Seguridad en redes y servicios
Medidas de mitigación
La CNT EP. pone a tu disposición, las siguientes recomendaciones técnicas de mitigación de los incidentes y vulnerabilidades más comunes reportados por los centros de respuesta de emergencias informáticas (CERTs), proveedores de seguridad, clientes, entre otros:
| Reporte | Tipo de reporte | Descripción | Verificación | Remedicación sugerida |
|---|---|---|---|---|
| SPAM | Incidente | La dirección IP detectada hace referencia a un host desde el cual se origina el envió de información no solicitada |
Verificar la dirección de IP del servidor, cuenta de email o dominio de correo en los servicios de listas negras de correo electrónico como: http://mxtoolbox.com/blacklists.aspx http://www.dnsqueries.com/es/mi_ip_esta_en_lista_negra.php http://www.spamhaus.org/ https://www.brightcloud.com/tools/url-ip-lookup.php |
• Cambiar las credenciales de cuenta de correo electrónico que remite SPAM. • Revisar la configuración de las reglas de correo electrónico. • Verificación periódica en los servicios de listas negras de correo electrónico recomendados. |
| Accesible_RDP | Vulnerabilidad | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema | Escaneo de puertos hacia el TCP 3389. El comando para verificar si el puerto está abierto es: nmap -Pn -p 3389 (ip address) |
• Desactivar el servicio de Escritorio Remoto. Para mayor información: https://docs.bluehosting.cl/tutoriales /servidores/como-habilitar-deshabilitar-el-acceso-a-traves-de-escritorio-remoto.html • Actualizar el sistema operativo. • Cambiar el puerto de escucha para la conexión RDP por puertos de alto nivel no estándar. • Utilizar una autenticación robusta, contraseñas de longitud mínima de 8 caracteres incluyendo números, letras y caracteres especiales. |
| Reporte | Tipo de reporte | Descripción | Verificación | Remedicación sugerida |
|---|---|---|---|---|
| Scanners | Incidente | La dirección IP detectada hace referencia a un host el cual estaría analizando puertos abiertos y cerrados de un sistema de información especifico. | Verificar las aplicaciones instaladas en los dispositivos y usar herramientas de detección de escaneo de puertos. |
Desinstalar programas de escaneo de redes.
Utilizar herramientas para detectar el escaneo de puertos, por ejemplo • Para Linux: PortScanDetector permite detectar el escaneo de puertos en Linux, esto es posible gracias a que el script agrega reglas a nuestro iptables o firewalld que van registrando los paquetes TCP que se transmiten y los bloquean automáticamente en aquellos casos donde se han consultados más de 10 puertos, de esta sencilla manera nos aseguramos que nadie intente hacer un rastreo de todos nuestros puertos. • Para sistemas operativos Windows usar la herramienta scanlogd https://www.openwall.com/scanlogd/ |
| Open_Proxy | Vulnerabilidad | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema. | Para verificar los puertos abiertos se utiliza el siguiente comando: Para Windows: C:\>netstat -abn Para Linux: netstat |
• Verificar la configuración del Proxy del navegador y sistema operativo. • Ejecutar un análisis del dispositivo con herramientas anti-virus y antimalware. |
| Poodle_SSLv3 | Vulnerabilidad | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la disponibilidad de la información de dicho sistema. | Verificar puerto 443 con el comando: nmap -Pn --script ssl-enum-ciphers -p 443 (ip address) Comprobar si un servidor está afectado (tiene habilitado SSL 3.0) usando la siguiente página creada para tal efecto: www.poodlescan.com. |
• Mantener actualizado el sistema operativo y antivirus. • Tener instaladas las últimas versiones de los navegadores de internet (Firefox, Chrome, safari, etc.). • Desactivar el soporte en el navegador y utilizar sólo versiones posteriores a SSL 3.0. Para más información ingresar al siguiente link: https://csirt.cedia.org.ec/how-to/instalacion/ssl/desactivando-sslv2-y-sslv3-en-linux/ |
| Open_SMB | Vulnerabilidad | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema. | SMB usa el puerto IP 139 o 445. Verificar los puertos abiertos con el comando netstat. |
• Mantener actualizado el sistema operativo. • Habilite un firewall o protección de punto final para proteger estos puertos de los atacantes. • Instale una VPN para encriptar y proteger el tráfico de red. • Implemente VLAN para aislar el tráfico interno de la red. • Utilice el filtrado de direcciones MAC para evitar que sistemas desconocidos accedan a la red. |
| Open_TFTP | Vulnerabilidad | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema. | Verificar si se tiene TFTP habilitado usar el comando: "tftp [IP] 69" Ejecutar el siguiente comando: get [nombre_cualquiera] Los mensajes de error que indican que TFTP está habilitado son: File not found o Access violation |
Para evitar este tipo de vulnerabilidad se recomienda: • Revisar la necesidad de tener dicho servicio habilitado, • Si es indispensable su utilización debe configurar adecuadamente teniendo en cuenta medidas de seguridad a nivel de aplicación. |
| Open_MongoDB | Vulnerabilidad | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema | Para la detección de esta vulnerabilidad se usa el comando: nmap -p27017 [ip] |
• Configurar reglas de firewall o grupos de seguridad en su lugar. • Enlace MongoDB solo a las interfaces y puertos necesarios. • Habilitar autenticación, usuarios y roles. / Copia de seguridad periódica / Auditorías de seguridad. |
| Open_Telnet | Vulnerabilidad | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema |
El comando que se utiliza para verificar si el puerto telnet está abierto es: Linux: nmap -v -p 23 [IP] Windows (cmd): netstat -ano |
• Cerrar el puerto 23 y el puerto 2323. • Utilizar aplicaciones equivalentes que utilicen cifrado para la transmisión de datos como SSH o SSL-Telnet. |
| Reporte | Tipo de reporte | Descripción | Verificación | Remedicación sugerida |
|---|---|---|---|---|
| CWMP | Vulnerabilidad | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema. |
Escanear el puerto 7547 con el siguiente comando: C:\>netstat -abn | • Actualizar el firmware del equipo. |
| Open_Netbios | Vulnerabilidad | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
Escaneo de puertos UDP: 137 y 138; y puerto TCP 139 con el comando: nmap -Pn --script smb-os-discovery,smb-protocols -p445 (ip del servidor) En Windows (cmd) con el comando: nbtstat -A(ip del servidor) En Linux (terminal) con el comando: nmblookup -S -R -A (ip del servidor) Se puede utilizar la herramienta en línea: https://w3dt.net/tools/netbios |
• Desactivar los servicios Microsoft NetBIOS. para mayor información: http://www.daboweb.com/foros/index.php?topic=4457.0 • Usar un firewall para filtrar las conexiones entrantes a los servicios NetBIOS y autorice solo las direcciones IP y los dispositivos de confianza. • Instalar las actualizaciones de seguridad de su sistema operativo. |
Para mayor información: ECUCERT – ARCOTEL dispone en su portal web www.ecucert.gob.ec las acciones recomendadas para la mitigación de incidentes y vulnerabilidades de seguridad.
Mitigación de incidentes de seguridad:
https://www.ecucert.gob.ec/incidentes.html
Mitigación de vulnerabilidades de seguridad:
https://www.ecucert.gob.ec/vulnerabilidades.html
Vulnerabilidades
En cumplimiento a la Resolución ARCOTEL-2018-0652 publicada en registro oficial No. 331, de fecha 20 de septiembre de 2018, en el cual se expidió la “Norma técnica para coordinar la gestión de incidentes y vulnerabilidades que afecten a la seguridad de las redes y servicios de telecomunicaciones”; la CNT EP. pone en conocimiento de sus clientes y abonados la siguiente información:
En consideración a lo establecido en los artículos 8 y 9 de la “Norma Técnica para Coordinar la Gestión de Incidentes y Vulnerabilidades que afecten a la Seguridad de las Redes y Servicios de Telecomunicaciones”, el ARCOTEL generó el Catálogo y Priorización de Vulnerabilidades e Incidentes Iniciales donde se definen los tipos de vulnerabilidades para abonados y clientes.
Los tipos de vulnerabilidades que no han sido definidas en el catálogo, se irán agregando conforme se vayan reportando ya sea por ECUCERT-ARCOTEL o por los abonados y clientes.
| # | Vulnerabilidad | Nombre | Descripción del riesgo |
|---|---|---|---|
| 1 | Netis_Router | Routers Netis | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema |
| # | Vulnerabilidad | Nombre | Descripción del riesgo |
|---|---|---|---|
| 1 | Accesible_RDP | Accesible Remote | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema |
| 2 | Cisco_Smartinstall | Cisco_Smartinstall | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 3 | Open_Memcached | mem-cashed memory caching system | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 4 | Open_Netbios | Network Basic Input Output System | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 5 | Open_VNC | Virtual Network Computing | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad del sistema |
| # | Vulnerabilidad | Nombre | Descripción del riesgo |
|---|---|---|---|
| 1 | Poodle_SSLv3 | Padding on Oracle on Downgraded Legacy Encryption | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la disponibilidad de la información de dicho sistema |
| 2 | CWMP | CPE Customer Premise Equipment WAN Management Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 3 | DNS_Open_Resolver | DNS Domain Name System - Open Resolver | Un atacante podría utilizar el servidor DNS Vulnerable a fin de ejecutar ataques a sistemas de información |
| 4 | Freak_SSL | Factoring Attack on RSA Export | Un atacante podría interceptar conexiones HTTPS y posteriormente descifrar su vulnerando la confidencialidad de la información transmitida |
| 5 | ISAKMP | Internet Security Association and Key Management Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema. |
| 6 | LDAP | Lightweight Directory Access Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 7 | Mdns | Multicast Domain Name System | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 8 | NAT_PMP | Network Address Translation Port Mapping Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 9 | NTP_Version | Network Time Protocol Version | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la disponibilidad de la información de dicho sistema |
| 10 | Open_Chargen | Open Character Generator Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la disponibilidad de la información de dicho sistema |
| 11 | Open_DB2 | Relational DataBase Management System | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 12 | Open_IPMI | Intelligent Platform Management Interface | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema |
| 13 | Open_MongoDB | Base de datos MongoDB | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 14 | Open_NTP_monit or | Network Time Protocol Monitor | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 15 | Open_Proxy | Open Proxy Server | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 16 | Open_Redis | Remote Dictionary Server Redis | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad de la información de dicho sistema |
| 17 | Open_SMB | Server Message Block SMB | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 18 | Open_SNMP | Simple Network Management Protocol SNMP | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 19 | Open_SQL_Server _Resl | Microsoft SQL Server Resolution | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 20 | Open_Telnet | Teletype Network | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema |
| 21 | Scan_Elasticsearch | Elastic search | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| # | Vulnerabilidad | Nombre | Descripción del riesgo |
|---|---|---|---|
| 1 | Open_Portmapper | Remote Procedure Call RCP Port mapper | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema |
| 2 | Open_Qotd | Open Quote of the Day QOTD | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la disponibilidad de la información de dicho sistema |
| 3 | Open_SSDP | Open Simple Service Discovery Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 4 | Open_TFTP | Trivial File Transfer Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 5 | XDMCP | X Display Manager Control Protocol | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad del sistema |
Para mayor información: ECUCERT – ARCOTEL dispone de información en su portal web
https://www.arcotel.gob.ec/wp-content/uploads/2018/11/Catalogo_y_priorizacion_vulnerabilidades.pdf
Incidentes
En consideración a lo establecido en los artículos 8 y 9 de la “Norma Técnica para Coordinar la Gestión de Incidentes y Vulnerabilidades que afecten a la Seguridad de las Redes y Servicios de Telecomunicaciones”, el ARCOTEL generó el Catálogo y Priorización de Vulnerabilidades e Incidentes Iniciales donde se definen los tipos de incidentes para abonados y clientes.
Los tipos de incidentes que no han sido definidos en el catálogo, se irán agregando conforme se vayan reportando ya sea por ECUCERT-ARCOTEL o por los abonados y clientes.
| # | Incidente | Descripción | Riesgos |
|---|---|---|---|
| 1 | Fraude IPPBX | La dirección IP detectada hace referencia a una central telefónica IP PBX la cual ha sido comprometida por actores maliciosos | Perjuicio económico a los administradores de la Central Telefónica |
| # | Incidente | Descripción | Riesgos |
|---|---|---|---|
| 2 | Ataque DNS | La dirección IP detectada hace referencia a un host que ha realizado actividad maliciosa contra un sistema DNS | Realización de ataques informáticos utilizando infraestructura ubicada en el territorio ecuatoriano |
| 3 | Blacklisted | La dirección IP detectada hace referencia a un host que ha sido bloqueado internacionalmente debido a actividad maliciosa contra sistemas de información | Bloqueo a infraestructura de comunicaciones de prestadores de servicios de telecomunicaciones |
| 4 | Botnet | La dirección IP detectada hace referencia a un host comprometido y manipulado remotamente por un actor malicioso | Realización de ataques informáticos utilizando infraestructura ubicada en el territorio ecuatoriano |
| 5 | Command and Control | La dirección IP detectada hace referencia a un host / servidor el cual controla a otros sistemas con fines maliciosos | Ejecución de varias técnicas de ataques a sistemas de información. |
| 6 | Compromised Website | La dirección IP detectada hace referencia a un servidor web el cual ha sido comprometido y manipulado por un actor malicioso | Vulneración de la confidencialidad, integridad y disponibilidad de la información contenida en el servidor web |
| 7 | Defacement | La dirección IP detectada hace referencia a un sitio web cuyo contenido fue manipulado por un actor malicioso | Daño a la reputación del propietario de la infraestructura tecnológica. |
| 8 | Phishing | La dirección IP detectada hace referencia a un host/servidor ubicado en el territorio ecuatoriano que almacena un sitio web fraudulento | Engaño a usuarios para obtener información personal |
| 9 | SPAM | La dirección IP detectada hace referencia a un host desde el cual se origina el envió de información no solicitada. | Engaño a usuarios para obtener información personal y ejecución de técnicas de ataque a sistemas de información |
| # | Incidente | Descripción | Riesgos |
|---|---|---|---|
| 10 | Bruteforce | La dirección IP detectada hace referencia a un host el cual ha intentado acceder a un sistema de información de manera no autorizada. | Acceso no autorizado a sistemas y la consecuente vulneración de la confidencialidad, integridad y disponibilidad de la información. |
| 11 | DDoS | La dirección IP detectada hace referencia a un host el cual ha atacado un sistema de información con el objetivo de suspender sus servicios. | Vulneración de disponibilidad de servicios y operación de un sistema de información. |
| 12 | Fast_Flux | La dirección IP detectada hace referencia a un host el cual abusa de un servicio DNS para ejecutar técnicas de ataques a sistemas de información | Ejecución de varias técnicas de ataques a sistemas de información. |
| 13 | Inyección de Código | La dirección IP detectada hace referencia a un host desde el cual se transmite código malicioso hacia sistemas de información | Ejecución de varias técnicas de ataques a sistemas de información. |
| 14 | Malware | La dirección IP detectada hace referencia a un host / server en el cual se ha detectado un tipo específico de malware | Vulneración de la confidencialidad, integridad y disponibilidad de la información contenida en el host / server |
| 15 | Scanners | La dirección IP detectada hace referencia a un host el cual estaría analizando puertos abiertos y cerrados de un sistema de información especifico | Ejecución de varias técnicas de ataques a sistemas de información. |
| 16 | SQL Injection | La dirección IP detectada hace referencia a un host desde el cual se transmite código malicioso hacia sistemas de información. | Ejecución de varias técnicas de ataques a sistemas de información. |
| # | Incidente | Descripción | Riesgos |
|---|---|---|---|
| 17 | Sinkhole | La dirección IP detectada hace referencia a un host que enruta tráfico de su destino original hacia otro lugar con intenciones maliciosas. | Realización de ataques informáticos utilizando infraestructura ubicada en el territorio ecuatoriano. |
Para mayor información: ECUCERT – ARCOTEL dispone de información en su portal web
https://www.arcotel.gob.ec/wp-content/uploads/2018/11/Catalogo_y_priorizacion_vulnerabilidades.pdf
Responsabilidades
De acuerdo a la Norma técnica para coordinar la gestión de incidentes y vulnerabilidades que afecten a la seguridad de las redes y servicios de telecomunicaciones, Artículo 30.- Gestión de Incidentes y vulnerabilidades que involucre las redes de los abonados o clientes, numeral 2:
Para los casos en los que la gestión de incidentes o vulnerabilidades de las redes públicas de telecomunicaciones requiera correctivos por parte del cliente o abonado, el prestador del servicio informará al abonado o cliente acerca del particular, indicándole las medidas técnicas que debe tomar para solucionar el problema. Es obligación del abonado o cliente adoptar las medidas sugeridas por el prestador de servicios, a fin de salvaguardar la integridad de la red y las comunicaciones, sin perjuicio de las responsabilidades de los prestadores.
Artículo 34.- Obligaciones de los abonados o clientes, numeral 1:
Adoptar las medidas sugeridas por el prestador de servicios a fin de salvaguardar la integridad de la red y las comunicaciones.
Reportes
Los clientes del servicio de Internet masivo y corporativo que detecten vulnerabilidades o incidentes de seguridad en el uso de los servicios de telecomunicaciones de la Corporación Nacional de Telecomunicaciones CNT EP, deberán reportarlo a la dirección de correo electrónico abuse@cnt.gob.ec.
Conceptos generales
- Activo de información.- Sistema de información del abonado o cliente.
- Amenaza.- Es un evento que puede desencadenar un incidente que producirá daños en los sistemas de información del cliente.
- Vulnerabilidad.- Se refiere a la debilidad o deficiencia de un sistema de información del cliente que puede ser aprovechado o por una o más amenazas.
- Evento de Seguridad de la Información.- Un evento de seguridad de la información es la ocurrencia identificada de un estado de un sistema, servicio o red, que muestra una posible brecha de política de seguridad de la información, falla de protecciones, o una situación previa desconocida que puede ser relevante para la seguridad.
- Incidente de Seguridad.- Evento o una serie de eventos inesperados o no deseados que tienen una probabilidad significativa de comprometer de forma negativa los sistemas de información del cliente y/o en el proveedor de servicios
- Riesgo de Seguridad de la Información: Grado de exposición de un activo ante una amenaza que al materializarse causaría un impacto negativo en la infraestructura tecnológica del cliente y/o en el proveedor de servicios.
- Gestión de vulnerabilidades.- Proceso proactivo de seguridad que consiste en identificar debilidades en los sistemas de información, con el objetivo de reducirlas antes de que sean causa de un incidente de seguridad.
- Gestión de incidentes.- Procesos para la detección, notificación, evaluación, respuesta, tratamiento y aprendizaje de incidentes, en aplicación de la “Norma técnica para coordinar la gestión de incidentes y vulnerabilidades que afecten a la seguridad de las redes y servicios de telecomunicaciones.”
- Abonados o clientes.- clientes masivos y corporativos de la CNT EP.
Soporte al cliente
¡En CNT queremos brindarte la mejor experiencia! Si tienes alguna consulta o problema por favor usa nuestro centro de soporte. ¡Te atenderemos con mucho gusto!