Fallos y amenazas registradas

Esta información fue cedida por el administrador de dicha área a quien se le realizó una entrevista, obteniéndose de manera precisa referencias de alguna de las más importantes amenazas de las cuales han sido objeto los servidores, así como la manera en que se ha dado solución a dichas amenazas. No se cuenta con un documento claramente definido donde se consignen dichas amenazas y eventos no esperados, por lo tanto es de vital importancia generar el mecanismo que permita llevar a cabo este control para en una próxima situación poder darle una mejor solución a los problemas a los cuales se ha visto avocado. En la tabla 2.18 se consigna la información referente a estas situaciones.

7 _{Enrutadores: equipos de red que funcionan en la capa 3 del modelo OSI, permiten la conectividad entre}

diferentes redes existentes.

8 _{Softwareicth: equipos de red que funcionan en la capa 2 del modelo OSI, permiten interconectar redes}

Tabla 2. 18 Fallos y amenazas

Fallos Descripción

Falta de infraestructura física.

Por la tecnología de red empleada en ese momento por sus características abría la puerta para que se presentarán muchos fallos de seguridad.

Empleo de herramientas y mecanismos no seguros

para acceso a los

servidores y equipos de red importantes.

Para el manejo de tráfico y servicios en el Centro de Datos, lo que hacia susceptible a la información de ser interceptada por personas no autorizadas.

Vulnerabilidades de los servicios.

Algunos como Apache, que al no estar debidamente actualizado con las mejoras de seguridad han permitido abrir puertas para posibles ataques.

Actualizaciones del

sistema operativo.

Que permiten explorar e intentar aprovechar fallos de seguridad existentes.

Archivos de configuración de los servicios.

Debido a errores humanos en los cuales no se tenían en cuenta algunos parámetros o eran dejados sin la debida protección.

Intentos de acceso por fuerza bruta.

Constantemente se detectan intentos de acceso los servidores por ataque de fuerza bruta. Hasta el momento no se tiene precedente de intrusiones.

Acceso por shell brindado a los usuarios.

Uno los grandes inconvenientes que se presentan y en especial a los servidores es el acceso que se le brinda a los usuario por SSH, ya que un usuario al tener acceso a shell de un servidor tiene muchas mas posibilidades de ocasionar un fallo o de tener acceso no autorizado.

Vulnerabilidades de

Aplicaciones empleadas

por usuarios.

Se puede enumerar Moodle9 _{la cual presenta grandes fallos de}

seguridad. Permisos que se le brinda

a los usuarios de

aplicaciones y sitios Web.

Estos permisos facilitan la introducción de errores humanos y elementos que pueden generar posibles brechas de seguridad.

Estadísticas de puertos abiertos en los servidores

Tabla 2. 19 Datos obtenidos desde la red interna

Puerto abierto Red interna Número de Servidores Puerto abierto red externa Número de Servidores 21 5 20 5 22 9 21 5 23 1 22 5 25 4 25 2 42 1 53 2 53 3 80 5 80 8 109 2 88 1 110 2 110 2 143 2 111 6 220 2 113 6 443 2 135 2 587 2 139 2 993 2 443 3 995 2 445 2 1718 1 8080 2 1719 1 8000 1 8009 1

8080 1

8443 1

Figura 2. 6 Datos obtenidos desde una red externa

De las tablas 2.19 y 2.20 se puede observar que en general los servidores se encuentran con una gran cantidad de puertos abiertos, lo cual es lógico por las aplicaciones que se tienen en funcionamiento, pero algunos de esos puertos son no conocidos o corresponden a aplicaciones desconocidas o que por sus características y naturaleza presentan una brecha de seguridad y abren las puertas para explotar vulnerabilidades, por lo tanto dichos puertos deben ser considerados y se deben mirar la posibilidad de restringir su acceso, así como implementar mecanismos de seguridad que permitan mantener un control de los mismos y si es preciso se puede plantear la posibilidad de cerrarlos o bloquearlos.

La figura 2.7, obtenida con la herramienta keynote, muestra las estadísticas de puertos abiertos con mayor frecuencia, lo que también indica cuales son los servicios más importantes que se prestan actualmente. Se puede observar que los principales servicios son el Web que corresponde al puerto 80, el FTP, el DNS, el correo electrónico y SSH. Servicios esenciales que son prestados por el Centro de Datos.

Tabla 2. 20 Fallos encontrados en el análisis

Posibles fallas y elementos que afectan el funcionamiento

Los servicios se ven comprometidos ya que al solicitar información, en los puertos correspondientes, estos muestran la versión actual que esta instalada.

Se presentan algunos problemas debido a los directorios con permisos muy amplios o con accesos a cualquier tipo de usuario, esto se presenta para algunos usuarios.

El servicio Web soporta métodos cómo trace y track, los cuales son métodos para analizar las condiciones de servidor Web, estos métodos hacen vulnerable el servicio a ataques de crosssite-site-

scripting10_{, el cual puede ser usado en conjunto con las vulnerabilidades del navegados WEB. Para}

explotar un fallo.

Posiblemente los servidores Web, son susceptibles de ataques con scripts crosssite, esta vulnerabilidad es causada cuando se le retorna al usuario el resultado de un archivo que no existe. Es decir pueden usar código java script para generar inconvenientes, ejemplo de una url:

HTTP://10.200.1.137:8009/<SCRIPT>foo</SCRIPT> Solución: visitar periódicamente las páginas respecto a la versión del servicio instalada para ver posibles fallos o errores encontrados en los servicios.

Se tienen inconvenientes en los servidores tanto Apache como Tomcat, ya que los archivos que se mantienen como ejemplo de configuración permiten observar información relevante a la versión exacta que se tiene instalada.

El puerto 443 de SSL devuelve información importante con respecto a los certificados digitales de seguridad.