Vulneravilidades

Análisis de Vulnerabilidades

Palabras Claves

Análisis de vulnerabilidades, vulnerabilidad, NESSUS, SATAN, Security Analysis Tool for Auditing Networks, N-STEALTH, NIKTO, lib-whisker, Internet Security Scanner. .

Resumen

En el mercado existen diferentes herramientas para analizar vulnerabilidades de un red. Estas herramientas son muy útiles, para los administradores de red preocupados por al seguridad e integridad de su red y la inforamción que en ella manejan.

Entre los principales analizadores se puede encontrar NESSUS y SATAN, los cuales ofrecen una amplia gama de reglas para evaluar las vulneabilidades y además permiten la incorporación de nuevas reglas para hacer mpas riguroso y específico el análisis.

Sin embargo, estas herramientas se convierten en armas de doble filo, pues pueden ser usadas con el objetivo de mejorar la seguridad de la red o pueden ser usadas por hackers con el objetivo de detectar vulnerabilidades y realizar ataques.

1 Introducción

Internet ha facilitado y promovido el desarrollo de las comunicaciones a nivel global en los últimos años. Este aumento en la comunicación, ha estado fuertemente ligado al desarrollo de nuevas redes y nuevas aplicaciones que permiten compartir más información entre usuarios remotos.

Ha surgido en las empresas, la importante función de los administradores de red, los cuales deben promover un uso correcto de la red y a su vez garantizar la seguridad y confidencialidad de la información que manejan.

Sin embargo, cada día aumentan los ataques contra redes y contra computadores conectados a la red. “La omnipresencia de Internet los está [virus] volviendo pan de cada día y están aumentando su poder” . El nivel de sofisticación de estos ataques es cada vez mayor, lo cual exige el desarrollo y actualización de herramientas pertinentes.

Se puede por tanto evidenciar, la gran importancia de desarrollar mecanismos de autoprotección contra estos ataques, los cuales deben pasar por una fase de identificación de los potenciales riesgos a los que se está expuesto, luego a una fase de análisis de las debilidades para posteriormente definir acciones de mejora y defensa así como planes de mitigación ante sucesos indeseables.

En las etapas de identificación y análisis, los Analizadores de Vulnerabilidades como los que se desarrollan en el presente documento juegan un papel fundamental para una clara y eficaz detección de falencias en seguridad.

2 Objetivos

• Conocer que es una vulnerabilidad y como se hacen los análisis de vulnerabilidades.

• Conocer cuales son las herramientas existentes para realizar análisis de vulnerabilidades.

• Para cada herramienta, entender como funciona, cuales son sus características y funcionalidades.

• Conocer como cada herramienta analizadora de vulnerabilidades genera reportes o información importante para el análisis de los riesgos de una red.

3 Analizadores de Vulnerabilidades

¿Qué son las vulnerabilidades?

Las vulnerabilidades de un sistema surgen a partir de errores individuales en un componente, sin embargo nuevas y complejas vulnerabilidades surgen de la interacción entre varios componentes como el kernel del sistema, sistemas de archivos, servidores de procesos, entre otros. Estas vulnerabilidades generan problemas de seguridad para la red en cuestión. Entre las vulnerabilidades más conocidas se encuentran el “finger username” y la notificación de mensajes de correo a través de “comsat”. Para el primero de estos la vulnerabilidad es originada en la interacción entre el servidor fingerprint y la forma en que el sistema de archivos representa los links para acceder al directorio raíz de username. En el segundo caso el programa comsat supone que etc/utmp es correcto, el sistema de archivos configura este archivo para otorgar permisos y el programa de correo asume que todo esta correcto [22]

Sin embargo, existen fuertes críticas sobre los analizadores de vulnerabilidades ya que funcionan bajo un esquema de reglas, que son sólo generadas por expertos en el tema y que se configuran para vulnerabilidades. La posibilidad de acceder a estas reglas y conocerlas, permite que personas malintencionadas realicen ataques contra redes no protegidas para estas vulnerabilidades. Adicionalmente, la identificación y definición de reglas se deja en manos de expertos que puedan comprender las interacciones de las cuales surgen las vulnerabilidades.

Por otra parte, aunque existen diversas formas de realizar auditorías de seguridad apoyadas en las herramientas descritas anteriormente, en todos los casos se utilizan herramientas para la detección de las vulnerabilidades.

Estas herramientas que detectan fallas de seguridad pueden ser utilizadas de dos formas diferentes: interna o externamente a la maquina que se analiza. Cuando se aplican internamente, se realiza la auditoría desde el interior de la máquina (generalmente utilizando el superusuario), lo que otorga numerosas ventajas para la detección de vulnerabilidades ya que se tiene acceso a los ficheros críticos del sistema. En el caso de las auditorías externas, la detección de vulnerabilidades se realiza desde una máquina diferente a la que está siendo analizada. En este tipo de auditorías se realizan ataques para verificar la existencia de vulnerabilidades. De la variedad y cantidad de ataques que alguna de estas herramientas sea capaz de realizar, dependerá, en gran parte, el éxito en la detección de vulnerabilidades. Aunque este factor es, probablemente, el más importante, conviene considerar otros aspectos como por ejemplo la forma de realizar los ataques. Cabe anotar que las herramientas descritas en este paper realizan un análisis de debilidades externas del sistema. Es decir, las herramientas que se instalan en una máquina para realizar ataques sobre otra diferente, y de este modo detectar sus vulnerabilidades; presentando, tal vez, el punto de vista más realista para analizar vulnerabilidades, ya que asumen el papel de hacker externo que pretende comprometer una máquina a través de la red.

En las siguientes secciones se analizarán cuatro analizadores de vulnerabilidades con distintas características y se detallarán sus características y su funcionamiento.

4 PROYECTO NESSUS

Introducción

NESSUS es definido por su autor como un escaneador remoto de seguridad. Este término aunque es muy adecuado, de ahora en adelante será referido como analizador de vulnerabilidades para evitar confusiones con otros analizadores de vulnerabilidades dentro de este paper. NESSUS[1] es un proyecto fundado por Renaud Deraison que intenta crear un analizador de vulnerabilidades gratuito, poderoso, actualizado y fácil de utilizar[1]. Este programa además es extensible, robusto, seguro, de propósito general (no está limitado a un solo tipo de vulnerabilidades) y más importante que cualquier otra característica, es su amplia aceptación por la comunidad. También puede llegar a ser una herramienta mortífera si se le da un mal uso, pero este no es su fin. A continuación se discutirá en detalle las características y el funcionamiento de NESSUS. Cabe aclarar que se trabajará en la última versión estable de NESSUS a la fecha de publicación de este paper (versión 2.0.10). Sin embargo muchas de las cosas aquí expuestas aplican para otras versiones tanto anteriores como posteriores.

A través de este paper se expondrán las características principales de Nessus, los resultados de sus escaneos y la veracidad de sus reportes. Más que sus cualidades se intentará revelar sus defectos.

El paradigma de funcionamiento de NESSUS

Esta herramienta es bastante diferente a lo que se expone en este paper para el análisis de vulnerabilidades de una red en particular. Lo que se espera de un programa para efectuar ataques es simplemente un comando como atacar-víctima (Figura 1). NESSUS arroja esta concepción por la borda y toma una forma completamente distinta de hacer sus tareas. NESSUS fue diseñado para ser una herramienta distribuida (Figura 2) y de fácil administración. De esta forma un administrador de red puede efectuar su análisis de vulnerabilidades desde cualquier lugar del mundo pero desde el interior de su red. Esto se logra haciendo a NESSUS una herramienta cliente/servidor. El servidor espera solicitudes del cliente para llevar a cabo su análisis. Los ataques son efectuados desde el servidor y los resultados son enviados directamente al cliente. El cliente además es el responsable de la configuración y de la administración del servidor.

nessus-user@attacker.org>$ atacar-victima 192.121.211.10 > resultados.log

Figura 1: Este estilo de comando es el que se espera utilizar para una herramienta convencional de análisis de vulnerabilidades. NESSUS no trabaja de esta manera.

Esta característica de administración y ejecución remota permite que no solo puede ejecutarse remotamente sin importar la plataforma en la que se ejecute el cliente, sino también hace a un lado la restricción del lugar desde donde se corra el cliente. Fácilmente el administrador de red puede correr NESSUS desde su casa, desde un avión, desde su celular, etc. Todo esto al costo de una instalación un poco compleja. Pero como todo lo bueno en la vida, esta característica tiene sus problemas y más adelante se expondrán los mismos. La instalación del servidor en plataformas Unix es muy sencilla, simplemente se necesita

...