Fase de Enumeración

Existen multitud de herramientas que nos permiten obtener información relevante en las primeras fases del test de intrusión. Las tres primeras fases del test de penetración son el footprinting, scanning y enumeration, en esta entrada veremos un ejemplo de cómo en pocos pasos podemos llegar a obtener información relevante de aplicaciones Citrix publicadas en Internet.

Para la fase de scanning tenemos la herramienta comúnmente utilizada nmap, aunque existen otras alternativas muy potentes que nos permiten obtener gran cantidad de información, como puede ser Shodan. En este caso realizando un filtrado de aplicaciones Citrix por compañías podemos llegar al siguiente servidor:

Una vez identificado un servidor Citrix, podemos hacer uso del motor de scripting de nmap (NSE) para realizar la enumeración y así conseguir más información de las aplicaciones Citrix y servidores utilizados por la compañía.

En la siguiente imagen podemos ver que mediante el script citrix-enum-apps de nmap recibimos las aplicaciones XenApp:

Y mediante la siguiente imagen se puede apreciar que con el script citrix-enum-servers obtenemos los servidores Citrix utilizados para publicar las aplicaciones XenApp:

Mediante esta entrada podemos ver cómo realizar la fase de enumeración mediante el motor de scripting de nmap, que además de scripts para Citrix también dispone de otros muchos para vmware, barracuda, qnap, etc.

Obviamente la fase de enumeración mostrada en esta entrada puede ser evitada si se configura correctamente los servidores Citrix, para más información de cómo subsanar esta vulnerabilidad podemos consultar el siguiente enlace hackingcitrix.

Para finalizar, una vez realizada la fase de enumeración ya tendremos mucha más información para comenzar el test de penetración.

Métodos de Conmutación

En redes pequeñas, e inclusos en muchos datacenter, no se tienen en cuentan los métodos de conmutación empleados por los routers, sin embargo cuando hablamos de grandes ISP que luchan por reducir al mínimo los milisegundos de conmutación para entregar los paquetes con la mayor rapidez y eficacia posible, sí tiene sentido estudiar y decidir qué método de conmutación emplear en cada uno de los routers.

Por tanto en la entrada de hoy vamos a ver los tres métodos de conmutación existentes en los routers Cisco, siendo los dos primeros “estándares” que han sido adoptados por la mayoría de fabricantes, mientras que el tercer método es propietario de Cisco que disminuye considerablemente los tiempos de conmutación.

Process Switching

Este método de conmutación es ejecutado por software y utiliza de manera intensa la CPU ya que realiza una búsqueda de la IP destino en la tabla de enrutamiento por cada paquete, además debe construir la cabecera de capa 2 por cada paquete. Por tanto este método es ineficiente en routers con grandes tablas de enrutamiento, principalmente porque tiene que recorrer la tabla de enrutamiento en cada conmutación.

Fast Switching

Este método de conmutación es mucho más eficiente que el anterior ya que tan solo consulta la tabla de enrutamiento en la conmutación del primer paquete, posteriormente almacena en una memoria caché la dirección IP de destino junto a la interfaz de salida. Así que aunque la conmutación del primer paquete se realice por software y se utilice la CPU, la conmutación de los siguientes paquetes será mucho más rápida al utilizar la memoria caché.

Cisco Express Forwarding

Mediante este método, la conmutación es mucho más rápida ya que no utiliza en ningún momento la CPU, la conmutación se realiza siempre por hardware y no es necesario recorrer la tabla de enrutamiento. Para ello mantiene dos tablas, la tabla FIB (Forwarding Informatión Base) y la tabla de adyacencias. La tabla FIB tiene una estructura generada para realizar búsquedas lo más rápido posible, en esta tabla no aparecen orígenes, protocolos de enrutamiento, etc, es decir, tan solo aparece lo estrictamente necesario para realizar la conmutación. Como salida de la tabla FIB tenemos un puntero al next-hop en la tabla de adyacencias, esta tabla es parecida a la tabla ARP, sin embargo está compuesta por la cabecera de capa 2 y la interfaz de salida. En definitiva, este método de conmutación es el más rápido de los tres al realizar la conmutación de todos los paquetes por hardware. En la siguiente imagen podemos ver el flujo que sigue el método de conmutación CEF.

 

Así que es interesante conocer los diferentes métodos de conmutación disponibles en los routers para poder aprovechar al máximo su capacidad de conmutación. Mientras que en equipamiento Cisco deberíamos comprobar que esté habilitado CEF, en otros fabricantes también deberíamos revisar y habilitar cuál es su método de conmutación por hardware.

Hace un año ...

Hace un año que decidí abrir este blog desde el que hoy escribo principalmente impulsado por dos motivos; Primero mejorar mi capacidad de imaginación, capacidad de generar contenido propio e intentar plasmarlo correctamente sobre papel, y segundo una excusa, o mejor dicho un deber, de mantenerme actualizado en materias de seguridad y redes escribiendo todo aquello que me parezca interesante. Personalmente creo que tras 53 entradas algo ha mejorado mi escritura, ya que leyendo mi primer post sobre vulnerabilidades aún me río de la cantidad de horas que le dediqué y lo mal que me salió, pero si no fuese por ese primer paso, no hubiera llegado hasta aquí.

¿Qué más he hecho desde que escribí el primero post? No he parado de formarme, aprobé los dos primero exámenes de la certificación MCITP de Microsoft, aunque nunca llegué a presentarme al tercer examen el cuál me acreditaría como MCITP, esto ha sido debido al poco tiempo del que disponía para estudiar y como todos sabemos ... el tiempo es oro aunque yo soy de los que dicen que el tiempo vale más que el oro. Además en Septiembre obtuve el certificado B1 en inglés por la Escuela Oficial de Idiomas y también aprobé satisfactoriamente los tres exámenes que me daban acceso a la certificación CCNP de Cisco. Por el momento para este siguiente año tan solo tengo dos objetivos, pero desde mi punto de vista muy ambiciosos, primero continuar con el aprendizaje de la lengua inglesa para llegar a la certificación B2 y segundo comenzar a finales de verano a estudiar la certificación CISA para la auditoría de sistemas de información.

En cuanto a las entradas más leídas durante este primer año tenemos las siguientes:

 

En primero lugar está la entrada ¿Estamos vendidos? donde intentaba explicar la debilidad del estado español al depender de la tecnología fabricada en EEUU y China. Es de destacar las precedentes a esta entrada que fueron escritas en el 2012 y aún continúan visitándose, referentes a BCP y la importancia de la confianza en entornos corporativos.

Con respecto al público que visita el blog, la mayoría de las visitas provienen de España pudiendo ver que los usuarios suelen utilizar el sistema operativo Windows con navegador Firefox.

Tan solo me queda agradecer a todo aquel que me ha apoyado durante este primer año como blogger, que sin ellos no hubiera llegado a la entrada 54 y no hubiera superado las 3000 visitas. Por último pedir a todo aquel que llegue hasta el final de esta entrada que si tiene cualquier aportación o mejora sobre el blog será muy bien recibida.

¿Deberíamos preocuparnos por la red de usuarios?

Cerrar los ojos e intentar no ver lo que está sucediendo es algo que solemos hacer para no afrontar la realidad. Este comportamiento es habitual en grandes organizaciones con un gran número de activos que es incapaz de controlar, que no se ve la necesidad de controlar o se cree que es imposible controlar. Es decir, se puede dar el caso en organizaciones muy dinámicas donde los usuarios de la red cambien constantemente y no se tenga ningún registro sobre ellos, ¿qué usuario tenía una determinada IP? ¿cuándo y a dónde se conectó? ¿durante cuánto tiempo? ¿qué servicios utilizó? ¿estaba el equipo infectado? Estas y muchas otras preguntas surgirán cuando la Guardia Civil se presente en la organización para pedir los registros/logs ante un delito en el que está involucrada la dirección IP pública de la organización.

Se tiende a pensar que como nunca ha pasado nada, no es necesario controlarlo, no nos preocupa, no sabemos y no queremos saber qué está pasando por esa gigantesca red de usuarios, creemos que con controlar sólo los sistemas del CPD es suficiente.

Sin embargo, mediante el Esquema Nacional de Seguridad (ENS) se debería corregir esta falta de control, ya que exige a las Administraciones Públicas la implantación de medidas de seguridad en los sistemas informáticos, proporciona las pautas para defenderse contra ciberataques, además de controlar que no se produzcan robos y fugas de información. A esto hay que sumarle la reforma del Código Penal del 2010, donde las personas jurídicas son responsable de todos los hechos delictivos que cometan sus trabajadores en el desarrollo de su actividad, si se prueba que no se ha ejercido suficiente control sobre los empleados. Es decir, si un empleado comete un delito desde la organización, como por ejemplo realizar algún ataque informático, acceso no autorizado, amenazas por Internet, intercambiar obras de terceros en redes P2P, etc, etc y la organización no ha implantado medidas de seguridad en los sistemas informáticos, la organización será la responsable del delito y puede llegar a asumir multas, disolución de la organización, inhabilitación para obtener subvenciones o ayudas públicas, etc.

En definitiva, lo que antes parecía ser el derecho a la intimidad de los empleados, a partir de esta reforma del Código Penal, todos los medios propiedad de la organización que se entregan a los empleados, como equipos informáticos, cuentas de correo, redes de comunicaciones, pueden estar sujeto a vigilancia por la organización. Así que la gestión de la seguridad ha llegado para quedarse, si no queremos que por culpa de un usuario o empleado sancionen a la organización, se debería definir la política de seguridad y el uso aceptable de los activos, esto está causando que cada vez más organizaciones y administraciones públicas implanten estándares como la ISO 27001 y el ENS, de esta manera no solo se podrá controlar a los empleados sino también estaremos protegidos ante eventuales ataques asegurando toda nuestra información y recursos.

Análisis de Riesgos

La base de un Sistema de Gestión de la Seguridad de la Información (SGSI) está en la elaboración de un adecuado análisis de riesgos. Para la implantación del estándar ISO 27001 es requisito indispensable la realización de un análisis de riesgos para conocer qué amenazas y salvaguardas hay que implantar en una organización. Normalmente los primeros análisis de riesgos son algo genéricos pero conforme pasan los años se optimiza por los responsables de la información y por todos aquellos que son conscientes de la necesidad de asegurar uno de los activos más importante de todas las organizaciones, la información.

Disponer de un análisis de riesgos permite a las organizaciones jugar con la “ventaja” de tomar decisiones de manera más acertada, eficiente y rápida, de tal manera que ante un incidente en uno de los activos, la organización sabe cuánto le afecta en su negocio. Por ejemplo, si tras realizar un análisis de vulnerabilidades descubrimos una vulnerabilidad crítica en uno de los principales sistemas de la organización, debemos estar preparados y saber qué medidas hay que tomar antes de que alguna persona malintencionada aproveche la vulnerabilidad y provoque daños mayores. Por tanto, no se suele tener mucho tiempo para tomar una decisión, y sin un adecuado análisis de riesgos previo, será mucho más complicado tomar una decisión de manera rápida y acertada.

Además, analizar y gestionar los riesgos va a permitir a las organizaciones adaptar el presupuesto en función del valor de los activos y de la probabilidad de que se materialice una amenaza. Es decir, podremos saber cuánto vale la pena gastar para proteger un activo, evitando gastar más de lo necesario para salvaguardar un activo, además de optimizar los recursos disponibles y no olvidar amenazas que se nos hubieran pasado por alto si no nos hubiéramos parado a pensar en los posibles riesgos a los que está expuesta la organización.

Realizar un análisis de riesgos no es algo sencillo, por este motivo existen varias metodologías que nos ayudan a analizar y gestionar los riesgos, como por ejemplo la desarrollada por el gobierno español para las administraciones públicas MAGERIT, u otras menos comunes en territorio español como CRAMM, OCTAVE, MEHARI, SP800-30 y la más reciente ISO 27005, siendo esta última un conjunto de directrices que ayudan a la adaptación del SGSI en ISO 27001.

Por tanto, no veamos como una tontería esto de gestionar los riesgos, porque al igual que analizamos las posibles amenazas que pueden surgir tras la compra de un nuevo coche o una casa para la contratación de un seguro, ¿por qué no hacerlo para proteger la información de una organización? ¿cuánto vale una hora de no disponibilidad de un activo? ¿qué pasaría si se difunde información confidencial de la organización? ¿qué medidas estamos tomando para que esto no suceda? En definitiva, existen amenazas que sin una correcta evaluación y tratamiento de riesgos es difícil identificar, así que ¿por qué no gestionar nuestros riesgos?