• No se han encontrado resultados

GFI LANguard Network Security Scanner

CAPÍTULO 2. HERRAMIENTAS PARA EL CHEQUEO DE VULNERABILIDADES

2.2 GFI LANguard Network Security Scanner

GFI LANguard es una aplicación para requisar el estado de seguridad de la red, los dispositivos y aplicaciones. Se complementa con funciones de auditoría y solucionador de problemas. La identificación de vulnerabilidades se apoya en una base de datos muy completa, que incluye pruebas basadas en directivas de las instituciones especializadas en el tema como: OVAL, CVE, y SANS (SANS, 2009). El sistema de auditoría permite un alto grado de detalle pues puede enumerar desde, los programas instalados hasta los dispositivos USB asociados a la entidad conectada a la red. Permite además la descarga automática de parches de seguridad y actualizaciones para sistemas operativos de Microsoft, así como la eliminación automática de software no autorizado.

Está construida sobre una arquitectura que fiable y escalable que puede atender redes medianas y grandes. Está construido con los siguientes componentes: la consola de administración, el servicio sirviente, el agente de actualizaciones y el depurador de scripts.

Opcionalmente se le integran otras aplicaciones emparentadas como el paquete de reportes, que sirve para construir reportes accesibles para los usuarios.

La consola de administración es la GUI a través de la cual se opera toda la funcionalidad de GFI LANguard. Esto incluye:

Desencadenar los escaneos de seguridad, despliegue de parches y sesiones de reparación de vulnerabilidades.

Presentar resultados de chequeos de seguridad en curso o previamente salvados. Configuración de opciones de escaneo, perfiles y filtros de reportes.

Uso de herramientas especializadas en la administración de seguridad.

El GFI LANguard attendant service es el servicio de fondo que maneja todas las tareas programadas, ya sean chequeos u operaciones de despliegue parches y reparación de daños. El servicio agente para parches de seguridad, es el agente de fondo que maneja la instalación de estas mejoras. Asociado a esto comprueba por actualizaciones de programas y servicios en las computadoras analizadas.

El depurador de scripts es el módulo que permite escribir scripts hechos a la medida de las necesidades. Estos códigos están escritos en un lenguaje VBScript compatible.

La estrategia para el manejo de vulnerabilidades de GFI LANguard consiste de la siguiente secuencia recomendada por sus diseñadores en (Ltd., 2009): escaneo, análisis y reparación.

2.2.1 Realización del proceso de auditoría

La auditoría de seguridad implica cualquier tipo de chequeo que sea necesario realizar a la red. Esto incluye chequeo de puertos abiertos, de vulnerabilidades de Microsoft producto a la no instalación de actualizaciones de seguridad, información sobre servicios y procesos de los usuarios. Esta es la perspectiva de GFI LANguard Network Security Scanner.

EL proceso automático de escaneo tiene tres estados distintos: Estado 1

Determinar la disponibilidad de la computadora objetivo.

Determinar si la computadora objetivo está visible y disponible para el escaneo de vulnerabilidad. Esto se determina mediante peticiones de conexión tramitadas por NetBIOS, SNMP o por ICMP ping.

Estado 2

Establecer conexión con el objetivo.

Establecer una conexión directa con la computadora destino, iniciando una sesión remota. Para ejecutar un chequeo GFI LANguard debe iniciar una sesión con privilegios administrativos.

Estado 3

Ejecutar el chequeo de vulnerabilidades.

Ejecutar el chequeo de vulnerabilidades configurado en el perfil de escaneo seleccionado, para identificar las

debilidades de seguridad presentes.

Este programa es relativamente fácil de usa. Inmediatamente después de instalado permite, con la configuración por defecto, realizar las tareas. Estas opciones pre configuradas están localizadas dentro de la etiqueta Network Audit en la GUI. Inmediatamente que se abre el programa, esta etiqueta es lo que primero aparece en la consola (ver Figura 2.4).

Figura 2.4 Interfaz gráfica de usuario del GFI LANguard, tal y como inicia. Véase a simple vista las opciones que ofrece para el chequeo. Tomado por captura de pantalla.

Los parámetros pre configurados en estas opciones incluyen el perfil para el chequeo. El perfil no es más que la colección que chequeos que determinan las vulnerabilidades que se buscan y qué información será requisada en el objetivo. Las opciones por defecto proveen

acceso a los siguientes modos de escaneo: Quick scan, Full scan, Launch a custom scan y

Set up a scheduled scan.

El primero de los tipos de escaneo, audita las computadoras en búsqueda solamente de información del sistema y de vulnerabilidades críticas de seguridad. El perfil de chequeo usado en esta opción es puesto por defecto a High Security Vulnerabilities. Este tipo de escaneo es relativamente corto en tiempo, en comparación con el modo completo. Esto se debe principalmente a que solo un subconjunto de la base datos para los chequeos es utilizado. Se recomienda el empleo de Quick scan en los siguientes casos:

La primera vez que se realiza un chequeo, pues en breve espacio de tiempo presenta una muestra de la información que GFI LANguard puede obtener del objetivo. Para auditorías frecuentes pues es un método menos intrusivo y no genera tanta sobrecarga en la red y los dispositivos.

Para recibir información del sistema o para obtener solamente las vulnerabilidades críticas.

El modo de escaneo completo o Full scan, audita las computadoras en búsqueda de información detallada del sistema y de todas las vulnerabilidades de seguridad posibles. Por defecto el perfil de escaneo es el mismo que en la variante rápida. Este es el método más demorado en tiempo, debido a la gran cantidad de información a obtener de los objetivos. Pro estas características, GFI Ltd. Recomienda que se emplee con menos frecuencia, en situaciones como: en el surgimiento de nuevas amenazas, ante actividad sospechosa en el medio o cuando se necesite toda la información posible.

El tercer modo permite configurar los parámetros a usar en el chequeo. La configuración se realiza con un asistente y los parámetros incluyen el perfil a elegir, los objetivos y las credenciales. Los perfiles están organizados en tres grupos:

Valoración de vulnerabilidades: especializado en chequear las computadoras por amenazas basadas en directivas de OVAL/CVE y en el boletín SANS Top 20.

Auditoría de red y software: este grupo contiene perfiles para chequear las computadoras en búsqueda de información del sistema como: tipo de sistema operativo, dispositivos USB conectados y aplicaciones instaladas.

Complete/Combination: este contiene perfiles para chequeo completo tanto de información del sistema como de deficiencias de seguridad.

GFI Ltd. recomienda el empleo del modo personalizado en chequeos poco frecuentes con parámetros o perfiles específicos.

El último modo funciona como una tarea programada, que puede ser realizada incluso a intervalos. Con este tipo de chequeos se puede descargar automáticamente las actualizaciones de seguridad requeridas para Windows, en función de la brecha que se detecte; puede enviar correos con notificaciones sobre amenazas encontradas; puede generar y distribuir vía e-mail reportes comparativos sobre escaneos consecutivos; por último, puede desinstalar automáticamente aplicaciones no autorizadas.

2.2.2 Resultados de los chequeos con GFI LANguard

Lo más importante a realizar después que se efectuó un análisis de seguridad, es determinar qué puntos requieren la atención inmediata. Esto implica interpretar correctamente la información colectada.

Luego que se completa una tarea, GFI LANguard muestra inmediatamente un resumen del resultado donde se representa gráficamente el nivel de vulnerabilidad del sistema. El color rojo indica vulnerabilidades de nivel alto, mientras que el color verde indica el nivel más bajo. Los grupos en se organizan son: nivel alto, nivel bajo, vulnerabilidad potencial, paquetes de servicios no instalados y actualizaciones no instaladas.

La suite incluye un paquete de software para reportes con el ReportCenter y el ReportPack. Inmediatamente terminado el análisis, se puede conformar mediante el empleo de estos programas reportes de buena presencia para su posterior presentación en juntas técnicas.

Documento similar