado el 10 de septiembre de 2011]

DHS National Cyber Security Division/US-CEERT National Vulnerability

Database[en lnea]. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-1999-

0519

Bogot, Colombia) Hacking tico [CD-ROM]: Hacking tico. Bogot Colombia,

ISEC; Bogot: 2010.

Hacker 6 Secretos y soluciones de seguridad en redes

51
18. ANEXOS

18.1 Anexo 1: Descripcin Servidores


Servidor Caractersticas Software Servicios

Administracin Remota de
S.O Windows Server
Windows
2008 R2 Enterprise
Administrador de conexin
SP2, 32 bits
de acceso remoto
J2SE Runtime
Administrador de cuentas
Dominio Cumple Environment 5.0
de seguridad
la funcin de Update 11
Procesador Intel Administrador de licencias
administrar el Java 6 Update 21
Pentium Dual Core de Terminal Services
dominio de la McAfee Agent
2.4 GHz Agente SQL Server
empresa,
Memoria RAM 4GB McAfee Policy Aislamiento de claves
encargndose de
Disco duro de 250 Orchestrator CNG
controlar las
GB McAfee Host Intrusion Configuracin de Terminal
cuentas de usuario
Tarjeta de red Prevention Services
y el rol que cumple
10/100 McAfee Virus Scan Enrutamiento y acceso
dentro del dominio
remoto
Enterprise
de la compaa
Firewall de Windows
Microsoft Office
Llamada a procedimiento
Professional
remoto (RPC)
2007Microsoft Office
McAfee Firewall Core
Professional 2007
Service

52
Servidor Caractersticas Software Servicios

Microsoft Office McAfee Host Intrution

Project Server 2007 Prevention Service

Microsoft SQL Server McAfee McShield

Propagacin de
2005
certificados
Microsoft SQL Server
Redirector de puerto en
2008
modo usuario de Terminal
Windows Server
Services
Update Services 3.0
Servicio de administracin
SP2
de IIS

Servicio de protocolo de

tnel de sockets seguros

Servicio de publicacin

World Wide Web

Servicios de cifrado

Servicios de dominio de

Active Directory

Servidor de McAfee Policy

Orchestrator 4.6.0

Servidor DNS

Terminal Services

WEB Procesador Intel S.O Windows Server Administracin Remota de


En este servidor Pentium Dual Core 2008 R2 Enterprise Windows

53
Servidor Caractersticas Software Servicios

es en dnde se 2.5 GHz SP2, 64 bits Administrador de conexin

encuentra Memoria RAM 4GB Apache HTTP Server automtica de acceso

localizada la Tarjeta de red 2.2.11 remoto

pgina de ABC . 10/100/1000 McAfee Agent Administrador de conexin

Tambin cumple la Disco duro 300GB McAfee Host Intrusion de acceso remoto

funcin de servidor Prevention Administrador de cuentas

de correo McAfee Solidifier de seguridad

electrnico McAfee Virus Scan Agente de cuarentena de

Enterprise acceso remoto

Microsoft SQL Server Aislamiento de claves

2005 CNG

MySQL Server 5.1 Almacenamiento protegido

PHP 5.2.9-2 Apache 2.2

Configuracin de Terminal

Services

Enrutamiento y acceso

remoto

Firewall de Windows

Llamada a procedimiento

remoto (RPC)

McAfee Firewall Core

Service

54
Servidor Caractersticas Software Servicios

McAfee Host Intrusion

Prevention Service

McAfee McShield

MySQL

Redirector de puerto en

modo usuario de Terminal

Services

Servicio de administracin

de IIS

Servicio de protocolo de

tnel de sockets seguros

Servicio de publicacin

World Wide Web

Servicios de cifrado

Terminal Services

Fuentes S.O Windows Server Administracin Remota de


Procesador Intel
Es en este 2008 R2 Enterprise Windows
Pentium Dual Core
servidor donde se SP2, 32 bits Administracin automtica
2.5 GHz
encuentra Java 6 Update 21 de acceso remoto
Memoria RAM 2GB
almacenada toda McAfee Agent Administrador de conexin
Tarjeta de red
la informacin de McAfee ePolicy de acceso remoto
10/100
los clientes y los Orchestrator Administrador de cuentas
Disco Duro 300GB
cdigos usados en McAfee Host Intrusion de seguridad

55
Servidor Caractersticas Software Servicios

la construccin del Prevention Aislamiento de claves

software McAfee Solidifier CNG

McAfee Virus Scan Almacenamiento protegido

Enterprise Configuracin de Terminal

Microsoft Office Services

Professional 2007 Enrutamiento y acceso

Microsoft SQL Server remoto

2005 Firewall de Windows

Microsoft SQL Server Llamada a procedimiento

2008 remoto (RPC)

Microsoft Windows McAfee Firewall Core

Sharepoint Services 3.0 Service

Windows Server Update McAfee Host Intrusion

Services 3.0 Prevention Service

McAfee McShield

Propagacin de

certificados

Redirector de puerto en

modo usuario de Terminal

Services

Servicio de administracin

de IIS

Servicio de protocolo de

56
Servidor Caractersticas Software Servicios

tnel de sockets seguros

Servicio de publicacin

World Wide Web

Servicios de cifrado

Servidor de colores de

Windows

Terminal Services

18.2 Anexo 2: Descripcin estaciones de trabajo

CLIENTE / FUNCIN CARACTERSTICAS SOFTWARE SERVICIOS

"Windows 7 Acceso a dispositivo de

Ultimate 32 bits interfaz humana


Gerencia:
SP1 Adaptador de rendimiento
Este equipo est a cargo
Java 6 Update 31 de WMI
del Gerente quien lo utiliza
Intel Core 2 Do 1.6GHz McAfee Agent Administrador de
para manejo toda la
Memoria RAM 2GB McAfee Host aplicaciones
informacin de los
Tarjeta de red 10/100 Intrution Prevention Administrador de
clientes, para realizar
Disco Duro 250 GB McAfee Virus Scan certificados y claves de
presentaciones, prestar
Enterprise mantenimiento
soporte, y manejos
Microsoft Office Administracin de
administrativos
Standard 2010 conexin automtica de

Microsoft Office acceso remoto

57
CLIENTE / FUNCIN CARACTERSTICAS SOFTWARE SERVICIOS

Visio 2007 Administracin de

Microsoft Security credenciales

Essentials Administracin de

Microsoft SQL cuentas de seguridad

Server 2008 Almacenamiento

Windows XP Mode" protegido

Agente de proteccin de

acceso a redes

Aislamiento de Claves

CNG

Cliente DHCP

Cliente DNS

Cliente Web

Centro de seguridad

Firewalls de Windows

Host de sistema de

diagnostico

McAfee Firewall Core

Service

McAfee Validation Trust

Protection Service

58
CLIENTE / FUNCIN CARACTERSTICAS SOFTWARE SERVICIOS

Administrador de

certificados y claves de

mantenimiento
Windows 7

Professional 64 bits
Administrador de
SP1
aplicaciones
McAfee Agent
Administracin remota de
McAfee Host
Windows
Intrution Prevention
Administrador de
McAfee Virus Scan
conexin de acceso
Enterprise
Soporte 1: remoto
Microsoft Office
Este porttil esta para AMD Turion 2.00 GHz Administrador cuentas de
Professional 2007
funciones tales como: de Memoria RAM 4GB seguridad
AccountantSofPlus
soporte, presentaciones, Disco Duro 250 GB Adobe acrobat Update
Microsoft Office
capacitaciones. Service
Visio 2007
Agente de proteccin de
Microsoft Security
acceso a redes
Essentials
Agente SQL Server
Microsoft SQL
Disco Virtual
Server 2008
DLL del host del contador
Microsoft Security
de rendimiento
Assessment Tool.
Firewall de Windows
4.0
Host sistema de

diagnostico

Inspeccin red de

59
CLIENTE / FUNCIN CARACTERSTICAS SOFTWARE SERVICIOS

Microsoft

McAfee Security Scan

Component Host service

Microsoft Antimalware

Service

Sistema de cifrado de

archives

Tarjeta Inteligente

Acceso a dispositivo de

interfaz humana

Deteccin Harware Shell

Windows 7 Agente de proteccin de

Professional 32 bits acceso a redes

SP1 Aislamiento de Claves

Soporte 2: "Intel Core 2 Duo 1.8GHz McAfee Agent CNG

Este equipo cumple con Memoria RAM 1GB McAfee Host Cliente DHCP

las siguientes funciones: Tarjeta de red 10/100 Intrution Prevention Cliente DNS

soporte, y testeo. Disco Duro 250 GB" McAfee Virus Scan Cliente Web

Enterprise Centro de seguridad

Microsoft Office Firewalls de Windows

Professional 2007 Host de sistema de

diagnostico

McAfee Firewall Core

Service

60
CLIENTE / FUNCIN CARACTERSTICAS SOFTWARE SERVICIOS

McAfee Validation Trust

Protection Service

Detection SSDP

Configuration automatic

de WLAN

Aislamiento de claves

CNG

Office software Protection

platform

Servicio cifrado de

Unidad Bitlocker

Firewalls de Windows

Host de sistema de

diagnostico

McAfee Firewall Core

Service

McAfee Validation Trust

Protection Service

" Windows 7 Administrador de

Soporte 3: Professional 32 bits certificados y claves de


"Intel Core 2 Duo 1.8GHz
Este porttil esta para SP1 mantenimiento
Memoria RAM 1GB
funciones tales como: de McAfee Agent
Tarjeta de red 10/100
soporte, presentaciones, McAfee Host Administrador de
Disco Duro 250 GB"
capacitaciones. Intrution Prevention aplicaciones

McAfee Virus Scan Administracin remota de

61
CLIENTE / FUNCIN CARACTERSTICAS SOFTWARE SERVICIOS

Enterprise Windows

Microsoft Office Administrador de

Professional 2007 conexin de acceso

remoto

Administrador cuentas de

seguridad

Adobe acrobat Update

Service

Agente de proteccin de

acceso a redes

Agente SQL Server

Disco Virtual

DLL del host del contador

de rendimiento

Firewall de Windows

Host sistema de

diagnostico

Inspeccin red de

Microsoft

McAfee Security Scan

Component Host service

Microsoft Antimalware

Service

Sistema de cifrado de

archives

62
CLIENTE / FUNCIN CARACTERSTICAS SOFTWARE SERVICIOS

63
18.3 Anexo 3: Resultados

reas de anlisis Estado

Infraestructura

Aplicaciones

Operaciones

Personal

Cumple las mejores prcticas recomendadas

Interpretacin Necesita mejorar

Carencias severas

A continuacin en el anexo 4 se seala el detalle de cada uno de los aspectos

analizados con MSAT

18.4 Anexo 4: Detalle de anlisis MSAT

Infraestructura

Defensa del permetro

Reglas y filtros de cortafuegos

Antivirus

64
Antivirus - Equipos de escritorio

Antivirus Servidores

Acceso remote

Segmentacin

Sistema de deteccin de intrusiones (IDS)

Inalmbrico

Autenticacin

Usuarios administrativos

Usuarios internos

Usuarios de acceso remote

Directivas de contraseas

Directivas de contraseas-Cuenta de administrador

Directivas de contraseas-Cuenta de usuario

Directivas de contraseas-Cuenta de acceso remoto

Cuentas inactivas

Gestin y control

Informes sobre incidentes y respuesta

Creacin segura

Seguridad fsica

Aplicaciones

Implementacin y uso

Equilibrio de carga

65
Clsteres

Aplicacin y recuperacin de datos

Fabricante de software independiente (ISV)

Desarrollado internamente

Vulnerabilidades

Diseo de aplicaciones

Autenticacin

Directivas de contraseas

Autorizacin y control de acceso

Registro

Validacin de datos de entrada

Metodologas de desarrollo de seguridad de software

Almacenamiento y comunicaciones de datos

Cifrado

Cifrado Algoritmo

Operaciones

Entorno

Host de gestin

Host de gestin-Servidores

Host de gestin - Dispositivos de red

Directiva de seguridad

Clasificacin de datos

66
Eliminacin de datos

Protocolos y servicios

Uso aceptable

Gestin de cuentas de usuarios

Regulacin

Directiva de seguridad

Gestin de actualizaciones y revisiones

Documentacin de la red

Flujo de datos de la aplicacin

Gestin de actualizaciones

Gestin de cambios y configuracin

Copias de seguridad y recuperacin

Archivos de registro

Planificacin de recuperacin ante desastres y reanudacin

de negocio

Copias de seguridad

Dispositivos de copia de seguridad

Copias de seguridad y restauracin

Personal

Requisitos y evaluaciones

Requisitos de seguridad

Evaluaciones de seguridad

67
Directiva y procedimientos

Comprobaciones del historial personal

Directiva de recursos humanos

Relaciones con terceros

Formacin y conocimiento

Conocimiento de seguridad

Formacin sobre seguridad

Frente a lo anterior, MSAT genera una serie de recomendaciones para mitigar los factores de

riesgo descritos en el anexo 5. Solo se muestra aquellos aspectos cuya estado se considera como

una carencia severa. En la tabla 6 se muestra cada una de las recomendaciones sugeridas por

MSAT.

18.5 Anexo 5: Anlisis de riesgos

RECOMENDACIONES
ASPECTO
ESTADO OBSERVACIONES PARA MITIGAR EL
ANALIZADO
RIESGO

68
RECOMENDACIONES
ASPECTO
ESTADO OBSERVACIONES PARA MITIGAR EL
ANALIZADO
RIESGO

Existen clientes y/o

socios que se

conectan de manera
Utilizar conexiones por
remota a la red
Carencias medio de VPN basada
Acceso Remoto interna, pero no se
severas en tecnologas IPSec,
utiliza alguna
SSL y SSH
tecnologa VPN para

garantizar el acceso

seguro

Existe la posibilidad
Utilizar cifrado WAP y
de conexin
tratar la red como de no
inalmbrica a la red
Terminal confianza.
Carencias de la empresa, se
Services Realizar filtros por MAC
severas utiliza cifrado WEP y
con el fin que equipos no
no se utiliza
autorizados se conecten
restriccin de acceso
a la red
por medio de MAC

Directivas de Carencias No se utilizan Se debe implementar

contraseas- severas directivas de directivas de contraseas

69
RECOMENDACIONES
ASPECTO
ESTADO OBSERVACIONES PARA MITIGAR EL
ANALIZADO
RIESGO

Cuenta de contraseas para las de tal forma que se sigan

administrador cuentas de las siguientes

administrador recomendaciones:

- La longitud de las

contraseas deben ser

entre 8 a 14 caracteres

- Duracin mxima 90

das

- Las cuentas nuevas

deben cambiar la

contrasea tan pronto

inicien sesin

Se debe implementar

directivas de contraseas
Directivas de No se utilizan
de tal forma que se sigan
contraseas- Carencias directivas de
las siguientes
Cuenta de severas contraseas para las
recomendaciones:
usuario cuentas de usuario
- La longitud de las

contraseas deben ser

70
RECOMENDACIONES
ASPECTO
ESTADO OBSERVACIONES PARA MITIGAR EL
ANALIZADO
RIESGO

entre 8 a 14 caracteres

- Duracin mxima 90

das

- Las cuentas nuevas

deben cambiar la

contrasea tan pronto

inicien sesin

Utilizar software de

No se utiliza ningn cifrado de discos con el

sistema de cifrado de fin de garantizar la

disco, tampoco se confidencialidad en caso


Carencias
Creacin segura cuenta con un de robo de los equipos
severas
protector de pantalla Exigir a los usuarios el

protegido por uso de un protector de

contrasea pantalla protegido por

contrasea

ABC no tiene Se deben establecer


Carencias
Seguridad fsica implementado un controles de acceso
severas
sistema de fsico con el fin de evitar

71
RECOMENDACIONES
ASPECTO
ESTADO OBSERVACIONES PARA MITIGAR EL
ANALIZADO
RIESGO

identificacin de que personas no

empleados, autorizadas ingresen a

visitantes, las instalaciones de ABC

acompaantes y .

registros de Los equipos de red

visitantes. deben estar en un

Los equipos de la red armario bajo llave, as

no se encuentran como los equipos deben

bajo algn armario estar adecuadamente

cerrado, as como lo asegurados con un cable

servidores tampoco de seguridad

se encuentran en

alguna habitacin con

acceso restringido.

Los equipos de

trabajo no se

encuentran

protegidos por algn

cable de seguridad

72
RECOMENDACIONES
ASPECTO
ESTADO OBSERVACIONES PARA MITIGAR EL
ANALIZADO
RIESGO

No se tienen Es recomendable utilizar

implementada la clsteres para asegurar


Carencias
Clsteres agrupacin de la alta disponibilidad de
severas
clsteres en el bases de datos y

entorno archivos compartidos

No se realizan Se recomienda realizar


Aplicacin y
Carencias pruebas peridicas copias de seguridad
recuperacin de
severas de la recuperacin de regularmente y realizar
datos
aplicaciones y datos su respectiva prueba

El uso de macros

personalizados hace que

las aplicaciones
Se utilizan macros
ofimticas queden
Desarrollado Carencias personalizados en
expuestos a documentos
internamente severas aplicaciones
peligrosos, se
ofimticas
recomienda restringir su

uso solo a personas que

lo requiera

Vulnerabilidades Carencias No se conocen Consultar los sitios de los

73
RECOMENDACIONES
ASPECTO
ESTADO OBSERVACIONES PARA MITIGAR EL
ANALIZADO
RIESGO

severas vulnerabilidades en fabricantes y

las aplicaciones que proveedores de

afecten en la soluciones de seguridad

seguridad para detectar

vulnerabilidades a nivel

de aplicacin

La empresa no

proporciona

formacin sobre

metodologas de
Establecer un programa
seguridad para
Metodologas de de formacin de
software orientado al
desarrollo de Carencias metodologas de
personal de
seguridad de severas desarrollo de software
desarrollo.
software seguro.
La organizacin no

utiliza las

metodologas de

desarrollo de

seguridad de

74
RECOMENDACIONES
ASPECTO
ESTADO OBSERVACIONES PARA MITIGAR EL
ANALIZADO
RIESGO

software

recomendadas

Se debe cifrar los datos


Las aplicaciones de
confidenciales al
ABC no cifran los
Carencias momento de
Cifrado datos cuando se
severas almacenarlos y
estn almacenando o
transmitirlos con un
transmitiendo
algoritmo estndar

Se debe determinar
Los integrantes de
internamente los
Clasificacin de Carencias ABC no tienen claro
documentos para poder
datos severas como se deben
asignar a cada uno una
clasificar los datos
clasificacin

El personal de la
Se debe definir un
compaa no tiene
procedimiento para la
Eliminacin de Carencias claro como debe ser
gestin de eliminacin de
datos severas el proceso de
informacin en formato
eliminacin de
fsico como electrnico
informacin

75
RECOMENDACIONES
ASPECTO
ESTADO OBSERVACIONES PARA MITIGAR EL
ANALIZADO
RIESGO

Se recomienda reunirse

con el equipo de

No existen pautas seguridad y comercial

Protocolos y Carencias que traten los con el fin de establecer

servicios severas servicios y protocolos pautas que traten los

permitidos servicios y protocolos

permitidos en el entorno

empresarial

Se recomienda
La empresa no
establecer una directiva
cuenta con ninguna
de seguridad segn la
directiva de seguridad
informacin suministrada
Directiva de Carencias de la informacin
de gestin de TI y de
seguridad severas para controlar lo
Recursos Humanos y se
relacionado a la
deben poner en
seguridad de la
funcionamiento por los
compaa
ejecutivos

Documentacin Carencias La empresa no Se debe trabajar con los

de la red severas cuenta con ingenieros encargados

76
RECOMENDACIONES
ASPECTO
ESTADO OBSERVACIONES PARA MITIGAR EL
ANALIZADO
RIESGO

diagramas de la de la red para desarrollar

infraestructura de red un diagrama de la red de

la compaa iniciando

por los diagramas de red

externa y luego la

interna.

Se recomienda disear

los diagramas de

arquitectura y flujo de
No existen diagramas
datos de aplicaciones
de la arquitectura ni
Flujo de datos de Carencias dando como prioridad las
del flujo de datos de
la aplicacin severas externas. Se debe tener
las aplicaciones
en cuenta la importancia
principales
de la confidencialidad de

los datos que se

controla.

No estn definidas Se debe desarrollar una


Gestin de Carencias
las directrices que directiva para la
actualizaciones severas
regulan la gestin de actualizacin de los

77
RECOMENDACIONES
ASPECTO
ESTADO OBSERVACIONES PARA MITIGAR EL
ANALIZADO
RIESGO

actualizaciones ni sistemas operativos y

revisiones de aplicaciones tomando

sistemas operativos y como prioridad los

aplicaciones sistemas externos y de

internet, luego los

internos crticos y luego

los no crticos

Se recomienda

implementar un sistema
ABC no cuenta con
Gestin de de gestin de cambios y
Carencias ningn proceso de
cambios y configuraciones con el fin
severas gestin de cambios ni
configuracin de documentar todas las
configuraciones
actualizaciones antes de

su implementacin

Planificacin de La empresa no Se debe desarrollar

recuperacin cuenta con ningn planes de continuidad del


Carencias
ante desastres y procedimiento para la negocio que incluyan al
severas
reanudacin de recuperacin ante personal, ubicaciones y

negocio desastres y tecnologa, as mismo se

78
RECOMENDACIONES
ASPECTO
ESTADO OBSERVACIONES PARA MITIGAR EL
ANALIZADO
RIESGO

reanudacin del deben documentar,

negocio actualizar y poner en

pruebas los planes

desarrollados

Se debe identificar los

recursos crticos y
No se realizan copas
posteriormente se debe
Copias de Carencias de seguridad de
poner en prctica un
seguridad severas manera peridica de
mecanismo para realizar
los recursos crticos
copias de seguridad de

ellos

No se cuenta con el Se recomienda solicitar

apoyo de una entidad evaluaciones por

independiente que se terceros para la

Evaluaciones de Carencias encargue de la infraestructura crtica de

seguridad severas evaluacin se red y de aplicaciones

seguridad de la Se aconseja utilizar el

empresa. personal interno para la

La evaluacin de realizacin de auditoras

79
RECOMENDACIONES
ASPECTO
ESTADO OBSERVACIONES PARA MITIGAR EL
ANALIZADO
RIESGO

seguridad tampoco de seguridad.

las realiza personal

interno de la

compaa

Se debe nombrar a una


No se ha asignado la
persona o grupo con
Conocimiento de Carencias responsabilidad de
experiencia en seguridad
seguridad severas seguridad a ningn
que se encargue de la
integrante de ABC
seguridad.

Segn el modelo

empresarial de ABC se
Actualmente la
recomienda desarrollar
empresa no ofrece a
Formacin sobre Carencias un plan para que el
los empleados
seguridad severas equipo de TI y de
formacin especfica
desarrollo tenga una
por temas
formacin de seguridad

apropiada

Control de Carencias En la actualidad la Se sugiere, adecuar un

Acceso y de severas empresa no cuenta sitio para el datacenter

80
RECOMENDACIONES
ASPECTO
ESTADO OBSERVACIONES PARA MITIGAR EL
ANALIZADO
RIESGO

Incendios con controles de que garantice

acceso al datacenter , condiciones de

no cuenta con un temperatura adecuada,

cuarto adecuado con instalar detectores de

ventiladores o algn humo, mantener bajo

tipo de enfriamiento, seguridad el lugar.

no existen controles

de incendio ni

deteccin de humo.

18.6 Anexo 6: Vulnerabilidades del servidor WEB

NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN

Una inyeccin de Permite la divulgacin Actualizar

informacin a travs del no autorizada de la la versin


CVE-2009-3555
protocolo criptogrfico informacin de PHP a

TLS que permite un 2.2.15 o

81
NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN

ataque de hombre en el Permite la interrupcin superior

medio sobre una sesin del servicio

HTTPS al tener una

versin de servidor web

Apache igual o menor a

2.2.14

Una vulnerabilidad en el

servidor web Apache en

versiones 2.2.15 y

anteriores no manejan

adecuadamente ciertas

situaciones en las que un Permite la interrupcin


CVE-2010-0408
cliente no enva del servicio

informacin en una

solicitud, lo que permite a

un atacante causar una

denegacin de servicio

(Interrupcin del servidor)

82
NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN

El mdulo

/arch/win32/mod_isapi.c

en el servidor web Apache Permite la divulgacin

en las versiones 2.0.37, no autorizada de la

2.0.63, 2.2.0, 2.2.14 y informacin

2.3.x antes de la 2.3.7

cuando se ejecuta en Permite la

CVE-2010-0425 Windows no asegura que modificacin no

el procesamiento de la autorizada de la

solicitud se complete informacin

permitiendo a un atacante

remoto ejecutar cdigo Permite la interrupcin

arbitrario a travs de del servicio

solicitudes diseadas a

mano.

El Servidor Web Apache

en versiones 2.2.x inferior


Permite la divulgacin
a 2.2.15 no maneja
CVE-2010-0434 no autorizada de la
apropiadamente los
informacin
encabezados de

solicitudes en ciertas

83
NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN

circunstancias, lo que

puede permitir a

atacantes remotos

obtener informacin

sensible por medio de

solicitudes diseadas que

desencadena accesos a

lugares de memoria

asociadas a una solicitud

anterior

El servidor web Apache

en sus versiones 1.x y 2.x

permite a atacantes
Permite la interrupcin
CVE-2007-6750 remotos causar una
del servicio
denegacin de servicio a

travs de peticiones HTTP

parciales

84
NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN

Proporciona acceso

de administrador
El servidor Web remoto se

ve afectado por una


Permite total
vulnerabilidad de
confidencialidad,
desbordamiento del Bfer.
integridad y violacin Actualizar
La versin que tiene
de disponibilidad a Apache
CVE-2009-2412 instalada es muy vieja y
2.2.13.
contiene un error en
Permite la divulgacin superior
apr_palloc, el cual
no autorizada de la
podra causar un
informacin
desbordamiento en el

encabezamiento
Permite la interrupcin

del servicio

La versin de PHP Actualizar

instalado ya no tiene la versin

Deprecated soporte, lo cual puede de PHP a

contener muchas 2.2.15 o

vulnerabilidades superior

85
NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN

El servidor Web est


Permite la divulgacin
utilizando una versin
no autorizada de la
PHP desactualizada la
informacin
cual se est viendo

afectada por mltiples


Permite la
fallas. No realiza
CVE-2009-3291 modificacin no
correctamente la
autorizada de la
validacin de los
informacin
certificados, con una Actualizar

probabilidad de ataque a la versin


Permite la interrupcin
relacionada por la emisin de PHP a
del servicio
de certificados falsos. 2.2.15 o

Permite la divulgacin superior

no autorizada de la

informacin

Se produce un error en la

CVE-2009-3292 validacin de certificados Permite la

en el interior. modificacin no

autorizada de la

informacin

86
NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN

Permite la interrupcin

del servicio

Existe una vulnerabilidad Permite la divulgacin

de validacin no no autorizada de la

especificada que afecta informacin

el ndice de color en el

imagecolortransparente Permite la

CVE-2009-3293 tiene un impacto modificacin no

desconocido y vectores autorizada de la

de ataque relacionados informacin

con un incorrecto

comprobacin de validez Permite la interrupcin

para el ndice del color del servicio

Permite a atacantes

dependientes de contexto Permite la interrupcin


CVE-2009-3294
causar denegacin de del servicio

servicios a travs de una

87
NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN

cadena conocida como el

modo.

Permite la divulgacin

no autorizada de

Es posible saltarse la informacin

directiva open_basedir ,

permitiendo a usuarios o Permite la


CVE-2009-4018
atacantes el acceso a modificacin no

varios archivos que son autorizada

confidenciales

Permite la interrupcin

del servicio

Permite la divulgacin

no autorizada de

informacin

Facilita a los usuarios o

CVE-2009-5016 atacantes enviar cross- Permite la

site scripting, modificacin no

autorizada

Permite la interrupcin

88
NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN

del servicio

La librera de Apache

Portable Runtime anterior

a la versin 1.3.9 que se



usa en versiones de
Asegurars
Apache inferiores a 2.2.14
e que lo
no maneja Permite la interrupcin
CVE-2009-2699 mdulos
adecuadamente los del servicio
afectados
errores, lo que permite a
no estn
un atacante remoto
en uso
causar una denegacin

del servicio a travs de



peticiones HTTP
Actualizar
El mdulo mod_proxy_ftp Permite la divulgacin
la versin
en el servidor web Apache no autorizada de
de
permite a un atacante informacin
Apache a
remoto evadir las
CVE-2009-3095 2.2.14 o
restricciones de acceso y Permite la
posterior
enviar comandos modificacin no

arbitrarios a un servidor autorizada

FTP

89
NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN

Permite la interrupcin

del servicio

La funcin ap_proxy_ftp

en el servidor web Apache

en versiones 2.2.63 y
Permite la interrupcin
CVE-2009-3094 2.2.13 permite a los
del servicio
servidores FTP remotos

causar una denegacin de

servicio

La extensin xmlrpc en Actualizar

PHP 5.3.1 no maneja a la

adecuadamente un Permite la interrupcin versin de


CVE-2010-0397
elemento que permite a del servicio PHP 5.3.9

los atacantes causar una o

denegacin de servicio posterior

90
NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN

Proporciona acceso

de administrador

Permite total

confidencialidad,
La versin 5.2.1 de PHP
integridad y violacin
permite a los atacante
de disponibilidad
CVE-2007-1581 ejecutar cdigo arbitrario

para interrumpir la funcin


Permite la divulgacin
hash_update_file
no autorizada de la

informacin

Permite la interrupcin

del servicio

La funcin

html_entity_decode en

PHP versin 5.2.13 y Permite la divulgacin

CVE-2010-1860 5.3.2 permite a los no autorizada de la

atacantes obtener informacin

informacin confidencial

(contenido de memoria) o

91
NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN

provocar daos en la

memoria, causando una

interrupcin de espacio de

usuario de una funcin

interna

La funcin chunk_split en

PHP versin 5.2.13 y

5.3.2 permite a los

atacantes obtener Permite la divulgacin

CVE-2010-1862 informacin confidencial no autorizada de la

(contenido de memoria) informacin

causando una interrupcin

de espacio de usuario de

una funcin interna

La funcin addcslashes

en PHP versin 5.2.13 y

5.3.2 permite a los Permite la divulgacin

CVE-2010-1864 atacante obtener no autorizada de la

informacin confidencial informacin

(contenido de memoria)

causando una interrupcin

92
NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN

de espacio de usuario de

una funcin interna

Las funciones

iconv_mime_decode,

iconv_substr e

incov_mime_encode en

PHP versin 5.2.13 y


Permite la divulgacin
5.3.2 permite a los
CVE-2010-2097 no autorizada de la
atacantes obtener
informacin
informacin confidencial

(contenido de memoria)

causando una interrupcin

de espacio de usuario de

una funcin interna

Es posible crear una Permite la divulgacin Actualizar

condicin de denegacin no autorizada de la a la

CVE-2011-4566 de servicio mediante el informacin versin de

envo de las solicitudes PHP 5.3.9

mltiples, especialmente Permite la interrupcin o

93
NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN

diseados que contienen del servicio posterior

valores de los parmetros

que causan colisiones de

hash al calcular los

valores hash para

almacenar en una tabla

hash. (CVE-2011-4885)

Un desbordamiento de

enteros en la funcin

exif_process_IFD_TAG en

exif.c que puede permitir a

un atacante remoto para

leer en cualquier
Permite la interrupcin
CVE-2011-4885 ubicacin de memoria o
del servicio
causar una denegacin de

servicio. Esta

vulnerabilidad slo afecta

5.4.0beta2 PHP en

plataformas de 32 bits.

(CVE-2011-4566)

94
NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN

Las llamadas a libxslt no


Permite la divulgacin
estn restringidos a travs
no autorizada de la
de libxslt, lo que podra
informacin
permitir a un atacante
CVE-2012-0057
crear o sobrescribir
Permite la
archivos, lo que resulta en
modificacin no
la ejecucin de cdigo
autorizada
arbitrario.

Existe un error en

"tidy_diagnose" la funcin

que puede permitir a un

atacante hacer que la Permite la interrupcin


CVE-2012-0781
aplicacin referencia a un del servicio

puntero nulo. Esto hace

que la aplicacin se

bloquee

La puesta en prctica

PDORow en PHP 5.3.9


Permite la interrupcin
CVE-2012-0788 antes no interactan
del servicio
adecuadamente con la

funcin de la sesin, que

95
NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN

permite a atacantes

remotos provocar una

denegacin de servicio

(cada de aplicacin) a

travs de una aplicacin

hecha a mano que utiliza

un controlador para una

DOP a buscar y luego

llama a la funcin

session_start, como lo

demuestra una cada del

servidor HTTP Apache.

Existe un error en el

manejo de la zona horaria

de forma que los

reiterados llamamientos a
Permite la interrupcin
CVE-2012-0789 "strtotime" la funcin
del servicio
puede permitir que un

ataque de denegacin de

servicio a travs del

consumo de memoria

96
NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN

Permite la divulgacin

Durante la importacin de no autorizada de la

las variables de entorno, informacin

cambios temporales en la

'magic_quotes_gpc' Permite la

CVE-2012-0831 Directiva no se manejan modificacin no

adecuadamente. Esto autorizada de la

puede reducir la dificultad informacin


Actualizar
de los ataques de
a la
inyeccin SQL. Permite la interrupcin
versin de
del servicio
PHP
La variable "$ _FILES
5.3.11 o
'puede estar daada
posterior
debido a los nombres de

los archivos subidos no

estn debidamente Permite la interrupcin


CVE-2012-1172
validados. puede permitir del servicio

un ataque de denegacin

de servicio tanto en el

cliente como en el

servidor.

97
NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN

Un error en 'sapi / cgi /


Actualizar
cgi_main.c' el archivo se
a la
puede permitir a un
Permite la divulgacin versin de
atacante remoto para
no autorizada de la PHP
obtener el cdigo fuente
informacin 5.3.12 /
PHP en el servidor web o
5.4.2 o
para ejecutar cdigo
Permite la posterior.
arbitrario. En las
CVE-2012-1823 modificacin no Una
configuraciones
autorizada de la solucin
vulnerables, PHP trata a
informacin "mod_rew
ciertos parmetros de
rite"
cadena de consulta como
Permite la interrupcin tambin
argumentos de lnea de
del servicio est
comandos, incluyendo
disponible
interruptores, tales como '-
.
s', '-d', y 'C'.

98
TIPO DE
NOMBRE CVE DESCRIPCIN SOLUCIN
IMPACTO

El certificado X.509 del

servidor no tiene la firma de

una autoridad de certificacin

pblica conocida. Esta


Comprar o generar un
situacin puede ocurrir en tres
certificado adecuado
formas diferentes, cada uno de
para este servicio
lo que se traduce en una

ruptura de la cadena por

debajo del cual los certificados

no se pueden confiar.

El servicio remoto acepte

conexiones cifradas con SSL

2.0, que al parecer sufre de


Consulte la
varios defectos de cifrado y ha
documentacin de la
quedado en desuso desde
Permite la aplicacin de
hace varios aos. Un atacante
CVE-2005-2969 modificacin desactivar SSL 2.0 y
puede ser capaz de explotar
no autorizada Usar SSL 3.0, TLS
estas cuestiones para llevar a
1.0, o en lugar ms
cabo los ataques man-in-the-
.alto
middle o descifrar las

comunicaciones entre el

servicio afectado y los clientes.

99
TIPO DE
NOMBRE CVE DESCRIPCIN SOLUCIN
IMPACTO

La versin de Apache HTTP

Server que se ejecuta en la Permite la Actualizar a la versin

mquina remota tiene una divulgacin no de Apache 2.2.22


CVE-2012-0053
vulnerabilidad de divulgacin autorizada de .oposterior

de informacin. la informacin

El control remoto del servidor

DNS responde a las consultas

de dominios de terceros que no

tienen el bit de recursin.

Esto puede permitir a un Pngase en contacto

atacante remoto para con el proveedor del

determinar qu dominios han software de DNS para

sido recientemente resuelta a un arreglo

travs de este servidor de

nombres, y por lo tanto, que los

ejrcitos se han visitado

recientemente

100
TIPO DE
NOMBRE CVE DESCRIPCIN SOLUCIN
IMPACTO

Los servicios de terminal

remota no estn configurados

para utilizar la autenticacin de

nivel de red (NLA). NLA utiliza

el proveedor de credenciales

de seguridad de Apoyo
Habilitar la
(CredSSP) para llevar a cabo
autenticacin de nivel
el protocolo de autenticacin
NLA) en el ( de red
de servidor fuerte sea a travs
servidor RDP remoto.
de los mecanismos de TLS /
Esto se hace
SSL o Kerberos, que protegen
generalmente en el
contra el hombre en el medio
ficha del ''remoto
de ataque. Adems de mejorar
sistema de "
la autenticacin, la NLA
configuracin de
tambin ayuda a proteger el
Windows
equipo remoto de usuarios

maliciosos y software

completando la autenticacin

del usuario antes de una

conexin RDP completa se

establece.

101
TIPO DE
NOMBRE CVE DESCRIPCIN SOLUCIN
IMPACTO

El servicio remoto encripta el

trfico mediante TLS / SSL,

pero permite a un cliente para

renegociar la conexin

insegura. Un atacante remoto

no autenticado podra

aprovechar este problema para


Permite la Pngase en contacto
inyectar una cantidad arbitraria
manipulacin con el proveedor para
de texto en el comienzo de la
no autorizada obtener informacin
secuencia del protocolo de
de la sobre los parches
aplicacin, lo que podra
informacin especficos.
facilitar el hombre en el medio

de ataque, si el servicio se

supone que las sesiones antes

y despus de la renegociacin

son de la misma "cliente" y los

combina en la capa de

aplicacin.

El servicio remoto cifra el Permite la


Instale el parche de
trfico de clientes utilizando manipulacin
CVE-2011-1473 seguridad apache2-
TLS / SSL y permite renegociar no autorizada
7882 con 'yast'
las conexiones. El control de la

102
TIPO DE
NOMBRE CVE DESCRIPCIN SOLUCIN
IMPACTO

remoto del sistema SuSE falta informacin

el parche de seguridad

apache2-7882

TIPO DE
NOMBRE CVE DESCRIPCIN SOLUCIN
IMPACTO

Hacer cumplir
Firma est
mensaje de la firma
deshabilitado en el
en la configuracin
servidor remoto SMB.
del host. En
Esto puede permitir
Windows, esta se
que los ataques man-
encuentra en la
in-the-middle contra el
Directiva de
servidor SMB.
seguridad local.

TIPO DE
NOMBRE CVE DESCRIPCIN SOLUCIN
IMPACTO

103
TIPO DE
NOMBRE CVE DESCRIPCIN SOLUCIN
IMPACTO

Proporciona

acceso de

administrador Deshabilitar el

Permite total servicio SNMP en el


En Solaris, un subagente SNMP
confidencialida host remoto, si no lo
tiene una cadena de comunidad
d, integridad y uso, filtros de
por defecto que permite a
CVE-1999- violacin de paquetes UDP
atacantes remotos ejecutar
0186 disponibilidad entrantes van a
cdigo arbitrario como root, o
Permite la este puerto, o
modificar los parmetros del
divulgacin no cambiar la cadena
sistema
autorizada de de comunidad por

la informacin defecto.

Permite la

interrupcin del

servicio

Proporciona
Una cadena oculta de
acceso de
comunidad SNMP en HP
CVE-1999- administrador
OpenView permite a atacantes
0254 Permite total
remotos modificar las tablas MIB
confidencialida
y obtener informacin sensible
d, integridad y

104
TIPO DE
NOMBRE CVE DESCRIPCIN SOLUCIN
IMPACTO

violacin de

disponibilidad

Permite la

divulgacin no

autorizada de

la informacin

Permite la

interrupcin del

servicio

El nombre de comunidad SNMP

por defecto "pblico" no es Permite la

CVE-1999- propiamente eliminado en divulgacin no

0472 NetApp NetCache C630, aun autorizada de

cuando el administrador intenta la informacin

desactivarlo.

Permite la
SNMP se encontr. La
divulgacin no
informacin pblica SNMP
autorizada de
CVE-1999- puede contener informacin
la informacin
0516 confidencial que puede ser
Permite la
usado para comprometer sus
modificacin no
sistemas informticos.
autorizada de

105
TIPO DE
NOMBRE CVE DESCRIPCIN SOLUCIN
IMPACTO

la informacin

Permite la

interrupcin del

servicio

Permite la

divulgacin no

autorizada de

la informacin
Un nombre de comunidad SNMP
Permite la
CVE-1999- es el valor predeterminado (por
modificacin no
0517 ejemplo, pblico), nulo, o que
autorizada de
faltan.
la informacin

Permite la

interrupcin del

servicio

ROUTERmate SNMP por

defecto tiene un nombre de Permite la


CVE-1999-
comunidad que permite a interrupcin del
0792
atacantes remotos modificar su servicio

configuracin.

CVE-2000- snmpd en SCO OpenServer Permite la

0147 tiene una cadena de comunidad modificacin no

106
TIPO DE
NOMBRE CVE DESCRIPCIN SOLUCIN
IMPACTO

SNMP que se puede escribir de autorizada

forma predeterminada, que

permite a atacantes locales para

modificar la configuracin del

host.

Permite la
Crosscom / Olicom XLT F-80
divulgacin no
corriendo XL versin IM 5.5 Build
autorizada de
Nivel 2 permite a un atacante
CVE-2001- la informacin
remoto SNMP de lectura y
0380 Permite la
escritura a travs de un defecto,
modificacin no
cadena de la comunidad
autorizada de
indocumentada "ILMI '
la informacin

Servicio SNMP en el Atmel Permite la

802.11b VNET-B Punto de divulgacin no

Acceso 1.3 y versiones autorizada de

anteriores, como se usa en la informacin


CVE-2001-
Netgear ME102 y WAP11 Permite la
0514
Linksys, acepta cadenas modificacin no

arbitrarias de la comunidad con autorizada de

las modificaciones solicitadas la informacin

MIB, lo que permite a atacantes Permite la

107
TIPO DE
NOMBRE CVE DESCRIPCIN SOLUCIN
IMPACTO

remotos obtener informacin interrupcin del

sensible como claves WEP, servicio

causar una denegacin de

servicio, o tener acceso a la red.

Cisco ubr900 routers de la serie

que se ajusten a las


Permite la
especificaciones de interfaz de
divulgacin no
datos-sobre-Cable Service
autorizada de
(DOCSIS) estndar deben enviar
la informacin
CVE-2001-
sin restricciones de acceso
Permite la
1210
SNMP, lo que puede permitir a
modificacin no
atacantes remotos leer y escribir
autorizada de
informacin en el MIB usando
la informacin
cadenas arbitrarias de la

comunidad.

Linksys EtherFast BEFN2PS4, Permite la

BEFSR41 y BEFSR81 Routers, y divulgacin no

CVE-2002- posiblemente otros productos, autorizada de

0109 permite a atacantes remotos la informacin

obtener informacin sensible y

causar una denegacin de Permite la

108
TIPO DE
NOMBRE CVE DESCRIPCIN SOLUCIN
IMPACTO

servicio a travs de una consulta interrupcin del

SNMP para la comunidad por servicio

defecto cadena "pblica", lo que

hace que el router para cambiar

su configuracin y enviar la

informacin de captura SNMP al

sistema que inici la consulta

La configuracin predeterminada

de Foundry Networks EdgeIron

CVE-2002- 4802F permite a atacantes Permite la

0478 remotos modificar la informacin modificacin no

sensible a travs de cadenas de autorizada

comunidad SNMP arbitrarias.

Avaya Cajun P880 interruptores,


Proporciona
P882, P580, y P550R 5.2.14 y
acceso no
anteriores contienen las cuentas
autorizado
CVE-2002- de indocumentados (1)
Permite total
1229 Fabricacin y (2) diagnstico con
confidencialida
contraseas por defecto, lo que
d, integridad y
permite a atacantes remotos
violacin de
ganar privilegios.
disponibilidad

109
TIPO DE
NOMBRE CVE DESCRIPCIN SOLUCIN
IMPACTO

Permite la

divulgacin no

autorizada de

la informacin

Permite la

interrupcin del

servicio

Proporciona

acceso de

American Power Conversin administrador

(APC) Web / SNMP Permite total

Management Card 3.0 a travs confidencialida

de SmartSlot 3.0.3 y 3.21 se d, integridad y


CVE-2004-
envan con una contrasea por violacin de
0311
defecto de disponibilidad

TENmanUFactOryPOWER, que Permite la

permite a atacantes remotos divulgacin no

obtener acceso no autorizado. autorizada de

la informacin

Permite la

interrupcin del

110
TIPO DE
NOMBRE CVE DESCRIPCIN SOLUCIN
IMPACTO

servicio

Symantec Enterprise Firewall /

VPN 100, 200, y el firmware

200R en ejecucin antes de 1.63

y Gateway Security 320, 360, y

el firmware 360R en ejecucin

CVE-2004- antes de 622 utiliza un valor Permite la

1474 predeterminado de lectura / modificacin no

escritura cadena de comunidad autorizada

SNMP, que permite a atacantes

remotos para modificar el archivo

del servidor de seguridad de

configuracin.

IOS 12.2 (52) SE y 12.2 (52) Permite la

SE1 en Cisco Industrial Ethernet divulgacin no

(IE) 3000 switches de la serie autorizada de


CVE-2010-
tiene (1) un nombre de la informacin
1574
comunidad de pblico para el Permite la

acceso RO y (2) un nombre de modificacin no

comunidad de la privada para el autorizada de

111
TIPO DE
NOMBRE CVE DESCRIPCIN SOLUCIN
IMPACTO

acceso RW, lo que hace ms la informacin

fcil para los atacantes remotos Permite la

modificar la configuracin u interrupcin del

obtener informacin sensible a servicio

travs de peticiones SNMP,

tambin conocido como Bug ID

CSCtf25589.

Permite la
Deshabilitar el
divulgacin no
servicio SNMP en el
autorizada de
host remoto, si no lo
la informacin
Un nombre de comunidad SNMP Cualquiera de .uso
Permite la
CVE-1999- es el valor predeterminado (por filtrar los paquetes
modificacin no
0517 ejemplo, pblico), nulo, o que UDP entrantes que
autorizada de
faltan. van a este puerto, o
la informacin
cambiar la cadena
Permite la
de comunidad por
interrupcin del
defecto
servicio

112
TIPO DE
NOMBRE CVE DESCRIPCIN SOLUCIN
IMPACTO

Algunos servidores DHCP

proporcionan informacin

confidencial, como el nombre de

dominio NIS, o informacin de la Aplicar filtros para

red de diseo, como la lista de mantener esta

los servidores de la red Internet, informacin fuera

y as sucesivamente. No se de la red y eliminar

demostr ninguna vulnerabilidad, las opciones que no

sino a un atacante local puede .estn en uso

utilizar DHCP para estar

ntimamente familiarizado con la

red asociada.

113

Вам также может понравиться