Analizar los resultados del análisis

Utilice la información presentada en la sección `Scanned computers' (panel del medio) para navegar por los resultados de los ordenadores analizados. Los resultados del análisis de seguridad están organizados en un número de sub-nodos de categoría. Estoa pueden ser fácilmente usados para investigar e identificar los problemas de seguridad en los objetivos analizados.

Vulnerabilidades

Vulnerabilidades potenciales

Aplicaicones

Dispositvos de red

Dispositivos USB

Directiva de contraseñas

Directiva de auditoría de seguridad

Registro

Puertos TCP abiertos

System patching status

Nombres NETBIOS

Equipo

Grupos

Usuarios

Usuarios logados

Sesiones

Servicios

Procesos

Time of day remoto (TOD)

Unidades locales

Para ver los datos de los resultados del análisis recogidos durante un análisis de seguridad, haga clic en la categoría de interés. La información se muestra en el panel `Scan Results' (a la derecha).

Vulnerabilidades

Haga clic en el sub-nodo

Vulnerabilities para ver las vulnerabilidades de seguridad identificadas en el equipo objetivo. Las vulnerabilidades se agrupan por tipo y gravedad en cinco categorías principales:

Vulnerabilidades } Service packs ausentes

Un Service Pack (SP) es un programa de software que corrige un conjunto de defectos conocidos o añade nuevas características a sistemas operativos y aplicaciones

GFI LANguard N.S.S. comprueba por actualizaciones de software de Microsoft ausentes comparando la versión actualmente instalada de los service packs en los ordenadores objetivo con los mismos realizados actualmente disponibles por el fabricante.

NOTA: GFI LANguard N.S.S. es capaz de comprobar las actualizaciones de software ausentes y service packs en varios productos Microsoft. Para una lista completa de productos soportados vaya a http://kbase.gfi.com/showarticle.asp?id=KBID002573.

Para acceder a información más detallada del service pack ausente, haga clic derecho sobre el service pack en particular y seleccione More details ....

Esto levantará el diálogo 'Bulletin Info' del respectivo service pack. La información mostrada en este boletín incluye:

El QNumber. Este es un número ID único que se asigna por Microsoft a cada actualización de software para propósitos de identificación.

La fecha de liberación del boletín/service pack.

Una descripción larga del service pack y sus contenidos.

La lista de SO/Aplicaciones a los que se aplica el service pack.

El enlace URL a más información acerca del service pack respectivo.

El nombre del archivo del service pack y el tamaño del archivo relativo.

La URL desde donde puede descargar manualmente ese service pack.

Vulnerabilidades } Parches ausentes

Un parche es una actualización que se ha liberado por una compañía de software para contrarrestar un problema técnico/de seguridad. Es muy común por los atacantes explotar estas vulnerabilidades conocidas para obtener acceso a la red. Dejar de parchear los sistemas objetivos le hace vulnerable a un ataque con un resultado de pérdida de tiempo de negocio y/o datos.

GFI LANguard N.S.S. analiza los ordenadores objetivo para asegurarse que todas las actualizaciones de seguridad relevantes liberadas por Microsoft están instaladas.

Los parches ausentes descubiertos durante el análisis de un objetivo se listan bajo la categoría 'Missing Patches'.

Para acceder a información más detallada, haga clic derecho sobre parche particular y seleccione More details....Esto levantará el diálogo 'Bulletin Info' que contiene detalles adicionales del parche de software respectivo.

Vulnerabilidades } Vulnerabilidades seguridad alta, media y baja

Los sub-nodos 'High', 'Medium' y `Low security vulnerabilities' contienen información acerca de debilidades descubiertas durante la prueba de un dispositivo de red. Estas vulnerabilidades se organizan en 8 grupos:

Abusos CGI

Este grupo contiene detalles de vulnerabilidades de seguridad (tales como problemas de desconfiguración) descubiertos en servidores web analizados. Los servidores web soportados incluyen Apache, Netscape, y Microsoft I.I.S. La información listada en esta sección incluye:

Vulnerabilidades FTP, DNS, Correo, RPC y Misc/Linux/UNIX

Estos grupos incluyen detalles de la debilidades de seguridad descubiertas durante el análisis de objetivos de red particulares tales como servidores FTP, servidores DNS, y servidores de correo SMTP/POP3/IMAP. La información mostrada en estas secciones incluyen los enlaces a los artículos de la Base de Conocimiento de Microsoft u otra documentación de soporte relacionada con la vulnerabilidad.

Vulnerabilidades de servicio

Este grupo incluye detalles de vulnerabilidades de seguridad asociadas a servicios que están funcionando en los dispositivos de red analizados. Otros detalles enumerados en esta sección incluyen cuentas no utilizadas que siguen estando activas y accesibles en los ordenadores objetivo analizados.

Vulnerabilidades de Registro.

Este grupo incluye detalles de las vulnerabilidades descubiertas en los ajustes del registro de un dispositivo de red analizado. Los detalles mostrados en esta categoría incluyen enlaces a documentación de soporte así como una descripción corta de la vulnerabilidad respectiva.

Vulnerabilidades potenciales

Haga clic en el sub-nodo

Potential vulnerabilities para ver los elementos del análisis de resultados que son clasificados como posibles debilidades de red. Estos elementos del resultado del análisis, a pesar de que no están clasificados como vulnerabilidades, requieren su meticulosa atención dado que pueden ser explotados durante un ataque por usuarios malintencionados.

Por ejemplo, durante un análisis de seguridad GFI LANguard N.S.S. enumerará todos los módems que están instalados y configurados en el ordenador objetivo. Si estos módems no están en uso o conectados a la línea de teléfono, no son una amenaza para su red (es decir, no es una vulnerabilidad). Por otro lado, si estos módems están en uso y conectados se pueden usar por sus usuarios de red para obtener acceso no autorizado y no monitorizado a Internet.

Esto podría mas adelante permitirles saltarse su firewall y otros cualesquiera ajustes de seguridad de Internet implementados (por ejemplo, análisis de virus, clasificación de sitios y bloqueo de contenido) así como también generar altas facturas telefónicas a la compañía. En adición a lo de arriba, los hackers podrían detectar tales conexiones y sacar provecho de ellas para obtener acceso no controlado a su sistema de la red a través de esta ruta no monitorizada. Como resultado, GFI LANguard N.S.S. considera a los módems instalados como potenciales amenazas y los enumera en una categoría dedicada (es decir, el sub-nodo 'Potential Vulnerability') para su atención y análisis.

Recursos compartidos abiertos

Haga clic en el sub-nodo

Shares para ver todos los recursos compartidos en un ordenador objetivo.

En libertad hay varios gusanos y virus (por ejemplo, Klez, Bugbear, Elkern y Lovgate) que se dispersan utilizando recursos compartidos abiertos detectados en los ordenadores de la red.

GFI LANguard N.S.S. enumera las propiedades de todos los recursos compartidos descubiertos en su red. Utilice estos datos para asegurarse que:

1. Ningún usuario está compartiendo todos sus discos duros con otros usuarios.

2. No está permitido el acceso anónimo/sin autenticar a los recursos y que están establecidos los permisos de acceso apropiados.

3. Las carpetas de inicio del sistema o archivos del sistema similares no están compartidos ya que estas podrían permitir a usuarios con pocos privilegios ejecutar código en ordenadores objetivo.

Por cada recurso compartido abierto detectado la siguiente información se recoge del ordenador objetivo:

NOTA: Todos los ordenadores Windows tiene recursos compartidos administrativos (C$, D$, E$ etc) los cuales GFI LANguard N.S.S. por defecto enumerará durante el análisis del ordenador objetivo. Como estos pueden ser irrelevantes para su auditoría de seguridad usted puede configurar GFI LANguard N.S.S. para que no reporte tales recursos administrativos. Para más información sobre como realizar esto refiérase a la sección `Personalizar los parámetros de Obtención de Datos del SO' en el capítulo 'Perfiles de Análisis' en este manual.

Ajustes de directiva de contraseñas

Haga clic en el sub-nodo

Password Policy para ver los ajustes de la directiva de contraseñas del ordenador(es) objetivo analizado.

Las políticas de seguridad de Windows 2000/XP/2003 proveen un conjunto de reglas que se pueden configurar para todas las cuentas de usuario para protegerle contra ataques de adivinación de contraseñas por fuerza bruta. Tales políticas incluyen las políticas de control de bloqueo así como políticas de aplicación de dureza de contraseñas. Estas son esenciales para la aplicación de una red segura tal y como hacen muy difícil para un atacante localizar un enlace débil en base a su usuario. Las vulnerabilidades típicas en una infraestructura de TI incluyen contraseñas débiles las cuales se hacen con pocos caracteres por ejemplo, contraseñas en blanco o por defecto, o contraseñas iguales al nombre de usuario.

Utilice la directiva de contraseñas que obtiene GFI LANguard N.S.S. de los ordenadores objetivo analizados para identificar vulnerabilidades de configuración en su red.

Ajustes del Registro

Haga clic en el sub-nodo

Registry para ver los valores de importantes claves del registro configurado en su ordenador objetivo.

Examinando los valores en el nodo Run, puede comprobar que programas están configurados para iniciarse automáticamente al inicio del sistema.

Esta información le permite identificar Troyanos, aplicaciones autorizadas o no autorizadas así como también aplicaciones válidas que pueden proveer acceso remoto a su red. Cualquier tipo de software que esté funcionando sin su orden expresa desde el menú inicio debe ser anotado y comprobado por su validez.

Ajustes de la directiva de auditoría de seguridad

Haga clic en el sub-nodo

Security Audit Policy para ver los ajustes de la directiva de auditoría de seguridad configurada en un ordenador objetivo analizado.

Una parte importante de cualquier plan de seguridad es la posibilidad de monitorizar y auditar los sucesos que ocurren en su red. Estos registros de sucesos están frecuentemente indicados para identificar agujeros o brechas de seguridad. Identificando los intentos e impidiéndoles convertirse en brechas de su sistema de seguridad es crítico En Windows, puede utilizar las `Políticas de Grupo' para establecer una directiva de auditoría que pueda rastrear las actividades del usuario o los eventos del sistema en registros específicos.

Mientras analiza, GFI LANguard N.S.S. extrae los ajustes de la directiva de auditoría de seguridad actualmente configurada del equipo(s) objetivo. Utilice esta información para identificar si las políticas de auditoría están configuradas correctamente en sus equipos de red.

GFI recomienda que configure los ajustes de la política de auditoría de sus equipos de la red como sigue:


Directiva de Auditoría	Correcto	Error
Auditar sucesos de inicio de sesión	Si	Si
Administración de cuentas	Si	Si
Acceso del servicio de directorio	Si	Si
Sucesos de inicio de sesión de cuenta	Si	Si
Acceso a objetos	Si	Si
Cambio de directivas	Si	Si
Uso de privilegios	No	No
Seguimiento de procesos	No	No
Sucesos del sistema	Si	Si

También puede configurar remotamente los ajustes de la política de auditoría de los equipos objetivo directamente desde el interfaz de configuración de GFI LANguard N.S.S. Esto se hace como sigue:

1. Desde el panel 'Scanned Computers' (en el centro), haga clic derecho sobre el equipo objetivo respectivo y seleccione Enable auditing on } This computer. Esto lanzará el `Asistente de Administración de la Política de Auditoría'. Haga clic en Next para proceder con la configuración.

NOTA 1: Para configurar remotamente las políticas de auditoría en una selección de equipos objetivo, haga clic derecho sobre cualquier ordenador objetivo (que está listado en panel del medio) y seleccione Enable auditing on } Selected computers.

NOTA 2: Para configurar las políticas de auditoría en todos los equipos de listados en el panel 'Scanned Computers' (en el medio), haga clic derecho sobre cualquier equipo objetivo y seleccione Enable auditing on } All computers.

2. Seleccione/deseleccione las casillas de verificación de las políticas de auditoría que desee ajustar en los equipos objetivo seleccionados. Por ejemplo, para registrar los sucesos correctos, seleccione la casilla de verificación `Successful' de la política de auditoría correspondiente. Haga clic en Next para iniciar el proceso de configuración de la política de auditoría en el equipo(s) objetivo remoto.

3. Se mostrará ahora un diálogo que muestra los resultados de la configuración de la política de auditoría. Haga clic en Next para proceder con la última etapa del procedo de configuración.

4. Haga clic en Finish para cerrar el 'Asistente de Administración de la Política de Auditoría'.

Puertos abiertos

Haga clic en el sub-nodo

Open Ports para ver una lista de puertos que son detectados como abiertos para escuchar en un ordenador objetivo analizado.

Los puertos abiertos representan servicios activos y aplicaciones que pueden ser explotados por usuarios malintencionados para obtener acceso al ordenador. Es muy importante dejar sólo los puertos que usted sabe que son necesarios par alas funciones centrales/básicas de sus servicios de red. Todos los demás puertos se deben cerrar.

Por defecto GFI LANguard N.S.S. está configurado para usar el 'Perfil de Análisis por Defecto'. A través del uso de ese perfil de análisis, no se comprueban los 65535 puertos TCP y UDP ya que esto podría tardar mucho tiempo en completarse por cada ordenador objetivo. Cuando utilice el `Perfil de Análisis Default', GFI LANguard N.S.S. realiza comprobaciones en los puertos más comúnmente explotados por los hackers, virus, spyware y malware. Use el perfil de análisis 'Full TCP y UDP Port Scan' para lanzar un comprobación íntegra de los puertos abiertos en todos los objetivos.

Para más información sobre como lanzar auditorías de seguridad utilizando diferentes perfiles de análisis refiérase a la sección `Perfiles de análisis en acción' del capítulo 'Perfiles de Análisis' en este manual.

Para más información sobre como personalizar un perfil de análisis refiérase a la sección `Crear un nuevo perfil de análisis' en el capítulo `Perfiles de Análisis' en este manual.

Impresión digital de los servicios

Además de detectar si el puerto está o no abierto, GFI LANguard N.S.S. utiliza tecnología de reconocimiento de la impresión digital de los servicios para analizar los servicios que están funcionando tras los puertos abiertos detectados. Mediante el reconocimiento de los servicios puede asegurar que no tiene lugar un secuestro del puerto. Por ejemplo, puede verificar que tras el puerto 21 de un equipo concreto hay un servidor FTP funcionando y no un servidor HTTP.

Información de puerto peligroso

Cuando un puerto comúnmente explotado es encontrado abierto, GFI LANguard N.S.S., le marcará en rojo. Hay que tener cuidado si un puertos es mostrado en rojo, esto no significa que es al 100% un backdoor. Actualmente con la variedad de software lanzado es muy común que un programa válido utilice los mismo puertos que algunos Troyanos conocidos.

Usuarios y grupos

Haga clic en el sub-nodo

Users para ver todas las cuentas de usuario locales en el ordenador objetivo(s). Haga clic en el sub-nodo

Groups para ver todos los grupos locales en el ordenador objetivo(s) analizado.

¡Utilice esta información para identificar usuarios y grupos granujas o inutilizados que pueden permitir el acceso a visitantes desautorizados! Estos incluyen la cuenta 'Invitado' y otros usuarios y grupos en desuso u obsoletos. Algunos backdoors re-habilitan la cuenta 'Invitado' y la conceden derechos administrativos. Utilice los detalles enumerados en el sub-nodo Users de los resultados del análisis para inspeccionar los privilegios de acceso asignados a cada cuenta de usuario.

NOTA: Los usuarios no deberían utilizar cuentas locales para iniciar sesión en un ordenador de red. Para mejor seguridad, los usuarios deberían iniciar sesión en los ordenadores de red utilizando una cuenta de `Dominio' o 'Directorio Activo'.

Usuarios logados

Haga clic en el sub-nodo

Logged on Users para acceder a la lista de usuarios que están logados localmente (vía inicio de sesión interactivo) o remotamente (vía conexión remota de red) en el ordenador objetivo analizado.

Por cada usuario logado detectado, se recoge la siguiente información (dependiendo de la aplicabilidad).

Nombre de usuario logado

`Time and Date of the Logon' - La hora y fecha cuando el usuario se ha logado en el ordenador objetivo.

`Time elapsed since their logon' - Cuanto tiempo el usuario a estado logado en este ordenador.

`Number of programs running' - El número de programas que el usuario logado interactivamente ha lanzado a la hora del análisis.

`Idle time' - Cuanto tiempo ha estado inactiva la conexión remota del usuario (es decir, completamente inactiva).

`Client type' - La plataforma/sistema operativo que el usuario remoto utilizó para conectar al equipo objetivo.

`Transport' - El nombre del servicio que se ha usado para iniciar la conexión remota entre el ordenador remoto y el ordenador objetivo (por ejemplo, NetBios.Smb, Terminal Service, Escritorio Remoto).

Servicios en marcha

Haga clic en el sub-nodo

Services para acceder a la lista de servicios que están en marcha en el equipo(s) objetivo durante el análisis de seguridad. Utilice esta información para identificar los procesos en marcha desconocidos/innecesarios es su equipo(s) de red.

NOTA: Cada servicio en marcha puede ser un potencial punto flaco de la seguridad en su sistema de red. Por esta razón, nosotros recomendamos que cierre/deshabilite todas las aplicaciones y servicios que estén funcionando en su red. Este ejercicio endurece automáticamente su red reduciendo los puntos de entrada a través de los cuales un atacante puede penetrar en su sistema.

Procesos remotos en marcha

Haga clic en el sub-nodo

Remote Proceses para acceder a la lista de procesos que están en marcha en el equipo objetivo durante un análisis.

Durante el análisis de seguridad, GFI LANguard N.S.S. recoge información varia en los procesos que están en marcha en los equipos objetivo analizados. Los detalles enumerados durante el análisis de seguridad incluyen:

Aplicaciones instaladas

Haga clic sobre el sub-nodo

Applications para acceder a la lista completa de aplicaciones que están instaladas en un ordenador objetivo analizado. Las aplicaciones descubiertas están organizadas en tres grupos:

Los grupos de aplicaciones antivirus y aplicaciones antispyware contienen la lista de aplicaciones de seguridad instaladas en un ordenador objetivo analizado. Los detalles enumerados en estos grupos incluyen:

Nombre de la aplicación.

`Real time protection:' - Indica si la protección en tiempo real esta habilitada o deshabilitadas en una aplicación antivirus.

`Up to date:' - Indica si los archivos de firmas del antivirus/antispyware de una aplicación de seguridad están actualizados. Esto se logra comprobando (donde sea aplicable) el indicador de estado de fichero de firmas en una aplicación.

`Last update:' - Muestra la fecha y la hora de la última actualización de firmas de antivirus/antispyware.

`Version:' - Muestra el número de versión de la aplicación de seguridad.

`Publisher:' - Muestra los detalles del fabricante.

El grupo de Aplicaciones generales contiene la lista de aplicaciones de propósito general instaladas en un ordenador objetivo analizado. Estas incluyen todos los programas de software que no están clasificados como productos antivirus o antispyware tales como Adobe Acrobat Reader y GFI LANguard Network Security Scanner.

Dispositivos de red

Haga clic en el sub-nodo

Network Devices para acceder a la lista de dispositivos/componentes de red (por ejemplo, tarjetas de red cableadas e inalámbricas) que están instaladas en un ordenador objetivo analizado. Utilice esta información para analizar e identificar dispositivos no autorizados conectados en su red.

Los dispositivos de red, especialmente los inalámbricos, se convierten en una fuente principal de fuga de información en las organizaciones. ¡Se debe tener especial cuidado para asegurar que solo están conectados dispositivos inalámbricos autorizados en su infraestructura de red!

GFI LANguard N.S.S. identifica todos los dispositivos de su red incluyendo los físicos e inalámbricos. La información enumerada en el sub-nodo Network Devices está organizada en cuatro grupos principales:

Dispositivos USB

Haga clic en el sub-nodo

USB Devices para acceder a la lista de dispositivos USB conectados al ordenador(es) objetivo. Use la información recogida en este sub-nodo para identificar dispositivos USB no autorizados conectados actualmente al ordenador(es) objetivo analizado. Estos dispositivos no autorizados pueden incluir dispositivos de almacenamiento portátil tales como el Apple iPod, o Creative Zen así como también dispositivos inalámbricos USB y llaves Bluetooth.

Información de los dispositivos no autorizados como vulnerabilidades de alta seguridad.

GFI LANguard N.S.S se puede configurar para distinguir entre dispositivos USB autorizados y no autorizados. Para más información, refiérase a la sección `Hacer una lista de dispositivos de red no autorizados' en el capítulo 'Perfiles de Análisis' en este manual.

Estado de parcheo de errores del sistema.

Haga clic sobre el nodo

System patching status para una visión general del estado de parcheo de un ordenador objetivo.

Nombres NETBIOS

Haga clic en el sub-nodo

NETBIOS names para acceder a la lista de nombres NetBIOS enumerados durante un análisis de un ordenador objetivo.

Cada ordenador en una red tiene un único nombre NetBIOS. El nombre NetBIOS es una dirección de 16 bytes que permite identificar los recursos NetBIOS en la red. Los nombres NETBIOS se mapean satisfactoriamente a una dirección IP utilizando resolución de nombre NetBIOS.

Durante el proceso de detección, GFI LANguard N.S.S. consulta la identidad y disponibilidad de un ordenador de red objetivo usando NetBIOS. Si esta disponible, el ordenador objetivo responderá a la petición enviando el nombre NetBIOS respectivo.

Detalles del ordenador objetivo analizado

Haga clic en el sub-nodo

Computer para acceder a detalles particulares sobre el ordenador objetivo analizado. Los detalles enumerados en este nodo incluyen:

`MAC:' - Muestra la dirección MAC de la tarjeta de red que el ordenador objetivo está usando para conectarse a la red.

`Time To Live (TTL):' - Muestra el máximo número de saltos de red permitidos antes que un paquete de datos expire/se descarte. En base a este valor, puede identificar la distancia (es decir, el número de saltos del enrutador) entre el ordenador corriendo GFI LANguard N.S.S. y el ordenador objetivo recientemente analizado. Los valores TTL típicos abarcan 32, 64, 128 y 255.

`Network Role:' - Denota si el ordenador objetivo analizado es una Estación de trabajo o un Servidor.

`Domain:' - Indica los detalles del dominio/grupo de trabajo. Cuando se analizan objetivos que son parte de un dominio, este campo muestra la lista de dominios de confianza. Si el ordenador objetivo analizado no es parte de un dominio, este campo mostrará el nombre del respectivo Grupo de Trabajo.

`LAN Manager:' - Muestra el tipo de sistema operativo y LAN Manager en uso (por ejemplo, Windows 2000 LAN Manager).

`Language:' - Muestra el idioma configurado en el ordenador objetivo analizado (por ejemplo, Inglés).

Sesiones activas

Haga clic en el sub-nodo

Sessions para acceder a la lista de sistemas que están conectados remotamente al ordenador objetivo durante el análisis. Los detalles mostrados en este sub-nodo incluyen:

`Computer:' - La Dirección IP del sistema que está conectado remotamente al ordenador objetivo analizado.

`Username:' - El usuario logado.

`Open files:' - El número de archivos accedidos durante la sesión.

`Connection time:' - La duración de la sesión, es decir, el tiempo (en segundos) que el usuario ha estado conectado remotamente al ordenador objetivo analizado.

`Idle Time:' - El tiempo total (en segundos) durante el cual la conexión ha estado inactiva.

`Client type' - La plataforma/sistema operativo que el ordenador logado remotamente (es decir, el ordenador cliente) está corriendo.

`Transport' - El nombre del servicio que se ha usado para iniciar la conexión remota entre el ordenador cliente y el ordenador objetivo (por ejemplo, NetBios.Smb).

NOTA: LA información enumerada en este sub-nodo también incluye los detalles de la conexión remota de la sesión de análisis recién realizada por GFI LANguard N.S.S., es decir, la IP del ordenador donde está funcionando GFI LANguard N.S.S., las credenciales de inicio, etc.

Hora del día remota

Haga clic en el sub-nodo

Remote TOD (time of the day) para ver la hora de la red que se ha leído del ordenador objetivo durante en análisis. Esta hora se establece generalmente en los equipos de red por el controlador de dominio respectivo.

Unidades locales

Haga clic sobre el sub-nodo

Local Drives para ver la lista completa de unidades físicas que están accesibles en el ordenador objetivo analizado. La información enumerada en este sub-nodo incluye la letra de unidad, el espacio en disco total y el espacio en disco disponible.