INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS No es posible una aplicación racional de medidas de seguridad sin antes analizar los riesgos para, así implantar las medidas proporcionadas a estos riesgos, al estado de la tecnología y a los costos (tanto de la ausencia de seguridad como de las medidas a tomar). 10/15/2015 Análisis de vulnerabilidad 1 INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS El análisis de vulnerabilidad representa un diagnostico de las debilidades que puedan tener o tienen las organizaciones en sus sistemas de información y en sus equipos. Como es de suponerse no es lo mismo acceder a la Red durante unos minutos para recoger el correo, que permanecer conectados las 24 horas del día. 10/15/2015 Análisis de vulnerabilidad 2 INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS Existen utilidades de auditoría o escanners que permiten diagnosticar la seguriadad en los sistemas. Uno de ellos es Nessus que permite a los usuarios en Unix/Linux, mediante un planteamiento cliente-servidor, desarrollar una exploración exhaustiva de todos los puertos y servicios, indicando pormenorizadamente cuáles son los agujeros detectados y apuntando su solución. La herramienta para Windows que puede compararse con Nessus es Retina. 10/15/2015 Análisis de vulnerabilidad 3 INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS HERRAMIENTAS PARA ANALIZAR LA SEGURIDAD Herramienta Proveedor Nessus NMAP SATAN SAINT SARA Retina Sam Spade Internet Maniac Internet Scanner Port Scanner Security Analizer NetScan Tools CyberKit AGNet Tools strobe-clasb exscan BASS Cpscan 10/15/2015 Sistema op. tipo Unix/Linux Unix/Linux Unix/Linux Unix/Linux Unix/Linux Windows Windows Windows Windows Windows Windows Windows Windows Windows/Mac Unix/Linux Unix/Linux Unix/Linux Unix/Linux Freeware Freeware Freeware Freeware Freeware Comercial Freeware Shareware Shareware Shareware Shareware Shareware Freeware Shareware Freeware Freeware Freeware Freeware Análisis de vulnerabilidad 4 INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS Tambien hay empresas dedicadas a prestar el servicio de análisis de seguridad, siguiendo más o menos este patron: •Como primer paso para conocer la seguridad de un sistema, se realiza un análisis de su situación actual. •Se llevan a cabo una serie de revisiones generales, que incluyen desde las pruebas más básicas antivirus hasta la detección de bugs en el software. •Se procede a revisar el sistema particularmente, sus vulnerabilidades, defectos, etc. •Mediante un acuerdo con sus clientes, realizan ataques a la seguridad de su sistema, si los ataques fueron exitosos, dejan marcas en el sistema e informan a sus clientes de los procesos realizados para violar la seguridad y ofrecen recomendaciones para la solución de estos. 10/15/2015 Análisis de vulnerabilidad 5 INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS •Entre otras recomendaciones se encuentran la instalación de muros virtuales (Firewalls) que impidan la entrada de intrusos a sus servidores. •Cuando la información es dificilmente protegible, recomiendan configurar y monitorear sistemas intermedios que revisan cada uno de los accesos entre el Web y el Servidor, de modo que se evite la mayoria de los ataques. Si alguno lograra pasar, soló obtendría acceso al servidor intermedio y no al que contiene la información. 10/15/2015 Análisis de vulnerabilidad 6 INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS Fuentes de información: •www.criptopolis.com •www.dive.com.mx •ns.map.es/csi/pdf/magerit.pdf 10/15/2015 Análisis de vulnerabilidad 7