Apartado Legal

Este documento contiene informacin confidencial y de

propiedad exclusiva. Est destinado para el uso exclusivo
de la nombre de la empresa. Su uso o reproduccin de
este documento sin autorizacin est prohibida.
El anlisis ha sido llevado a cabo por personal con
conocimientos de seguridad. Los mismos que aseguran que
las conclusiones de este informe son a la medida que puede
ser verificada a travs de Internet.
Estas vulnerabilidades prueba de evaluacin y anlisis
revela las debilidades pertinentes conocidos hasta la fecha
del presente informe. Se sugiere que las evaluaciones de
seguridad se lleven a cabo despus de cada cambio
importante en la Informacin y sistema peridicamente en
3 a 6 meses intervalos.

Detalles del Documento

Tipo de Documento Reporte de Vulnerabilidades

ndice
Resumen ejecutivo............................................................3
Herramientas....................................................................4
Dmitry............................................................................... 4
TheHarvester....................................................................6

Nslookup...........................................................................7
Zenmap.............................................................................8
Nessus..............................................................................10
Descripcin de Vulnerabilidades.......................................11
Vulnerabilidades...............................................................12

Resumen ejecutivo
Los gerentes con experiencia por lo general no quieren responsabilizarse por
situaciones en las que tienen poco control o influencia. Sin embargo, esta
situacin no es inusual para los gerentes de seguridad informtica. Sucede
cada vez que se les responsabiliza por los fracasos en las auditoras de
cumplimiento normativo, aunque hayan intentado decididamente cerrar las
brechas presentes en la implementacin de la seguridad que, de otro modo,
hubieran generado resultados ms positivos.
Esta situacin usualmente ocurre porque los responsables de los procesos y
la direccin de tecnologa informtica (IT) con frecuencia consideran la
seguridad informtica como una distraccin del trabajo real. Adems, los

gerentes de seguridad informtica con frecuencia descubren demasiado

tarde que la administracin de la empresa y de IT no estaban tan
preparadas para la auditora como pareca, lo cual trae como consecuencia
la implementacin de ltimo minuto de tareas de emergencia, a menudo
inadecuadas, de preparacin.
Por consiguiente, la gerencia de seguridad informtica, IT y las partes
interesadas en la empresa deben realizar hazaas casi heroicas para
comprobar el cumplimiento, y muchas veces deben generar nuevos
documentos y presentaciones desde cero en respuesta a las exigencias del
auditor. Sin embargo, incluso estas hazaas pueden ser insuficientes para
evitar que la organizacin no apruebe la auditora, lo que da lugar a tareas
correctivas, repeticin de pruebas de auditora, multas o prdida de
confianza del auditor en el proceso de seguridad informtica. El enfoque de
cumplimiento para satisfacer las metas de seguridad informtica tiende a
seguir un ciclo: preparacin para la auditora como resultado de una crisis,
auditora, hallazgos de la auditora, correcciones y repeticin de pruebas.

Herramientas
Recopilacin de Informacin

Dmitry
Harvester
Nslookup

Anlisis de Vulnerabilidades

Zenmap
Nessus

Dmitry
Dmitry (Deepmagic Information Gathering Tool), es un programa en lnea de comando para
UNIX/GNU/Linux, escrita completamente en C, la cual proporciona la capacidad de
obtener tanta informacin como sea posible sobre un host objetivo.

Dmitry tiene una funcionalidad base con la posibilidad de aadir nuevas funciones. La
funcionalidad base de Dmity permite obtener la informacin desde un host. Esta
informacin puede ser desde una simple consulta Whois sobre el objetivo, hasta reportes
de su tiempo de funcionamiento o realizar un escaneo de puertos TCP.
# dmitry -w peru.com -s -n -e -o /tmp/dpc.txt
La opcin -w realiza una consulta whois sobre el objetivo. Esto requiere que el objetivo
est en un formato adecuado, (peru.com).
La opcin -s permite realizar una bsqueda de subdominios sobre el host especificado,
utilizando diferentes motores de bsqueda.
La opcin -n realiza una consulta a netcraft.com relacionada al host, en la actualidad, no
es posible utilizar esta funcionalidad con Dmitry, an as, se puede realizar manualmente la
consulta mediante el sitio web.
La opcin -e realiza una bsqueda de direcciones de correo electrnico del host
especificado.
La opcin -o crea una archivo de texto ascii con el nombre especificado, el cual contiene
los resultados del comando ejecutado.

TheHarvester
Es una herramienta para conseguir informacin sobre emails,
subdominios,hosts, nombres de empleados, puertos abiertos, banners,
etc ..desde fuentes publicas como son los motores de bsqueda, servidores
PGP, la red social LinkedIN y la base de datos de SHODAN (Buscador
parecido a Google pero con la diferencia que no indexa contenido, si no que
registra cualquier dispositivo conectado a Internet).

Nslookup
es una herramienta que permite consultar un servidor de nombres y obtener informacin
relacionada con el dominio o el host y as diagnosticar los eventuales problemas de
configuracin que pudieran haber surgido en el DNS.

Znmap
Zenmap es la interfaz grfica oficial de Nmap, el conocido
programa de cdigo abierto para hacer escaneo de puertos
a fondo de cualquier equipo conectado. Zenmap
proporciona una interfaz grfica para ejecutar los diferentes
tipos de anlisis de puertos que tiene Nmap y tambin para
mostrarlos de forma intuitiva a los usuarios menos
experimentados.

Nessus
es un programa de escaneo de vulnerabilidades en diversos
sistemas operativos. Consiste en un daemon, nessusd, que

realiza el escaneo en el sistema objetivo, y nessus, el

cliente (basado en consola o grfico) que muestra el avance
e informa sobre el estado de los escaneos.
Cada vulnerabilidad o riesgo identificado ha sido etiquetado
con un nivel de gravedad:
Cinco niveles de gravedad: crtico, alto, medio, bajo,
informacin
Clasificaciones de riesgo segn el puntaje CVE

Descripcin de Vulnerabilidades
Rating

Descripcin

Critico

Estos problemas pueden suponer una

amenaza
de
seguridad
muy

Alto

Medio

importante.
Las vulnerabilidades que tienen un
impacto crtico son generalmente
aquellas que permitira a un atacante
obtener
acceso
administrativo
completo al dispositivo
Estas
cuestiones
plantean
una
amenaza
significativa
para
la
seguridad,
pero
tienen
algunas
limitaciones en la medida en que
puedan ser objeto de abuso. Como
acceso a nivel de usuario a un
dispositivo y una vulnerabilidad de
denegacin de servicio en un servicio
crtico que entran en esta categora.
Un servidor de seguridad que permite
el acceso, tales como permitir que a
travs de subredes enteras o no
filtrado en todas las direcciones,
caera en esta categora. Un router
que
permite
la
modificacin
significativa de su configuracin de
enrutamiento tambin entran en esta
categora.
Estas cuestiones tienen limitaciones
significativas en el impacto directo
que pueden causar.
Estos temas incluiran cuestiones
importantes fugas de informacin, la
denegacin de servicios o los que
proporcionan acceso limitado
significativamente.