REPÚBLICA BOLIVARIANA DE VENEZUELA
UNIVERSIDAD PRIVADA DR. RAFAEL BELLOSO CHACÍN VICERRECTORADO DE INVESTIGACIÓN Y POSTGRADO
DECANATO DE INVESTIGACIÓN Y POSTGRADO MAESTRÍA EN TELEMÁTICA
MODELO DE AUDITORIA PARA SERVICIOS TELEMÁTICOS DE LA UNIVERSIDAD SIMÓN BOLÍVAR.
Trabajo presentado como requisito para optar al grado de magíster scientiarum en telemática
AUTOR: ING. NICOLÁS LAGRECA C.I 19.789.562
E-MAIL: [email protected] [email protected]
TUTOR: DR. BERMÚDEZ JOSÉ
C.I.: 5.105.250 E-MAIL: [email protected]
Maracaibo, Enero de 2017
ii
MODELO DE AUDITORIA PARA SERVICIOS TELEMÁTICOS DE LA UNIVERSIDAD SIMÓN BOLÍVAR.
iii
iv
DEDICATORIA
Cada ser humano es único e irrepetible, estoy seguro que con unos padres
diferentes no estaría hoy donde estoy. Este logro se lo dedico a ustedes, no
existen palabras para describir tanto amor. Sandro gracias por enseñarme que
aunque el camino es largo nunca debemos parar. Gracias por no rendirte
conmigo.
v
AGRADECIMIENTO
Nunca es fácil estudiar un postgrado con todas las responsabilidades
diarias que debe cumplir un profesional, aun mas cuando se le suma el tener
que tomar un avión cada viernes y domingo para poder asistir a clases, han
sido dos años muy duros, no es fácil agradecer en tan pocas líneas a tantas
personas que formaron parte de este logro.
- En primer lugar gracias a mis padres por todo el apoyo incondicional.
- Laura gracias por enseñarme el camino y estar allí siempre.
- Sra. Lizbeth y Sr. Rene, por abrirme las puertas de su casa, brindándome
todo el apoyo posible en Maracaibo.
- Sr. Lares por buscarme al aeropuerto sin importar las horas de retraso.
- Marcelina por desviarte de tu camino y llevarme cada viernes a Maiquetía a
tomar mi vuelo.
- Dr. Bermúdez y Dr. Márquez por su orientación como excelentes profesores.
- A toda mi familia por ser un ejemplo día a día en lo que debo ser.
vi
ÍNDICE GENERAL
pág VEREDICTO iii DEDICATORIA iv AGRADECIMIENTO v ÍNDICE GENERAL vi LISTA DE CUADROS x LISTA DE FIGURAS xi RESUMEN xii ABTRACT xiii INTRODUCCIÓN 1 CAPÍTULO I EL PROBLEMA 1. PLANTEAMIENTO DEL PROBLEMA 4 1.1. FORMULACIÓN DEL PROBLEMA 9 2. OBJETIVOS DE LA INVESTIGACIÓN 9 2.1. OBJETIVO GENERAL 9 2.2. OBJETIVO ESPECIFICO 9 3. JUSTIFICACIÓN DE LA INVESTIGACIÓN 10 4. DELIMITACIÓN DE LA INVESTIGACIÓN 11 CAPÍTULO II MARCO TEÓRICO
1. ANTECEDENTES DE LA INVESTIGACIÓN 13 2. BASES TEÓRICAS 25 2.1 AUDITORIA INFORMATICA O ETHICAL HACKING 27 2.1.1 TIPOS DE AUDITORIA 30 2.1.2. AUDITORIA DE CAJA NEGRA 31 2.1.3 AUDITORIA DE CAJA BLANCA 32 2.1.4. AUDITORIA DE CAJA GRIS 32 2.1.5 PRUEBAS DE STRESS 33 2.1.6 AUDITORIA WIRELESS O VOIP 34 2.1.7 FASES DE UN PROCESO DE AUDITORIA 35 2.1.8 RECOLECCIÓN DE INFORMACIÓN 36 2.1.9. ANÁLISIS DE VULNERABILIDADES 37
vii
2.1.10. FASE DE EXPLOTACIÓN 38 2.1.11. TIPOS DE EXPLOITS 40 2.1.12. GENERAR INFORME 38 2.2 POLITICAS DE SEGURIDAD 44 2.3 VULNERABILIDADES INFORMATICAS 45 2.3.1 LAS MÉTRICAS BASE 48 2.3.2 MÉTRICAS TEMPORALES 49 2.3.3 LAS MÉTRICAS DE ENTORNO 49 2.4. AMBIENTES SENSIBLES 50 2.4.1 RIESGO 51 2.4.2 IMPACTO 51 2.5 AMENAZAS A LA SEGURIDAD 52 2.6 ATAQUES INFORMÁTICOS 54 2.6.1. AMENAZAS AVANZADAS PERSISTENTES (APT) 55 2.6.2. FUGA DE INFORMACIÓN 55 2.7 ESTANDARES Y MODELOS. 56 2.7.1 OPEN WIRELESS SECURITY ASSESSMENT METHODOLOGY
(OWISAM)
57 2.7.2 OPEN WEB APPLICATION SECURITY PROJECT (OWASP) 59 2.7.3 OPEN SOURCE SECURITY TESTING METHODOLOGY
MANUAL (OSSTMM) 86
2.7.4 THE PENETRATION TESTING EXECUTION STANDARD (PETS) 95
2.7.5. INFORMATION SYSTEM SECURITY ASSESSMENT FRAMEWORK (ISSAF) 99
2.7.6. NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) 100
3 SISTEMAS DE VARIABLES 100 3.1. DEFINICIÓN CONCEPTUAL 101 3.2 DEFINICIÒN OPERACIONAL 101 3.3 CUADRO DE OPERACIONALIZACIÓN DE LA VARIABLE 102 CAPÍTULO III MARCO METODOLÓGICO
1. TIPO DE INVESTIGACIÓN 103 2. DISEÑO DE LA INVESTIGACIÓN 105 3. UNIDAD DE ANALISIS 107 4. TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE DATOS 107 5. FASES DE LA INVESTIGACIÓN 108
5.1 FASE I: DIAGNOSTICAR LA SITUACIÓN ACTUAL DE LA SEGURIDAD EN SERVICIOS TELEMÁTICOS DE LA UNIVERSIDAD SIMÓN BOLÍVAR.
109
5.2 FASE II: IDENTIFICAR LOS AMBIENTES SENSIBLES EN REDES Y SERVICIOS TELEMÁTICOS, CON EL FIN DE ELEGIR LOS RECURSOS CLAVES CANDIDATOS A INTEGRAR EN EL MODELO DE AUDITORIA.
109
viii
5.3 FASE III: DISEÑAR EL MODELO DE AUDITORIA PARA LOS SERVICIOS DE
LA INFRAESTRUCTURA TELEMÁTICA.
109
CAPITULO IV RESULTADOS DE LA INVESTIGACION 1.1 FASE I: DIAGNOSTICAR LA SITUACIÓN ACTUAL DE LA SEGURIDAD EN
SERVICIOS TELEMÁTICOS DE LA UNIVERSIDAD SIMÓN BOLÍVAR.
111
1.2 FASE II: IDENTIFICAR LOS AMBIENTES SENSIBLES EN REDES Y SERVICIOS TELEMÁTICOS, CON EL FIN DE ELEGIR LOS RECURSOS CLAVES CANDIDATOS A INTEGRAR EN EL MODELO DE AUDITORIA.
118
1.3 FASE III: DISEÑAR EL MODELO DE AUDITORIA PARA LOS SERVICIOS DE LA INFRAESTRUCTURA TELEMÁTICA.
120
CAPITULO V PROPUESTA 1. OBJETIVOS DE LA PROPUESTA 128 1.1 OBJETIVO GENERAL 128 1.2 OBJETIVOS ESPECÍFICOS 128 2. JUSTIFICACIÓN DE LA PROPUESTA 129 3. PRESENTACIÓN DE LA PROPUESTA 130 3.1 AUDITORIA FÍSICA 131 3.1.1 REVISIÓN DE PERÍMETRO 131
3.1.2 REVISIÓN DE MONITOREO 131 3.1.3 EVALUACIÓN DE CONTROLES DE ACCESO 131 3.1.4 REVISIÓN DE RESPUESTA DE ALARMAS 132 3.1.5 REVISIÓN DE UBICACIÓN 133 3.1.6 REVISIÓN DE ENTORNO 133 3.2 AUDITORIA A SERVIDORES Y LABORATORIOS 134 3.2.1 RECOLECCIÓN DE INFORMACIÓN. 135 3.2.1.1 HERRAMIENTAS BÁSICAS 136 3.2.2 ESCANEO Y ENUMERACIÓN. 138 3.2.2.1 HERRAMIENTAS 139 3.2.3 ANÁLISIS DE VULNERABILIDADES. 143 3.2.4 EXPLOTACIÓN 144 3.2.5 POST – EXPLOTACIÓN 145 3.3 AUDITORIA A SERVICIOS WEB 147 3.3.1 PRUEBAS DE GESTIÓN DE CONFIGURACIÓN DE LA
INFRAESTRUCTURA 148 3.3.2 COMPROBACIÓN DEL SISTEMA DE AUTENTICACIÓN 151 3.3.3 PRUEBAS DE AUTORIZACION 154 3.3.4 PRUEBAS DE GESTIÓN DE SESIONES 155 3.3.5 PRUEBAS DE VALIDACIÓN DE DATOS 156 3.3.6 PRUEBAS DE DENEGACIÓN DE SERVICIO 160
ix
3.3.7 COMPROBACIÓN DE SERVICIOS WEB 161 4. AUDITORIA INALAMBRICA 162 4.1 CONTROLES 162 4.2 DESCUBRIMIENTO DE DISPOSITIVOS 163 4.3 FINGERPRINTING 165 4.4 PRUEBAS SOBRE LA AUTENTICACIÓN 166 4.5 CIFRADO DE LAS COMUNICACIONES 167 4.6 CONFIGURACIÓN DE LA PLATAFORMA 168 4.7 PRUEBAS DE INFRAESTRUCTURA 168 4.8 PRUEBAS DE DENEGACIÓN DE SERVICIO 169 4.9 PRUEBAS SOBRE DIRECTIVAS Y NORMATIVA 170 4.10 PRUEBAS SOBRE LOS CLIENTES INALÁMBRICOS 171 4.11 PRUEBAS SOBRE HOSTSPOTS Y PORTALES CAUTIVOS 171 5. FACTIBILIDAD 172 CONCLUSIONES 174 RECOMENDACIONES 175 REFERENCIAS BIBLIOGRÁFICAS 176
x
LISTA DE CUADROS
Cuadro Pág 1 Control de versiones 43 2 Métricas Base 48 3 Métricas Temporales 49 4 Métricas de entorno 50 5 Riesgos Principales 58 6 Fase de Inducción 89 7 Fase de Interacción 90 8 Fase de Indagación 91 9 Fase de Intervención 92
10 Secciones de prueba 93 11 Operacionalización de la Variable 102 12 Matriz de doble impacto 115 13 Brecha 116 14 Valoración de activos 120 15 Matriz de evaluación 122 16 Matriz de calidad 124 17 Análisis final ISSAF 124 18 Análisis a PTES 125 19 Análisis a OWASP 125 20 Análisis de final OSSTM 126 21 Análisis NIST 126 22 Controles 162 23 Descubrimiento de dispositivos 163 24 Fingerprinting 164 25 Pruebas de autenticación 165 26 Cifrado de comunicaciones 166 27 Configuración plataforma 167 28 Pruebas de infraestructura 168 29 Pruebas de denegación 168 30 Pruebas sobre directivas y normativa 169 31 Pruebas sobre los clientes inalámbricos 170 32 Pruebas de hostspots y portales cautivos 171
xi
LISTA DE FIGURAS
Figura Pág 1 Metodología de análisis 59 2 Propósito de OSSTMM 87 3 Diagrama de bloques de la metodología OSSTMM 88 4 Deber ser vs Actual 117 5 Modelo de calidad 123 6 Diagrama de modelo de auditoria a servicios telemáticos 129 7 Fases de auditoria a servidores y laboratorios 134
xii
LAGRECA LIPORACE NICOLÁS ALEJANDRO. Modelo de auditoria para servicios telemáticos de la Universidad Simón Bolívar, Universidad Privada Dr. Rafael Belloso Chacín. Programa de Maestría en Telemática. Maracaibo, 2017.
RESUMEN
La presente investigación tuvo como objetivo general proponer modelo de
auditoria para servicios telemáticos de la universidad simón bolívar. El análisis
de la variable auditoria a servicios telemáticos se sustentó en los criterios
teóricos de Gonzales (2014), entre otros. Desde el punto de vista
metodológico, el estudio se desarrolló como una investigación centrada en el
tipo denominado proyecto factible y de orden descriptivo de campo. La
investigación está constituida por tres (3) fases. Se hace un diagnóstico de
la situación actual de la seguridad en servicios telemáticos de la Universidad
Simón Bolívar. Seguidamente se identifican los ambientes sensibles en
servicios telemáticos con el fin de generar una valoración de activos y se
protagonistas del modelo de auditoria. El estudio para formar el procedimiento
se centró en las metodologías correspondientes para la evaluación de los
servicios telemáticos: OSSTMM Wireless (Open Source Security Testing
Methodology Manual), OWISAM (Open Wireless Security Assessment
Methodology), OWASP (Open Web Application Security Project), NIST
(National institute of standards and technology), ISSAF (Information system
security assessment framework) y PETS (The penetration testing execution
standard). El resultado es un modelo único unificando las diferentes
metodologías, contribuyendo según su especialidad cada metodología
estudiada.
Palabras Claves: Seguridad, Hacking, Auditoria, Penetración.
xiii
NICOLÁS LIPORACE LAGRECA ALEJANDRO. Audit model for telematic services at the Simón Bolívar University, Private Dr. Rafael Belloso Chacín University. Master Program in Telematics. Maracaibo, 2017.
ABSTRACT
This research was to propose overall objective audit model for telematics
services Simon Bolivar University. The analysis of the variable to telematics
services audit was based on theoretical criteria Gonzales (2014), among
others. From the methodological standpoint, the study was developed as a
research focused on the type and feasible project called descriptive field order.
Research consists of three (3) phases. a diagnosis of the current situation of
security in telematics services is Simon Bolivar University. Then sensitive
environments are identified in telematics services in order to generate a
valuation of assets and audit model protagonists. The study to form the
procedure focused on the corresponding free methods for the evaluation of
telematics services: OSSTMM Wireless (Open Source Security Testing
Methodology Manual), OWISAM (Open Wireless Security Assessment
Methodology) and OWASP (Open Web Application Security Project), NIST
(National institute of standards and technology), ISSAF (Information system
security assessment framework) y PETS (The penetration testing execution
standard). The result is a unique model unifying the different methodologies,
each contributing according to their specialty studied methodology.
Keywords: Security, Hacking, Auditing, Penetration.
INTRODUCCIÓN
Hoy en día los sistemas de información son el alma de las organizaciones,
el grado de responsabilidad reposa en los sistemas, datos e información
encaminados al logro de los objetivos internos. Es por esto que los activos de
información han pasado a formar parte de la actividad cotidiana de toda
institución; los equipos almacenan información, procesándose y
transmitiéndose a través de redes y canales de comunicación, abriendo
nuevas posibilidades a los usuarios, pero se deben considerar nuevos
paradigmas en estos modelos tecnológicos, tiendo muy claro que no existen
sistemas cien por ciento seguros, porque el costo de la seguridad total es muy
alto, las organizaciones no están preparadas para hacer este tipo de inversión.
En resumida cuenta se puede aclarar que un ataque informático consiste
en aprovechar alguna debilidad o falla en el software, en el hardware, e incluso,
en las personas que forman parte de un ambiente informático; a fin de obtener
un beneficio, por lo general de índole económico, causando un efecto negativo
en la seguridad del sistema, que luego repercute directamente en los activos
de la organización.
En la mediad que la Universidad Simón Bolívar ha venido desarrollándose
de manera significativa en la última década, hasta convertirse en patrón de
referencia dentro de las instituciones universitarias, no sólo a nivel nacional
sino también en el entorno latinoamericano. Junto con el crecimiento
institucional, lo han hecho también los servicios telemáticos que posee y que
se ofrecen utilizándola como plataforma educativa. Teniendo un amplio
despliegue en su red tecnológica con una variedad importante de servicios y
actores, es muy fácil que se comience a notar las vulnerabilidades, riegos y
2
amenazas que pueden comprometer el ecosistema tecnológico como un
entorno efectivo para el trabajo.
Se tiene la falsa percepción de que la seguridad de la información es una
tarea imposible de aplicar, en realidad, con esfuerzo, el conocimiento
necesario y el apoyo constante de las directivas se puede alcanzar un nivel de
seguridad razonable, capaz de satisfacer las expectativas de seguridad
propias. Para minimizar el impacto negativo provocado por ataques, existen
procedimientos y mejores prácticas que facilitan la lucha contra las actividades
delictivas y reducen notablemente el campo de acción de los ataques.
Comprender cuáles son las debilidades más comunes que pueden ser
aprovechadas y cuáles son sus riesgos asociados, permitirá conocer de qué
manera se ataca un sistema informático ayudando a desplegar de manera
inteligente estrategias de seguridad efectivas.
El capítulo I, corresponde al problema de investigación y abarca el
planteamiento del problema, las interrogantes las cuales reflejan la
formulación, el objetivo tanto general como específico seguidamente se
encuentra la justificación de la indagación culminando el capítulo con la
determinación. El capítulo II, denominado marco teórico donde se reseñan los
antecedentes de investigaciones realizadas sobre el tópico tratado, términos
básicos y las teorías que sustentan el estudio así como la operacionalización
de la variable, en conjunto con su definición conceptual y operacional, junto al
cuadro de las mismas.
El capítulo III, corresponde al marco metodológico, donde se plantea el tipo,
diseño de investigación, la técnica e instrumentos de recolección de datos y
las técnicas de análisis que permitió expresar los resultados del estudio
culminando con los procedimientos realizados en la investigación. El capítulo
IV, se presentan los resultados del diagnóstico expresados en la entrevista no
3
estructurada, la cual permitió efectuar el análisis e interpretación de los datos
obtenidos.
El capítulo V, se expone la propuesta del modelo de auditoria para
servicios telemáticos de la universidad simón bolívar, dándose a conocer sus
objetivos, justificación, plan operativo, tomando como punto de partida el
desarrollo de la investigación en función del diagnóstico efectuado, las
referencias bibliográficas y los anexos que demuestran las evidencias
correspondientes a la elaboración de esta investigación.