Facultad De Ingeniería De Sistemas
Total Page:16
File Type:pdf, Size:1020Kb
ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA DE SISTEMAS ANÁLISIS DE RIESGOS Y VULNERABILIDADES DE LA INFRAESTRUCTURA TECNOLÓGICA DE LA SECRETARÍA NACIONAL DE GESTIÓN DE RIESGOS UTILIZANDO METODOLOGÍAS DE ETHICAL HACKING PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN OSWALDO ANDRÉS ACOSTA NARANJO [email protected] DIRECTOR: ING. CESAR GUSTAVO SAMANIEGO BURBANO [email protected] Quito, Marzo 2013 DECLARACIÓN Yo, Oswaldo Andrés Acosta Naranjo, declaro bajo juramento que el trabajo aquí descrito es de mi autoría; que no ha sido previamente presentada para ningún grado o calificación profesional; y que he consultado las referencias bibliográficas que se incluyen en este documento. A través de la presente declaración cedo mis derechos de propiedad intelectual correspondientes a este trabajo, a la Escuela Politécnica Nacional, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normatividad institucional vigente. __________________________ Oswaldo Andrés Acosta Naranjo CERTIFICACIÓN Certifico que el presente trabajo fue desarrollado por Oswaldo Andrés Acosta Naranjo, bajo mi supervisión. _______________________ Ing. Gustavo Samaniego DIRECTOR DE PROYECTO AGRADECIMIENTOS Agradezco a Dios, por haberme guiado desde el principio de mi vida personal y académica, quien me permitió llegar a concluir esta etapa de mi carrera. Agradezco principalmente a mi padre Oswaldo Acosta y a mi madre Teresa Naranjo, por estar presentes durante todos los años de estudio, por su incansable apoyo y por enseñarme que las metas se cumplen con esfuerzo y sacrificio propio. Agradezco profundamente a mis hermanas Catalina, Silvia, Evelin, Ivon y Mariatere, por el apoyo incondicional que me brindaron para la culminación de mi carrera . Agradezco a mis cuñados y a mis sobrinas, que me brindaron su total apoyo y que de una u otra forma han contribuido a la culminación de mis estudios. Agradezco especialmente a mi novia Andreita, por su amistad, cariño e incondicional amor, por el apoyo durante la realización de este proyecto y porque siempre creyó en mí. A los amigos, Edgar, Sociedad y a todos aquellos y aquellas con los cuales he compartido momentos agradables durante mis estudios y que siempre han estado allí. Andrés Acosta DEDICATORIA Dedico especialmente este trabajo a mis padres que siempre me apoyaron, y por haberme dado las bases de sacrificio y honestidad para culminar mis estudios. A mis hermanas, cuñados y sobrinas que siempre estuvieron presentes con su apoyo y consejos en cada momento de mi vida estudiantil. A mi novia que siempre me apoyo desde el inicio hasta el fin de este proyecto. Andrés Acosta 1 CONTENIDO DECLARACIÓN ....................................................................................................... I CERTIFICACIÓN .................................................................................................... II AGRADECIMIENTOS ............................................................................................ III DEDICATORIA ...................................................................................................... IV CONTENIDO ........................................................................................................... 1 ÍNDICE DE TABLAS ............................................................................................... 4 ÍNDICE DE FIGURAS ............................................................................................. 6 RESUMEN .............................................................................................................. 7 PRESENTACIÓN .................................................................................................... 8 1 CAPÍTULO: CARACTERIZACIÓN DE LA INSTITUCIÓN ............................ 10 1.1 INFORMACIÓN DE LA SECRETARIA NACIONAL DE GESTIÓN DE RIESGOS ............................................................................................... 10 1.1.1 ESTRUCTURA ORGÁNICA POR PROCESOS ............................. 11 1.2 DIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES .............................................................................. 13 1.2.1 PROCESOS Y SERVICIOS DE TIC ............................................... 13 2 CAPÍTULO: ANÁLISIS DE RIESGOS Y VULNERABILIDADES ................. 15 2.1 DETERMINACIÓN DE LA METODOLOGÍA DE ETHICAL HACKING A UTILIZAR ............................................................................................... 15 2.1.1 DESCRIPCIÓN DE LA METODOLOGÍA OSSTMM ....................... 15 2.1.1.1 METODOLOGÍA OSSTMM ............................................................... 17 2.1.1.2 ANÁLISIS Y EVALUACIÓN DE RIESGOS CON OSSTMM ............... 18 2.1.2 DESCRIPCIÓN DE LA METODOLOGÍA ISSAF ............................. 20 2.1.2.1 METODOLOGÍA ISSAF .................................................................... 20 2.1.2.2 ANÁLISIS Y EVALUACIÓN DE RIESGOS CON ISSAF .................... 24 2.1.3 SELECCIÓN DE LA METODOLOGÍA ............................................ 26 2.2 IDENTIFICACIÓN DE RIESGOS .......................................................... .27 2.2.1 IDENTIFICACIÓN DE ACTIVOS .................................................... .27 2.2.1.1 IDENTIFICACIÓN DEL DISEÑO DE ARQUITECTURA DE RED ..... .28 2.2.2 IDENTIFICACIÓN Y BÚSQUEDA DE VULNERABILIDADES ........ 32 2.2.2.1 RECOPILACIÓN DE INFORMACIÓN .............................................. 32 2 2.2.2.1.1 SELECCIÓN DE LA HERRAMIENTA DE RECOPILACION INFORMACIÓN .................................................................... 33 2.2.2.2 MAPEO DE RED .............................................................................. 41 2.2.2.2.1 SELECCIÓN DE LA HERRAMIENTA DE MAPEO DE RED .. 41 2.2.2.2.2 IDENTIFICACIÓN DE PUERTOS Y SERVICIOS................... 42 2.2.2.2.3 IDENTIFICACIÓN DEL SISTEMA OPERATIVO .................... 50 2.2.2.2.4 IDENTIFICACIÓN DEL PERÍMETRO DE RED ...................... 54 2.2.2.3 SEGURIDAD EN LAS CONTRASEÑAS ........................................... 56 2.2.2.4 SEGURIDAD DE LOS SWITCH........................................................ 57 2.2.2.5 SEGURIDAD DEL ROUTER ............................................................. 57 2.2.2.6 SEGURIDAD DEL FIREWALL .......................................................... 59 2.2.2.7 SEGURIDAD DEL SISTEMA DE DETECCIÓN DE INTRUSOS ........ 61 2.2.2.8 SEGURIDAD DEL SISTEMA ANTI-VIRUS ........................................ 62 2.2.2.9 SEGURIDAD EN LA RED DE ÁREA DE ALMACENAMIENTO ......... 63 2.2.2.10 SEGURIDAD EN LA RED INALÁMBRICA ...................................... 64 2.2.2.11 SEGURIDAD DEL SERVIDOR WEB ............................................... 65 2.2.2.12 SEGURIDAD DE LAS APLICACIONES WEB ................................. 66 2.2.2.12.1 SELECCIÓN DE LA HERRAMIENTA DE ANALISIS DE APLICACIONES WEB ......................................................... 66 2.2.2.13 SEGURIDAD DE USUARIOS DE INTERNET ................................. 71 2.2.2.14 SEGURIDAD FÍSICA ...................................................................... 72 2.3 ANÁLISIS DE RIESGOS ........................................................................ 73 2.3.1 VERIFICACIÓN DE VULNERABILIDADES .................................... 74 2.4 EVALUACIÓN DE RIESGOS ................................................................. 76 2.4.1 VALORACIÓN DEL RIESGO ......................................................... 77 2.4.2 ANÁLISIS DE IMPACTO ................................................................. 79 2.4.2.1 ANÁLISIS DE IMPACTO TÉCNICO ................................................... 79 2.4.2.2 ANÁLISIS DE IMPACTO DE NEGOCIO ............................................ 82 3 CAPÍTULO: TRATAMIENTO DE LOS RIESGOS ......................................... 86 3.1 PLAN DE MITIGACIÓN DE RIESGOS EN BASE A LOS ANÁLISIS DE IMPACTO ............................................................................................... 86 3.1.1 CONTRAMEDIDAS PARA LAS ENTIDADES DE EVALUACIÓN ... 86 3.1.2 PLAN DE MITIGACIÓN DE RIESGOS ........................................... 91 3 3.2 PRESENTACIÓN DE CONCLUSIONES Y RECOMENDACIONES PARA MITIGAR LOS RIESGOS ....................................................................... 96 4 CAPÍTULO: CONCLUSIONES Y RECOMENDACIONES ............................ 99 4.1 CONCLUSIONES ................................................................................... 99 4.2 RECOMENDACIONES ........................................................................ 100 BIBLIOGRAFÍA .................................................................................................. 102 ANEXOS ............................................................................................................. 104 ANEXO 1: Módulos del Mapa de Seguridad de OSSTMM versión 2.2 ............... 104 ANEXO 2: Entidades de Evaluación de ISSAF versión 0.2.1 .............................. 106 ANEXO 3: Registro de números de Puerto TPC y UDP ...................................... 107 ANEXO 4: Puertos usados por Troyanos ............................................................ 108 ANEXO 5: Vulnerabilidades de la SNGR ............................................................ 109 4 ÍNDICE DE TABLAS TABLA 2-1: Valores de Evaluación de Riesgos de OSSTMM ............................... 19 TABLA 2-2: Comparación de Metodologías ........................................................... 26 TABLA 2-3: Áreas de Alcance ..............................................................................