Manual de Programa de Auditoria

Portadas Principal del Manual de Programa de Auditoria GFI LANguard Network Security Scanner 7 GFI LANguard Network Security Scanner 7 Manual ________________________________________ Introducción GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) es una herramienta de auditoría de seguridad, la cual proactivamente informa, y soporta la reparación de las vulnerabilidades de red puntualmente. Durante una auditoria de seguridad, GFI LANguard N.S.S. escanea toda su red, IP por IP, y le alerta sobre debilidades descubiertas en su red(es). Utilizando una combinación de las funciones del sistema operativo con las características que ofrece GFI LANguard N.S.S., usted puede proactivamente encargarse de los incidentes de seguridad detectados. Por ejemplo, los casos de seguridad se pueden detectar proactivamente cerrando puertos innecesarios, cerrando recursos compartidos, así como instalando service packs y parches de seguridad antes de que personas malintencionadas puedan explotarlos. Por defecto, GFI LANguard N.S.S. le permite realizar auditorias de seguridad en ordenadores basados tanto en Windows como en Linux. Durante una auditoría, el motor de escaneo recopila varias informaciones hardware y software de los equipos escaneados. Esto incluye el nivel de service pack de cada equipo objetivo, dispositivos potencialmente vulnerables tales como puntos de acceso inalámbricos y dispositivos USB, aplicaciones instaladas, así como recursos compartidos abiertos y puertos abiertos. El escáner también enumera ajustes de configuración específicos del SO tales como los ajustes del registro y los detalles de configuración de la política de contraseñas que ayudan en la identificación de los problemas de seguridad comunes relacionados con un sistema operativo configurado inadecuadamente (tal como un SO funcionando con los ajustes por defecto) GFI LANguard N.S.S. también está equipado con algoritmos que comprueban la presencia de software de seguridad particular (es decir, aplicaciones antivirus y antispyware) así como también asegurarse que están funcionando con los últimos archivos de definiciones lanzados por sus compañías. Donde sea aplicable, el motor de escaneo también chequeará para que las características importantes de seguridad tal como el análisis en tiempo real están habilitadas en las aplicaciones antivirus y antispyware permitiéndole asegurarse que las soluciones de seguridad implementadas en su red están funcionando eficazmente. Con una simple instalación, GFI LANguard N.S.S. también soporta la administración de parches para sistemas operativos que no están en inglés. Esto significa que puede descargar automáticamente actualizaciones de Microsoft ausentes en una variedad de idiomas e implementarlos en toda la red. Usted también puede utilizar el motor de implementación de parches para instalar remotamente software personalizado así como también parches de terceras partes (no Microsoft) en toda la red (por ejemplo actualizaciones de definiciones de antivirus). Importancia de la seguridad interna de la red La seguridad interna de la red es con mucha frecuencia subestimada por sus administradores. De hecho, en ciertos entornos dicha seguridad incluso no existe, permitiendo a un usuario acceder fácilmente al equipo de otro usuario utilizando debilidades bien conocidas, relaciones de confianza y opciones predeterminadas. La mayor parte de estos ataques necesitan poca o ninguna habilidad, poniendo la integridad de una red en riesgo. Debido a la cantidad de flexibilidad necesaria para la función normal, las redes internas no pueden permitirse una seguridad máxima. Por otro lado, sin ninguna seguridad, los usuarios internos pueden ser una importante amenaza para muchas redes corporativas. Según el Centro de Coordinación CERT de la Universidad Carnegie Mellon en USA: "Una `intrusión de un miembro' es un compromiso de una red, sistema o base de datos que es cometido por una persona que tiene (o tenía) acceso legitimo a la red, sistema o datos. Estos `miembros' pueden incluir empleados actuales o anteriores, empleados a tiempo parcial, socios de negocio, consultores y contratistas." - Computer Weekly. Un usuario dentro de la compañía ya tiene acceso a muchos recursos internos sin necesidad de saltarse firewalls u otros mecanismos de seguridad. De hecho, estas medidas de seguridad son generalmente utilizadas para prevenir a fuentes externas no confiables, tales como usuarios de Internet, del acceso a la red interna. Sin embargo, las mayores amenazas vienen desde usuarios internos. Un usuario interno, equipados con habilidades de hacking, pueden penetrar satisfactoriamente y conseguir derechos de administración de red mientras que asegura que su abuso sea difícil de identificar o incluso de detectar. La Encuesta de Seguridad y Crimen Informático recopilada en 2003 por el Computer Security Institute y el FBI descubrió que aproximadamente el 65% de los encuestados reportó al menos un incidente de seguridad involucrando a una persona de confianza. Una seguridad de red pobre puede también permitir a usuarios malintencionados penetrar en un sistema de la red para acceder al resto de la red interna más fácilmente. Esto habilitaría a un atacante sofisticado leer y posiblemente filtrar correo y documentos confidenciales; borrar datos y dañar ordenadores - llevando a pérdidas de información importante y más. Intrusos rencorosos pueden también utilizar su red y recursos de red para dar un rodeo y atacar (o espiar) otros sitios (es decir retransmisión del ataque). De esta forma, todas las evidencias del ataque conducirán de vuelta a usted y su compañía, sin exponer la propia identidad del hacker. La mayoría de las vulnerabilidades se pueden parchear fácilmente y los ataques frente abusos conocidos se pueden parar fácilmente por los administradores si tienen conocimiento de ellos a tiempo. ¡GFI LANguard N.S.S. asiste a los administradores en la identificación de esas vulnerabilidades! Características clave • Encuentra servicios rufianes y puertos TCP y UDP abiertos. • Detecta vulnerabilidades conocidas CGI, DNS, FTP, Correo, RPC y otras. • Detecta usuarios pícaros o en "puertas traseras" (backdoors) • Detecta recursos compartidos abiertos y listos quién tiene acceso a estos recursos incluyendo sus respectivos permisos. • Enumera grupos, incluyendo los miembros del grupo durante el análisis del equipo objetivo. • Enumera dispositivos USB conectados a los equipos objetivo (por ejemplo, Apple iPod, y otros dispositivos de almacenamiento portátil). • Enumera dispositivos de red e identifica si esos dispositivos son con Cable, Inalámbricos o Virtuales. • Enumera servicios y su respectivo estado. • Enumera procesos remotos en marcha. • Enumera aplicaciones instaladas. • Comprueba que los ficheros de firmas de las aplicaciones de seguridad (antivirus y antispyware) soportadas están actualizados. Cuando sea aplicable el escáner de seguridad también examinará los ajustes configuración del software de seguridad (por ejemplo, al antivirus BitDefender) en marcha para verificar si las características clave tales como el análisis en tiempo real está habilitado. • Programación de análisis de seguridad de red y presentación de informes por correo a la finalización. • Análisis de seguridad y recogida de datos del SO para sistemas operativos Windows. • Análisis de seguridad y recogida de datos del SO para sistemas operativos Linux mediante SSH. • Inicio de sesión a objetivos remotos Linux mediante cadenas de credenciales de inicio de sesión convencionales así como mediante autenticación de Clave Pública (es decir, utilizando ficheros SSH de Clave Pública/Privada). • Auto actualización - Se descarga automáticamente los archivos de definición de las últimas comprobaciones de seguridad, información de parches ausentes en el indicio del programa. • Soporta la administración de parches para sistemas operativos Windows 2000/XP/2003, Microsoft Office XP o superior, Microsoft Exchange 2000 y Microsoft SQL Server 2000 o superior. • Soporta la administración de parches para sistemas operativos multilingües • Le permite guardar los resultados del análisis de seguridad en base de datos de respaldo Microsoft Access o Microsoft SQL Server y ficheros XML. • Manda un informe al administrador cuando termina un análisis programado con un detalle completo del resultado del análisis y/o los cambios detectados identificados entre análisis sucesivos. • Detección de equipos activos e identificación del Sistema Operativo. • Auditoria SNMP. • Auditoría Microsoft SQL. • Depurador de scripts que puede utilizar para crear y depurar comprobaciones de seguridad personalizadas. Las comprobaciones se han creado utilizando un lenguaje de script compatible con VBscript. • Soporta multihilo (es decir, permite el análisis de múltiples equipos a la vez). • Incluye herramientas en línea de comando que le permiten analizar e implementar actualizaciones/parches de software y aplicaciones de terceros sin lanzar el interfaz de usuario de GFI LANguard N.S.S. Estas herramientas en línea de comando se pueden utilizar directamente desde la línea de comandos, a través de aplicaciones de terceros así como también scrips personalizados y archivos de procesamiento por lotes. Componentes de GFI LANguard N.S.S. GFI LANguard N.S.S. está construido en una arquitectura que permite con gran fiabilidad y escalabilidad dar servicio a medias y grandes redes. GFI LANguard N.S.S. consiste en cinco componentes principales que son: • Interfaz de usuario/configuración de GFI LANguard N.S.S. • GFI LANguard N.S.S. Servicio Asistente • Monitor de Estado de GFI LANguard N.S.S. • GFI LANguard N.S.S. Servicio Agente de actualizaciones • GFI LANguard N.S.S. Depurador de Scripts. Imagen 1 - Interfaz de configuración de GFI LANguard N.S.S. Inicie GFI LANguard N.S.S. desde Inicio } Programas } GFI LANguard Network Security Scanner 7.0 } LANguard Network Security Scanner. Utilice esta aplicación para: • Lanzar análisis de seguridad de red y sesiones de implementación de parches. • Ver los resultados del análisis de seguridad guardados y en tiempo real. • Configurar las opciones de análisis, perfiles de análisis y filtros de informes. • Utilizar las herramientas de administración de seguridad de red especializadas. GFI LANguard N.S.S. servicio asistente Este es el servicio en segundo plano que arranca las operaciones programadas. Estas incluyen análisis de seguridad de red programados y operaciones de implementación de parches programadas. GFI LANguard N.S.S. servicio agente de actualizaciones Este es el servicio en segundo plano que maneja la implementación de parches, service packs y actualizaciones de software en los equipos objetivo. GFI LANguard N.S.S. Depurador de Scripts Imagen 2 - GFI LANguard N.S.S. Depurador de Scripts Este módulo le permite escribir y depurar scripts personalizados utilizando un lenguaje compatible con VBScript. Utilice este módulo para crear scripts para comprobaciones de vulnerabilidades personalizadas. Estas comprobaciones se pueden incluir en GFI LANguard N.S.S. para análisis personalizados de objetivos de red. Lance el Depurador de Scripts de GFI LANguard N.S.S. desde Inicio } Programas } GFI LANguard Network Security Scanner 7.0 } LNSS Script Debugger Monitor de Estado de GFI LANguard N.S.S. Imagen 3 - Monitor de GFI LANguard N.S.S. Utilice este módulo para supervisar el estado de los análisis programados y las sesiones de implantación de actualización de software programadas. Además, desde este módulo puede detener operaciones programadas que todavía no se hayan ejecutado. Instalar GFI LANguard Network Security Scanner Requerimientos del sistema Instale GFI LANguard Network Security Scanner en un equipo que cumpla los siguientes requerimientos: • Sistema operativo Windows 2000 (SP4) / XP (SP2) / 2003. • Internet Explorer 5.1 o superior. • Componente Cliente para Redes Microsoft - (incluido por defecto en Windows 95 o superior) • NOTA: Para más información sobre como instalar el componente Cliente para Redes de Microsoft refiérase a la sección `Instalar el componente Cliente para Redes de Microsoft en Windows 2000 o superior' en el capítulo `Miscelánea'. • Secure Shell (SSH) - (incluido por defecto en cada distribución del SO Linux). Consideraciones del Firewall Los firewalls instalados en el servidor u ordenador(es) objetivo interferirán con las operaciones de GFI LANguard N.S.S. Usted debe: • Deshabilita el software firewall en el servidor/equipo(s) objetivo. • Utilizar las políticas de dominio de Windows Internet Connection Firewall para configurar los puertos y servicios necesarios requeridos por GFI LANguard N.S.S. para operar correctamente. Para más información sobre como configurar las políticas del Directorio Activo para soportar el análisis de/desde equipos que funcionan bajo el Firewall de conexión a Internet de Windows (XP SP2 o 2003 SP1) Procedimiento de instalación 1. Lance el asistente de instalación de GFI LANguard Network Security Scanner haciendo doble clic en languardnss7.exe. Tan pronto como se muestre el dialogo de bienvenida, haga clic en Next para iniciar la instalación. 2. En el diálogo de licencia, lea el acuerdo de licencia atentamente. Seleccione la opción `Accept the Licensing agreement' y haga clic en Next para continuar. 3. Especifique el nombre de usuario completo, el nombre de la empresa y la clave de licencia. Si esta evaluando el producto, deje el la clave de licencia por defecto (es decir "Evaluation"). Haga clic en Next para continuar. Imagen 4 Especifique las credenciales del administrador del dominio o utilice la cuenta local del sistema 4. Especifique la cuenta de servicio bajo la cual correrá GFI LANguard N.S.S. Haga clic en Next para continuar. IMPORTANTE: GFI LANguard N.S.S. debe funcionar con credenciales administrativas. Es recomendable proveer los detalles de una cuenta de Administrador del Dominio o Administrador de la Empresa. Esto se requiere porque GFI LANguard N.S.S. muy probablemente necesitará derechos administrativos para acceder a los equipos objetivo en su red. No obstante, no es obligatorio proveer detalles de cuenta de Administrador del Dominio/Empresa para todos los equipos objetivo, puesto que se pueden proveer credenciales separadas desde el interfaz e configuración después de la instalación (nodo Configuration  Computer Profiles ). Imagen 5 - Elegir la base de datos de respaldo 5. Especifique que base de datos de respaldo se usará para almacenar los resultados/información del análisis. Puede elegir entre Microsoft Access, Microsoft SQL Server 7/2000 o MSDE. Haga clic en Next para continuar. NOTA 1: El uso de la base de datos de respaldo Microsoft Access se recomienda para redes pequeñas. Para redes medianas y grandes, se recomienda el uso de Microsoft SQL Server 7/2000 como base de datos de respaldo. NOTA 2: MSDE puede manejar hasta 2 GB de datos mientras que Microsoft SQL Server es capaz de manejar grandes volúmenes de datos eficientemente y sin limitaciones. Imagen 6 - Especificar los detalles del servidor SQL 6. Si se selecciona Microsoft SQL Server como base de datos de respaldo, especifique las credenciales de inicio que se usarán para logarse en la base de datos. Puede utilizar tanto cuentas de usuario de SQL Server así como autenticación Windows NT para acceder a la base de datos. Haga clic en Next para continuar. NOTA: Cuando utilice autenticación Windows NT, asegúrese que los servicios de GFI LANguard N.S.S. están funcionando bajo cuentas de usuario que tengan los derechos administrativos de acceso necesarios y privilegios para logarse y manejar las bases de datos de SQL Server. Imagen 7 - Especificar la dirección de correo de alertas y los detalles del servidor de correo 7. Especifique los datos del servidor SMTP/correo (Nombre/IP y Puerto) así como la dirección de correo genérica para el envío de notificaciones administrativas. Haga clic en Next para continuar. 8. Especifique la ruta de instalación de GFI LANguard N.S.S. y haga clic en Next. La instalación necesitará aproximadamente 40 MB de espacio libre en disco. 9. Haga clic en Finish para finalizar la instalación. Introducir su clave de licencia después de la instalación Si ha comprado GFI LANguard N.S.S., introduzca su clave de licencia en el nodo General  Licensing (no se requiere reinstalción/reconfiguración) NOTA 1: Por defecto, GFI LANguard N.S.S. tiene un periodo de evaluación sin restricción y completamente funcional de 10 días. Si los datos provistos en el formulario de descarga son correctos, recibirá por correo electrónico un clave de licencia que le permite evaluar GFI LANguard N.S.S. durante 30 días. NOTA 2: La licencia de GFI LANguard N.S.S. se basa en: • Número de ordenadores/IPs en los que correrá GFI LANguard Network Security Scanner. • Número de ordenadores/IPs que desee analizar. Por ejemplo, si quiere instalar GFI LANguard N.S.S. en un servidor, y va a analizar una red de 20 equipos objetivo, usted debe comprar una licencia de 25 IP. NOTA 3: Introducir la Clave de Licencia no debe ser confundido con el proceso de registrar los detalles de su empresa en nuestro sitio web. Esto es importante ya que nos permite darle soporte y avisarle sobre noticias importantes sobre los productos. Puede registrarse y obtener su cuenta de cliente de GFI en: Empezar: Realizar una auditoría Introducción Una auditoría de recursos de red permite al administrador identificar y evaluar posibles riesgos dentro de la red. Hacer esto manualmente implica una tediosa serie de repetitivas y lentas tareas que deben ser realizadas concienzudamente en cada uno y todos los equipos de la red. GFI LANguard automatiza el proceso de auditoria de seguridad y analiza remotamente ordenadores en busca de vulnerabilidades conocidas, desconfiguraciones comunes y otros potenciales problemas de seguridad en un relativamente corto periodo de de tiempo. La información recogida durante el proceso de análisis se utiliza posteriormente para ayudar al rastreo y mitigación de los problemas de seguridad que se han identificado. La información típica que se enumera durante el proceso del análisis de seguridad incluye: • EL nivel de service packs del ordenador. • Parches de seguridad ausentes • Puntos de acceso inalámbrico • Dispositivos USB • Recursos compartidos abiertos • Puertos abiertos • Servicio/aplicaciones activas en equipo(s) objetivo. • Entradas clave del registro • Contraseñas débiles • Usuarios y grupos Para realizar una auditoria de seguridad el motor de análisis requiere que le especifique tres parámetros primarios: 1. Ordenador(es) objetivo para analizar de problemas de seguridad 2. Perfil de Escaneo a utilizar (especifique que comprobaciones/pruebas de vulnerabilidad se harán contra los objetivos especificados). 3. Los detalles de autenticación a utilizar para logarse en el ordenador(es) objetivo. Sobre los perfiles de escaneo (lista de comprobaciones/pruebas de vulnerabilidades) Antes de empezar un análisis debe especificar que comprobaciones/pruebas de vulnerabilidades van a correr contra el objetivo(s) seleccionado. Esto se requiere porque GFI LANguard N.S.S. contiene multitud de comprobaciones de vulnerabilidades que se pueden lanzar en su infraestructura de red. Aunque muchas de estas comprobaciones de vulnerabilidad se pueden lanzar sobre todos los ordenadores de la red, hay algunas comprobaciones 'especializadas' las cuales tienen un rol específico y por lo tanto sus resultados dependen de los servicios que están en marcha en ese ordenador(es) objetivo particular así como también del tipo de análisis de seguridad deseado que necesita realizar. Por ejemplo, las comprobaciones de vulnerabilidades CGI necesitan ser lanzadas solo cuando se analicen servidores Web. En GFI LANguard N.S.S. las comprobaciones de vulnerabilidad que se lanzarán contra un objetivo en un análisis de seguridad están especificadas en plantillas llamadas `Scanning Profiles'. Estos perfiles de análisis mantienen los 'parámetros/instrucciones del análisis' que el motor de análisis seguirá durante una auditoria de seguridad, es decir, las comprobaciones de vulnerabilidad que deberán ser ejecutadas contra los objetivos así como la información que se recogerá de de esos objetivos. Para más información acerca de los perfiles de análisis, refiérase al capítulo `Perfiles de Análisis' en este manual. Para análisis de seguridad bien balanceado utilice la opción `Default Scanning Profile'. Credenciales de acceso para acceder al ordenador(es) objetivo Durante un análisis de seguridad, para algunos tipos de recogida de información/pruebas de vulnerabilidad, GFI LANguard N.S.S. necesita iniciarse remotamente en cada ordenador objetivo. Por defecto GFI LANguard N.S.S. utiliza el contexto de seguridad del usuario bajo el que está funcionando. También puede especificar credenciales de inicio alternativas para lanzar un análisis bajo un contexto de seguridad diferente del usuario actualmente iniciado. Aunque lo citado anteriormente debería ajustarse a la mayoría de necesidades de análisis usted puede encontrarse situaciones que se inicia en algunos ordenadores objetivo con una cuenta administrativa particular y sobre otros ordenadores objetivos con una cuenta administrativa totalmente diferente. Para satisfacer esta situación GFI LANguard N.S.S. le permite configurar perfiles de ordenador para objetivos diferentes que están localizados en su red. Utilice los perfiles de ordenador para indicar las credenciales de inicio usar cuando se inicie en un ordenador objetivo aun cuando un análisis de seguridad está corriendo bajo un contexto de seguridad diferente. Por ejemplo, puede usar los perfiles de ordenador para asegurarse que el ordenador FILESERVER se analiza siempre con la cuenta EMPRESA\fileserveradmin y que el ordenador WEBSERVER se analiza siempre con la cuenta EMPRESA\webserveradmin. Para más información sobre los perfiles de ordenador refiérase a la sección `Perfiles de Equipo' el en capítulo `Configurar GFI LANguard N.S.S.' en este manual. Consideraciones importantes 1. Por favor tenga en cuenta que si su empresa lanza algún tipo de Software de Detección de Intrusos (IDS) durante el análisis, GFI LANguard N.S.S. saltará una multitud de alertas IDS y alertas de intrusión en esas aplicaciones. Si usted no es el responsable del sistema IDS, asegúrese de informar a la persona al cargo sobre cualquier análisis de seguridad planeado. 2. Junto con las alertas del software IDS, debe ser consciente de que muchos de los análisis se mostrarán en los archivos de registro a todos los niveles. Registros UNIX, servidores web, etc. mostrarán los intentos de intrusión realizados por el del equipo LANguard Network Security Scanner. Si no es el único administrador de su sitio asegúrese que los otros administradores sean conscientes de los análisis que va a realizar. Realizar un análisis de seguridad usando los ajustes por defecto Con una simple instalación, GFI LANguard N.S.S. incluye unos ajustes de configuración por defecto los cuales le permiten lanzar un análisis (básico) inmediato justo después de que termine la instalación. Para un análisis por defecto usted solo debe indicar que ordenador(es) objetivo desea auditar. Por defecto, GFI LANguard N.S.S.: • Se autenticará en los objetivos utilizando las credenciales de la cuenta de usuario actualmente logado (es decir, las credenciales bajo las cuales está corriendo GFI LANguard N.S.S.). • Utilizará una lista de comprobaciones de seguridad por defecto las cuales está preconfiguradas en el perfil de análisis 'Default'. Este es uno de los perfiles de análisis por defecto que se venden junto GFI LANguard N.S.S. Para realizar su primer análisis, por favor hágalo como sigue: 1. Haga clic en File  New. Imagen 8 - Seleccionando el tipo de análisis de seguridad 2. Seleccione el tipo de análisis que desea realizar seleccionando una de las siguientes opciones: • Scan single computer... - Seleccione esta opción para analizar un solo ordenador. • Scan range of Computers... - Seleccione esta opción para analizar un rango de ordenadores específico. • Scan list of Computers... - Seleccione esta opción para analizar una lista de ordenadores personalizada. • Scan a Domain... - Seleccione esta opción para analizar un dominio Windows completo. NOTA: Por ahora, usted puede ignorar la opción Scheduled Scan. Esta opción se utiliza para configurar análisis de vulnerabilidad los cuales se ejecutarán automáticamente en un día/hora específica. Los análisis programados se describen con más detalles en el capítulo `Configurar GFI LANguard N.S.S.' en este manual. Imagen 9 - Diálogos de opciones de Nuevo Análisis. 3. Especifique los detalles de los objetivos solicitados (es decir, nombre, IP, rango de IPs o nombre de dominio). 4. Haga clic en el botón OK para iniciar su análisis por defecto. Sobre el proceso de análisis GFI LANguard Network Security iniciará el proceso de análisis primero identificando los objetivos que están disponibles para el análisis (es decir, los ordenadores objetivo que están encendidos y accesibles de la red). Esto se hace enviando automáticamente peticiones a los objetivos objetivo utilizando consultas NETBIOS, ping ICMP y consultas SNMP. Si un equipo objetivo no responde a esas consultas, GFI LANguard N.S.S. asumirá que ese dispositivo está actualmente apagado o que no existe en la dirección IP especificada. Por defecto, GFI LANguard N.S.S. NO analizará ordenadores objetivo que no respondan a las peticiones del análisis. Después que se establezca la conexión al ordenador objetivo, el motor de análisis ejecutará las comprobaciones de vulnerabilidad específicas o por Realizar un análisis usando diferentes (por defecto) perfiles de análisis Aparte del perfil de análisis por defecto, GFI LANguard N.S.S. se entrega con una amplia lista de perfiles de análisis diferentes cada uno de los cuales está preconfigurado para realizar comprobaciones de vulnerabilidad específicas o más especializadas. La posibilidad de tener diferentes perfiles de análisis es para minimizar los cambios de configuración requeridos antes de todos los análisis utilizando plantillas de análisis de vulnerabilidad ya configuradas. Es este análisis de vulnerabilidad, especificará dos parámetros primarios: • Los objetivos que desea analizar. • El perfil de análisis (es decir, las comprobaciones/pruebas de vulnerabilidad) que se lanzarán contra sus objetivos. Por defecto, GFI LANguard N.S.S. se autenticará en los objetivos utilizando las credenciales de la cuenta de usuario actualmente logado (es decir, las credenciales bajo las cuales está corriendo GFI LANguard N.S.S.). Para lanzar una auditoria de red usando un perfil de análisis diferente: 1. Haga clic en File  New. 2. Seleccione el tipo de análisis que desea realizar (por ejemplo, Scan single computer). 3. Especifique los detalles de los objetivos solicitados (es decir, nombre, IP, rango de IPs o nombre de dominio). Imagen 10 - Diálogo de Nuevo Análisis. Seleccionando un perfil de análisis diferente 4. Desde la lista desplegable 'Scan Profile' en la parte de abajo del diálogo, seleccione el perfil de análisis que se utilizará para este análisis de seguridad de red. Por ejemplo, seleccione `Missing Patches' para realizar un análisis de red que compruebe y enumere los parches de Microsoft ausentes así como también los objetivos en los cuales faltan esos parches. 5. Haga clic en el botón OK para iniciar su análisis. Realizar un análisis usando credenciales de inicio alternativas Cuando se realiza un análisis de seguridad GFI LANguard N.S.S. debe autenticarse en el equipo(s) objetivo. Esto se requiere para que el motor de análisis tenga habilitados los permisos para ejecutar las comprobaciones de vulnerabilidad configuradas contra el objetivo y obtener la información del sistema requerida. GFI LANguard N.S.S. se autentica en los objetivos logándose `físicamente' en el ordenador(es) utilizando las credenciales de una cuenta con derechos administrativos. Esta no necesita ser obligatoriamente una cuenta de Administrador del Dominio o Administrador de la Empresa, sin embargo esta cuenta de usuario necesita tener privilegios administrativos en el equipo(s) objetivo. Sistemas diferentes a menudo requieren diferentes métodos de autenticación. Por ejemplo, los sistemas Linux a menudo piden un fichero de clave privada en lugar de la contraseña convencional. GFI LANguard N.S.S soporta ambos métodos. Para más información sobre los métodos de autenticación refiérase a la sección `Perfiles de Equipo'' el en capítulo `Configurar GFI LANguard N.S.S.' en este manual. Para lanzar una auditoría de seguridad usando credenciales de inicio específicas: Imagen 11 - Barra de herramientas de nuevo análisis de GFI LANguard N.S.S.: Lista desplegable de métodos de autenticación 1. Desde la lista desplegable de credenciales en la barra de herramientas de GFI LANguard N.S.S., especifique el método de autenticación a usar en esta auditoría de seguridad seleccionando una de las siguientes opciones: • `Currently Logged-On User' - Seleccione esta opción para autenticarse en los equipos objetivo utilizando las credenciales de cuenta Windows NT (es decir, usando la cuenta bajo la que esta corriendo GFI LANguard N.S.S.). • `Null Session' - Seleccione esta opción intentar conectar a los equipos objetivo sin autenticación. Des esta forma, puede identificar a que información pueden acceder usuarios no autenticados (internos/externos). • `Alternative credentials' - Seleccione esta opción para autenticarse a los equipos objetivo utilizando credenciales específicas. Especifique esas credenciales en los campos provistos `Username' y `Password' al lado de esta lista desplegable. • `SSH Private Key' - Seleccione esta opción para autenticarse en equipos basados en Linux utilizando un nombre de usuario y un fichero de clave privada en lugar de la contraseña (es decir, a través de autenticación de Clave Pública). NOTA: Para más información sobre autenticación de Clave Pública refiérase a la sección `Sobre el fichero SSH de Clave Privada' el en capítulo `Configurar GFI LANguard N.S.S.' en este manual. 2. Haga clic en File  New. 3. Seleccione el tipo de análisis que desea realizar (por ejemplo, Scan single computer). 4. Especifique los detalles de los objetivos solicitados (es decir, nombre, IP, rango de IPs o nombre de dominio). 5. Desde la lista desplegable 'Scan Profile' en la parte de abajo del diálogo, seleccione el perfil de análisis que se utilizará para este análisis de seguridad de red. 6. Haga clic en el botón OK para iniciar su análisis. Iniciar análisis de seguridad directamente desde la barra de herramientas Para lanzar una auditoría de seguridad de res desde la barra de herramientas: Imagen 12 - Barra de herramientas de nuevo análisis de GFI LANguard N.S.S. 1. Desde la lista desplegable de credenciales en la barra de herramientas de GFI LANguard N.S.S., seleccione el método de autenticación a usar y si es necesario especifique las credenciales respectivas en los campos adyacentes. Imagen 13 - Barra de herramientas de detalles de objetivo de GFI LANguard N.S.S. 2. En la lista desplegable 'Scan Target' de abajo, especifique los objetivos que se analizarán (por ejemplo, TMJason, 130.12.1.20-130.12.1.30, etc.). 3. Desde la lista desplegable `Profile' seleccione el perfil de análisis que se utilizará para este análisis de seguridad de red. 4. Haga clic en el botón Scan para iniciar su análisis de vulnerabilidad de red. Empezar: Analizar los resultados del análisis de seguridad Introducción Después de que se complete un análisis de seguridad, GFI LANguard N.S.S. genera y muestra los resultados del análisis en una ventana dedicada dentro del interfaz de configuración. Los resultados del análisis están organizados por tipo en diferentes categorías. La cantidad de categorías de resultados y el tipo de información recogida durante un análisis de seguridad depende enteramente del tipo de comprobaciones que han sido lanzadas contra los objetivos así como también de los parámetros que han sido configurados en el perfil de análisis que se ha usado durante la auditoría. Por lo tanto, usted obtendrá por supuesto diferentes categorías de resultados del análisis por cada perfil de análisis diferente que utilice para auditar su red. Para más información acerca de los perfiles de análisis refiérase a la sección `Perfiles de Análisis' más adelante en este manual. También puede lanzar filtros en sus resultados del análisis y mostrar solo los detalles del resultado del análisis específicos. Esto se consigue aplicando `Scan Filtres' a esta información. Para más información acerca de los filtros de análisis, refiérase al capítulo `Filtrar los resultados del análisis' en este manual. Analizar los resultados del análisis Imagen 14 - Interfaz de configuración de GFI LANguard N.S.S.: Analizando los resultados del análisis Utilice la información presentada en la sección `Scanned computers' (panel del medio) para navegar por los resultados de los ordenadores analizados. Los resultados del análisis de seguridad están organizados en un número de sub-nodos de categoría. Estoa pueden ser fácilmente usados para investigar e identificar los problemas de seguridad en los objetivos analizados. Los resultados del análisis están organizados en las siguientes categorías: • Vulnerabilidades • Vulnerabilidades potenciales • Shares • Aplicaicones • Dispositvos de red • Dispositivos USB • Directiva de contraseñas • Directiva de auditoría de seguridad • Registro • Puertos TCP abiertos • System patching status • Nombres NETBIOS • Equipo • Grupos • Usuarios • Usuarios logados • Sesiones • Servicios • Procesos • Time of day remoto (TOD) • Unidades locales Para ver los datos de los resultados del análisis recogidos durante un análisis de seguridad, haga clic en la categoría de interés. La información se muestra en el panel `Scan Results' (a la derecha). Vulnerabilidades Imagen 15 - El nodo de Vulnerabilidades Haga clic en el sub-nodo Vulnerabilities para ver las vulnerabilidades de seguridad identificadas en el equipo objetivo. Las vulnerabilidades se agrupan por tipo y gravedad en cinco categorías principales: • Service packs ausentes • Parches ausentes • Vulnerabilidades de seguridad altas • Vulnerabilidades de seguridad medias • Vulnerabilidades de seguridad bajas Vulnerabilidades  Service packs ausentes Un Service Pack (SP) es un programa de software que corrige un conjunto de defectos conocidos o añade nuevas características a sistemas operativos y aplicaciones GFI LANguard N.S.S. comprueba por actualizaciones de software de Microsoft ausentes comparando la versión actualmente instalada de los service packs en los ordenadores objetivo con los mismos realizados actualmente disponibles por el fabricante. Imagen 16 - Árbol de resudados de Service Packs Ausentes NOTA: GFI LANguard N.S.S. es capaz de comprobar las actualizaciones de software ausentes y service packs en varios productos Microsoft. Para una lista completa de productos soportados vaya a http://kbase.gfi.com/showarticle.asp?id=KBID002573. Los detalles mostrados en el árbol de resultados de esta categoría incluyen: • `Product name' y `Service Pack Number'. • `URL:' El enlace URL al artículo de la Base de Conocimiento o a otra documentación de soporte relacionada con el service pack ausente detectado. • `Release date:' La fecha de liberación del service pack reportado. Para acceder a información más detallada del service pack ausente, haga clic derecho sobre el service pack en particular y seleccione More details .... Imagen 17 - Service pack ausente: Diálogo de información del boletín Esto levantará el diálogo 'Bulletin Info' del respectivo service pack. La información mostrada en este boletín incluye: • El QNumber. Este es un número ID único que se asigna por Microsoft a cada actualización de software para propósitos de identificación. • La fecha de liberación del boletín/service pack. • Una descripción larga del service pack y sus contenidos. • La lista de SO/Aplicaciones a los que se aplica el service pack. • El enlace URL a más información acerca del service pack respectivo. • El nombre del archivo del service pack y el tamaño del archivo relativo. • La URL desde donde puede descargar manualmente ese service pack. Vulnerabilidades  Parches ausentes Un parche es una actualización que se ha liberado por una compañía de software para contrarrestar un problema técnico/de seguridad. Es muy común por los atacantes explotar estas vulnerabilidades conocidas para obtener acceso a la red. Dejar de parchear los sistemas objetivos le hace vulnerable a un ataque con un resultado de pérdida de tiempo de negocio y/o datos. GFI LANguard N.S.S. analiza los ordenadores objetivo para asegurarse que todas las actualizaciones de seguridad relevantes liberadas por Microsoft están instaladas. Imagen 18 - Parches ausentes detectados durante el análisis del objetivo Los parches ausentes descubiertos durante el análisis de un objetivo se listan bajo la categoría 'Missing Patches'. Los detalles mostrados en el árbol de resultados de esta categoría incluyen: • `Patch ID' y `Product name'. • `Bugtraq ID/URL:' El ID y la URL del artículo de la Base de Conocimiento de Microsoft respectivo. • `Severity:' - El efecto que el parche tiene sobre el nivel de seguridad de un dispositivo de red. • `Date Posted:' - La fecha de liberación del parche ausente. Para acceder a información más detallada, haga clic derecho sobre parche particular y seleccione More details....Esto levantará el diálogo 'Bulletin Info' que contiene detalles adicionales del parche de software respectivo. NOTA: GFI LANguard N.S.S. es capaz de comprobar las actualizaciones de software ausentes y service packs en varios productos Microsoft. Para una lista completa de productos soportados vaya a http://kbase.gfi.com/showarticle.asp?id=KBID002573. Vulnerabilidades  Vulnerabilidades seguridad alta, media y baja Imagen 19 -Error! No sequence specified. Vulnerabilidades seguridad alta, media y baja Los sub-nodos 'High', 'Medium' y `Low security vulnerabilities' contienen información acerca de debilidades descubiertas durante la prueba de un dispositivo de red. Estas vulnerabilidades se organizan en 8 grupos: • Abusos CGI. • Vulnerabilidades.FTP. • Vulnerabilidades DNS. • Vulnerabilidades de correo. • Vulnerabilidades RCP. • Vulnerabilidades de Servicio. • Vulnerabilidades de Registro. • Vulnerabilidades Misc/Linux/UNIX. El contenido de cada grupo se describa abajo: • Abusos CGI Este grupo contiene detalles de vulnerabilidades de seguridad (tales como problemas de desconfiguración) descubiertos en servidores web analizados. Los servidores web soportados incluyen Apache, Netscape, y Microsoft I.I.S. La información listada en esta sección incluye: • `Vulnerability check name' (por ejemplo, Imported_IIS: FrontPage Check) • `Description:' - Una descripción corta de la vulnerabilidad respectiva. • `Bugtraq ID/URL:' - El ID del artículo(s) de la Base de Conocimiento de Microsoft relevante y la URL para más información sobre la vulnerabilidad. • Vulnerabilidades FTP, DNS, Correo, RPC y Misc/Linux/UNIX Estos grupos incluyen detalles de la debilidades de seguridad descubiertas durante el análisis de objetivos de red particulares tales como servidores FTP, servidores DNS, y servidores de correo SMTP/POP3/IMAP. La información mostrada en estas secciones incluyen los enlaces a los artículos de la Base de Conocimiento de Microsoft u otra documentación de soporte relacionada con la vulnerabilidad. • Vulnerabilidades de servicio Este grupo incluye detalles de vulnerabilidades de seguridad asociadas a servicios que están funcionando en los dispositivos de red analizados. Otros detalles enumerados en esta sección incluyen cuentas no utilizadas que siguen estando activas y accesibles en los ordenadores objetivo analizados. • Vulnerabilidades de Registro. Este grupo incluye detalles de las vulnerabilidades descubiertas en los ajustes del registro de un dispositivo de red analizado. Los detalles mostrados en esta categoría incluyen enlaces a documentación de soporte así como una descripción corta de la vulnerabilidad respectiva. Vulnerabilidades potenciales Imagen 20 - El nodo de vulnerabilidades potenciales Haga clic en el sub-nodo Potential vulnerabilities para ver los elementos del análisis de resultados que son clasificados como posibles debilidades de red. Estos elementos del resultado del análisis, a pesar de que no están clasificados como vulnerabilidades, requieren su meticulosa atención dado que pueden ser explotados durante un ataque por usuarios malintencionados. Por ejemplo, durante un análisis de seguridad GFI LANguard N.S.S. enumerará todos los módems que están instalados y configurados en el ordenador objetivo. Si estos módems no están en uso o conectados a la línea de teléfono, no son una amenaza para su red (es decir, no es una vulnerabilidad). Por otro lado, si estos módems están en uso y conectados se pueden usar por sus usuarios de red para obtener acceso no autorizado y no monitorizado a Internet. Esto podría mas adelante permitirles saltarse su firewall y otros cualesquiera ajustes de seguridad de Internet implementados (por ejemplo, análisis de virus, clasificación de sitios y bloqueo de contenido) así como también generar altas facturas telefónicas a la compañía. En adición a lo de arriba, los hackers podrían detectar tales conexiones y sacar provecho de ellas para obtener acceso no controlado a su sistema de la red a través de esta ruta no monitorizada. Como resultado, GFI LANguard N.S.S. considera a los módems instalados como potenciales amenazas y los enumera en una categoría dedicada (es decir, el sub-nodo 'Potential Vulnerability') para su atención y análisis. Recursos compartidos abiertos Haga clic en el sub-nodo Shares para ver todos los recursos compartidos en un ordenador objetivo. Imagen 21 - Nodo Shares En libertad hay varios gusanos y virus (por ejemplo, Klez, Bugbear, Elkern y Lovgate) que se dispersan utilizando recursos compartidos abiertos detectados en los ordenadores de la red. GFI LANguard N.S.S. enumera las propiedades de todos los recursos compartidos descubiertos en su red. Utilice estos datos para asegurarse que: 1. Ningún usuario está compartiendo todos sus discos duros con otros usuarios. 2. No está permitido el acceso anónimo/sin autenticar a los recursos y que están establecidos los permisos de acceso apropiados. 3. Las carpetas de inicio del sistema o archivos del sistema similares no están compartidos ya que estas podrían permitir a usuarios con pocos privilegios ejecutar código en ordenadores objetivo. 4. Ningún usuario tiene recursos compartidos innecesarios o sin uso. Por cada recurso compartido abierto detectado la siguiente información se recoge del ordenador objetivo: • El nombre del recurso compartido • El directorio que es compartido en el ordenador objetivo • Permisos del recurso compartido y derechos de acceso • Permisos y derechos de acceso NTFS NOTA: Todos los ordenadores Windows tiene recursos compartidos administrativos (C$, D$, E$ etc) los cuales GFI LANguard N.S.S. por defecto enumerará durante el análisis del ordenador objetivo. Como estos pueden ser irrelevantes para su auditoría de seguridad usted puede configurar GFI LANguard N.S.S. para que no reporte tales recursos administrativos. Para más información sobre como realizar esto refiérase a la sección `Personalizar los parámetros de Obtención de Datos del SO' en el capítulo 'Perfiles de Análisis' en este manual. Ajustes de directiva de contraseñas Imagen 22 - El nodo Password policy Haga clic en el sub-nodo Password Policy para ver los ajustes de la directiva de contraseñas del ordenador(es) objetivo analizado. Las políticas de seguridad de Windows 2000/XP/2003 proveen un conjunto de reglas que se pueden configurar para todas las cuentas de usuario para protegerle contra ataques de adivinación de contraseñas por fuerza bruta. Tales políticas incluyen las políticas de control de bloqueo así como políticas de aplicación de dureza de contraseñas. Estas son esenciales para la aplicación de una red segura tal y como hacen muy difícil para un atacante localizar un enlace débil en base a su usuario. Las vulnerabilidades típicas en una infraestructura de TI incluyen contraseñas débiles las cuales se hacen con pocos caracteres por ejemplo, contraseñas en blanco o por defecto, o contraseñas iguales al nombre de usuario. Utilice la directiva de contraseñas que obtiene GFI LANguard N.S.S. de los ordenadores objetivo analizados para identificar vulnerabilidades de configuración en su red. Ajustes del Registro Haga clic en el sub-nodo Registry para ver los valores de importantes claves del registro configurado en su ordenador objetivo. Imagen 23 - Nodo Registry Examinando los valores en el nodo Run, puede comprobar que programas están configurados para iniciarse automáticamente al inicio del sistema. Esta información le permite identificar Troyanos, aplicaciones autorizadas o no autorizadas así como también aplicaciones válidas que pueden proveer acceso remoto a su red. Cualquier tipo de software que esté funcionando sin su orden expresa desde el menú inicio debe ser anotado y comprobado por su validez. No hacerlo puede proveer una oportunidad de entrada a su sistema. Ajustes de la directiva de auditoría de seguridad Haga clic en el sub-nodo Security Audit Policy para ver los ajustes de la directiva de auditoría de seguridad configurada en un ordenador objetivo analizado. Una parte importante de cualquier plan de seguridad es la posibilidad de monitorizar y auditar los sucesos que ocurren en su red. Estos registros de sucesos están frecuentemente indicados para identificar agujeros o brechas de seguridad. Identificando los intentos e impidiéndoles convertirse en brechas de su sistema de seguridad es crítico En Windows, puede utilizar las `Políticas de Grupo' para establecer una directiva de auditoría que pueda rastrear las actividades del usuario o los eventos del sistema en registros específicos. Mientras analiza, GFI LANguard N.S.S. extrae los ajustes de la directiva de auditoría de seguridad actualmente configurada del equipo(s) objetivo. Utilice esta información para identificar si las políticas de auditoría están configuradas correctamente en sus equipos de red. GFI recomienda que configure los ajustes de la política de auditoría de sus equipos de la red como sigue: Directiva de Auditoría Correcto Error Auditar sucesos de inicio de sesión Si Si Administración de cuentas Si Si Acceso del servicio de directorio Si Si Sucesos de inicio de sesión de cuenta Si Si Acceso a objetos Si Si Cambio de directivas Si Si Uso de privilegios No No Seguimiento de procesos No No Sucesos del sistema Si Si También puede configurar remotamente los ajustes de la política de auditoría de los equipos objetivo directamente desde el interfaz de configuración de GFI LANguard N.S.S. Esto se hace como sigue: 1. Desde el panel 'Scanned Computers' (en el centro), haga clic derecho sobre el equipo objetivo respectivo y seleccione Enable auditing on  This computer. Esto lanzará el `Asistente de Administración de la Política de Auditoría'. Haga clic en Next para proceder con la configuración. NOTA 1: Para configurar remotamente las políticas de auditoría en una selección de equipos objetivo, haga clic derecho sobre cualquier ordenador objetivo (que está listado en panel del medio) y seleccione Enable auditing on  Selected computers. NOTA 2: Para configurar las políticas de auditoría en todos los equipos de listados en el panel 'Scanned Computers' (en el medio), haga clic derecho sobre cualquier equipo objetivo y seleccione Enable auditing on  All computers. Imagen 24 - El asistente de Administración de la Política de Auditoría 2. Seleccione/deseleccione las casillas de verificación de las políticas de auditoría que desee ajustar en los equipos objetivo seleccionados. Por ejemplo, para registrar los sucesos correctos, seleccione la casilla de verificación `Successful' de la política de auditoría correspondiente. Haga clic en Next para iniciar el proceso de configuración de la política de auditoría en el equipo(s) objetivo remoto. Imagen 25 - Diálogo de resultados del asistente de directiva de auditoría 3. Se mostrará ahora un diálogo que muestra los resultados de la configuración de la política de auditoría. Haga clic en Next para proceder con la última etapa del procedo de configuración. 4. Haga clic en Finish para cerrar el 'Asistente de Administración de la Política de Auditoría'. Puertos abiertos Haga clic en el sub-nodo Open Ports para ver una lista de puertos que son detectados como abiertos para escuchar en un ordenador objetivo analizado. Imagen 26 - El nodo Open TCP ports Los puertos abiertos representan servicios activos y aplicaciones que pueden ser explotados por usuarios malintencionados para obtener acceso al ordenador. Es muy importante dejar sólo los puertos que usted sabe que son necesarios par alas funciones centrales/básicas de sus servicios de red. Todos los demás puertos se deben cerrar. Por defecto GFI LANguard N.S.S. está configurado para usar el 'Perfil de Análisis por Defecto'. A través del uso de ese perfil de análisis, no se comprueban los 65535 puertos TCP y UDP ya que esto podría tardar mucho tiempo en completarse por cada ordenador objetivo. Cuando utilice el `Perfil de Análisis Default', GFI LANguard N.S.S. realiza comprobaciones en los puertos más comúnmente explotados por los hackers, virus, spyware y malware. Use el perfil de análisis 'Full TCP y UDP Port Scan' para lanzar un comprobación íntegra de los puertos abiertos en todos los objetivos. Para más información sobre como lanzar auditorías de seguridad utilizando diferentes perfiles de análisis refiérase a la sección `Perfiles de análisis en acción' del capítulo 'Perfiles de Análisis' en este manual. Para más información sobre como personalizar un perfil de análisis refiérase a la sección `Crear un nuevo perfil de análisis' en el capítulo `Perfiles de Análisis' en este manual. Impresión digital de los servicios Además de detectar si el puerto está o no abierto, GFI LANguard N.S.S. utiliza tecnología de reconocimiento de la impresión digital de los servicios para analizar los servicios que están funcionando tras los puertos abiertos detectados. Mediante el reconocimiento de los servicios puede asegurar que no tiene lugar un secuestro del puerto. Por ejemplo, puede verificar que tras el puerto 21 de un equipo concreto hay un servidor FTP funcionando y no un servidor HTTP. Información de puerto peligroso Imagen 27 - Resultados del Análisis: Los puertos peligrosos están marcados en ROJO Cuando un puerto comúnmente explotado es encontrado abierto, GFI LANguard N.S.S., le marcará en rojo. Hay que tener cuidado si un puertos es mostrado en rojo, esto no significa que es al 100% un backdoor. Actualmente con la variedad de software lanzado es muy común que un programa válido utilice los mismo puertos que algunos Troyanos conocidos. Usuarios y grupos Haga clic en el sub-nodo Users para ver todas las cuentas de usuario locales en el ordenador objetivo(s). Haga clic en el sub-nodo Groups para ver todos los grupos locales en el ordenador objetivo(s) analizado. ¡Utilice esta información para identificar usuarios y grupos granujas o inutilizados que pueden permitir el acceso a visitantes desautorizados! Estos incluyen la cuenta 'Invitado' y otros usuarios y grupos en desuso u obsoletos. Algunos backdoors re-habilitan la cuenta 'Invitado' y la conceden derechos administrativos. Utilice los detalles enumerados en el sub-nodo Users de los resultados del análisis para inspeccionar los privilegios de acceso asignados a cada cuenta de usuario. NOTA: Los usuarios no deberían utilizar cuentas locales para iniciar sesión en un ordenador de red. Para mejor seguridad, los usuarios deberían iniciar sesión en los ordenadores de red utilizando una cuenta de `Dominio' o 'Directorio Activo'. Usuarios logados Haga clic en el sub-nodo Logged on Users para acceder a la lista de usuarios que están logados localmente (vía inicio de sesión interactivo) o remotamente (vía conexión remota de red) en el ordenador objetivo analizado. Imagen 28 - Nodo usuarios logados Por cada usuario logado detectado, se recoge la siguiente información (dependiendo de la aplicabilidad). • Nombre de usuario logado • `Time and Date of the Logon' - La hora y fecha cuando el usuario se ha logado en el ordenador objetivo. • `Time elapsed since their logon' - Cuanto tiempo el usuario a estado logado en este ordenador. • `Number of programs running' - El número de programas que el usuario logado interactivamente ha lanzado a la hora del análisis. • `Idle time' - Cuanto tiempo ha estado inactiva la conexión remota del usuario (es decir, completamente inactiva). • `Client type' - La plataforma/sistema operativo que el usuario remoto utilizó para conectar al equipo objetivo. • `Transport' - El nombre del servicio que se ha usado para iniciar la conexión remota entre el ordenador remoto y el ordenador objetivo (por ejemplo, NetBios.Smb, Terminal Service, Escritorio Remoto). Servicios en marcha Haga clic en el sub-nodo Services para acceder a la lista de servicios que están en marcha en el equipo(s) objetivo durante el análisis de seguridad. Utilice esta información para identificar los procesos en marcha desconocidos/innecesarios es su equipo(s) de red. NOTA: Cada servicio en marcha puede ser un potencial punto flaco de la seguridad en su sistema de red. Por esta razón, nosotros recomendamos que cierre/deshabilite todas las aplicaciones y servicios que estén funcionando en su red. Este ejercicio endurece automáticamente su red reduciendo los puntos de entrada a través de los cuales un atacante puede penetrar en su sistema. Procesos remotos en marcha Haga clic en el sub-nodo Remote Proceses para acceder a la lista de procesos que están en marcha en el equipo objetivo durante un análisis. Imagen 29 - Lista de procesos en marcha enumerados durante un análisis. Durante el análisis de seguridad, GFI LANguard N.S.S. recoge información varia en los procesos que están en marcha en los equipos objetivo analizados. Los detalles enumerados durante el análisis de seguridad incluyen: • Nombre del Proceso • ID del Proceso • Ruta • Usuario • PPID • Dominio • Línea de Comando • Handle Count • Thread Count • Prioridad. Aplicaciones instaladas Imagen 30 - Lista de aplicaciones instaladas enumerados durante un análisis de ordenador. Haga clic sobre el sub-nodo Applications para acceder a la lista completa de aplicaciones que están instaladas en un ordenador objetivo analizado. Las aplicaciones descubiertas están organizadas en tres grupos: • Aplicaciones antivirus • Aplicaciones antispyware • Aplicaciones generales. Los grupos de aplicaciones antivirus y aplicaciones antispyware contienen la lista de aplicaciones de seguridad instaladas en un ordenador objetivo analizado. Los detalles enumerados en estos grupos incluyen: • Nombre de la aplicación. • `Real time protection:' - Indica si la protección en tiempo real esta habilitada o deshabilitadas en una aplicación antivirus. • `Up to date:' - Indica si los archivos de firmas del antivirus/antispyware de una aplicación de seguridad están actualizados. Esto se logra comprobando (donde sea aplicable) el indicador de estado de fichero de firmas en una aplicación. • `Last update:' - Muestra la fecha y la hora de la última actualización de firmas de antivirus/antispyware. • `Version:' - Muestra el número de versión de la aplicación de seguridad. • `Publisher:' - Muestra los detalles del fabricante. El grupo de Aplicaciones generales contiene la lista de aplicaciones de propósito general instaladas en un ordenador objetivo analizado. Estas incluyen todos los programas de software que no están clasificados como productos antivirus o antispyware tales como Adobe Acrobat Reader y GFI LANguard Network Security Scanner. Los detalles enumerados en el grupo de Aplicaciones Generales incluyen: • Nombre de la aplicación. • `Version:' - Muestra el número de versión de la aplicación. • `Publisher:' - Muestra los detalles del fabricante. Dispositivos de red Haga clic en el sub-nodo Network Devices para acceder a la lista de dispositivos/componentes de red (por ejemplo, tarjetas de red cableadas e inalámbricas) que están instaladas en un ordenador objetivo analizado. Utilice esta información para analizar e identificar dispositivos no autorizados conectados en su red. Los dispositivos de red, especialmente los inalámbricos, se convierten en una fuente principal de fuga de información en las organizaciones. ¡Se debe tener especial cuidado para asegurar que solo están conectados dispositivos inalámbricos autorizados en su infraestructura de red! Imagen 31 - Dispositivos de red enumerados durante una sesión de análisis de seguridad GFI LANguard N.S.S. identifica todos los dispositivos de su red incluyendo los físicos e inalámbricos. La información enumerada en el sub-nodo Network Devices está organizada en cuatro grupos principales: • Dispositivos físicos (Con cable) • Dispositivos inalámbricos • Dispositivos virtuales • Dispositivos Software Cada grupo incluye varios detalles sobre el dispositivo detectado incluyendo: • Dirección MAC • Dirección(es) IP Asignadas • Anfitrión (Host) • Dominio • Datos DHCP • WEP (donde esté disponible) • SSID (donde esté disponible) • Gateway • Estado. Dispositivos USB Dispositivos USB Imagen 32 - Lista de dispositivos USB detectados en un objetivo analizado Haga clic en el sub-nodo USB Devices para acceder a la lista de dispositivos USB conectados al ordenador(es) objetivo. Use la información recogida en este sub-nodo para identificar dispositivos USB no autorizados conectados actualmente al ordenador(es) objetivo analizado. Estos dispositivos no autorizados pueden incluir dispositivos de almacenamiento portátil tales como el Apple iPod, o Creative Zen así como también dispositivos inalámbricos USB y llaves Bluetooth. Información de los dispositivos no autorizados como vulnerabilidades de alta seguridad. Imagen 33 - Dispositivo USB peligroso clasificado como una Vulnerabilidad de Alta Seguridad GFI LANguard N.S.S se puede configurar para distinguir entre dispositivos USB autorizados y no autorizados. Para más información, refiérase a la sección `Hacer una lista de dispositivos de red no autorizados' en el capítulo 'Perfiles de Análisis' en este manual. Estado de parcheo de errores del sistema. Imagen 34 - La lista de parches ausentes e instalados enumerados durante el análisis de un ordenador objetivo Haga clic sobre el nodo System patching status para una visión general del estado de parcheo de un ordenador objetivo. Nombres NETBIOS Haga clic en el sub-nodo NETBIOS names para acceder a la lista de nombres NetBIOS enumerados durante un análisis de un ordenador objetivo. Cada ordenador en una red tiene un único nombre NetBIOS. El nombre NetBIOS es una dirección de 16 bytes que permite identificar los recursos NetBIOS en la red. Los nombres NETBIOS se mapean satisfactoriamente a una dirección IP utilizando resolución de nombre NetBIOS. Durante el proceso de detección, GFI LANguard N.S.S. consulta la identidad y disponibilidad de un ordenador de red objetivo usando NetBIOS. Si esta disponible, el ordenador objetivo responderá a la petición enviando el nombre NetBIOS respectivo. Detalles del ordenador objetivo analizado Imagen 35 - El nodo Computer Haga clic en el sub-nodo Computer para acceder a detalles particulares sobre el ordenador objetivo analizado. Los detalles enumerados en este nodo incluyen: • `MAC:' - Muestra la dirección MAC de la tarjeta de red que el ordenador objetivo está usando para conectarse a la red. • `Time To Live (TTL):' - Muestra el máximo número de saltos de red permitidos antes que un paquete de datos expire/se descarte. En base a este valor, puede identificar la distancia (es decir, el número de saltos del enrutador) entre el ordenador corriendo GFI LANguard N.S.S. y el ordenador objetivo recientemente analizado. Los valores TTL típicos abarcan 32, 64, 128 y 255. • `Network Role:' - Denota si el ordenador objetivo analizado es una Estación de trabajo o un Servidor. • `Domain:' - Indica los detalles del dominio/grupo de trabajo. Cuando se analizan objetivos que son parte de un dominio, este campo muestra la lista de dominios de confianza. Si el ordenador objetivo analizado no es parte de un dominio, este campo mostrará el nombre del respectivo Grupo de Trabajo. • `LAN Manager:' - Muestra el tipo de sistema operativo y LAN Manager en uso (por ejemplo, Windows 2000 LAN Manager). • `Language:' - Muestra el idioma configurado en el ordenador objetivo analizado (por ejemplo, Inglés). Sesiones activas Imagen 36 - El nodo Sessions Haga clic en el sub-nodo Sessions para acceder a la lista de sistemas que están conectados remotamente al ordenador objetivo durante el análisis. Los detalles mostrados en este sub-nodo incluyen: • `Computer:' - La Dirección IP del sistema que está conectado remotamente al ordenador objetivo analizado. • `Username:' - El usuario logado. • `Open files:' - El número de archivos accedidos durante la sesión. • `Connection time:' - La duración de la sesión, es decir, el tiempo (en segundos) que el usuario ha estado conectado remotamente al ordenador objetivo analizado. • `Idle Time:' - El tiempo total (en segundos) durante el cual la conexión ha estado inactiva. • `Client type' - La plataforma/sistema operativo que el ordenador logado remotamente (es decir, el ordenador cliente) está corriendo. • `Transport' - El nombre del servicio que se ha usado para iniciar la conexión remota entre el ordenador cliente y el ordenador objetivo (por ejemplo, NetBios.Smb). NOTA: LA información enumerada en este sub-nodo también incluye los detalles de la conexión remota de la sesión de análisis recién realizada por GFI LANguard N.S.S., es decir, la IP del ordenador donde está funcionando GFI LANguard N.S.S., las credenciales de inicio, etc. Hora del día remota Haga clic en el sub-nodo Remote TOD (time of the day) para ver la hora de la red que se ha leído del ordenador objetivo durante en análisis. Esta hora se establece generalmente en los equipos de red por el controlador de dominio respectivo. Unidades locales Haga clic sobre el sub-nodo Local Drives para ver la lista completa de unidades físicas que están accesibles en el ordenador objetivo analizado. La información enumerada en este sub-nodo incluye la letra de unidad, el espacio en disco total y el espacio en disco disponible. Filtrar los resultados del análisis Introducción Después de un análisis de seguridad, usted puede filtrar los resultados del análisis y solo mostrar la información que desee analizar. Por ejemplo, puede filtrar la información recogida durante un análisis y solo mostrar los detalles relativos a equipos con vulnerabilidades de seguridad altas. Imagen 37 - Nodos de filtros de análisis Para filtrar los resultados del análisis, debe aplicar un 'Filtro de Análisis' sobre los datos recogidos en el análisis de seguridad. Los filtros de análisis son consultas que extraen y muestran detalles específicos de los resultados del análisis. GFI LANguard N.S.S. se entrega con varios filtros predefinidos. Estos incluyen: • Informe completo: Muestra todos los datos recogidos en un análisis relativos a la seguridad. • Vulnerabilidades [Alta Seguridad]: Muestra problemas críticos que necesitan atención inmediata tales como service pack y parches ausentes, vulnerabilidades de seguridad alta y puertos abiertos. • Vulnerabilidades [Media Seguridad]: Muestra problemas que podrían necesitar ser atendidas por el administrador tales como amenazas medianas o parches de vulnerabilidad media. • Vulnerabilidades [Todas]: Muestra todas las vulnerabilidades Altas y Medias descubiertas durante un análisis de seguridad tales como parches y service packs ausentes. • Actualizaciones de seguridad y service packs ausentes: Muestra todos los service packs y parches ausentes descubiertos en el equipo(s) analizado(s). • Dispositivos importantes - USB: Muestra todos los dispositivos USB conectados al ordenador(es) objetivo analizado. • Important devices - Wireless: Muestra todos las tarjetas de red inalámbricas, (PCI y USB) conectadas al ordenador(es) objetivo analizado. • Puertos abiertos: Muestra todos los puertos TCP y UDP abiertos descubiertos en el ordenador(es) objetivo. • Puertos abiertos: Muestra todos los puertos abiertos y los derechos de acceso respectivos. • Directiva de Auditoría: Muestra los ajustes de la política de auditoría del ordenador(es) objetivo analizado. • Directiva de Contraseñas: Muestra los ajustes de la directiva de contraseñas activa en el ordenador(es) objetivo analizado. • Grupos y usuarios: Muestra los usuarios y grupos detectados en el ordenador(es) objetivo analizado. • Propiedades del equipo: Muestra las propiedades de cada equipo. • Aplicaciones instaladas: Muestra todas las aplicaciones instaladas (incluyendo software de seguridad) descubiertas durante el análisis de un equipo objetivo. • Non-updated security Software: Muestra solo las aplicaciones de seguridad instaladas (es decir, software anti- que tengan actualizaciones pendientes y archivos de definición de firmas desactualizados. Aplicar un filtro en un análisis Para aplicar un filtro de resultados de análisis en los resultados del análisis de seguridad: 1. Lance y complete un análisis de seguridad en su red o cargue los resultados de análisis de escaneos previos desde su base de datos o fichero XML. Imagen 38 - Filtros de análisis: Full report 2. Expanda los nodos Security Scanner } Scan filter. 3. Seleccione el filtro que quiera activar (por ejemplo, Vulnerabilities all). Crear un filtro de análisis a medida Para crear un filtro de análisis a medida: 1. Haga clic derecho sobre el nodo Security Scanner} Scan filter y seleccione New} Filter.... Esto abrirá el diálogo de propiedades de nuevo filtro de análisis. Imagen 39 - El diálogo de propiedades de nuevo Filtro de análisis: Pestaña General 2. En la pestaña General que se abre por defecto, especifique el nombre del nuevo filtro de análisis. Imagen 40 - Dialogo de propiedades del filtro 3. Haga clic en Add y seleccione la propiedad del filtro requerida desde la lista provista (por ejemplo, Operating System). La propiedad del filtro define que tipo de información se extraerá de los resultados del análisis (es decir, el área de interés del filtro de análisis). 4. Haga clic en Next para continuar. Imagen 41- Diálogo de propiedades de la condición del filtro 5. Seleccione la condición del filtro requerida desde la lista desplegable `Conditions' y especifique el valor del filtro. El valor del filtro es la cadena de referencia que utilizará este filtro conforme a la condición especificada para extraer información desde los resultados del análisis. 6. Haga clic en Add para continuar. NOTA: Puede crear múltiples condiciones de filtro para cada filtro de análisis. Esto le permite crear poderosos filtros que aíslan más exactamente la información de los resultados del análisis que podría querer analizar. Imagen 42 - El diálogo de propiedades del nuevo Filtro de Análisis: Pestaña de elementos de informe 7. Haga clic en la pestaña Report Items: 8. Seleccione los sub-nodos/categorías de información que se mostrarán en el interfaz de configuración al final del proceso de filtrado. 9. Haga clic en OK para crear el filtro. El nuevo filtro se añadirá como nuevo sub-nodo permanente bajo el nodo Security Scanner} Scan filtres. NOTA: Para borrar o personalizar un filtro de análisis, haga clic derecho en el filtro objetivo y seleccione Delete... o Properties respectivamente. Ejemplo 1 - Crear un filtro que muestre todos los ordenadores que les falte un determinado parche En este ejemplo, crearemos un filtro que liste todos los ordenadores basados en Windows que les falte el parche MS03-026 (es decir, el parche del virus blaster). 1. Haga clic derecho sobre el nodo Security Scanner } Scan filter y seleccione New } Filter.... Esto abrirá el diálogo de propiedades de nuevo filtro de análisis. 2. En el campo del nombre del filtro escriba `Parche Blaster Ausente'. 3. Haga clic en el botón Add. 4. Seleccione la opción `Operating System' y después haga clic en Next. Imagen 43 - Dialogo de condiciones del filtro 5. Desde la lista desplegable de condiciones seleccione 'Includes' y en el campo valor escriba 'Windows'. 6. Haga clic en el botón Add para agregar la condición al filtro. Imagen 44 - El diálogo de propiedades del nuevo Filtro de Análisis: Pestaña General 7. Desde el diálogo de propiedades de nuevo filtro de análisis, haga clic en Add para crear otra condición de filtro en la cual especificaremos el nombre del parche requerido (es decir, MS03-026). 8. Desde la lista de propiedades del filtro, seleccione `Patch' y después haga clic en Next. 9. Desde la lista desplegable de condiciones seleccione 'is not installed' y en el campo valor escriba 'MS03-026'. 10. Haga clic en el botón Add para incluir esta condición al filtro de análisis. 11. Haga clic en OK para finalizar la configuración y crear el filtro. El nuevo filtro se agrega como un nuevo sub-nodo permanente. (Security Scanner } Scan filter } Missing Blaster Patch). Ejemplo 2 - Crear un filtro que liste todas las estaciones Sun con servidor web Para crear un filtro que liste todas las estaciones Sun que ejecuten un servidor web en el puerto 80, realice los siguientes pasos: 1. Haga clic derecho sobre el nodo Security Scanner } Scan filter y seleccione New } Filter.... Esto abrirá el diálogo de propiedades de nuevo filtro de análisis. 2. En el campo nombre del filtro escriba 'Servidores web en WS Sun en el puerto 80' 3. Haga clic en el botón Add. 4. Desde la lista de propiedades del filtro seleccione `Operating System' y después haga clic en Next. 5. Desde la lista desplegable de condiciones seleccione 'Includes' y en el campo valor escriba 'Sun OS'. 6. Haga clic en el botón Add. 7. Desde el diálogo de propiedades, haga clic en el botón Add para agregar otra condición del filtro. 8. Seleccione `TCP Port' y haga clic en Next. Esto mostrará de nuevo el diálogo de condiciones del filtro. 9. Desde la lista desplegable de condiciones seleccione 'is open' y en el campo valor escriba '80'. 10. Haga clic en el botón Add para incluir esta condición al filtro de análisis. 11. Haga clic en OK para finalizar la configuración y crear el filtro. El nuevo filtro se agrega como un nuevo sub-nodo permanente. (Security Scanner } Scan filter } Sun WS web servers on port 80). NOTA: También puede crear nuevos filtros de análisis o personalizar los filtros de análisis por defecto de encima.