Facultad De Ingeniería De Sistemas

ESCUELA POLITÉCNICA NACIONAL

FACULTAD DE INGENIERÍA DE SISTEMAS

ANÁLISIS DE RIESGOS Y VULNERABILIDADES DE LA INFRAESTRUCTURA TECNOLÓGICA DE LA SECRETARÍA NACIONAL DE GESTIÓN DE RIESGOS UTILIZANDO METODOLOGÍAS DE ETHICAL HACKING

PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN

OSWALDO ANDRÉS ACOSTA NARANJO [email protected]

DIRECTOR: ING. CESAR GUSTAVO SAMANIEGO BURBANO [email protected]

Quito, Marzo 2013

DECLARACIÓN

Yo, Oswaldo Andrés Acosta Naranjo, declaro bajo juramento que el trabajo aquí descrito es de mi autoría; que no ha sido previamente presentada para ningún grado o calificación profesional; y que he consultado las referencias bibliográficas que se incluyen en este documento.

A través de la presente declaración cedo mis derechos de propiedad intelectual correspondientes a este trabajo, a la Escuela Politécnica Nacional, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normatividad institucional vigente.

______Oswaldo Andrés Acosta Naranjo

CERTIFICACIÓN

Certifico que el presente trabajo fue desarrollado por Oswaldo Andrés Acosta Naranjo, bajo mi supervisión.

______Ing. Gustavo Samaniego DIRECTOR DE PROYECTO

AGRADECIMIENTOS

Agradezco a Dios, por haberme guiado desde el principio de mi vida personal y académica, quien me permitió llegar a concluir esta etapa de mi carrera.

Agradezco principalmente a mi padre Oswaldo Acosta y a mi madre Teresa Naranjo, por estar presentes durante todos los años de estudio, por su incansable apoyo y por enseñarme que las metas se cumplen con esfuerzo y sacrificio propio.

Agradezco profundamente a mis hermanas Catalina, Silvia, Evelin, Ivon y Mariatere, por el apoyo incondicional que me brindaron para la culminación de mi carrera .

Agradezco a mis cuñados y a mis sobrinas, que me brindaron su total apoyo y que de una u otra forma han contribuido a la culminación de mis estudios.

Agradezco especialmente a mi novia Andreita, por su amistad, cariño e incondicional amor, por el apoyo durante la realización de este proyecto y porque siempre creyó en mí.

A los amigos, Edgar, Sociedad y a todos aquellos y aquellas con los cuales he compartido momentos agradables durante mis estudios y que siempre han estado allí.

Andrés Acosta

DEDICATORIA

Dedico especialmente este trabajo a mis padres que siempre me apoyaron, y por haberme dado las bases de sacrificio y honestidad para culminar mis estudios.

A mis hermanas, cuñados y sobrinas que siempre estuvieron presentes con su apoyo y consejos en cada momento de mi vida estudiantil.

A mi novia que siempre me apoyo desde el inicio hasta el fin de este proyecto.

Andrés Acosta

CONTENIDO

DECLARACIÓN ...... I CERTIFICACIÓN ...... II AGRADECIMIENTOS ...... III DEDICATORIA ...... IV CONTENIDO ...... 1 ÍNDICE DE TABLAS ...... 4 ÍNDICE DE FIGURAS ...... 6 RESUMEN ...... 7 PRESENTACIÓN ...... 8 1 CAPÍTULO: CARACTERIZACIÓN DE LA INSTITUCIÓN ...... 10 1.1 INFORMACIÓN DE LA SECRETARIA NACIONAL DE GESTIÓN DE RIESGOS ...... 10 1.1.1 ESTRUCTURA ORGÁNICA POR PROCESOS ...... 11 1.2 DIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES ...... 13 1.2.1 PROCESOS Y SERVICIOS DE TIC ...... 13 2 CAPÍTULO: ANÁLISIS DE RIESGOS Y VULNERABILIDADES ...... 15 2.1 DETERMINACIÓN DE LA METODOLOGÍA DE ETHICAL HACKING A UTILIZAR ...... 15 2.1.1 DESCRIPCIÓN DE LA METODOLOGÍA OSSTMM ...... 15 2.1.1.1 METODOLOGÍA OSSTMM ...... 17 2.1.1.2 ANÁLISIS Y EVALUACIÓN DE RIESGOS CON OSSTMM ...... 18 2.1.2 DESCRIPCIÓN DE LA METODOLOGÍA ISSAF ...... 20 2.1.2.1 METODOLOGÍA ISSAF ...... 20 2.1.2.2 ANÁLISIS Y EVALUACIÓN DE RIESGOS CON ISSAF ...... 24 2.1.3 SELECCIÓN DE LA METODOLOGÍA ...... 26 2.2 IDENTIFICACIÓN DE RIESGOS ...... 27 2.2.1 IDENTIFICACIÓN DE ACTIVOS ...... 27 2.2.1.1 IDENTIFICACIÓN DEL DISEÑO DE ARQUITECTURA DE RED ...... 28 2.2.2 IDENTIFICACIÓN Y BÚSQUEDA DE VULNERABILIDADES ...... 32 2.2.2.1 RECOPILACIÓN DE INFORMACIÓN ...... 32 2

2.2.2.1.1 SELECCIÓN DE LA HERRAMIENTA DE RECOPILACION INFORMACIÓN ...... 33 2.2.2.2 MAPEO DE RED ...... 41 2.2.2.2.1 SELECCIÓN DE LA HERRAMIENTA DE MAPEO DE RED .. 41 2.2.2.2.2 IDENTIFICACIÓN DE PUERTOS Y SERVICIOS...... 42 2.2.2.2.3 IDENTIFICACIÓN DEL SISTEMA OPERATIVO ...... 50 2.2.2.2.4 IDENTIFICACIÓN DEL PERÍMETRO DE RED ...... 54 2.2.2.3 SEGURIDAD EN LAS CONTRASEÑAS ...... 56 2.2.2.4 SEGURIDAD DE LOS SWITCH...... 57 2.2.2.5 SEGURIDAD DEL ROUTER ...... 57 2.2.2.6 SEGURIDAD DEL FIREWALL ...... 59 2.2.2.7 SEGURIDAD DEL SISTEMA DE DETECCIÓN DE INTRUSOS ...... 61 2.2.2.8 SEGURIDAD DEL SISTEMA ANTI-VIRUS ...... 62 2.2.2.9 SEGURIDAD EN LA RED DE ÁREA DE ALMACENAMIENTO ...... 63 2.2.2.10 SEGURIDAD EN LA RED INALÁMBRICA ...... 64 2.2.2.11 SEGURIDAD DEL SERVIDOR WEB ...... 65 2.2.2.12 SEGURIDAD DE LAS APLICACIONES WEB ...... 66 2.2.2.12.1 SELECCIÓN DE LA HERRAMIENTA DE ANALISIS DE APLICACIONES WEB ...... 66 2.2.2.13 SEGURIDAD DE USUARIOS DE INTERNET ...... 71 2.2.2.14 SEGURIDAD FÍSICA ...... 72 2.3 ANÁLISIS DE RIESGOS ...... 73 2.3.1 VERIFICACIÓN DE VULNERABILIDADES ...... 74 2.4 EVALUACIÓN DE RIESGOS ...... 76 2.4.1 VALORACIÓN DEL RIESGO ...... 77 2.4.2 ANÁLISIS DE IMPACTO ...... 79 2.4.2.1 ANÁLISIS DE IMPACTO TÉCNICO ...... 79 2.4.2.2 ANÁLISIS DE IMPACTO DE NEGOCIO ...... 82 3 CAPÍTULO: TRATAMIENTO DE LOS RIESGOS ...... 86 3.1 PLAN DE MITIGACIÓN DE RIESGOS EN BASE A LOS ANÁLISIS DE IMPACTO ...... 86 3.1.1 CONTRAMEDIDAS PARA LAS ENTIDADES DE EVALUACIÓN ... 86 3.1.2 PLAN DE MITIGACIÓN DE RIESGOS ...... 91 3

3.2 PRESENTACIÓN DE CONCLUSIONES Y RECOMENDACIONES PARA MITIGAR LOS RIESGOS ...... 96 4 CAPÍTULO: CONCLUSIONES Y RECOMENDACIONES ...... 99 4.1 CONCLUSIONES ...... 99 4.2 RECOMENDACIONES ...... 100 BIBLIOGRAFÍA ...... 102 ANEXOS ...... 104 ANEXO 1: Módulos del Mapa de Seguridad de OSSTMM versión 2.2 ...... 104 ANEXO 2: Entidades de Evaluación de ISSAF versión 0.2.1 ...... 106 ANEXO 3: Registro de números de Puerto TPC y UDP ...... 107 ANEXO 4: Puertos usados por Troyanos ...... 108 ANEXO 5: Vulnerabilidades de la SNGR ...... 109

ÍNDICE DE TABLAS

TABLA 2-1: Valores de Evaluación de Riesgos de OSSTMM ...... 19 TABLA 2-2: Comparación de Metodologías ...... 26 TABLA 2-3: Áreas de Alcance ...... 27 TABLA 2-4: Capa de Acceso ...... 29 TABLA 2-5: Capa Core ...... 30 TABLA 2-6: Bloque de Servidores ...... 30 TABLA 2-7: Bloque WAN ...... 31 TABLA 2-8: Bloque de Internet ...... 31 TABLA 2-9: Comparación de Herramientas de Recopilación de Información ...... 34 TABLA 2-10: Direcciones IP y Nombres de Dominio de la SNGR ...... 39 TABLA 2-11: Vulnerabilidades de la Recopilación de Información...... 40 TABLA 2-12: Comparación de Herramientas de Mapeo de Red ...... 41 TABLA 2-13: Puertos y Servicios de los Servidores DNS0 y Correo ...... 49 TABLA 2-14: Servicios y Sistemas Operativos identificados con NMAP ...... 53 TABLA 2-15: Vulnerabilidades del Mapeo de Red ...... 55 TABLA 2-16: Parámetros de Seguridad de las Contraseñas ...... 56 TABLA 2-17: Vulnerabilidades del Router...... 59 TABLA 2-18: Vulnerabilidades del Firewall ...... 61 TABLA 2-19: Parámetros de Seguridad del Sistema Anti-virus ...... 63 TABLA 2-20: Parámetros de Seguridad de la Red de Área de Almacenamiento .. 64 TABLA 2-21: Parámetros de Seguridad de la Red Inalámbrica ...... 65 TABLA 2-22: Parámetros de Seguridad del Servidor WEB ...... 66 TABLA 2-23: Comparación de Herramientas de Análisis de Aplicaciones Web..... 67 TABLA 2-24: Vulnerabilidades de la Aplicación Web ...... 71 TABLA 2-21: Parámetros de Seguridad de los Usuarios de Internet ...... 72 TABLA 2-22: Parámetros de la Seguridad Física ...... 73 TABLA 2-23: Entidades de Evaluación sin Identificación de Vulnerabilidades ...... 74 TABLA 2-24: Parámetros identificados como vulnerabilidades ...... 75 TABLA 2-25: Falsos positivos ...... 76 TABLA 2-26: Vulnerabilidades a evaluar ...... 76 T