Software">
Hardenind Web Financiera EN BOLIVIA
Hardenind Web Financiera EN BOLIVIA
Hardenind Web Financiera EN BOLIVIA
TRABAJO DE TITULACIÓN
PREVIO A LA OBTENCIÓN DEL TÍTULO DE
LICENCIADO EN SISTEMAS DE INFORMACIÓN
ÁREA
ARQUITECTURA DE REDES Y SEGURIDAD
TEMA
“HARDENING A SERVIDORES CRITICOS DE LA
PARTE TRANSACCIONAL WEB DE UNA ENTIDAD
FINANCIERA”
AUTOR
FRÍAS MORALES CARLOS EDUARDO
2018
GUAYAQUIL – ECUADOR
ii
DECLARACIÓN DE AUTORÍA
DEDICATORIA
AGRADECIMIENTO
Mis hijas: Emily, Mila y Charlotte, por las que he tenido que sacrificar
tantos días sin poder verlas, y al fin he llegado hasta la meta propuesta
años atrás.
ÍNDICE GENERAL
Nº Descripción Pág.
Prólogo 1
Introducción 2
CAPÍTULO I
MARCO TEÓRICO
Nº Descripción Pág.
1.1 Antecedentes del Estudio 13
1.2 Amenaza Informática 14
1.3 Arquetipos de Amenazas Lógicas en Informática 14
1.4 Conceptos de Hardening 16
1.4.1 Bastionado de un Sistema Informático 18
1.4.2 Hardening en Software 18
1.4.3 Hardening en Windows 19
1.4.4 Hardening en Linux 20
1.4.5 Hardening para hardware 22
1.4.5.1 IDS – Sistema de localización de intrusos 22
1.4.5.2 Equipos firewalls 22
1.5 Qué es Hardening 23
1.6 Defensa en Profundidad de la Seguridad 24
Informática 26
1.7 Cierre de Puertos Abiertos 26
1.7.1 CurrPorts 27
1.7.2 Simple Port Tester 28
1.7.3 Zenmap 29
1.8 Firewall 30
vi
Nº Descripción Pág.
1.9 Virus Informático 32
1.9.1 ¿Qué es un Virus Informático? 32
1.9.2 Métodos de Infección 32
1.9.3 Antivirus 33
1.10 IDS 35
1.10.1 Topologías de IDS 36
1.11 Contraseñas 38
1.12 Usos de Sniffer 39
1.13 Políticas de Seguridad 41
1.13.1 Medidas para implantar políticas de seguridad 41
1.14 Kali Linux 42
1.14.1 Versiones 44
1.14.2 Herramientas por clase 46
1.15 Ethical Hacking 46
1.15.1 ¿Por qué ético? 47
CAPÍTULO II
METODOLOGÍA
Nº Descripción Pág.
2.1 Tipo de Investigación 48
2.1.1 Investigación Cualitativa 49
2.2 Nivel de Investigación 49
2.3 Técnicas de Recolección de Datos 50
2.3.1 Técnica de la Entrevista 50
2.3.2 Protocolo de la Entrevista 50
2.3.3 Ejecución de la Entrevista 51
2.3.4 Entrevistas al Jefe de Infraestructura de la Entidad 51
Financiera
2.3.5 Entrevistas al Operador de Monitoreo de la Entidad 53
Financiera
vii
Nº Descripción Pág.
2.3.6 Entrevistas al Administrador de Redes y 54
Administrador de Servidores de la Entidad
Financiera
2.3.7 Entrevistas al Gerente de Sistemas de la Entidad 55
Financiera
2.3.8 Conclusión Entrevista 56
2.4 Procesamiento de la Información 56
2.5 Hardening Habilidades y Defensa en Profundidad 56
2.5.1 Habilidades de Hardening 57
2.5.2 Defensa en Profundidad 57
2.6 Hardening En Linux 59
Aplicación de Ethical Hacking para
2.7 Reconocimiento y Detección de Vulnerabilidades 59
2.7.1 Fase 1: Reconocimiento 59
2.7.2 Fase 2: Escaneo y Enumeración de 60
Vulnerabilidades
2.7.3 Fase 3: Análisis de las Vulnerabilidades 63
2.7.4 Fase 4: Obtención del Acceso 67
CAPÍTULO III
PROPUESTA
Nº Descripción Pág.
3.1 Título de la Propuesta 68
3.2 Objetivo 68
Resultado de Escaneo de Vulnerabilidades
3.3 Efectuadas por Nessus 68
3.3.1 Boletín de seguridad de Microsoft MS09-050 – 69
Crítica
3.3.1.1 Vulnerabilidades en SMBv2 69
3.3.1.1.1 Software Afectados 69
3.3.1.1.2 Software No Afectados 70
viii
Nº Descripción Pág.
3.3.2 Boletín de Seguridad de Microsoft MS17-010 70
3.3.2.1 Actualización de Seguridad para el Servidor SMB 70
de Microsoft Windows (4013389)
3.3.2.2 Vulnerabilidades Compuestas de Ejecución 71
Remota de Código de Windows SMB
3.3.2.2.1 Soluciones Alternativas 71
3.3.2.3 Vulnerabilidad de Divulgación de Información de 72
Windows SMB - CVE-2017-0147
3.3.2.3.1 Soluciones Alternativas 73
3.3.3 Boletín de Seguridad de Microsoft MS12-020 74
3.3.3.1 Vulnerabilidades en el Escritorio Remoto de 74
Código (2671387)
3.3.3.2 Vulnerabilidad de Protocolo de Escritorio Remoto - 74
CVE-2012-0002
3.3.3.2.1 74
Soluciones Provisionales para la Vulnerabilidad del
Protocolo de Escritorio Remoto (CVE-2012-0002)
3.3.4 Boletín de Seguridad de Microsoft MS16-047 – 75
Importante
3.3.4.1 Actualización de Seguridad para los Protocolos 75
Remotos SAM y LSAD (3148527) 76
3.4 Estudio de Factibilidad 76
3.4.1 Factibilidad Técnica 76
3.4.2 Factibilidad Económica 77
3.4.3 Factibilidad operacional 78
3.4.4 Impacto 79
3.5 Conclusiones 80
3.6 Recomendaciones 80
ANEXOS 82
BIBLIOGRAFÍA 86
ix
ÍNDICE DE CUADROS
Nº Descripción Pág.
1 Versiones de Kali Linux 44
2 Total de Herramientas por Categoría 46
3 Software Afectados 69
4 Software No Afectado 70
5 Vulnerabilidad Windows SMB 71
6 Vulnerabilidad SMB - CVE-2017-0147 73
7 Características Técnicas de Computador de 76
Usuario
8 Recursos Humanos 78
x
ÍNDICE DE GRÁFICOS
Nº Descripción Pág.
1 Desglose de los Incidentes Totales por Componentes 6
2 La Página de Acceso a Kits de Ataque se Bloquea, de 7
Enero a Noviembre de 2016
3 Muestra de Malware de Bajo Volumen Observado 8
4 TTD Medio por Mes 9
5 KPI utilizados por las organizaciones para evaluar el 9
rendimiento de la seguridad
6 Uso Interanual del Proceso para Analizar los Sistemas 10
en Riesgo
7 Uso Interanual del Proceso para Eliminar la Causa de 10
los Incidentes de Seguridad
8 Uso Interanual del Proceso de Restauración de los 11
Sistemas Afectados
9 Simulación de ataques: frecuencia y alcance de 11
implementar mejoras en la defensa de la seguridad 11
10 Porcentaje de organizaciones que sufren una 11
infracción pública
11 ¿En qué medida la infracción motivó mejoras en 12
entidades financieras, procedimientos o tecnologías
para la defensa ante amenazas a la seguridad?
12 Longitud y alcance de las interrupciones causadas por 12
infracciones a la seguridad
13 Mejoras hechas para proteger la entidad financiera
13 de infracciones a la seguridad 12
xi
ÍNDICE DE IMÁGENES
Nº Descripción Pág.
1 Esquema de Seguridad en la Red 17
2 Firewall de Windows 20
3 Firewall de Linux 21
4 Firewall Hardware 23
5 Procedimientos de Identificación de las Ranuras de 25
Protección
6 Aplicación Currports 27
7 Programa para Comprobar Estado de Puertos 28
8 Programa para Comprobar Estado de Puertos 29
9 Escáneres Multiplataforma de Puertos 30
10 Esquema de Firewall en una Red de 31
Computadoras
11 Resguardos del Componente Mediante Antivirus 34
12 Diseños de un IDS Básico 36
13 Red con IDS Simple 36
14 Red con IDS Completa 37
Defensa en Profundidad en una Red De
15 Información 58
16 Reconocimiento de Equipos 60
17 Escaneo de Vulnerabilidades 60
18 Puertos Abiertos 61
19 Servicios Vulnerables 61
20 Mac del Objetivo 62
21 Reconocimiento de Usuario 62
22 Herramienta Nessus 63
23 Creando Perfil de Escaneo 63
xii
Nº Descripción Pág.
24 Escaneando Vulnerabilidades 64
24 Detalle de Escaneo 64
26 Vulnerabilidades Encontradas I 65
27 Vulnerabilidades Encontradas II 65
28 Vulnerabilidades Encontradas III 66
29 Referencias Soporte Microsoft 66
30 Descripción Vulnerabilidad 67
xiii
ÍNDICE DE ANEXOS
Nº Descripción Pág.
1 Reporte Nesuss 83
2 Cronograma De Actividades 85
xiv
RESUMEN
Frías Morales Carlos Eduardo Ing. Civ. Carvache Franco Orly Daniel, Mg.
C.C: 0916500291 Director del Trabajo
xv
ABSTRACT
Frías Morales Carlos Eduardo Ing. Civ. Carvache Franco Orly Daniel, Mg.
I.D. 0916500291 Director of Work
PRÓLOGO
Introducción
Objeto de la Investigación
Justificación
Objetivos de la Investigación
Objetivo General
Objetivos Específicos
GRÁFICO N° 1
DESGLOSE DE LOS INCIDENTES TOTALES POR COMPONENTES
GRÁFICO N° 2
LA PÁGINA DE ACCESO A KITS DE ATAQUE SE BLOQUEA, DE
ENERO A NOVIEMBRE DE 2016
GRÁFICO N° 3
MUESTRA DE MALWARE DE BAJO VOLUMEN OBSERVADO
GRÁFICO N° 4
TTD MEDIO POR MES
GRÁFICO N° 5
KPI UTILIZADOS POR LAS ORGANIZACIONES PARA EVALUAR EL
RENDIMIENTO DE LA SEGURIDAD
GRÁFICO N° 6
USO INTERANUAL DEL PROCESO PARA ANALIZAR LOS SISTEMAS
EN RIESGO
GRÁFICO N° 7
USO INTERANUAL DEL PROCESO PARA ELIMINAR LA CAUSA DE
LOS INCIDENTES DE SEGURIDAD
GRÁFICO N° 8
USO INTERANUAL DEL PROCESO DE RESTAURACIÓN DE LOS
SISTEMAS AFECTADOS
GRÁFICO N° 9
SIMULACIÓN DE ATAQUES: FRECUENCIA Y ALCANCE DE
IMPLEMENTAR MEJORAS EN LA DEFENSA DE LA SEGURIDAD
GRÁFICO N° 10
PORCENTAJE DE ORGANIZACIONES QUE SUFREN UNA
INFRACCIÓN PÚBLICA
GRÁFICO N° 11
¿EN QUÉ MEDIDA LA INFRACCIÓN MOTIVÓ MEJORAS EN
ENTIDADES FINANCIERAS, PROCEDIMIENTOS O TECNOLOGÍAS
PARA LA DEFENSA ANTE AMENAZAS A LA SEGURIDAD?
GRÁFICO N° 12
LONGITUD Y ALCANCE DE LAS INTERRUPCIONES CAUSADAS POR
INFRACCIONES A LA SEGURIDAD
GRÁFICO N°13
13 MEJORAS HECHAS PARA PROTEGER LA ENTIDAD
FINANACIERA DE INFRACCIONES A LA SEGURIDAD
MARCO TEÓRICO
IMAGEN N° 1
ESQUEMA DE SEGURIDAD EN LA RED
IMAGEN N° 2
FIREWALL DE WINDOWS
IMAGEN N° 3
FIREWALL DE LINUX
Fuente: http://www.linux-firewall.org/
Elaborado por: Frías Morales Carlos Eduardo
1.4.5 Hardening para hardware
Fuente: https://www.pymesyautonomos.com/tecnologia/necesita-mi-empresa-un-cortafuegos
Elaborado por: Frías Morales Carlos Eduardo
Según el estudio realizado por las agencias SGDN, DCSSI, SDO, &
BCS (2004) indicaron que:
Fuente:https://www.ssi.gouv.fr/archive/es/confianza/documents/methods/mementodep-V1.1_es.pdf
Elaborado por: Frías Morales Carlos Eduardo
1.7.1 CurrPorts
IMAGEN N° 6
APLICACIÓN CURRPORTS
Fuente:https://soyadmin.com/2015/10/currports-una-aplicacion-que-nos-permite-ver-que-puertos-se-
usan-en-nuestro-equipo/
Elaborado por: Frías Morales Carlos Eduardo
Marco Teórico 28
IMAGEN N° 7
PROGRAMA PARA COMPROBAR ESTADO DE PUERTOS
Fuente:https://www.softzone.es/2009/12/10/simple-port-tester-2-10-comprueba-el- estado-
de-tus-puertos-facilmente/
Elaborado por: Frías Morales Carlos Eduardo
IMAGEN N° 8
Marco Teórico 29
Fuente:https://www.softzone.es/2009/12/10/simple-port-tester-2-10-comprueba-el- estado-de-
tus-puertos-facilmente/
Elaborado por: Frías Morales Carlos Eduardo
1.7.3 Zenmap
IMAGEN N° 9
ESCÁNERES MULTIPLATAFORMA DE PUERTOS
Fuente:https://www.redeszone.net/2014/01/18/zenmap-la-interfaz-grafica-oficial-de-nmap-para-escanear-
puertos-a-fondo/
Elaborado por: Frías Morales Carlos Eduardo
1.8 Firewall
limitar enlaces externas a servicios y puertos del dispositivo, por otro lado
el firewall o cortafuegos de red limita tráfico de red y restringe a partir del
ámbito de ingresos sensibles a los sistemas.
IMAGEN N° 10
ESQUEMA DE FIREWALL EN UNA RED DE COMPUTADORAS
Fuente:http://www.etapa.net.ec/Portals/0/Productos%20y%20Servicios/Cortafuegos%20o%20Firewall.pd
f
Elaborado por: Frías Morales Carlos Eduardo
Marco Teórico 32
1.9.3 Antivirus
IMAGEN N° 11
RESGUARDOS DEL COMPONENTE MEDIANTE ANTIVIRUS
1.10 IDS
Una de las diferencias entre firewall y los IDS, son que el segundo
son dispositivos proactivos y están alineados para que descarten el peligro
previamente de que se active o sea seguro, estos peligros marchan a partir
Marco Teórico 36
IMAGEN N° 12
DISEÑOS DE UN IDS BÁSICO
Fuente: http://www.tech-faq.com/ldap-lightweight-directory-access-protocol.html
Elaborado por: Frías Morales Carlos Eduardo
IMAGEN N° 13
RED CON IDS SIMPLE
Fuente: http://topicosdeinvestigacion.blogspot.com/
Elaborado por: Frías Morales Carlos Eduardo
Marco Teórico 37
IMAGEN N° 14
RED CON IDS COMPLETA
Fuente: http://topicosdeinvestigacion.blogspot.com/
Elaborado por: Frías Morales Carlos Eduardo
Marco Teórico 38
1.11 Contraseñas
Implique a las áreas dueñas de los recursos o productos, por tanto ellos
tienen la práctica y son la partida primordial para constituir la gravedad y
las ilustraciones de infracciones a la PSI.
Notifique a todo el personal implicado en el proceso de las PSI, las
ventajas y peligros incumbidos con los recursos y equipos, y sus
recursos de seguridad.
Cree un proceso de seguimiento constante de las líneas en el hacer de
la institución, que consienta una modernización pertinente de las
mismas.
Política de privacidad. Establezca las perspectivas moderadas de
privacidad sobre temas correspondidos como seguimiento de emails,
acceso a registros y búsquedas por teclados.
Política de acceso. Puntualiza privilegios de ingreso a activos o
elementos de información resguardados. Puntualiza conductas
admisibles para usuarios, personal de soporte y dirigentes. Debe
contener reglamentos en relación a las conexiones e ingresos externos,
así como las políticas de conexión de datos, conexiones de terminales a
las redes e inserción de nuevos programas computacionales.
Marco Teórico 42
CUADRO N° 1
VERSIONES DE KALI LINUX
CUADRO N° 2
TOTAL DE HERRAMIENTAS POR CATEGORÍA
METODOLOGÍA
1. El análisis
2. El análisis partícipe
3. La entrevista
4. Entrevista grupal
5. El informe
6. El conjunto de discusión
a. Método: entrevista
b. Técnica: Estructurada
c. Fecha: Guayaquil 18 de agosto del 2017
d. Duración: El tiempo total que tomó la realización de la entrevista fue
aproximadamente de 50 minutos.
e. Lugar: El lugar donde se llevó a cabo la entrevista fue en las
instalaciones de la Entidad Financiera específicamente en el área de
infraestructura.
f. Sujeto: Los sujetos entrevistados fueron los integrantes del área de
infraestructura compuestos por:
1. Jefe de Infraestructura
2. Operador de monitoreo
3. Administrador de Redes
4. Administrador de Servidores.
5. Gerente de Sistemas
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE INGENIERÍA INDUSTRIAL
Formato de Entrevista
Empresa: Entidad Financiera
Nombre: Ing. William Ramirez
Cargo profesional en la empresa: Operador de monitoreo
Fecha: 18/08/2017
Preguntas:
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE INGENIERÍA INDUSTRIAL
Formato de Entrevista
Empresa: Entidad Financiera
Nombre: Ing. Carlos Bustamante e Ing. Kevin Estrella
Cargo profesional en la empresa: Administrador de Redes y
Administrador de Servidores.
Fecha: 18/08/2017
Preguntas:
1) ¿Está la red de la Institución enlazada con otras redes por medio
de conexiones de red públicas o privadas?
Respuesta: No está enlazada a ninguna otra red.
2) Un corte o fallo en el sistema o equipo que perturbe las
aplicaciones o IT de los beneficiarios, ¿afectaría
significativamente?
Respuesta: No afectaría significativamente debido que existen
planes de contingencia en el área de IT.
3) ¿La Institución almacena información privada de mucha
importancia?
Respuesta: Al ser una institución Financiera se almacena
Información, confidencial y de alta relevancia.
4) Los Elementos de IT y los aplicativos clientes, ¿dependen del
ingreso a componentes de su ambiente?
Respuesta: Efectivamente los componentes IT y aplicaciones
Dependen del acceso de sus recursos.
Metodología 55
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE INGENIERÍA INDUSTRIAL
Formato de Entrevista
Empresa: Entidad Financiera
Nombre: Ing. Jorge carvajal
Cargo profesional en la empresa: Gerente de Sistemas
Fecha: 18/08/2017
Preguntas:
1) ¿Piensa usted que los recursos de Infraestructura son una
necesidad para la institución?
Respuesta: Por supuesto, es vital contar con elementos TI para
salvaguardar la información y elementos de la institución.
2) ¿Alguna parte de su IT es personal externo para efectuar
mantenimientos?
Respuesta: No, todo el personal de Infraestructura pertenece al
banco directamente.
3) ¿Cuentan con algún procedimiento a breve, mediano o largo
plazo para la clasificación e implementación de nuevas
tecnologías?
Respuesta: Al momento no se ha considerado la selección y uso de
nuevas tecnologías.
Metodología 56
IMAGEN N° 15
DEFENSA EN PROFUNDIDAD EN UNA RED DE INFORMACIÓN
Fuente: http://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/11908/1/1049612360.pdf
Elaborado por: Frías Morales Carlos Eduardo
Metodología 59
IMAGEN N° 17
ESCANEO DE VULNERABILIDADES
IMAGEN N° 18
PUERTOS ABIERTOS
IMAGEN N° 19
SERVICIOS VULNERABLES
IMAGEN N° 20
MAC DEL OBJETIVO
IMAGEN N° 21
RECONOCIMIENTO DE USUARIO
IMAGEN N° 22
HERRAMIENTA NESSUS
IMAGEN N° 23
CREANDO PERFIL DE ESCANEO
IMAGEN N° 24
ESCANEANDO VULNERABILIDADES
IMAGEN N° 25
DETALLE DE ESCANEO
IMAGEN N° 26
VULNERABILIDADES ENCONTRADAS I
IMAGEN N° 27
VULNERABILIDADES ENCONTRADAS II
IMAGEN N° 29
REFERENCIAS SOPORTE MICROSOFT
Metodología 67
IMAGEN N° 30
DESCRIPCIÓN VULNERABILIDAD
Metodología 68
PROPUESTA
3.2 Objetivo
CUADRO N° 3
SOFTWARE AFECTADOS
Fuente: https://technet.microsoft.com/en-us/library/security/ms09-050.aspx
Elaborado por: Frías Morales Carlos Eduardo
Propuesta 70
CUADRO N° 4
SOFTWARE NO AFECTADO
Fuente: https://technet.microsoft.com/en-us/library/security/ms09-050.aspx
Elaborado por: Frías Morales Carlos Eduardo
CUADRO Nº 5
VULNERABILIDAD WINDOWS SMB
Fuente: https://technet.microsoft.com/en-us/library/security/ms09-050.aspx
Elaborado por: Frías Morales Carlos Eduardo
Deshabilitar SMBv1
CUADRO Nº 6
VULNERABILIDAD SMB - CVE-2017-0147
Fuente: https://technet.microsoft.com/en-us/library/security/ms09-050.aspx
Elaborado por: Frías Morales Carlos Eduardo
Deshabilitar SMBv1
CUADRO Nº 7
CARACTERISTICAS TÉCNICAS DE COMPUTADOR DE USUARIO
Toshiba Satellite S55-Series
Intel® Core™ i7-4700MQ CPU @ 2.40GHz 2.40
Procesador
GHz
Memoria 8GB
CUADRO Nº 8
RECURSOS HUMANOS
Horas/
Recursos Cantidad/Semana Valor/Hora Valor/Semana Valor/Total
Semana
Técnico 7 5 $18 $126 $630
Gasto - - - - -
Transporte
Internet - 5 - $50 $50
Total Costos $680
Fuente: Investigación de campo
Elaborado por: Frías Morales Carlos Eduardo
3.4.4 Impacto
3.5 Conclusiones
3.6 Recomendaciones
ANEXO N° 1
REPORTE NESUSS
Anexos 84
ANEXO N° 2
CRONOGRAMA DE ACTIVIDADES
Álvarez, P., Manuel, V., Concheiro, P., & Adrián, R. (2007). Obtenido de
http://sabia.tic.udc.es/docencia/ssi/old/2006-
2007/docs/trabajos/08%20-%20Virus%20Informaticos.pdf
rontcover&dq=que+es+windows+server+2012&hl=es&sa=X&redir_esc=y#
v=onepage&q=que%20es%20windows%20server%202012&f=false
Casas. (2017).
Rault, R., Schalkwijk, L., Acissi, Agé, M., Crocfer, N., Crocfer, R., Y
Otros. (1 De 09 De 2015). EDICIONES ENI . Obtenido de
EDICIONES ENI :
https://books.google.com.ec/books?id=4X32wbgtNfUC&printsec=fr
ontcover&dq=isbn:2746097249&hl=es&sa=X&redir_esc=y#v=onep
age&q=hacking&f=false
Bibliografía 92