Vulnerabilidades y riesgos identificados desde Internet

2. Vulnerabilidades y riesgos identificados en la plataforma tecnológica de la

Tabla N° 3. Vulnerabilidades y riesgos identificados desde Internet

Vulnerabilidad Hallazgo Riesgo

nombre de una comunidad.

En este sentido se pudo detectar que el Router evaluado responde a la comunidad SNMP

“Public” identificando que es marca CISCO.

Se detectaron puertos del Router evaluado abiertos a Internet que pudieran

comprometer su operatividad.

El Router evaluado tiene abiertos hacia Internet los siguientes puertos:

−

Mediante este servicio el Router reenvía toda información que recibe por el puerto 7 TCP.

−

−

Este servicio permite obtener una lista de nombres de usuarios válidos y conexiones, lo cual podría ser utilizado por personas no autorizadas para intentar

obtener accesos desautorizadamente a los

activos de información de la Compañía.

−

Esta situación pudiera ser utilizada por personas no autorizadas o intrusos desde Internet para obtener información confidencial y ejecutar ataques de negación de servicios “DoS” contra el Router, ocasionando continuas interrupciones en su operatividad y de los servicios que dependen del mismo.

Tabla N° 3. Vulnerabilidades y riesgos identificados desde Internet

Vulnerabilidad Hallazgo Riesgo

servicio permite obtener información de la fecha, hora de la localidad donde se encuentra el Router.

−

−

Servicio utilizado para establecer conexiones remotas.

El Router de Internet acepta conexiones externas vía

“Telnet” desde cualquier dirección IP.

El Router que interviene en el acceso a Internet desde las instalaciones de la Institución

“XXX”, acepta conexiones vía

“Telnet” desde cualquier dirección de la red pública (Internet) a su interfaz externa.

Posibilidad de que una persona no autorizada logre autenticarse efectivamente contra el Router, pudiendo posteriormente interrumpir los servicios que dependen de este. Además, un intruso teniendo control del Router, se le facilita la ejecución de otros ataques contra la plataforma tecnológica de la Institución “XXX”, dado a que ha superado uno de los mecanismos de seguridad de la Institución.

El Firewall permite el flujo de paquetes “ICMP” (“Internet Control Message Protocol”) desde Internet hacia los equipos ubicados en la “DMZ”.

El Firewall permite la transmisión de paquetes ICMP desde y hacia cualquier dirección interna, lo cual permite la ejecución de comandos como el “tracert [IP Address]”, con el cual es posible crear mapas asociados a la topología de la red de la Institución.

Esta situación, puede ocasionar que personas no autorizadas logren tener conocimiento sobre la plataforma tecnológica, permitiéndoles identificar la topología de red, pudiendo los equipos ser objeto de ataque DoS (Denied of Service) con el fin de atentar contra la operatividad de la Institución.

El Firewall responde a Ejecutando herramientas Esta situación permite que

Tabla N° 3. Vulnerabilidades y riesgos identificados desde Internet

Vulnerabilidad Hallazgo Riesgo

conexiones externas por varios puertos abiertos desde Internet por donde se obtiene información confidencial.

especializadas desde Internet hacia la interfaz externa del Firewall, se detectaron puertos abiertos que pueden ser accedidos por cualquier intruso o persona no autorizada desde Internet, destacando que dos (2) de los puertos identificados

“259” y “900” son empleados para conectarse respectivamente vía “Telnet” y “http” hacia el Firewall, usando como mecanismo de autenticación

“SecureID” y el resto de los puertos son empleados para propósitos de administración de las políticas del Firewall en forma remota.

cualquier intruso o persona no autorizada desde Internet,

obtenga información confidencial para la Compañía,

como el tipo de Firewall que se está usando, el mecanismo de autenticación empleado e incluso el nombre de red que tienen los servidores donde están instalados. De esta manera, se le facilita al intruso sus ataques con intenciones de interrumpir los servicios que dependen del Firewall o ingresar a los activos de información de la Compañía.

Los ataques de negación de servicios y fuerza bruta, son los ataques más comunes que pudieran ser ejecutados hacia el Firewall por parte de intrusos o personas no autorizadas.

El servidor de correo electrónico y WEB muestra hacia Internet información confidencial para la Compañía

El servidor de correo electrónico entrante muestra información relacionada al software de correo, versión, dominio y nombre físico del servidor en la red de la Compañía, al responder a peticiones por el puerto “25 - smtp” con la sintaxis “telnet

<IP>”.

Por otra parte el servidor WEB permite mediante consultas por el puerto 80, conocer la versión de Internet Information Server

“IIS”.

Esta situación le permite a un intruso obtener información confidencial para la Compañía, centrando su atención en obtener vulnerabilidades características del servidor de correo y WEB, las cuales podrían ser usadas para ejecutar ataques contra el mismo, interrumpiendo su operatividad y disminuyendo la calidad del servicio.

El servidor de correo no restringe los ataques de tipo

“spam”

Se entiende por “spam” el envío masivo de mensajes no solicitados, así como todas las

La carencia de controles de seguridad adecuados, que contribuyan a evitar ataques de

Tabla N° 3. Vulnerabilidades y riesgos identificados desde Internet

Vulnerabilidad Hallazgo Riesgo

formas de abuso ligadas al servicio de correo electrónico (ACE). En este sentido, actualmente la Compañía no cuenta con mecanismos suficientes que contribuyan a frenar la proliferación de correos no deseados “spam”.

Evidencia de lo mencionado, fue las pruebas de “spam” a una cuenta de correo de un contacto interno desde una dirección falsa [email protected], recibiendo un promedio de mil (1000) correos electrónicos.

Los métodos utilizados por los

“spamers” se sustentan principalmente en las deficiencias del protocolo

“SMTP”.

correos no deseados “spam”, puede traer como consecuencia continuas interrupciones del servicio de correo electrónico, dado a que la capacidad de los buzones de correo electrónico llegarán rápidamente a su limite. Asimismo, la posibilidad de recibir correos falsos, puede traer como consecuencia, la ejecución de actividades no autorizadas a favor de los intrusos.