ESCANEO DE VULNERABILIDADES AL SERVIDOR PRINCIPAL DE LA EMPRESA CASO DE ESTUDIO JORGE LEONARDO RAMIREZ RESTREPO WILLIAMS AVILA PARDO UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA SANTIAGO DE CALI 2018 1 ESCANEO DE VULNERABILIDADES AL SERVIDOR PRINCIPAL DE LA EMPRESA CASO DE ESTUDIO JORGE LEONARDO RAMIREZ RESTREPO WILLIAMS AVILA PARDO Proyecto de Grado para optar por el título: Especialista en Seguridad Informática Director Proyecto Esp. Ing. Freddy Enrique Acosta UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA SANTIAGO DE CALI 2018 2 Nota de Aceptación: __________________________________ __________________________________ __________________________________ __________________________________ __________________________________ __________________________________ __________________________________ __________________________________ __________________________________ __________________________________ __________________________________ __________________________________ Firma del presidente del jurado __________________________________ Firma del jurado __________________________________ Firma del jurado Santiago de Cali, 02 de mayo de 2018 3 Dedico este proyecto de grado fundamentalmente a Dios, quien en su infinita bondad y amor, me brindo la fuerza y sabiduría necesaria para cumplir una meta más en mi vida y los objetivos de este proyecto. A mi madre Tulia Elvira Pardo Rodríguez, por brindarme apoyo en cada instante de mi vida, por enseñarme los valores que necesita un hombre para salir adelante y ser una persona de bien, por darme una razón para lograr mis metas, pero más que nada, por brindarme su inmenso amor. A el señor Agustín Emilio Contreras Morales, quien en algún momento de mi vida me dijo “Tu puedes lograr todo lo que te propongas”, por confiar en mí y por enseñarme a confiar en mí, por tantos valiosos consejos a lo largo de mi vida y por ser como un padre para mí. Y por último pero no menos importante, a mí esposa Diana Carolina Arciniegas Rojas, quien me ha acompañado en mis triunfos y derrotas, en aquellas noches largas de estudio arduo, quien me brinda su amor, gracias a ella que con su compañía me permite retarme cada día, en búsqueda de alcanzar mis metas y recompensar su amor. Williams Ávila Pardo 4 Dedico este proyecto de grado principalmente a nuestro creador Dios, quien me permite vivir cada día con las mejores condiciones de salud y darme la sabiduría de tomar las mejores decisiones en cada momento. A mis padres Humberto Ramírez y Elizabeth Restrepo por su apoyo constante y comprensión en cada etapa de mi vida, educándome e inculcándome los valores necesarios para ser una persona con ética personal y profesional, quienes con su ejemplo de perseverancia y respeto han edificado quien soy hoy en día. A cada uno de los tutores de la Universidad Nacional Abierta y a Distancia en los cursos que tome a nivel de pregrado y posgrado, de cada uno de ellos tome las mejores orientaciones y conocimientos, que forjaron cada una de las bases necesarias para adquirir el conocimiento necesario, el cual hoy en día me lleva a dar desarrollo a este proyecto. Finalmente, a mi novia Eliana Julieth Sánchez Torres, por brindarme el apoyo, motivación suficiente en los momentos difíciles e impulsarme a nunca dejar atrás mis metas. Jorge Leonardo Ramírez Restrepo 5 AGRADECIMIENTOS Williams Avila Pardo y Jorge Leonardo Ramírez Restrepo agradecen a: La empresa caso de estudio por permitirnos desarrollar este proyecto en tan importante entidad, por brindarnos los recursos y disponibilidad para aplicar los conocimientos adquiridos en este programa académico. La Universidad Nacional Abierta y a Distancia por brindar educación para todos, donde desde su plataforma tecnológica y equipo docente, puso a nuestra disposición todo lo requerido para realizar un correcto desarrollo del proyecto. A tutores e Ingenieros Luis Fernando Zambrano y Salomón González quienes nos brindaron la orientación desde sus conocimientos en los cursos Proyecto de Seguridad Informática I y II respectivamente, sin sus observaciones y apoyo tutorial no hubiese sido posible desarrollar a cabalidad este proyecto. Esp. Ing. Freddy Enrique Acosta quien fue nuestro asesor de proyecto, con su orientación metodológica y su gran disponibilidad logramos cumplir todos los objetivos propuestos. De igual manera agradecemos a todas aquellas personas que de una u otra forma permitieron la realización de este proyecto. 6 TABLA DE CONTENIDO pág. GLOSARIO ............................................................................................................ 19 RESUMEN ............................................................................................................. 23 ABSTRACT ............................................................................................................ 24 INTRODUCCIÓN ................................................................................................... 25 1. DEFINICIÓN DEL PROBLEMA ..................................................................... 27 1.1. PLANTEAMIENTO DEL PROBLEMA ........................................................... 27 1.2. FORMULACIÓN DEL PROBLEMA ............................................................... 27 1.3. OBJETIVOS .................................................................................................. 28 1.3.1. Objetivo general ........................................................................................... 28 1.3.2. Objetivos específicos ................................................................................... 28 1.4. JUSTIFICACION ........................................................................................... 28 1.5. ALCANCE Y DELIMITACION DEL PROYECTO ........................................... 30 1.5.1. Alcance ........................................................................................................ 30 1.5.2. Limitaciones ................................................................................................. 30 1.6. METODOLOGIA DE INVESTIGACION ......................................................... 31 1.6.1. Unidad de análisis ........................................................................................ 31 1.6.2. Población y muestra .................................................................................... 31 1.6.2.1. Población .................................................................................................. 31 1.6.2.2. Muestra ..................................................................................................... 31 1.6.3. Estudio metodológico ................................................................................... 31 1.6.3.1. Fase 1: Identificación de las vulnerabilidades del servidor ....................... 32 1.6.3.2. Fase 2: Evaluación las vulnerabilidades del servidor y propuesta de procedimientos para mitigar las vulnerabilidades encontradas .............................. 32 1.6.4. Instrumentos de recolección de información ................................................ 32 1.6.5. Producto resultado a entregar ...................................................................... 32 7 1.6.6. Tipos de investigación ................................................................................. 32 1.6.6.1. Investigación Descriptiva .......................................................................... 33 1.6.6.2. Investigación Proyectiva ........................................................................... 33 1.6.6.3. Investigación Evaluativa ............................................................................ 33 2. MARCO REFERENCIAL ............................................................................... 34 2.1. MARCO TEORICO ........................................................................................ 34 2.1.1. Estado del arte de la seguridad informática en Colombia ............................ 34 2.1.2. Metodologías de análisis de riesgos ............................................................ 36 2.1.3. Conveniencia del escaneo de vulnerabilidades en la empresa .................... 37 2.2. MARCO CONCEPTUAL ................................................................................ 38 2.2.1. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información - MAGERIT ......................................................................................... 39 2.2.1.1. Amenazas ................................................................................................. 39 2.2.1.2. Vulnerabilidades ....................................................................................... 40 2.2.1.3. Criterios de valoración del riesgo .............................................................. 41 2.2.2. ¿Qué es el escaneo de vulnerabilidades? ................................................... 42 2.2.3. Tipos de escaneo ......................................................................................... 42 2.2.4. Herramientas más conocidas para el escaneo de vulnerabilidades ............ 43 2.3. ANTECEDENTES ......................................................................................... 44 2.4. MARCO LEGAL ............................................................................................. 46 2.4.1. Normatividad nacional.................................................................................