Diseño de una metodología para la identificación de vulnerabilidades en los servidores de producción empresarial
Texto completo
(2) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. DEDICATORIA. S. Dedicamos la presente tesis:. paciencia y sabiduría todo es posible.. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. A nuestros padres quienes con su amor,. SI C. A. A Dios por mostrarnos día a día que con humildad,. apoyo y comprensión incondicional estuvieron siempre a lo largo de nuestra vida estudiantil; a ellos que siempre tuvieron una palabra de aliento en los. momentos difíciles y que han sido incentivos de. B. IB. LI O. TE. nuestras vidas.. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 2. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(3) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. AGRADECIMIENTOS Agradecemos en primer lugar a Dios quien nos dio la vida y la ha llenado de bendiciones en todo este. S. tiempo, a él que con su infinito a amor nos ha dado la. universitaria.. SI C. A. sabiduría suficiente para culminar nuestra carrera. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. Queremos expresar nuestro más sincero. agradecimiento, reconocimiento y cariño a nuestros. padres por todo el esfuerzo que hicieron para darnos una profesión y hacer de nosotros personas de bien, gracias por los sacrificios y la paciencia que. demostraron todos estos años; gracias a ustedes hemos llegado a donde estamos.. Gracias a todas aquellas personas que de una u otra. B. IB. LI O. TE. forma nos ayudaron a crecer como personas y como profesionales.. Agradecemos también de manera especial a nuestro asesor de tesis quién con sus conocimientos y apoyo supo guiar el desarrollo de la presente tesis desde el inicio hasta su culminación. “Ahora podemos decir que todo lo que somos es gracias a todos ustedes”. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 3. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(4) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. RESUMEN. En la actualidad las empresas de producción se dedican a la recepción y despacho de productos intangibles a todos los clientes mayoristas y minoristas. Las empresas presentan. S. pérdidas económicas generadas por los ataques y vulnerabilidades a las que son expuestas. A. sus servidores lo cual las lleva a obtener riesgos que es donde se concentra el análisis de la. SI C. tesis, tales como robo de bienes por falta de un estricto control en el acceso de las instalaciones y fraude en inventarios por no registrarse el ingreso y devoluciones de. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. producto en bodega.. El objetivo de nuestro estudio es diseñar una metodología la cual empieza con la prevención de la situación actual de la empresa, análisis que se realiza en las diferentes áreas que conforman la empresa y que están definidos en sus estándares. Posteriormente a este análisis se detectan los principales problemas a corregir los cuales se suscitan mediante una matriz de decisión para la evaluación de los riesgos de la empresa tomando como base la metodología. Se identifica los bienes importantes a proteger y se los prioriza según su importancia relativa considerando el nivel de consecuencia, vulnerabilidad frente a amenazas, vulnerabilidad en la capacidad, características particulares.. En conclusión en nuestro presente trabajo se pretende realizar un diseño de una. TE. metodología que permita la identificación de vulnerabilidad en los servidores en las. LI O. medianas y pequeñas empresas, por motivos planteamos una metodología que facilite al auditor de una manera sencilla y eficaz la identificación vulnerabilidades y obtener un. B. IB. panorama de seguridad rápido del estado actual de la empresa.. Palabras Claves: riesgo, vulnerabilidades, ataques, metodología, identificación, amenazas.. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 4. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(5) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. ABSTRACT At present the production companies are engaged in receiving and dispatching all intangible products wholesale and retail customers. Companies file economic losses generated by the attacks and vulnerabilities that exposed their servers which leads them to. A. S. obtain risk which is where the analysis focuses of the thesis, such as theft of property for. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. and product returns at the winery.. SI C. lack of a strict access control facilities and inventories fraud for failing to register the entry. The aim of our study is to design a methodology which begins with the prevention of the current situation of the company, analysis that realizes in the different areas that they shape the company and that they are defined in his standards. Later to this analysis the principal problems are detected when correct which are provoked by means of a counterfoil of decision for the evaluation of the risks of the company taking the methodology as a base. The important goods are identified to protecting and they are prioritized according to his relative importance considering the level of consequence, vulnerability opposite to threats, vulnerability in the capacity, particular characteristics.. TE. In conclusion in our present work one tries to realize a design of a methodology that allows the identification of vulnerability in the servants in the medians and small enterprises, for. LI O. motives we consider a methodology that facilitates the identification to the auditor of a simple and effective way vulnerabilities and obtaining a rapid panorama of safety of the. B. IB. current condition of the company.. Keywords:risk, vulnerabilities, attacks, methodology, identification, threats.. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 5. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(6) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. INDICE GENERAL DEDICATORIA AGRADECIMIENTO. S. RESUMEN. CAPITULO I: PLANTEAMIENTO DEL ESTUDIO. SI C. A. CONTENIDO. Introducción……………………………………………………………….…11. 1.2. Realidad Problemática…………………………………………………….…13. 1.3. Antecedentes del Proyecto……………………………………………..……15. 1.4. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. 1.1. Justificación…………………………………………………………….……17 1.4.1. Justificación Económica……………………………………………17. 1.4.2. Justificación Científica…………….……………………….………17. 1.5. Delimitaciones del Tema…………………………………………………….18. 1.6. Formulación del Problema………………………………………………..…18. 1.7. Hipótesis…………………………………………………………………..…18 Formulación de Hipótesis…………………………………..………18. TE. 1.7.1. B. IB. LI O. 1.8. Objetivos…………………………………………………….………….……19 1.8.1. General…………………………………………………………..…19. 1.8.2. Específicos…………………………………………………………19. CAPITULO II: MARCO TEORICO 2.1. Tipos De Metodología De Seguridad Informática………………………..…21 2.1.1 Manual De La Metodología Abierta De Comprobación De La Seguridad………………………………………………...…21. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 6. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(7) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 2.1.2 2.2. Escuela Profesional de Informática. Open Web Application Security Project…………….……………..24. Política De Seguridad De La Información - Norma Técnica Peruana……...25 2.2.1 Documento de política de seguridad de la información……………..25 2.2.1. a. Control……………………………………………………..25. S. 2.2.2. b. Guía de implementación………………………………...…25 Revisión y Evaluación……………………………………………...27. SI C. A. 2.2.2. 2.2.2 a.-Control…………………………………………..…27. 2.3. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. 2.2.2 b.-Guía de implementación………………………..…27 Tipos De Ataques Informáticos ……………………………….…………..29. 2.3.1 Denegación de servicio (DoS)………………………….……..……29 2.3.2 Ataques de Denegación de Servicio tipo Ping…………………..…29 2.3.3 Ataques de Denegación de Servicios tipo Email…………………..30. 2.3.4 Ataques de Denegación de Servicios tipo DNS……………...…….30 2.3.5 Ataques de Denegación de Servicios distribuidos………………....31. 2.4. Metodología Existente Itil - Gestión De La Seguridad………………...….32. 2.4.1 Proceso…………………………………………………………...….34 Política de seguridad………………………………………..35. 2.4.1.2. Plan de seguridad…………………………………………...36. 2.4.1.3. Aplicaciones de las medidas de seguridad…………...…….37. 2.4.1.4. Evaluación y mantenimiento…………………………...….38. IB. LI O. TE. 2.4.1.1. B. CAPITULO III: MATERIALESY MÉTODOS 3.1. Materiales……………………………………………………………..……41 3.1.1 Población…………………………………………………………...41 3.1.2 Muestra……………………………………………………………..41. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 7. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(8) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 3.2. Escuela Profesional de Informática. Método……………………………………………………………………..42 3.2.1 Tipo de Estudio………………………………………………….…42 3.2.1.1 De acuerdo al fin que persigue…………………………..…42 3.2.1.2 De acuerdo al diseño de contrastación………….………….42. A. Metodología Para La Identificación De Vulnerabilidades ……………..…..43. CAPITULO IV: RESULTADOS. SI C. 3.3. S. 3.2.2 Diseño de Investigación……………………………………………43. 4.1. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. 4. Metodología Propuesta……………………………………………………………….…46 Prevención De Vulnerabilidades……….……………..……………………48 4.1.1. Determinar el riesgo de los equipos…………………………………48 4.1.1.1. Niveles de riesgo……………………………………………50. 4.1.1.2. Identificación de Amenaza………………………………….52 4.1.1.2. a. Amenazas del entorno (Seguridad Física)……....52 4.1.1.2. b. Amenazas del sistema (Seguridad Lógica)…...…54. 4.1.1.2. c. Amenazas en la red (Comunicaciones)………….55 4.1.1.2. d. Amenazas de personas (Insiders-Outsiders)…….57. B. IB. LI O. TE. 4.1.1.3. Evaluación de Costo…………………………………….…59. 4.2.. 4.1.1.3. a. Costos Derivados de la Pérdida………...…….61 4.1.1.3. b. Punto de Equilibrio………………………......61. 4.1.2. Gestionar sus vulnerabilidades………………………………………62 Identificación de vulnerabilidades………………………………………...64 4.2.1. Planificación…………………………………………………...…….65 4.2.2. Identificación y análisis…………………………………………..…68 4.2.2.1. Identificación de vulnerabilidadesexternas…………………69. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 8. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(9) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. 4.2.2.1. a. Herramientas de identificación de vulnerabilidades externas………………………...70 4.2.2.2. Identificación de vulnerabilidades internas…………………71 4.2.2.2.a. Herramientas de identificación de. S. vulnerabilidades interna………………………….72. SI C. A. 4.2.2.3. Análisis de vulnerabilidades………………………………...73 4.2.3. Gestión…………………………………………………………...….73. 4.3.. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. 4.2.3.1. Búsqueda y Verificación de Vulnerabilidades……………...73 Corrección de vulnerabilidades……………………………………………76 4.3.1. Búsqueda de correctivos………………………………...…………76 4.3.2. Informe final y Presentación De La Información………………….78 4.3.2.1. Registro de Vulnerabilidades……………………….……..78. CAPITULO V: DISCUSIÓNES DE RESULTADOS 5.1.. Discusión De Resultados………………………………………………….80. CAPITULO VI: CONCLUSIONES, RECOMENDACIONES Y TRABAJOS FUTUROS. Conclusiones……………………………………………………………….83. TE. 6.1. LI O. 6.2. 6.3. Recomendaciones…………………………………………………………..84 Trabajos Futuros……………………………………………….…………..84. B. IB. CAPITULO VII: REFERENCIAS 7.1. Referencias Bibliográficas…………………………………..……………..86. 7.2. Referencias Electrónicas………………………………………….………..87. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 9. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(10) Escuela Profesional de Informática. SI C. A. S. Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. CAPITULO I:. PLATEAMIENTO DEL. B. IB. LI O. TE. ESTUDIO. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 10. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(11) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. 1.1 Introducción. Los sistemas de información son esenciales en la mayoría de las organizaciones que cuentan con una tecnología de punta y en constante crecimiento como es el caso en los servidores de producción empresarial, por ello la viabilidad de los proyectos o servicios que están en evolución y desarrollo dependen no solo de las ventajas de la tecnología en. uso,. sino. también de la. S. y. A. características. SI C. disponibilidad, confidencialidad, integridad, escalabilidad y seguridad de sus equipos, servicios, y datos. Ya que la información ha sido desde siempre un bien invaluable y protegerla ha sido una tarea continua y de vital importancia. A medida que se crean. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. nuevas técnicas para la transmisión de la información.. Actualmente, se puede hacer una infinidad de transacciones a través de Internet y para muchas de ellas, es imprescindible que se garantice un nivel adecuado de seguridad. Esto es posible si se siguen ciertas normas que se pueden definir según la necesidad de la empresa.. La seguridad no es solo la aplicación de nuevos programas para protegernos, es más bien un cambio de conducta y de pensar. Hay que adueñarse del concepto de seguridad e incluso volverse algo paranoico para que en cada área y servicio que presta la empresa se piense en seguridad y en cómo incrementarla.. TE. Los intrusos como tal idean formas para acceder a la información sin ser. LI O. autorizados o detectados, los ataques efectuados son por muchos motivos tales como: curiosidad, sabotaje, beneficio, en fin una gran cantidad de circunstancias. B. IB. que llevan a cometer estos ataques. Por ello se necesario estar preparado a la hora de actuar ante los incidentes que pueden sufrir los equipos ya que esto impediría que los servicios que presta los servidores se lleven con total normalidad.. En la presente investigación se darán los pasos necesarios para atender de forma rápida y oportuna cualquier incidente de seguridad y enseñará al equipo de seguridad y auditoría a tomar este tema como uno de los puntos claves para el buen funcionamiento de los equipos. En este momento, la seguridad no es un lujo. Es una necesidad. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 11. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(12) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. La identificación de vulnerabilidades de los servidores de la empresa, son una serie de pasos sin una metodología a seguir, que permite tener una idea del estado de la seguridad informática pero que carece de valides y de resultados aceptados por los administradores, así como del equipo de seguridad y auditoría, por ello se plantea el desarrollo de una metodología hibrida, que en sí es una combinación de varias. A. S. metodologías, proyectos y estándares, que tiene la ambición de llegar a ser un manual. SI C. ó un estándar profesional para el testeo e identificación de vulnerabilidades en cualquier entorno desde el exterior al interior ó viceversa, promoviendo la. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. evolución de la seguridad a niveles más aceptados.. Vale la pena preguntar “¿Es importante tener una metodología estandarizada para la identificación de vulnerabilidades de seguridad?" Pues, es difícil evaluar el resultado de un test de seguridad sin una metodología estandarizada. El resultado de un test se ve afectado por muchas variables que intervienen en el proceso como, la experiencia del testeador o analista, conocimiento de los procesos de tecnología, etc. Por la relación de todas estas variables, es importante definir un proceso de testeo, basado en las mejores prácticas y en un consenso a nivel mundial. Si se puede reducir los prejuicios y las parcialidades en el testeo, se reducirá la incidencia de muchos falsos supuestos y también se evitará resultados mediocres. El limitar y guiar suposiciones, convierte a un buen testeador de seguridad en uno excelente y brinda a los novatos la metodología apropiada para llevar a cabo los testes necesarios en. LI O. TE. las áreas correctas.. Por ello, el objetivo es elaborar una metodología hibrida y que ésta se convierta en un. B. IB. método aceptado para la identificación de vulnerabilidades de cada servidor de la empresa, sin importar su sistema operativo, bases de datos o aplicativos como software, antivirus o aplicaciones web.. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 12. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(13) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. 1.2.Realidad Problemática. En la actualidad la información manejada por una empresa es fundamental e indispensable, pues ésta es sinónimo de poder; poder para controlar los proyectos, los negocios, las tácticas y el mercado de sus productos y es por tanto lo que más preocupa. A. S. a las empresas cuya categoría es la producción empresarial.. SI C. La viabilidad de los proyectos y negocios sustentados en sistemas de información no está determinada por las bondades de la tecnología que se usa, puesto que también el. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. desarrollo de éstas ofrece un nuevo campo de acción a conductas antisociales y delictivas, otorgando la facilidad de cometer delitos tradicionales en formas no tradicionales, atentando contra la confidencialidad, disponibilidad, seguridad de la infraestructura y los datos.. En consecuencia, esto ocasiona un aumento en el grado de vulnerabilidad e incertidumbre sobre la eficacia de los sistemas que guardan y protegen la información, lo cual ha convertido a la seguridad en una preocupación prioritaria para cualquier empresa.. Por tal motivo que se creó el área de Seguridad Informática, área que se encarga de brindar protección en los diferentes sectores de la empresa. Ésta se fundamenta en cinco principios aplican barreras y se elaboran procedimientos que ayuden a proteger. TE. la información; Seguridad Física, la cual aplica defensas físicas y procedimientos de control; Políticas y Estándares, que son los documentos que utiliza una empresa para. LI O. administrar y proteger la información; y finalmente Auditoría de Sistemas, que es la revisión y la evaluación de los controles, sistemas y procedimientos de informática.. B. IB. Asimismo, se deben identificar y mitigar los riesgos a los que se encuentra expuesta la empresa, de tal modo que cada uno de estos frentes identifique, administre y mitigue cada uno de los mismos, basados en las necesidades y requerimientos de la empresa. Sin embargo, a pesar de la identificación de los riesgos y las vulnerabilidades, es recomendable que una empresa esté preparada para superar cualquier eventualidad que interrumpa las actividades habituales, mediante procedimientos tales como la sincronización y fijación del tiempo de equipos y dispositivos, así como el registro de. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 13. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(14) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. las actividades en los mismos; este tipo de procedimientos hacen parte de lo que se conoce como computación forense, área que se encarga de detectar crímenes informáticos aplicando técnicas de recolección, análisis y validación de básicos: confidencialidad, disponibilidad, pruebas digitales, integridad, auditabilidad y no repudio, pero debe tenerse en cuenta que no solo con estos principios se garantiza una seguridad efectiva, ya que la forma en que estos principios tengan efectos en pro de la. A. S. empresa es mediante la implantación de controles o mecanismos de seguridad, basados. SI C. en las políticas generales de la empresa, particularmente en las políticas y procedimientos de seguridad, con lo que se busca minimizar las vulnerabilidades. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. expuestasy aumentar la seguridad de la información.. Con el fin incrementar tal seguridad, se hace necesario realizar un análisis de vulnerabilidades, para identificar aquellas brechas de seguridad que se encuentran expuestas hacia el exterior o el interior de la empresa, así como facilitar la toma de decisiones sobre las formas de proteger sus bienes y los servicios que prestan a la comunidad. De este modo, el estudio de estas vulnerabilidades debe abarcar varios frentes de seguridad, reduciendo al mínimo la efectividad de los ataques que pueden aprovechar las mismas.. Estos frentes son Seguridad Lógica, donde se aplican barreras y se elaboran procedimientos que ayuden a proteger la información; Seguridad Física, la cual aplica defensas físicas y procedimientos de control; Políticas y Estándares, que son los documentos que utiliza una organización para administrar y proteger la información; y. TE. finalmente Auditoría de Sistemas, que es la revisión y la evaluación de los controles,. LI O. sistemas y procedimientos de informática.. Asimismo, se deben identificar y mitigar los riesgos a los que se encuentra expuesta la. IB. empresa, de tal modo que cada uno de estos frentes identifique, administre y mitigue. B. cada uno de los mismos, basados en las necesidades y requerimientos de la empresa. Sin embargo, a pesar de la identificación de los riesgos y las vulnerabilidades, es recomendable que una empresa esté preparada para superar cualquier eventualidad que interrumpa las actividades habituales, mediante procedimientos tales como la sincronización y fijación del tiempo de equipos y dispositivos, así como el registro de las actividades en los mismos; este tipo de procedimientos hacen parte de lo que se. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 14. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(15) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. conoce como computación forense, área que se encarga de detectar crímenes informáticos aplicando técnicas de recolección, análisis y validación de pruebas digitales.. S. Teniendo en cuenta los diferentes aspectos anteriormente mencionados, solo las. temas necesarios; por tal motivo se ha hecho. necesaria la. SI C. contemple todos los. A. empresas con suficiente capital podrían implementar una solución de seguridad que. elaboración de una metodología de seguridad apropiada para las empresas que no. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. poseen estos recursos.. La metodología creada busca satisfacer esta necesidad, con el fin de brindar y mejorar los ambientes de seguridad a un bajo costo, dándole, de esta manera, un enfoque social; cabe aclarar que las personas que hagan uso de esta metodología, tales como administradores de red, profesionales de seguridad informática, etc. deben tener conocimientos básicos de arquitecturas de redes, configuración de sistemas operativos y dispositivos de red, con el fin de no crear malos entendidos respecto a las recomendaciones y los pasos a seguir.. TE. 1.3.Antecedentes del Proyecto. LI O. TESIS. DE. MAESTRÍA. EN. INGENIERÍA. EN. COMPUTACIÓN:. METODOLOGÍA DE IMPLANTACIÓN DE UN SGSI EN UN GRUPO. B. IB. EMPRESARIAL JERÁRQUICO Universidad de la República – Montevideo, Uruguay desarrollado por Ing. Gustavo Pallas Mega, Diciembre del 2009. Es un hecho que los sistemas de gestión y de información están muy arraigados en los procesos productivos, industriales, de servicios, gubernamentales y casi cualquier sector activo de la sociedad. Esta dependencia de los sistemas de información en general, requiere dotar de seguridad a los mismos para preservar Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 15. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(16) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. la calidad de los servicios y velar por la eficacia y eficiencia de los procesos de negocio y el valor de sus activos. Ya no es suficiente con establecer controles en forma aislada ni ad hoc, tampoco es suficiente actuar de modo meramente reactivo y defensivo, se requiere de un sistema de gestión de seguridad de la información (SGSI) y un accionar proactivo. Si consideramos un grupo empresarial, donde dos o más empresas se integran verticalmente, el desafío de. TESIS. DE. METODOLOGIA. PARA. EL. SI C. . A. S. gestionar la seguridad de una manera conveniente es aún mayor [01].. ANALISIS. FORENSE. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. INFORMATICO EN SISTEMA DE REDES Y EQUIPO DE COMPUTO PERSONAL.. Escuela Superior de Ingeniería Mecanica y Electrica, México D.F. por el Ing. Arturo Palacios Ugalde, Octubre 2010 [02].. La definición de seguridad, junto a los niveles existentes de ella toma una orientación teórica, llegando a identificar que es lo que se quiere proteger, junto a qué se entiende por amenazas o ataques.. Después de analizar los métodos de espionajes, se desarrollaron los conceptos de ataques, junto a lo que es la teoría de los agujeros de seguridad. Posterior a estos conceptos, se definió lo que es el dispositivo de protección usado en todas las redes informáticas, Firewall, el cual puede ser configurado de diferentes. LI O. TE. formas y en diferentes plataformas informáticas [02].. . TESIS. SOBRE. AUDITORIA. FORENSE:. METODOLOGÍA,. B. IB. HERRAMIENTAS Y TÉCNICAS APLICADAS EN UN SINIESTRO INFORMÁTICO DE UNA EMPRESA DEL SECTOR COMERCIAL.. Escuela Superior Politecnica Del Litoral. Instituto de Ciencias Matemáticas, Guayaquil – Ecuador,Elaborado por Viviana Marcela Villacís Ruiz, Año 2006 [03]. Las organizaciones modernas que operan o centran gran parte de su actividad en los recursos informáticos y necesitan dotar sus sistemas e infraestructuras Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 16. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(17) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. informáticas de las políticas y medidas de protección más adecuadas que garanticen el continuo desarrollo y operatividad de sus actividades. La auditoría forense informática en su concepto es metódica y se basa en acciones premeditadas para reunir pruebas, analizarlas y emitir un juicio. Para el caso del análisis forense en un siniestro informático, se trata de reunir la. S. mayor cantidad de pruebas e información necesaria en el entorno informático,. A. ese entorno se compone de la computadora y la red a la cual está o no. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. SI C. conectada.. 1.4.Justificación. 1.4.1. Justificación Económica El. proyecto. se. justifica. económicamente. por. que. se hará. un. diseño de una metodología, no siendo necesario comprar ningún tipo de equipo hardware adicional.. Por otro lado la ejecución del proyecto implicara un diseño que se aplicará a la solución de dicha problemática la cual no tendrá que hacer cambios en su presupuesto.. B. IB. LI O. TE. 1.4.2. Justificación Científica. Por medio de la presente investigación pretendemos aportar metodologías y técnicas aplicadas en la identificación de vulnerabilidades en servidores. Motivar a las empresas líderes expuestas a delitos informáticos a conocer los conceptos, normas y metodologías para poder llegar a concluir con los responsables en un siniestro informático. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 17. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(18) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. 1.5.Delimitaciones del Tema. -Nuestro trabajo está limitado al estudio y implementación de las herramientas para la identificación de vulnerabilidades.. A. S. 1.6.Formulación del Problema. SI C. ¿Cómo podemos identificar vulnerabilidades en un servidor de producción. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. empresarial?. 1.7.Hipótesis. Mediante el diseño de una metodología se facilitará la identificación de las vulnerabilidades en los servidores de producción empresarial.. 1.7.1. Formulación de Hipótesis. a) Variables De Estudio. B. IB. LI O. TE. a.1) Variables dependientes. Vulnerabilidades. identificadas. en. los. servidores. de. producción.. a.2) Variables Independiente. Creación de una. metodología que identificará las. vulnerabilidades de un servidor de producción empresarial.. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 18. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(19) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. 1.8.Objetivos. 1.8.1. General. Diseñar una metodología basada en un modelo de ciclo interactivo que se desarrolla en tres fases las cuales permiten identificar las vulnerabilidades en los. 1.8.2. Específicos. SI C. A. S. servidores de producción empresarial.. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. a) Analizar el contexto actual del diseño de una metodología que permita identificar las vulnerabilidades en los servidores de producción empresarial.. b) Ayudar a las empresas con pocos recursos en facilitar una metodología que sea fácil y libre de aplicar por cualquier usuario.. c) Nuestra metodología nos facilitará identificar qué tipos de atacantes y se evaluará los costos de los datos comprometidos en los servidores de producción.. d) Mostrar las diferentes tipos de técnicas y herramientas para la identificación. B. IB. LI O. TE. de vulnerabilidades empleadas por la metodología.. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 19. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(20) Escuela Profesional de Informática. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. SI C. A. S. Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. CAPITULO II:. B. IB. LI O. TE. MARCO TEORICO. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 20. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(21) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. 2.1 Tipos De Metodología De Seguridad Informática. 2.1.1Manual De La Metodología Abierta De Comprobación De La Seguridad (Osstmm, Open Source Security TestingMethodology Manual). S. Es uno de los estándares profesionales más completos y comúnmente. A. utilizados en Auditorías de Seguridad para revisar la Seguridad de los. SI C. Sistemas desde Internet. Incluye un marco de trabajo que describe las fases que habría que realizar para la ejecución de la auditoría. Se ha. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. logrado gracias a un consenso entre más de 150 expertos internacionales sobre el tema, que colaboran entre sí mediante Internet. La participación directa de estos profesionales, que desarrollan su actividad profesional en el sector de la seguridad, en la confección de la metodología le permite incorporar los más recientes cambios y nuevas tendencias en el mundo de la seguridad informática [07].. Para mayor claridad, ISECOM aplica los siguientes términos a los diferentes tipos de sistemas y de testeos de seguridad de redes, basados en. B. IB. LI O. TE. tiempo y costo para el Testeo de Seguridad de Internet. Figura 2.1. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 21. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(22) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 1. Búsqueda. de. Vulnerabilidades:. se. Escuela Profesional de Informática. refiere. generalmente. a. las. comprobaciones automáticas de un sistema o sistemas dentro de una red.. 2. Escaneo de la Seguridad: se refiere en general a las búsquedas de. S. vulnerabilidades que incluyen verificaciones manuales de falsos positivos,. A. identificación de los puntos débiles de la red y análisis profesional. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. SI C. individualizado.. 3. Test de Intrusión: se refiere en general a los proyectos orientados a objetivos en los cuales dicho objetivo es obtener un trofeo, que incluye ganar acceso privilegiado con medios pre-condicionales.. 4. Evaluación de Riesgo: se refiere a los análisis de seguridad a través de entrevistas e investigación de nivel medio que incluye la justificación negocios, las justificaciones legales y las justificaciones específicas de la industria.. TE. 5. Auditoría de Seguridad: hace referencia a la inspección manual con privilegios administrativos del sistema operativo y de los programas de. B. IB. LI O. aplicación del sistema o sistemas dentro de una red oredes.. 6. Hacking Ético: se refiere generalmente a los tests de intrusión en los cuales el objetivo es obtenertrofeos en la red dentro del tiempo predeterminado de duración del proyecto.. 7. Test de Seguridad y su equivalente militar, Evaluación de Postura: es una evaluación de riesgo con orientación de proyecto de los sistemas y redes, a través de la aplicación de análisis profesional mediante escaneos de seguridad donde la intrusión se usa generalmente para confirmar los falsos Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 22. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(23) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. positivos y los falsos negativos dentro del tiempo permitido de duración del proyecto. Para un trabajo metódico y secuencial, describe seis secciones que abarcan el conjunto de los elementos que componen todo sistema actual, ellas son:. 2. Seguridad de los Procesos. 4. Seguridad en las Comunicaciones. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. 5. Seguridad Inalámbrica. SI C. 3. Seguridad en las tecnologías de Internet. A. S. 1. Seguridad de la Información. En cada sección se especifican una serie de módulos a ser evaluados, teniendo en cuenta si aplica o nocada uno de ellos a la infraestructura en cuestión, el resultado de la observación de todos ellos es lo quepermitirá “pintar” el mapa de seguridad.. Otro aspecto que trata con bastante detalle es la Evaluación de riesgo, teniendo en cuenta que dentrode cada módulo se encuentran los valores adecuados (RAVs) para obtener las métricas finales, lo cualcomo se recalcó en este texto es uno de los principios que debe tener en cuenta todo auditor si esconsciente de las necesidades del cliente.. TE. Al final de este manual, se ofrece el formato de todas las plantillas que. B. IB. LI O. pueden ser necesarias durante laauditoría, muchas de las cuales pueden no ser cumplimentadas en virtud de que no apliquen al sistemaen cuestión, pero lo verdaderamente importante es que las que SI apliquen, proporcionan un verdaderoestándar abierto, para que cuando sea necesario repetir cualquier aspecto de este trabajo se posea unaReferencia clara, para que cualquier otra persona pueda evaluar y tomar como punto de partida de unnuevo análisis, el cual si respeta estos formatos será un claro índice de evolución en ese aspecto.. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 23. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(24) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 2.1.2. Escuela Profesional de Informática. OPEN WEB APPLICATION SECURITY PROJECT (OWASP 3.0) Es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. La Fundación OWASP es un organismo sin ánimo de lucro que apoya y gestiona los proyectos e infraestructura de OWASP. La comunidad OWASP está formada por. S. empresas, organizaciones educativas y particulares de todo mundo. Juntos. A. constituyen una comunidad de seguridad informática que trabaja para crear. SI C. artículos, metodologías, documentación, herramientas y tecnologías que se. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. liberan y pueden ser usadas gratuitamente por cualquiera.. OWASP es un nuevo tipo de entidad en el mercado de seguridad informática. Estar libre de presiones corporativas facilita que OWASP proporcione información imparcial, práctica y redituable sobre seguridad de aplicaciones informática. OWASP no está afiliado a ninguna compañía tecnológica, si bien apoya el uso informado de tecnologías de seguridad. OWASP recomienda enfocar la seguridad de aplicaciones informáticas considerando todas sus dimensiones: personas, procesos y tecnologías. Los documentos con más éxito de OWASP incluyen la Guía OWASP y el. ampliamente adoptado documento de autoevaluación OWASP Top 10. Las herramientas OWASP más usadas incluyen el entorno de formación WebGoat, la herramienta de pruebas de penetración WebScarab y las. TE. utilidades de seguridad para entornos .NETOWASP DotNet. OWASP. participantes en las listas de correo del proyecto. OWASP ha organizado la serie de conferencias AppSec para mejorar la construcción de la comunidad de seguridad de aplicaciones web[08].. B. IB. LI O. cuenta con unos 50 capítulos locales por todo el mundo y miles de. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 24. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(25) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. 2.2 Política De Seguridad De La Información - Norma Técnica Peruana (NTPISO/IEC 1779). Dirigir y dar soporte a la gestión de la seguridad de la información en. S. concordancia con los requerimientos del negocio, las leyes y las regulaciones.. A. La gerencia debería establecer de forma clara las líneas de la política de. SI C. actuación y manifestar su apoyo y compromiso a la seguridad de la información, publicando y manteniendo una política de seguridad en toda la organización. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. [09].. 2.2.1.. Documento de política de seguridad de la información. 2.2.1. a. Control. La gerencia debería aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de política de. TE. seguridad de la información.. B. IB. LI O. 2.2.1. b. Guía de implementación. Debería establecer el compromiso de la gerencia y el enfoque de la organización para gestionar la seguridad de la información. El documento. debería. contener. como. mínimo. la. siguiente. información:. a) Una definición de seguridad de la información y sus objetivos globales, el alcance de la seguridad y su Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 25. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(26) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. importancia como mecanismo que permite compartir la información (véase el capítulo de Introducción).. b) El establecimiento del objetivo de la gerencia como. S. soporte de los objetivos y principios de la seguridad de la. SI C. A. información.. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. c) Un marco para colocar los objetivos de control y mandos, incluyendo la estructura de evaluación de riesgo y gestión del riesgo.. d) Una breve explicación de las políticas, principios, normas y requisitos de conformidad más importantes para la organización, por ejemplo:. 1) conformidad con los requisitos legislativos y. 2) requisitos de formación en seguridad. 3) gestión de la continuidad del negocio. 4) consecuencias de las violaciones de la política de seguridad.. B. IB. LI O. TE. contractuales.. e) Una definición de las responsabilidades generales y específicas en materia de gestión de la seguridad de la información, incluida la comunicación de las incidencias de seguridad. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 26. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(27) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. f) Las referencias a documentación que pueda sustentar la política; por ejemplo, políticas y procedimientos mucho más detallados para sistemas de información específicos o. SI C. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. 2.2.2. Revisión y Evaluación. A. S. las reglas de seguridad que los usuarios deberían cumplir.. 2.2.2 a.-Control. La política de seguridad debe ser revisada en intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuación y efectividad.. 2.2.2 b.-Guía de implementación. La política debería tener un propietario que sea responsable del desarrollo, revisión y evaluación de la política de seguridad. La. B. IB. LI O. TE. revisión debe incluir oportunidades de evaluación para mejorar la política de seguridad de información de la organización y un acercamiento a la gestión de seguridad de información en respuesta a los cambios del ambiente organizacional, circunstancias del negocio, condiciones legales o cambios en el ambiente técnico. La revisión de la política de seguridad de información debe tomar en cuenta los resultados de las revisiones de la gestión. Deben existir procedimientos definidos de la gestión de revisión, incluyendo un calendario o periodo de revisión. El input para la revisión de la gestión debe incluir información acerca de:. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 27. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(28) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. a) Retroalimentación sobre terceros interesados. b) Resultados de revisiones independientes. c) Estado sobre acciones preventivas y correctivas.. S. d) Resultados de revisiones de gestión anteriores.. A. e) Desarrollo del proceso y cumplimiento de la política de. SI C. seguridad de información.. f) Cambios que pueden afectar el alcance de la organización. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. para gestionar la seguridad de información, incluyendo cambios al ambiente organizacional, circunstancias del negocio,. disponibilidad. de. recursos,. condiciones. contractuales, regulatorias y legales o cambios en el ambiente técnico.. g) Tendencias relacionadas con amenazas y vulnerabilidades. h) Incidentes reportados de seguridad de información. i) Recomendaciones dadas por autoridades relevantes. El output para la revisión de la gestión debe. B. IB. LI O. TE. incluir información acerca de:. Mejoras en el alcance de la organización para gestionar seguridad. de información y sus. procesos. Mejoras en los objetivos de control y los controles. Mejoras en la asignación de recursos y/o responsabilidades.. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 28. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(29) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. 2.3. Tipos De Ataques Informáticos 2.3.1. Denegación de servicio (DoS) La denegación de servicio, es un término que se asocia a la forma de producir un bloqueo de un servicio determinado que utiliza un usuario. S. válido, tanto en una red privada, como en la red global. Es así como se. A. establece una forma de evitar que terceras personas puedan tener acceso a. SI C. sitios o lugares que no están permitidos. Estos bloqueos pueden ser simplemente la limitación de acceso a una página Web. Las. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. denegaciones, pueden ser realizadas por personas asignadas para tal hecho dentro de una red, por personas que no tienen en conocimiento el uso de una buena distribución del ancho de banda y así tener un mejor rendimiento, esto se ve reflejado cuando descargan archivos. Y también existe la posibilidad de que pueda ser hecha por personas ajenas a la red. Es de esta forma que se comienza a ver cómo afectarían las denegaciones de servicios a una red y sus equipos, provocando varios problemas [URL 01].. 2.3.2.. Ataques de Denegación de Servicio tipo Ping. Este tipo de ataques, plantea que al igual que el método anterior, la. TE. manera en que se pueden manipular los fragmentos de los datagramas. B. IB. LI O. IP. El proceso se logra al obtener como referencia la máxima longitud que puede tener un datagrama IP, esta longitud es de 65535 Bytes, la que incluye la cabecera IP (20 Bytes) y la cabecera ICMP (8 Bytes), por lo tanto, la cantidad Bytes disponibles para datos del tipo ICMP seria de 65507 Bytes . Con estos datos y el uso del comando Ping, se establecen las nuevas condiciones y modificaciones para que el paquete de 65535 Bytes pueda tener un tamaño mayor por medio de la Fragmentación. De esta forma en el proceso de Fragmentación, se producirán desigualdades que llevarán a un atochamiento y lentitud de la red [URL 02].. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 29. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(30) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. 2.3.3. Ataques de Denegación de Servicios tipo Email En este tipo de ataque, se procede a enviar muchos mensajes idénticos a una o varias direcciones de Host. El efecto en el objetivo, es un alto uso del ancho de banda y menos espacio de disco. Cuando envías muchos mensajes a una dirección inexistente del Host desde otra inexistente, el. SI C. A. Por más odioso que se vea este ataque, es bastante efectivo.. S. mensaje crecerá debido a las cabeceras. Irá de un lado a otro creciendo.. Ejemplo: Envía un mail de 100KBytes a [email protected]. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. desde una dirección que no exista como [email protected] Cuando el mensaje llegue a host.atacado.com , como no existe la dirección, no regresará el mensaje a [email protected] y como ésta dirección tampoco existe, regresará ahora como un mensaje de 300k y así sucesivamente si se decide hacer con más cuentas de Email.. 2.3.4 Ataques de Denegación de Servicios tipo DNS. El ataque DNS saca partido de las diferencias de tamaño entre una solicitud DNS y su respuesta, haciendo que todo el ancho de banda de la red esté atascado por falsas respuestas DNS. El atacante, utiliza. B. IB. LI O. TE. los servidores DNS como amplificadores, para multiplicar el tráfico DNS. El atacante comienza enviando pequeñas solicitudes DNS, que contienen la dirección IP manipulada de la víctima, a cada servidor DNS. Las respuestas devueltas a las pequeñas peticiones son mucho mayores que si se devolvieran muchas respuestas al mismo tiempo, congestionándose el vínculo y produciéndose la negación de servicio. Una de las soluciones para este problema, es que los administradores configuren los servidores DNS para responder con una respuesta de rechazo, que tiene un tamaño mucho menor que una respuesta de resolución de nombre, cuando reciben las solicitudes DNS de fuentes sospechosas o inesperadas[URL 03].. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 30. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(31) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. 2.3.5 Ataques de Denegación de Servicios distribuidos Este tipo de ataques se establece cuando varios equipos cooperan entre ellos para atacar a un equipo determinado, causándole una denegación de servicio . El flujo de mensajes de entrada que padece el equipo atacado, le dejará sin recursos y será incapaz de ofrecer sus servicios a. A. S. usuarios legítimos.. SI C. Ahora se señalarán los 2 principales tipos de ataques distribuidos:. Trinoo: El objetivo de Trinoo es poder acceder a un equipo. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. determinado en conjunto con otros equipos, permitiendo detectar las vulnerabilidades de los servicios en los sistemas y crear listas de vulnerabilidades. Posteriormente a ello, se introducirán Softwares espías que permitan tener en conocimiento a los atacantes y crear una red espía, que irá creciendo e identificando vulnerabilidades en la red asociada a la máquina afectada.. La relación que se da en este proceso, es una relación atacante - maestro - peones - usuarios, donde el atacante es el que controla a varios maestros, el maestro a varios peones y los peones son los que reciben la orden y producen finalmente el ataque a los usuarios. Estos ataques estarán basados en las vulnerabilidades de los puertos TCP y UDP de. TE. una forma más generalizada. Mediante estos inconvenientes, la consola. B. IB. LI O. de administración de la máquina afectada queda abierta para el acceso de los peones y lo que producirá finalmente el atochamiento y colapso del ancho de banda y de los servicios que esa máquina desee obtener. TribeFloodNetwork : El TribeFlood Network procede de la misma. forma que Trinoo, pero con ciertas mejoras en la ejecución, ya que sumado a la detección masiva de vulnerabilidades en los puertos TCP y UDP, se suman las vulnerabilidades existentes con el ICMP . De esta forma, los peones ejecutan las órdenes dadas, estableciendo peticiones de conexión de tipo ICMP y TCP produciendo un gran número de solicitudes de conexión de servicios que estancarán el sistema, y los servicios no podrán ser brindados. También pueden generarse. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 31. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(32) Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Escuela Profesional de Informática. modificaciones en la Fragmentación (longitud de datos y cabecera) y posterior colapso de los datagramas IP, ya que no habrá concordancia entro los datos enviados y los datos recibidos.. SI C. A. Los principales objetivos de la Gestión de la Seguridad se resumen en:. S. 2.4 METODOLOGÍA EXISTENTE ITIL - GESTIÓN DE LA SEGURIDAD. Diseñar una política de seguridad, en colaboración con clientes y proveedores. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. correctamente alineada con las necesidades del negocio.. Asegurar el cumplimiento de los estándares de seguridad acordados. Minimizar los riesgos de seguridad que amenacen la continuidad del servicio.. La correcta Gestión de la Seguridad no es responsabilidad (exclusiva) de "expertos en seguridad" que desconocen los otros procesos de negocio. Si caemos en la tentación de establecer la seguridad como una prioridad en sí misma limitaremos las oportunidades de negocio que nos ofrece el flujo de información entre los diferentes agentes implicados y la apertura de nuevas redes y canales de comunicación. La Gestión de la Seguridad debe conocer en profundidad el negocio y los servicios que presta la organización TI para establecer protocolos de seguridad que aseguren. TE. que la información esté accesible cuando se necesita por aquellos que tengan. B. IB. LI O. autorización para utilizarla [URL 09].. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 32. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(33) Escuela Profesional de Informática. C Y A M DE A TE C I M EN Á C TI IA C S A S FÍ. SI C. A. S. Universidad Nacional de Trujillo Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Figura 2.4 Gestión de Seguridad. TE. Los principales beneficios de una correcta Gestión de la Seguridad:. B. IB. LI O. . Se evitan interrupciones del servicio causadas por virus, ataques informáticos, etc.. . Se minimiza el número de incidentes.. . Se tiene acceso a la información cuando se necesita y se preserva la integridad de los datos.. . Se preserva la confidencialidad de los datos y la privacidad de clientes y usuarios.. . Se cumplen los reglamentos sobre protección de datos.. Diseñode una metodología para la identificación de vulnerabilidades en los servidores de producciónempresarial.. Página 33. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
Documento similar
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajo la misma licencia 2.5 Perú.. ii
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajo la misma licencia 2.5
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajo la misma licencia 2.5
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comecial-Compartir bajo la misma licencia 2.5 Perú. Para ver una copia de dicha licencia,
Esta obra ha sido publicada bajo la licencia Creative Commons. Compartir bajo la misma licencia versión Internacional. Para ver una copia de dicha licencia,
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajo la misma licencia 2.5 Perú.. Esta obra ha sido publicada bajo la
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajo la misma licencia 2.5 Perú. Para ver una copia de dicha licencia,
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajo la misma licencia 2.5 Perú.. INDICE