Computing">
Open Vas
Open Vas
Open Vas
SEDE QUITO
CARRERA
INGENIERÍA DE SISTEMAS
TEMA:
ANÁLISIS, DISEÑO, DESARROLLO E IMPLEMENTACIÓN DE POLÍTICAS Y
PROCEDIMIENTOS PARA LA GESTIÓN DE LOS SERVIDORES. CASO DE
ESTUDIO: CENTRO DE INVESTIGACIÓN IDE-IA-GEOCA.
AUTORES:
DARWIN RAMIRO JIMÉNEZ ERAZO
MARCELO PAÚL OSORIO DUQUE
TUTOR:
RODRIGO EFRAÍN TUFIÑO CÁRDENAS
condición de autores nos reservamos los derechos morales de la obra antes citada. En
concordancia, suscribo este documento en el momento que hago entrega del trabajo
Salesiana.
1720470499 1715274492
Yo, declaro que bajo mi dirección y asesoría fue desarrollado el trabajo de titulación
Ramiro Jiménez Erazo y Marcelo Paúl Osorio Duque, obteniendo un producto que
cumple con todos los requisitos estipulados por la Universidad Politécnica Salesiana
INTRODUCCIÓN ....................................................................................................... 1
CAPÍTULO 1 ............................................................................................................... 5
1.3.3 Pentesting................................................................................................. 11
Tipos de vulnerabilidades...................................................................................... 16
CAPÍTULO 2 ......................................................................................................... 25
CAPÍTULO 3 ......................................................................................................... 56
CAPITULO 4 ......................................................................................................... 64
RESULTADOS ...................................................................................................... 64
3.1 Reglas de NAT (Network Address Translation) ......................................... 64
3.4.2 Responsables............................................................................................ 78
3.4.9 Políticas.................................................................................................... 82
CONCLUSIONES ................................................................................................. 92
RECOMENDACIONES ........................................................................................ 94
REFERENCIAS .................................................................................................... 96
ÍNDICE DE FIGURAS
defining a scheme basis for the implementation of security policies for the IDE-IA-
GEOCA..research..center.
INTRODUCCIÓN
Antecedente
existen varios factores que deben ser cubiertos, se centra en mantener la integridad de
tradicionales de seguridad se quedan varios pasos detrás de los nuevos tipos de ataque
y riesgos inmersos en las redes informáticas, mucho más si esta incluyen sistemas
interconectados al mundo por internet, existen amenazas directas que ponen en riesgo
toda la organización, si existe un hueco de seguridad tan solo en uno de sus equipos,
firewalls, Anti-DoS, Ips entre otros elementos de mitigación generan una capa de
seguridad como antivirus, host dlp, proxys y otros para control de cada PC y servidores
gente que usa y administra los ordenadores.” (Wilding, 2006), es justamente lo que las
organizaciones deben tener claro, que existen varios niveles de amenazas, Mitnik en
el Campus Party de Octubre del 2011 en Ecuador, le realizaron una pregunta: Que
sistema es el más seguro? y el respondió “El sistema más seguro es el que esta
1
desconectado de la toma eléctrica y sin información almacenada en su hardware”
(Mitnik, 2011)
digital es incalculable.
“Los ataques de ciber-espionaje serán cada vez más frecuentes. Los delincuentes
(IntelSecurity, 2014).
entregar el acceso al equipamiento a los tesistas que han desarrollado sus proyectos
sobre los servidores disponibles de producción del grupo, todos los proyectos que han
2
generar el respectivo análisis de la misma para determinar fallos y poder sugerir los
correctivos e implementar una capa perimetral de protección, que logre mitigar las
proyectos, ni se dispone de una política de seguridad para que cada proyecto nuevo
3
Objetivos del proyecto
Objetivo general.
Objetivos específicos.
en la infraestructura.
IDE-GEOCA
4
CAPÍTULO 1
1.1.1 OSSTMM
colaborativa realizada por ISECOM “Institute for Security and Open Methodologies”,
5
“La metodología fluye desde el proceso inicial “Entrada” hasta completar el modulo
de verificación de y sobre los datos recolectados. El flujo también determina los puntos
Se refiere a la información privada y pública que puede ser divulgada por cualquier
• Revisión de Privacidad
• Recolección de Documentos
Los procesos implantados en una organización son el medio por el cual se pude llegar
• Testeo de Solicitud
6
1.1.4 Seguridad en las tecnologías de internet y comunicaciones.
Se analiza toda la información disponible a través del internet como buscadores, blogs,
• Logística y Controles
• Sondeo de Red
• Revisión de Privacidad
• Obtención de Documentos
• Enrutamiento
• Descifrado de Contraseña
7
Parámetros de convergencia
“Una política de seguridad puede ser simplemente un uso aceptable de los recursos
de red o puede ser cientos de páginas que indique cada uno de los elementos
formal de reglas para las personas que requieren acceso a la red en una organización
8
Crea una línea base de la seguridad actual
Según se define en el libro Network Security Fundamentals (Cisco, 2005, pág. 81)
Para Definir un Hacker ético, se debe empezar definiendo el termino hacker, un hacker
débiles que tenga posibles vulnerabilidades, que puedan ser explotadas, definiendo
esto podemos definir el termino hacking, que es la acción que realiza el hacker al
actividad que se realiza apegándose a las normas y leyes aplicables, para realizar el
a esta actividad.
El hacker ético debe tener habilidades de ingeniería social, programación, ingenio, etc.
9
En la actualidad varias empresas que requieren seguridad en sus procesos contratan
herramientas, que permiten valorar los puntos vulnerables a ataques informáticos, con
que con esta información la organización sea capaz de mitigar las amenazas reportadas
en el mismo, de darse el caso la empresa o experto que auditó puede cubrir los servicios
penetración, o pruebas de pen test que son efectuadas con el consentimiento del titular
Hoy en día las amenazas son más sofisticadas y con las mismas
10
RSA: En marzo de 2011, RSA Security, EMC Corporation fue
cero de Adobe Flash Player, que mediante una puerta trasera permite el
información sensible.
1.3.3 Pentesting
vulnerabilidades de seguridad.
corporativa.
ISO27001)
11
• Existen varios tipos de análisis diferentes, por esto se vuelve importante
graves.
• Cada una de ellas puede aportar diferente visión de las amenazas, por es
a través de ellas se logra una visibilidad global del nivel de exposición de los sistemas
12
1.4.1 OpenVas
OpenVAS utiliza distintos protocolos para crear solicitudes que permiten establecer
internet.
1.4.1.1 Características
fijados.
distintas evaluaciones.
13
1.4.1.2 Arquitectura
Arquitectura OpenVas
14
1.4.1.4 Vulnerabilidades y amenazas
punto débil.
versión.
desarrollo u organización.
15
• Vector de ataque. Es el envío de información especialmente
vulnerabilidades.
Tipos de vulnerabilidades.
que está expuesta a internet, algunas de ellas están presentes en los informes de
mensajes entre dos partes sin que ninguna de ellas conozca que el enlace
• Negación de servicio.
sistema o red para evitar que los servicios y recursos puedan ser
16
• SQL injection.
usuario como parte de una consulta SQL. Una inyección SQL sucede
cuando se inserta código SQL invasor dentro de otro código SQL para
491).
• Spoofing.
17
1.4.2 Gestión de vulnerabilidades.
todos los parámetros definidos de las vulnerabilidades con los estándares CVE, CVSS,
NVT.
El CVE proporciona una base de datos que contiene nombres estandarizados para las
18
1.4.4 CVSS (Common Vulnerability Scoring System)
10, donde se considera baja si la puntuación obtenida esta entre 0.0 y 3.9, medio si se
ubica entre 4.0 y 6.9 y alto cuando el puntaje cae dentro del rango 7.0 y 10.0.
19
1.4.4.1 Impacto
con éxito en unos de los componentes (hardware, software), los indicadores de impacto
ataque con éxito. Es decir, las métricas de impacto deben reflejar el impacto de la CIA
20
impacto de la disponibilidad de un componente afectado, también se define en
componente impactado
media, baja. Esta métrica valor aumenta con el impacto del componente
de modificación.
21
Ninguno (None) No hay ningún impacto a la disponibilidad dentro del
componente impactado
1.4.4.2 Explotabilidad
22
Acceso complejo. Mide la complejidad del ataque requerido para explotar la
BaseScore = round_to_1_decimal(((0.6*Impact)+(0.4*Exploitability)-
1.5)*f(Impact))
23
Las funciones mencionadas nos proporcionan la información cuantificada en el
análisis realizado por Openvas, este software permite facilitar la tarea de cuantificar
cada uno de los valores entregando los resultados listos para su uso mediante el
estándar CVSS.
1.5 Organizaciones
24
RED CEDIA es parte de Red CLARA que es la Cooperación
de seguridad informáticos
CAPÍTULO 2
MARCO METODOLÓGICO
2.1 Análisis
25
2.2 Proceso inicial
cada servidor esta publicado directamente con la ip publica en la interfaz Wan del
equipamiento, sin contar con ACLs de restricción de tráfico, con este preámbulo se
Para este fin se dispone de los siguientes recursos contratados temporalmente, mientras
Hardware:
1 Servidor HP DL380G8
48 GB de RAM
2TB de disco
26
Para el tema de implementación de software de escaneo de vulnerabilidades, se defino
que debe realizarse con software libre, cumpliendo con una de las políticas
para aprovechar los recursos del servidor como Vmware, marca reconocida en el
test ejecuta sin problemas y para el análisis usamos la herramienta OpenVas por su
trayectoria de desarrollo desde el año 2008 en sus inicios conocida como Nessus y
usamos como sistema operativo base Kali Linux por su trayectoria como suite de
suite Kali y Vmware Workstation Trial, para replicar el escenario externo al interno
de Centro de investigación.
Software:
Kali Linux
OpenVas
Nmap
VMWare Workstation
Para el análisis usamos la infraestructura del ISP TEUNO, quien nos provee el
datacenter housing del servidor y su acceso internet de 80 megas tanto de subida como
bajada.
27
2.2.2 Implementación
web oficial:
http://cdimage.kali.org/kali-2016.1/kali-linux-2016.1-amd64.iso
plataforma de VMware.
2.2.2.2 OpenVas
Comandos de instalación:
28
root@testide:~# apt-get update
root@testide:~# openvas-setup
/var/lib/openvas/private/CA created
/var/lib/openvas/CA created
Salida donde indica que las bases de datos de openvas ha sido actualizada y se genera
NVT Feed'.
'http://www.openvas.org/openvas-nvt-feed
...
...
5f9f055b7c88'.
Una vez implementado validamos si los servicios de manager, scanner y GSAD estén
29
root@testide:~# netstat -antp
PID/Program name
Inicio de servicios:
root@testide:~# openvas-start
2.2.2.3 Zenmap
frontend" o el comando sudo apt-get install Zenmap para otros sistemas Linux, en
30
Figura 5. NMAP
Elaborado por: Darwin Jiménez y Marcelo Osorio
estudio.
Postgres 9.0
Tomcat
Mysql
VNC
SSH
FTP
31
Este servidor actúa como Servidor Web y sirve de repositorio a los proyectos de
ide.ups.edu.ec.
32
Figura 6. Servicios ide.ups.edu.ec 190.15.136.3
Elaborado por: Darwin Jiménez y Marcelo Osorio
Jboss
Mysql
Postgress
VNC
SMTP
33
Diagrama de servicios 190.15.136.4
34
Figura 7. Servicios Ide3.ups.edu.ec
Elaborado por: Darwin Jiménez y Marcelo Osorio
35
Tomcat http – https
Mysql
GlassPhish
VNC
Postgress
36
Diagrama de servicios 190.15.136.10
37
2.4 Análisis y mitigación de vulnerabilidades.
resumen de resultados.
siguientes características:
Educación/
Tipo de organización: País: Ecuador
investigación
IDE1, IDE3 y
Servidores analizados: Redes analizadas: WAN - LAN
IDE5
OpenVas /kali
Herramienta de análisis: Modo análisis: Reporte WAN - LAN
Linux
38
La infraestructura comprende el análisis WAN y LAN en base a la Figura 9:
Positivos
Ide.ups.edu.ec 190.15.136.3 1 3 1 29 0
Ide3.ups.edu.ec 190.15.136.4 6 7 2 59 0
Localhost.localdomain 190.15.136.10 3 9 1 43 0
Total: 3 10 19 4 131 0
39
En la siguiente tabla se presentan un informe cualitativo del riesgo de las
Positivos
Ide.ups.edu.ec 172.17.128.193 2 6 2 43 0
Ide3.ups.edu.ec 172.17.128.196 1 3 1 29 0
Localhost.localdomain 172.17.128.197 3 7 1 43 0
Total: 3 6 18 4 115 0
riesgo los cuales, en la tabla 4 se hace referencia a información general del servidor el
40
Tabla 4. Características técnicas ide.ups.edu.ec
Características técnicas
Hostname IDE.UPS.EDU.EC Virtualizador VMware
Sistema Operativo Centos Plus 64 bits Interfaces de red Eth0 y Eth1
Versión 5.9 IP Eth0 190.15.136.3
Kernel 2.6.18-348.3.1.EL5 IP Eth1 172.17.128.193
Procesador Intel Xeon X5650 UpTime 179 días
Core Dual
RAM 5 GB
Disco Duro 250 GB
Nota. Describe las características de la arquitectura de IDE-IA-GEOCA
Elaborado por: Darwin Jiménez y Marcelo Osorio
Luego del análisis sobre la red WAN del servidor 190.15.136.3, se puede observar que
nivel de riesgo, clasificado dentro del impacto como Alto (rojo), Medio (naranja), Bajo
(amarillo).
41
MySQL Exploit Mysql_db – Las IPs 173.254.230.5, 101.36.82.176, 122.226.102.9,
Analysis log 173.254.230.5, 198.55.106.137 y 173.254.230.5 realizan
Mysql Jul-2015 conexiones de testeo al puerto 3306 de MySQL.
Gerente/tcp TCP timestamps El host remoto implementa marcas de tiempo TCP y por
* Referencia CVSS:2,6 lo tanto permite calcular el tiempo de actividad del
a todos los servidor.
puertos en
TCP.
42
2.4.1.2 Impacto servidor ide3.ups.edu.ec - 190.15.136.4
riesgo los cuales, en la tabla 6 se hace referencia a información general del servidor el
Luego del análisis sobre la red WAN del servidor 190.15.136.4, se puede observar que
nivel de riesgo, clasificado dentro del impacto como Alto (rojo), Medio (naranja), Bajo
(amarillo).
6002 /tcp X Server CVSS:10 Atacante puede enviar datos basura y ralentizar su sesión
“X” o incluso colgar el servidor.
43
Provee información de que usuario instalo el php, ip
host, directorio root, versión de web server y del sistema
operativo Linux.
443/tcp Check for SSL Weak Un atacante podría ser capaz de utilizar las fallas
Ciphers CVSS:4,3 criptográficas conocidas para espiar la conexión entre
los clientes y el servicio.
Deprecated SSLv2 and
SSLv3 Protocol
Detection Poodle SSL
CVSS:4,3
25/tcp Check if Mail server El servidor de correo electrónico responde a VRFY y
answer to VRFY and EXPN, donde responde información de la cuenta.
EXPN requests
CVSS:4,3
8081/tcp Apache Tomcat Un atacante puede determinar la versión exacta del
servlet/JSP container Apache Tomcat y explotar sus vulnerabilidades.
default files
CVSS:6,8
9990/tcp Infinite HTTP request El servidor web acepta peticiones ilimitadas. Puede ser
CVSS:5 vulnerable al ataque WWW solicitud infinita, saturando
la memorita y matando al servidor.
44
Vulnerabilidades BAJAS – WAN – ide3.ups.edu.ec
Puerto Vulnerabilidad Efecto
8181/tcp Fingerprint web server El servidor web remoto contiene una imagen gráfica que
with favicon.ico es propenso a la divulgación de información.
CVSS:2,1
General/tcp TCP timestamps El host remoto implementa marcas de tiempo TCP y por
CVSS:2,6 lo tanto permite calcular el tiempo de actividad del
servidor.
Vulnerabilidades BAJAS – LAN – ide3.ups.edu.ec
El host remoto implementa marcas de tiempo TCP y por
TCP timestamps
443/tcp lo tanto permite calcular el tiempo de actividad del
CVSS:2,6
servidor.
Nota: Descripción del impacto de las vulnerabilidades y ataques al servidor ide3.ups.edu.ec
riesgo los cuales, en la tabla 8 se hace referencia a información general del servidor el
45
Luego del análisis sobre la red WAN del servidor 190.15.136.4, se puede observar que
nivel de riesgo, clasificado dentro del impacto como Alto (rojo), Medio (naranja), Bajo
(amarillo).
Oracle
GlassFish/System
Application Server
8181/tcp Permite al atacante causar la DOS (denegación del servicio)
Web Container DOS
Vulnerability
CVSS: 7,8
Brute force attack Se realiza ataque de fuerza bruta con las IPs 43.229.53.40 y
(PAM 2 43.255.189.85 al usuario Root del sistema operativo.
SSH2 authientication) -
Analysis LOG secure
Jul-2015
46
Oracle GlassFish El atacante puede ingresar código arbitrario en el HTML y
Server Multiple XSS Script
and CSRF
Vulnerabilities.
CVSS:6,8 El atacante puede ejecutar sobre el browser.
Oracle GlassFish
Server Expression
Evaluation Security
Bypass Vulnerability. El certificado SSL en el servicio remoto expiró el 2014-12-
CVSS:6,4 13
SSL Certification
8181/tcp
Expired El atarante puede utilizar el HTTP Post y generar la
CVSS:5 denegación del servicio,
El certificado SSL en el servicio remoto expiró el
Oracle GlassFish 13/12/2014
Server Hash Collision
Denial of Service
Vulnerability
CVSS:5
Oracle GlassFish
Server Multiple
Unspecified
Vulnerabilities
CVSS:5
Cifrados débiles que ofrece del servicio SSL3 y TLS1. Un
Check for SSL Weak atacante podría ser capaz de utilizar las fallas criptográficas
Ciphers conocidas para espiar la conexión entre los clientes y el
CVSS:4,3 servicio para tener acceso a los datos confidenciales
transferidos dentro de la conexión segura.
Deprecated SSLv2 and
SSLv3 Protocol El atacante puede usar el fallo de seguridad y acceder a
Detection datos sensibles.
443/tcp CVSS: 4,3
Permite a un atacante acceder como hombre de medio y
acceder al flujo de datos.
POODLE SSLv3
Protocol CBC ciphers
Information Disclosure
Vulnerability
CVSS:4,3
Check for SSL Weak Cifrados débiles que ofrece del servicio SSL3 y TLS1. Un
Ciphers atacante podría ser capaz de utilizar las fallas criptográficas
CVSS:4,3 conocidas para espiar la conexión entre los clientes y el
servicio para tener acceso a los datos confidenciales
3820/tcp transferidos dentro de la conexión segura.
47
Oracle GlassFish
Server Multiple XSS
El atacante puede insertar código arbitrario HTML y Script.
8181/tcp and CSRF
Afectando al sitio web
Vulnerabilities
CVSS:6,8
SSH Protocol Versions Se detecta el tipo y la versión del servidor SSH mediante la
Supported conexión con el servidor y el procesamiento de la memoria
22/tcp
CVSS:2 intermedia recibida. Esta información da a los atacantes
potenciales
FTP Banner Detection Se detecta la Bandera Servidor FTP: 220 Bienvenido al
21/tcp
CVSS:2 servidor Centos de Patsy Prieto
General/tcp El host remoto implementa marcas de tiempo TCP y por lo
* Referencia a tanto permite calcular el tiempo de actividad.
todos los puertos TCP timestamps
en TCP. CVSS:2,6 Un efecto secundario de esta característica es que el tiempo
de funcionamiento de la máquina remota a veces puede ser
calculado.
Vulnerabilidad BAJA – localhost.localdomain – LAN
General/tcp
* Referencia a
todos los puertos TCP timestamps El host remoto implementa marcas de tiempo TCP, por lo
en TCP. CVSS:2,6 tanto, permite calcular el tiempo de actividad del servidor.
48
2.4.2 Mitigación de vulnerabilidades de los segmentos WAN y LAN
49
Vulnerabilidades BAJA – ide.ups.edu.ec – WAN
Puerto Vulnerabilidad Solución
General/tcp TCP timestamps Desactivar las marcas de tiempo TCP en Linux agregar la
línea 'net.ipv4.tcp_timestamps = 0 ' a /etc/sysctl.conf.
22/tcp SSH Aplicar el filtrado para no permitir el acceso a este puerto
desde hosts no confiables
21/tcp FTP Banner Detection Cambiar el número de puerto, deshabilitar accesos
anónimos y generar contraseñas complicadas de vulnerar.
6002 /tcp X Server Recomienda filtrar las conexiones entrantes entre el rango
6000-6009. CVE-1999-0526.
80/tcp Php-cgi-based PHP está recomendando que los usuarios actualicen a la
última versión de PHP.
Phpinfo() Eliminar o limitar el acceso archivo phpinfo. CVE-2012-
1823 /2311/2336/2335.
443/tcp Php-cgi-based PHP ha lanzado la versión 5.4.3 y 5.3.13 para abordar esta
vulnerabilidad. CVE-2012-1823 /2311/2336/2335.
25/tcp SMTP too long line Bloquear el puerto 25 o instalar herramienta anti SPAM o
actualizar el antivirus.
SMTP antivirus
scanner DoS
Vulnerabilidad ALTA – ide3.ups.edu.ec –LAN
80/tcp phpinfo() output Eliminar o limitar el acceso archivo phpinfo. CVE-2012-
accesible 1823 /2311/2336/2335.
443/tcp
50
Vulnerabilidad MEDIA – ide3.ups.edu.ec –WAN
Puerto Vulnerabilidad Solución
443/tcp Check for SSL Deshabilitar los protocolos SSLv2 y/o SSLv3, para no
Weak Ciphers admitir cifrados débiles. Se recomienda manejar el
protocolo TLSv1+.
Deprecated
SSLv2 and
SSLv3
Protocol
Detection
25/tcp Check if Mail Deshabilitar VRFY y EXPN en el servidor de correo
server answer electrónico. URL:http://cr.yp.to/smtp/vrfy.html
to VRFY and
EXPN requests
8081/tcp Apache Eliminar archivos predeterminados JSP y servlets del
Tomcat contenedor Apache Tomcat.
servlet/JSP
container
default files
9990/tcp Infinite HTTP Actualizar su software o protegerlo con iptables. CVE-
request 2001-0760
4848/tcp SSL Vuelva a colocar el certificado SSL nuevo. Cambiar el
Certification nombre de los directorios siguientes:
Expired - Data
- User_carts
- Orders
- Auth_data
DCShop Renombrar los archivos dcshop.setup y
exposes dcshop_admin.setup
sensitive files http://www.securiteam.com/unixfocus/5RP0N2K4KE.html
CVE-2001-0821
Vulnerabilidad MEDIA – ide3.ups.edu.ec –LAN
OpenSSL CCS Generar y cargar nuevas certificado SSL. La configuración
Man in the de estos servicios no admite los permitir cifrados débiles.
Middle Actualizar el Open SSL CVE-2014-3566
Security
Bypass
Vulnerability
443/tcp
SSL
Certification
Expired
8181/tcp Fingerprint web Quite el archivo ' favicon.ico "o crear uno personalizado
server with para su sitio.
favicon.ico
51
General/tcp TCP timestamps Desactivar las marcas de tiempo TCP en Linux agregar la
* Referencia a todos los línea 'net.ipv4.tcp_timestamps = 0 ' a /etc/sysctl.conf.
puertos en TCP.
Oracle GlassFish
Server Expression
52
Evaluation Security Aplique el parche desde abajo vínculo,
Bypass Vulnerability. http://www.oracle.com/technetwork/topics/security/cpujul2012-
392727.html
SSL Certification
Expired
Vuelva a colocar el certificado SSL nuevo.
Oracle GlassFish
Server Hash Collision
Denial of Service
Vulnerability Aplique el parche desde abajo vínculo,
Oracle GlassFish http://www.oracle.com/technetwork/topics/security/cpujan2012-
Server Multiple 366304.html
Unspecified
Vulnerabilities
Aplique el parche desde abajo vínculo,
http://www.oracle.com/technetwork/topics/security/cpujan2012-
366304.html
443/tcp
Deprecated SSLv2 and Deseabilidad la versiones SSLv2 / SSL3 y usar SSLv1+.
SSLv3 Protocol
Detection
22/tcp SSH Protocol Aplicar el filtrado para no permitir el acceso a este puerto desde
Versions hosts no confiables.
Supported
53
21/tcp FTP Banner Cambiar el número de puerto, deshabilitar accesos anónimos y
Detection generar contraseñas complicadas de vulnerar.
Gerente/tcp Para desactivar las marcas de tiempo TCP en Linux agregar la
*Referencia a todos línea 'net.ipv4.tcp_timestamps = 0' a /etc/sysctl.conf. Ejecutar
los puertos en TCP.
'sysctl -p' para aplicar la configuración en tiempo de ejecución.
Vulnerabilidad BAJA – localhost.localdomain – LAN
general/tcp TCP Desactivar las marcas de tiempo TCP en Linux agregar la línea
timestamps 'net.ipv4.tcp_timestamps = 0 ' a /etc/sysctl.conf.
Nota: Descripción de las mitigaciones de las vulnerabilidades presentadas en el servidor
localhost.localdomain
Elaborado por: Darwin Jiménez y Marcelo Osorio
entregada por la herramienta OpenVas, con los cálculos internos entrega el valor de
CVSS.
Para obtener los valores cuantificables del análisis, es necesario generar la sumatoria
de todas las puntaciones de las vulnerabilidades asociadas, a los grupos alta, media y
baja, definidos por el estándar CVSS, de esta manera se obtiene una matriz donde la
54
Tabla 14. Riesgos perimetrales internet
Nombre Host / Servidor Alta Media Baja
Ide.ups.edu.ec 190.15.136.3 26% 47% 26%
Ide3.ups.edu.ec 190.15.136.4 50% 44% 6&
Localhost.localdomain 190.15.136.10 54% 41% 5%
Promedio: 43% 44% 13%
Nota: Descripción del riesgo perimetral de los servidores IDE-IA-GEOCA,
con valores porcentual
Elaborado por: Darwin Jiménez y Marcelo Osorio
55
CAPÍTULO 3
PROTOTIPO EXPERIMENTAL
2.5 Firewall Builder
También puede tomar ventaja de una gran colección de objetos predefinidos que
describen muchos protocolos y servicios estándar. Una vez que una política se basa en
firewall.
56
2.5.1 Implementación
sus políticas de aceptación de uso basados en los términos de licenciamiento GNU v2.
GNU
57
Fw Builder
Menú FWBuilder
ejecuta el firewall.
58
Firewall Object
acceso predeterminadas para la red WAN y LAN en dos interfaces de red tal como se
Templates
Figura 14. Template FwBuilderContinuando con la configuración del objeto firewall, se debe agregar
Elaborado por: Darwin Jiménez y Marcelo Osorio
190.15.136.10
59
IP address WAN, Netmask WAN y el protocolo IPv4, que es correspondiente a la
interface eth0.
190.15.136.10
La configuración de los parámetros LAN se los realizan en la interface eth1, donde se
60
Nuevo Objeto Eth1
190.15.136.10
La consola de administración permite manejar gráficamente la generación y
Panel principal
190.15.136.10
61
Las secciones de la ventana principal son los siguientes:
instalar, etc.
62
Para la configuración las políticas del firewall FWIDE, se selecciona el objeto de
Policy, que presenta las reglas predefinidas que pueden ser modificadas o anexas más
190.15.136.10
63
CAPITULO 4
RESULTADOS
Esta regla encapsula el tráfico para que desde el exterior sea la ip pública la que
NAT
Regla 0 NAT
190.15.136.10
Esta regla NAT trasfiere todo el tráfico interno por la IP pública del equipo
64
gráfica, dando como resultado la generación del script que contiene las políticas que
definido.
Regla de Anti Spoofing, previene que trafico externo emule una IP interna o de
DMZ autorizada.
Rule 1 – Loopback
65
Permite la administración desde la red interna al protocolo tcp ssh
Rule 3 – DNS
Esta regla permite que desde cualquier origen externo alcanzar los servicios
Rule 5 – Sthealt
Permite llegar desde la red interna a través del NAT alcanzar cualquier puerto
Las reglas mencionadas anteriormente serán tratadas a de detalle en el punto 4.1.3 con
el nombre Scripting FW Builder para cada uno de los servidores que forman parte de
este estudio.
66
Todos los scripts fueron desarrollados en base al análisis de la información
de seguridad definida.
documento.
67
3.3.1 Script servidor ide.ups.edu.ec
68
#Ide.ups.edu.ec/ Policy / rule 1
$IPTABLES -N In_RULE_4
69
#Ide.ups.edu.ec / Policy / rule 5
$IPTABLES -N RULE_5
70
3.3.2 Script servidor ide3.ups.edu.ec
172.17.128.0/24 (LAN)
0 -- DENY”
71
# ide3.ups.edu.ec / Policy / rule 1
72
#ide3.ups.edu.ec / Policy / rule 4
$IPTABLES -N In_RULE_4
$IPTABLES -N RULE_5
73
# ide3.ups.edu.ec / Policy / rule 6
$IPTABLES -N RULE_7
74
3.3.3 Script servidor localhost.localdomain
$IPTABLES -N In_RULE_0
75
#localhost.localdomain/ Policy / rule 1
$IPTABLES -N In_RULE_4
76
# localhost.localdomain / Policy / rule 5
$IPTABLES -N RULE_5
77
# localhost.localdomain / Policy / rule 7
$IPTABLES -N RULE_7
3.4.1 Introducción
organizado y para esto se han diseñado las siguientes normas básicas, que debe
tomando en cuenta para todos los proyectos cargados a los sistemas de la organización,
administración de la plataforma.
3.4.2 Responsables
78
administrador de seguridades será el responsable de definir las políticas de seguridad
3.4.3 Definición
informática de IDE-IA-GEOCA.
3.4.4 Organización
colaboradores:
Administrador de Sistemas
Administrador de Seguridades
Ingeniero de Proyecto
factores:
79
Estudio Técnico
Vigencia Tecnológica
Margen de Crecimiento.
Una vez realizado los estudios técnicos el comité será responsable de emitir
Base de Datos
Lenguaje de Programación
Utilitarios
Navegadores
Servicios y Plugins
3.4.5 Confidencialidad
80
3.4.6 Versionamiento
Para los proyectos deberá considerarse el uso de los últimos reléase estables, de cada
3.4.7 Licenciamiento
Todo desarrollo deberá llevar una etapa de pruebas de compatibilidad para adaptarse
estabilizan los cambios y se hayan realizado las correcciones necesarias, una vez
81
3.4.9 Políticas
ventajas y beneficios que tendrá la generación del proyecto, este marcará la pauta para
Art. 1.2 Todo desarrollo deberá tomar los lineamentos entregados por el comité,
Art. 1.3 Los usuarios que desarrollen sobre la plataforma deberán entregar al Comité:
Código Fuente
Ejecutables
Manual de Administración
Art. 1.4 Por ninguna causa se deberá empezar la etapa de desarrollo del proyecto, sin
Art. 1.5 La fase de análisis y diseño de proyecto deberá alinearse a la metodología que
82
Art. 1.6 En caso de que se realice cambios al diseño del proyecto de desarrollo, el
mismo debe ser documentado y con autorización, revisión, aprobación del comité,
Art. 2.1 Una vez que el proyecto termina su fase desarrollo, pasará a la fase de pruebas,
plataforma.
Art. 2.2 Antes de que el proyecto se pase ambiente de producción, es necesario realizar
Art. 2.3 Cuando se realice actualización del proyecto, es necesario que se precise un
Art. 3.1 Para iniciar la etapa de producción todas las bases de datos deben ser
sistemas u otros deben ser retirados y mantener privilegios sobre los usuarios de
administración.
Art 3.2 El sistema en producción contara con el estándar de base de datos, capa media,
versión y calidad de los ambientes de prueba, con el hardening de cada uno de los
83
elementos, esto quiere decir que deben retirarse configuraciones por defecto y
productivo
Art 3.4 Deben estar aislado los sistemas de test de los de producción
Art 4.1 Las etapas de seguridad, para su acceso deben tener un responsable asignado
sistema, donde se determinará el mejor perfile que se ajusta al usuario para desarrollar
Art. 4.5 Todos los usuarios que tengan asignada el acceso al proyecto de sistemas,
84
Art. 4.6 Los usuarios tendrán accesos a la información, conforme a sus funciones
Art. 4.7 La contraseña de acceso para el usuario tendrá una longitud mínima de ocho
Art. 4.8 El usuario debe cambiar la contraseña como mínimo una vez cada 3 meses,
Art. 4.9 Los datos del proyecto información deben ser respaldados de acuerdo a la
periódicamente.
implementados.
encuentren registradas las ediciones, versiones y actualización del software por cada
sistema instalado.
única y exclusivamente para el acceso remoto a los sistemas que contiene los
85
Art 4.14 Si se detecta amenazas y/o vulnerabilidades en un proyecto que pueda
Art. 5.1 La seguridad perimetral será controlada a través de un firewall quien será el
e IPs.
Art 5.2 Todas las conexiones no autorizadas deben estar restringidas, mediante es
IPs.
Art 5.5 Definir la regla de administración, donde los hosts autorizados a realizar
cambios sobre el equipo firewall sean los únicos con acceso a los mismos.
Art 5.6 Definir la regla saludable (stealth) que define el bloqueo todo tráfico desde
Art 5.7 Únicamente se concederá acceso a los protocolos, redes e IPs. necesarias para
Art 5.8 Se definirá al final de toda la configuración la regla de bloqueo global, que
86
3.4.9.6 Frecuencia de evaluación de las políticas
Se evaluará y revisará las políticas del presente documento, con frecuencia de un año,
Amenazas posibles
Consecuencias
Ambiente
Mecanismos
Factor Humano
Todos ellos pueden generar riesgos para un sistema o red, es necesario contar con:
Plan de Seguridad
Plan de acción
Políticas y procedimientos
87
Flujo del proceso de seguridad
190.15.136.10
GEOCA.
88
Características del hardware y software requerido
paso a producción
Una vez aprobado por el comité la entrega de recursos, el interesado deberá llenar el
para la puesta en marcha se su aplicación, Una vez revisado y aprobado por el comité
3.4.10.3 Implementación
entregue toda la información relacionada al proyecto bien documentada, para que sirva
como referencia futura a continuación se listara todos los anexos que se deberán
entregar:
89
Manual de instalación, Operación y mantenimiento (backup, vaciado de logs)
Manual de Usuario
3.4.10.4 Pruebas
software cargado en la infraestructura sea estable y cumpla con todas las normas
Loadstorm.com
NeoLoad
información.
90
2. Pruebas de seguridad perimetral y vulnerabilidad de la plataforma.
la plataforma
91
CONCLUSIONES
GEOCA.
integridad de los proyectos, en los análisis realizados detecta que en promedio se tiene
un riesgo con el estándar CVSS del 43% para las vulnerabilidades Altas en el segmento
concluye que, los riesgos más altos que se han identificado son los ataques de fuerza
bruta al protocolo SSH2, ejecución de exploits a la base de datos Mysql al puerto 3306
vulnerables, tratando de obtener las credenciales de root, desde ips no autorizadas que
en su gran mayoría provienen desde el continente asiático de países como Hong Kong,
China y Japón.
92
En el proceso de análisis se detectaron amenazas como el SSL Poodle en los 3
una vez parchado los mismos, se concluye que los protocolos obsoletos usados para
las comunicaciones seguras pueden ser susceptibles a fallos como en este caso la
las plataformas.
externos, a la infraestructura del grupo, dado que son un ente que permanentemente
ejecuta análisis y emite alertas de seguridad. (Véase, en: 1.5.1 Red Cedia -
CSIRT y el Anexo 3)
93
RECOMENDACIONES
de seguridad.
de la infraestructura.
94
Establecer tiempos de vida de los proyectos implementados y en su defecto dar
mismas.
Enfocar las seguridades informáticas como una política del grupo de investigación,
con mira a implementar un CSIRT (Computer Emergency Response Team), que ayude
95
REFERENCIAS
IntelSecurity, M. (2014). Informe sobre amenazas. Madrid, España: Mcaffe Lab Intel
Security.
Jimeno Garcia, M. T., Miguel Peréz, C., Matas García, A. M., & Perez Agudin, J.
(2008). Destripa la Red Hacking Practico. España: ANAYA.
Lawrence C. Miller, C. (2014). Cybersecurity for Dummies For Palo Alto Networks
edition. Hoboken, NJ: John Wiley & Son.
96
ANEXOS
DIRECTOR DE PROYECTO:
CORREO: TELÉFONO:
SKYPE: TWITTER/FACEBOOK:
CORREO: TELÉFONO:
SKYPE: TWITTER/FACEBOOK:
ACTIVIDAD
Desarrollo de aplicación Actualización de aplicación Configuración de Arquitectura
SERVICIOS UTILIZADOS
NOM BRE VERSION PUERTO OBSERVACIONES
ARCHIVOS INSTALADOS
ARCHIVO DESCRIPCION
ARCHIVOS MODIFICADOS
ARCHIVO DESCRIPCION
ACCESO AL SISTEMA
URL LAN / PUBLICO
OBSERVACIONES ADICIONALES
97
Anexo 2. Formato solicitud de recursos
DIRECTOR DE PROYECTO:
CORREO: TELÉFONO:
SKYPE: TWITTER/FACEBOOK:
CORREO: TELÉFONO:
SKYPE: TWITTER/FACEBOOK:
ACTIVIDAD
Desarrollo de aplicación Actulización de aplicación Configuración de arquitectura
REQUERIMIENTOS
SISTEM A OPERATIVO: VERSIÓN / KERNEL:
VIGENCIA DE SOLICITUD
INICIO DE ACTIVIDADES FIN DE ACTIVIDADES
día mes año día mes año
_______________________ _______________________
FIRMAS TESISTAS
_______________________________________________________
98
Anexo 3. Notificación CSIRT (Computer Emergency Response Team) – CEDIA
99