Table of ContentsPreviousNextIndex

Analizar los Resultados del Análisis

Analizar los resultados

Tras un análisis, los nodos aparecerán bajo cada equipo que GFI LANguard N.S.S. encuentre. El panel de la izquierda listará todos los equipos y dispositivos de red. Expandiendo uno de éstos se listará una serie de nodos con la información encontrada para ese equipo o dispositivo de red. Hacer clic sobre un nodo concreto mostrará la información analizada en el panel de la derecha.

GFI LANguard N.S.S. encontrará cualquier dispositivo de red qe esté actualmente activo o cuando haga un sondeo de red. Dependiendo del tipo de dispositivo y qué tipo de consultas responde se determinará cómo GFI LANguard N.S.S. lo identifica y qué información puede recuperar.

Una vez GFI LANguard N.S.S. ha finalizado su análisis del equipo/dispositivo/red mostrará la siguiente información.

IP, Nombre de equipo, SO y Nivel de Service pack

Se mostrará la dirección IP del equipo/dispositivo. Entonces se mostrará el nombre NetBIOS DNS, dependiendo del tipo de dispositivo. GFI LANguard N.S.S. informará qué SO está correindo en el dispositivo y si es un Windows NT/2000/XP/2003 OS, mostrará el nivel de service pack.

Nodo Vulnerabilidades

El nodo vulnerabilidades muestra los problemas de seguridad detectados y le informa cómo resolverlos. Estas amenazas pueden incluir actualizaciones de seguridad y service pack ausentes, problemas HTTP, alertas NETBIOS, problemas de configuración, etcétera.

Las vulnerabilidades se dividen en las siguientes secciones: Service Packs Ausentes, Actualizaciones de Seguridad Ausentes, Vulnerabilidades de Seguridad Altas, Vulnerabilidades de Seguridad Medianas y Vulnerabilidades de Seguridad Bajas.

Bajo cada sección de vulnerabilidades Altas / Medianas / Bajas puede encontrar mayor categorizacíon de los problemas detectados utilizando el siguiente agrupamiento: Abusos CGI, Vulnerabilidades FTP, Vulnerabilidades DNS, Vulnerabilidades de Correo, Vulnerabilidades RPC, Vulnerabilidades de Servicio, Vulnerabilidades de Regitro y Vulnerabilidades Varias.

Una vez el análisis ha finalizado y se listan varias vulnerabilidades, haga doble clic (o clic con el botón derecho > More Details...) sobre la vulnerabilidad para abrir su ventana de propiedades. A través de este diálogo podrá investigar instantáneamente información importante sobre las condiciones de esta vulnerabilidad así como acceder a información como la descripción larga de la vulnerabilidad que no se muestra en el arbol de resultados.

La siguiente información está disponible en la ventana de propiedades de vulnerabilidad:

  • Nombre
  • Descripción Corta
  • Nivel de seguridad
  • URL
  • Tiempo consumido para ejecutar la comprobación
  • Pruebas (para determinar si el equipo es vulnerable a esta comprobación)
  • Descripción larga

Actualizaciones de seguridad ausentes GFI LANguard N.S.S. comprueba la ausencia de actualizaciones de seguridad mediante la comparación de las actualizaciones instaladas con las actualizaciones disponibles para un producto concreto. Si al equipo le falta cualquier actualización debería ver algo como esto:

Primero le indica para qué producto es la actualización. Si lo expande, le especificará que actualización está ausente y le dará un enlace del que puede descargar la actualización.

Abusos CGI describe problemas relativos a Apache, Netscape, IIS y otros servidores web.

Vulnerabilidades FTP, vulnerabilidades DNS, vulnerabilidades de Correo, vulneravilidades RPC y vulnerabilidades varias proporcionan enlaces a Bugtraq u otros sitios de seguridad para que pueda buscar más información sobre el problema encontrado por GFI LANguard N.S.S.

Vulnerabilidades de servicio pueden ser varias cosas. Cualquier cosa de los servicios en curso en el dispositivo en cuestión de cuentas listadas en un equipo que nunca han sido utilizadas.

Vulnerabilidades de registro cubre la información tomada de un equipo Windows cuando GFI LANguard N.S.S. hace su análisis inicial. Proporcionará un enlace al sitio de Microsoft u otros sitios relacionados con la seguridad que explica por qué estas opciones del registro deberían ser cambiadas.

Vulnerabilidades de información son alertas agregadas a la base de datos que son problemas suficientemente importantes para llamar la atención de los administradores pero que no siempre es perjudicial dejarlas abiertas.

Nodo de Vulnerabilidades Potenciales

El nodo de vulnerabilidades potenciales muestra potenciales problemas de seguridad, importante información, así como ciertas comprobaciones que no informan de vulnerabilidades. Por ejemplo si no pudiera determinarse que una actualización concreta está instalada, se la listará bajo el nodo actualizaciones de seguridad no detectables. Esas potenciales vulnerabilidades necesitan ser revisadas por el administrador.

Nodo de vulnerabilidades potenciales
Recursos compartidos

El nodo recursos compartidos lista todos los recursos compartidos de un equipo y quién tiene acceso a un recurso compartido. Todos los recursos compartidos de la red deben ser asegurados adecuadamente. Los administradores deben asegurar que:

  1. Ningún usuario está compartiendo todo su disco duro con otros usuarios.
  2. No se permite el acceso anónimo/no autentificado a recursos compartidos.
  3. Las carpetas de inicio o archivos de sistema similares no están compartidas. Esto podría permitir que usuarios con menos privilegios ejecuten código en los equipos objetivo.

Lo anterior es muy importante para todos los equipos, pero especialmente para los equipos que son críticos para la integridad del sistema, como el Controlador de Domino Público. Imagine un administrador compartiendo la carpeta de inicio (o una carpeta que contiene la carpeta de inicio) en el PDC para todos los usuarios. Concedidos los permisos correctos, los usuarios pueden fácilmente copiar ejecutables en la carpeta de inicio, que se ejecutarán en el siguiente inicio de sesión del administrador.

Nota: Si está realizando el análisis validado como un administrador, también verá los recursos compartidos administrativos, por ejemplo "C$ - recurso compartido predeterminado". Estos recursos compartidos no estarán disponibles para los usuarios normales.

Con la forma en que Klez y otros nuevos virus están comenzando a difundirse, a través del uso de recursos compartidos abiertos, todos los recursos compartidos innecesarios deben ser desactivados, y todos los recursos compartidos necesarios deberían estar protegidos por contraseña.

NOTA: Puede deshabilitar la referencia a los recursos compartidos administrativos editando el perfil de análisis desde Configuración > Scanning Profiles > OS Data > Enumerate Shares.

Directiva de Contraseñas

Este nodo le permite comprobar si la directiva de contraseñas es segura. Por ejemplo habilitar un tiempo de vida máximo e historial de contraseñas. La longitud mínima de contraseña debe ser algo práctico, como 8 caracteres. Si tiene Windows 2000, puede habilitar una directiva de contraseñas seguras, en toda la red, utilizando un GPO (Objetos de Directiva de Grupo) en el Directorio Activo.

Registro

Este nodo proporciona información vital sobre el registro remoto. Haga clic sobre el nodo Ejecutar para comprobar qué programas lanzan automáticamente en el inicio.

Compruebe que los programas que se lanzan automáticamente no son Troyanos o incluso programas válidos que proporcionan acceso remoto en un equipo, si dicho software no está permitido en su red. Cualquier software de Acceso Remoto puede terminar siendo una puerta trasera que un potencial hacker puede utilizar para obtener entrada.

NOTA: Puede editar y mantener la lista de claves y valores del registro a recuperar modificando el archivo XML "toolcfg_regparams.xml" que se encuentra en el directorio %LNSS_INSTALL_DIR%\Data.

Directiva de auditoría de seguridad

Este nodo muestra qué directivas de auditoría de seguridad están habilitadas en el equipo remoto. Se recomiendan las siguientes directivas de auditoría:

Directiva de Auditoría
Correcto
Error

Auditar sucesos de inicio de sesión

Si

Si

Administración de cuentas

Si

Si

Acceso del servicio de directorio

Si

Si

Sucesos de inicio de sesión de cuenta

Si

Si

Acceso a objetos

Si

Si

Cambio de directivas

Si

Si

Uso de privilegios

No

No

Seguimiento de procesos

No

No

Sucesos del sistema

Si

Si

Puede habilitar la auditoría directamente desde GFI LANguard N.S.S. Haga clic con el botón derecho sobre uno de los equipos del panel de la izquierad y seleccione "Enable auditing". Esto hará aparecer el asistente de administración de directiva de auditoría.

Especifique qué directivas de auditoría activar. Hay 7 directivas de auditoría de seguridad en Windows NT y 9 en Windows 2000. Habilite las directivas de auditoría deseadas en los equipos a ser monitorizados. Haga clic en Next para activar las directivas de auditoría.

Habilitar las Directivas de Auditoría en equipos remotos

Ni no se encuentran errores, se mostrará la página final. Si ocurrió un error entonces se mostrará otra página indicando los equipos en los que falló la aplicación de las directivas.

Diálogo de resultados del asistente de directiva de auditoría
Puertos abiertos

El nodo puertos abiertos lista todos los puertos abiertos encontrados en el equipo. (Esto se llama escaneo de puertos). GFI LANguard N.S.S. hace un análisis de puertos selectivo, lo que significa que por defecto no escanea los 65535 puertos TCP y UDP, sólo los puertos que están configurados para analizar: Puede configurar los puertos que debe analizar en Opciones de análisis. Para más información vea el capítulo "Configurar las Opciones de Análisis, Configurar los Puertos a Analizar".

Cada puerto abierto representa un servicio/aplicación; si uno de estos servicios puede ser "aprovechado", el hacker podría obtener acceso a ese equipo. Por lo tanto, es importante cerrar cualquier puerto que no sea necesario.

Nota: En las Redes Windows, los puertos 135, 139 y 445 siempre están abiertos.

GFI LANguard N.S.S. mostrará los puertos abiertos, y si el puerto se considera puerto de Troyano conocido, GFI LANguard N.S.S. lo mostrará en ROJO, de lo contrario el puerto se mostrará en VERDE. Puede ver esto en la siguiente imagen:

Nota: Aunque un puerto se muestre en ROJO como posible puerto de Troyano, eso no significa que un programa de puerta trasera esté actualmente instalado en el equipo. Algunos programa válidos utilizarán los mismos puertos que algunos Troyanos conocidos. Un programa anti-virus utiliza el mismo puerto conocido por la puerta trasera NetBus. Por lo tanto compruebe siempre la información proporcionada y realice pruebas en esos equipos.

Usuarios y Grupos

Estos nodos muestran los grupos locales y los usuarios locales disponibles en el equipo. Verifique si hay usuarios de más, y comprueb que la cuenta Invitado está deshabilitada. ¡Estos usuarios y grupos pueden permitir el acceso por la puerta de atrás!

Algunos programas clandestinos rehabilitarán la cuenta Invitado y le darán derechos Administrativos, por lo que compruebe los detalles del nodo usuarios para ver la actividad de todas las cuentas y los derechos que tienen.

Idealmente el usuario no debería estar utilizando una cuenta local para iniciar sesión, sino que debería ser registrado en un Dominio o una cuenta de Directorio Activo.

La última cosa importante a comprobar es asegurar que la contraseña no es demasiado antigüa.

Usuarios que Iniciaron Sesión

Este nodo muestra la lista de usuarios que iniciaron sesión sobre el equipo objetivo. La lista se divide en dos secciones.

Usuarios que iniciaron sesión localmente

Esta categoría incluye todos los usuarios que tienen una sesión iniciada localmente. Esta categoría muestra la siguiente información sobre cada inicio de sesión, si está disponible:

  1. Fecha y hora del inicio de sesión
  2. Tiempo transcurrido

Usuarios que Iniciaron Sesión Remota

Esta categoría incluye todos los usuarios que iniciaron sesión remotamente sobre el equipo objetivo. La categoría Usuarios que Iniciaron Sesión Remota muestra la siguiente información sobre cada usuario:

  1. Fecha y hora del inicio de sesión
  2. Tiempo transcurrido
  3. Tiempo en espera
  4. Tipo de cliente
  5. Transporte

Leyenda de los campos de información:

Fecha y hora del inicio de sesión: Indica la fecha y hora en que el usuario inició sesión sobre el equipo. Este campo se aplica a ambas conexiones local y remota.

Tiempo transcurrido: Indica cuanto tiempo ha estado el usuario en este equipo. Este campo se aplica a ambas conexiones local y remota.

Tiempo en espera: Indica cuanto tiwmpo ha estado en espera la conexión del usuario. El tiempo en espera se refiere al usuario / conexión que está completamente en activo. Este campo se aplica sólo a conexiones remotas.

Tipo de cliente: Indica qué plataforma utilizó el usuario para hacer esta conexión remota. Generalmente se refiere al Sistema Operativo instalado en el equipo que inició la conexión. Este campo se aplica sólo a conexiones remotas.

Transporte: Indica qué clase de servicio se utilizó para iniciar la conexión. Este campo se aplica sólo a conexiones remotas.

Servicios

Se listan todos los servicios del equipo. Verifique que los servicios que están en ejecución necesitan estarlo y deshabilite todos los servicios que no sean necesarios. Sea consciente de que cada servicio puede potencialmente ser un riesgo de seguridad y un agujero en el sistema. Cerrando o desactivando los servicios que no son necesarios se reducen automáticamente los riesgos de seguridad.

Estado de Actualizaciones de Seguridad P

Este nodo muestra qué actualizaciones están instaladas y registradas en el equipo remoto.

Dispositivos de Red

Este nodo muestra una lista de todos los dispositivos de red instalados en el sistema. Los dispositivos se categorizan como sigue:

  • Dispositivos físicos - Con cable
  • Dispositivos físicos - Sin cable (inalámbricos)
  • Dispositivos virtuales
  • Dispositivos de Red Detectados

Se informa (cuando es posible) de las siguientes propiedades por cada dispositivo:

  • Dirección MAC
  • Dirección(es) IP Asignadas
  • Anfitrión (Host)
  • Dominio
  • Datos DHCP
  • WEP (donde esté disponible)
  • SSID (donde esté disponible)
  • Gateway
  • Estado

NOTA: Busque regularmente los nuevos dispositivos de red. Los dispositivos inalámbricos se pueden utilizar para comprometer la seguridad de la red tanto desde dentro como desde fuera de la empresa.

Dispositivos USB

Este nodo mostrará todos los dispositivos USB conectados actualmente en el equipo objetivo. Utilice este nodo para verificar que no hay dispositivos no autorizados conectados en ese momento. Los dispositivos de almacenamiento portátiles suponen un considerable riesgo de seguridad, mantenga vigilados esos dispositivos. Otro gran riesgo de seguridad al que prestar atención son los adaptados USB inalámbricos así como sticks Brluetooth que además pueden permitir al usuario transferir archivos no autorizados entre sus estaciones de trabajo y dispositivos personales como móviles, PDAs y dispositivos con Bluetooth habilitado.

Lista de dispositivos USB detectados en el equipo objetivo

NOTA: Puede configurar GFI LANguard N.S.S.para informar de dispositivos USB no autorizados (por ejemplo "USB Mass Storage Device") como vulnerabilidad crítica. Puede configurar qué dispositivos debe informar GFI LANguard N.S.S. como vulnerabilidad crítica desde Configuration > Scanning Profiles > Devices > USB Devices.

Dispositivos USB peligrosos listados como Vulnerabilidad Crítica

Table of ContentsPreviousNextIndex