De Computacion

Tabla de contenidos 1 INTRODUCCIÓN 2 OBJETIVOS 3 RESULTADOS ESPERADOS 4 DESARROLLO 5 APLICACIÓN DE LOS PROCESOS 6 RESULTADOS 7 CONCLUSIONES 8 RECOMENDACIONES 9 PROYECTOS FUTUROS 10 REFERENCIAS 11 ENLACES

INTRODUCCIÓN

La Red LAN de la Universidad se ha ido incrementando en su infraestructura física y lógica cada día más, el internet hace unos años atrás fue un lujo, en tanto que ahora se ha convertido en una necesidad para los usuarios finales usándola para un sinnúmero de tareas, pero no todo es color rosa, de tal forma como ha ido incrementando las tecnologías también las amenazas, las mismas que explotan vulnerabilidades que al final se convierten en riesgos potenciales.

El tan solo hecho de que los usuarios finales hagan uso de la red LAN de la Universidad por diferentes razones, desde ese momento están corriendo el riesgo de ataques originados por malware, hackers, personas curiosas o en casos por descuido de las personas mismas, pero lo crítico es que hay usuarios que han sido víctimas sin ser consciente de ello, dando como resultado el desconocimiento de las medidas a tomar o el impacto del riesgo que están expuesto.

Pues ahora existen en el mercado herramientas gratuitas o comerciales que permiten realizar un test de intrusión o análisis de vulnerabilidades con el objetivo de prevenir ataques y la apertura de metodologías de ethical hacking.

La estructura de la tesis está conformada por 5 capítulos.

• Capítulo 1 es el Estado del Arte de la Seguridad en Redes LAN donde se define algunos términos concernientes a la seguridad, las amenazas, la clasificación de los ataques y las vulnerabilidades en los sistemas informáticos, herramientas para la evaluación de vulnerabilidades y riesgos, se menciona algunas mejores prácticas de seguridad y finalmente los proyectos relacionados.

• El capítulo 2 denominado Esquema actual de Seguridad de la Universidad Técnica Particular de Loja, señalando la infraestructura de seguridad implementada tanto para la red LAN, Inalámbrica, red WAN, equipos de gestión de seguridad y la tecnología de Voz/IP.

• El capítulo 3 es el Análisis de riesgos de los servicios de la red LAN de la UTPL desde la perspectiva del usuario finaTexto en cursival, pues en este se refleja la aplicabilidad del conjunto de procesos seleccionados de las metodologías OSSTMM y OCTAVE, y los resultados arrojados durante el test de penetración y estrategias de protección.

• En el capítulo 4 se encuentra el Informe final del test de intrusión y discusión de resultados permitiendo evaluar los resultados encontrados en el tiempo que duro el test de intrusión.

• Finalmente el capítulo 5 hace mención a las conclusiones y recomendaciones que se han logrado obtener por la culminación de este proyecto de tesis, proponiendo mejoras para asegurar la confidencialidad, integridad y disponibilidad de la seguridad

En fin este proyecto de tesis permitirá hacer conocer la realidad latente que el usuario final está expuesto y aportará para el crecimiento en el ámbito de seguridad

OBJETIVOS

Objetivo General

* Indicar el grado de seguridad de exposición actual y real que enfrentan los usuarios al utilizar la Red LAN de la UTPL.

Objetivos Específicos

• Evaluar la seguridad del uso de la telefonía sobre IP, seguridad física, seguridad inalámbrica y tecnologías de internet.

• Comprobar el nivel de conocimiento o de conciencia de parte de los usuarios en el ámbito de seguridad.

• Determinar el nivel de exposición presente en la red ante ataques de un hacker.

• Comprobar la facilidad con la que un Script Kiddies podría llegar a obtener información sensible y usarla para fines maliciosos aprovechando las brechas de seguridad.

• Determinar la calidad de las claves usadas para el acceso aplicaciones y otros elementos.

• Evaluar el impacto de los riegos que está expuesto el usuario final.

RESULTADOS ESPERADOS

Al finalizar este proyecto de tesis.

• El grupo de seguridad poseerá conocimiento más a detalle sobre los riesgos que están expuestos los usuarios finales que fueron comprobados en esta investigación y el nivel de seguridad actual.

• El área de seguridad de la información de la universidad tendrá información que le servirá de guía y apoyo para hacer un ethical hacking posterior.

• Un informe final detallando los hallazgos encontrados durante el test de intrusión interno y un plan de acción.

• Verificar que el eslabón débil causante de la ruptura de la cadena de la tecnología de la información es el usuario final, por lo tanto se debe dar una oportuna capacitación y un programa de concientización.

DESARROLLO

Metodología.

Es primordial considerar la utilización de una metodología para la elaboración de esta tesis por lo tanto las que más se acoplan a las necesidades son dos: OCTAVE y OSSTM detalladas en el capítulo 1 de la tesis.

Selección de Metodología.

Una vez analizadas las funcionalidades de cada una de las metodologías se ha considerado importante unificar algunos pasos de OSSTMM Y OCTAVE. En un solo grupo de procesos que cumplan con los requerimientos de la tesis.

Por lo tanto de OCTAVE se tomó de la fase I los proceso 3 y 4 de la fase II, los procesos 5 y 6; y por ultimo de la fase III los dos procesos 7 y 8; como también de la OSSTMM se escogió 4 secciones, seguridad en las comunicaciones, seguridad inalámbrica, seguridad física y finalmente seguridad en las tecnologías de internet. Como resultado final se obtuvo un solo conjunto de procesos seleccionados como se lista a continuación.

Fase I. Construir perfiles de amenazas basados en activos.

• Proceso 1. Identificación de la información al usuario final.

• Proceso 2. Consolidación de la información y creación de perfiles de amenaza.

Fase II. Identificar los puntos vulnerables en la infraestructura.

• Proceso 3. Identificación de componentes claves.

• Proceso 4. Evaluación de componentes seleccionados.

Proceso 4.1 Seguridad en las comunicaciones.

Proceso 4.2 Seguridad inalámbrica.

Subproceso 4.2.1 Verificación de redes inalámbricas [802.11].

- Evaluar la habilidad de determinar el nivel de control de acceso físico a los puntos de acceso.

- Determinar si los puntos de acceso son apagados durante los momentos del día en los que no son utilizados.

Proceso 4.3 Seguridad física.

Subproceso 4.3.1 Evaluación de controles de acceso.

- Enumerar dispositivos o elementos críticos utilizados por el usuario final.

- Examinar dispositivos y tipos de control de acceso.

- Determinar el nivel de privacidad en un dispositivo de control de acceso.

- Determinar las áreas físicas seguras del campus universitario.

- Examinar los dispositivos de control de acceso en búsqueda de puntos débiles y vulnerabilidades.

Proceso 4.4 Seguridad en las tecnologías de internet.

Subproceso 4.4.1 Sondeo de red.

- Definición del sistema a sondear.

- Identificar puertos abiertos.

- Identificar direcciones IP de las máquinas objetivos.

- Identificar servicios activos.

- Tipo de sistema operativo.

Subproceso 4.4.2 Revisión de privacidad.

- Cuáles son los sistemas involucrados para la recolección de datos.

- Listados de cuáles son las técnicas de recolección de datos.

- Listado de los datos recolectados.

- Identificar información de empleados, organizaciones o materiales que contienen información privada.

Subproceso 4.4.4 Búsqueda y verificación de vulnerabilidades.

- Integrar en las pruebas realizadas los escáneres, herramientas de hacking y exploits utilizados actualmente.

- Medir la organización objetivo utilizando herramientas de escaneo habituales actualmente.

- Identificar todas las vulnerabilidades relativas a las aplicaciones.

- Identificar todas las vulnerabilidades relativas a los sistemas operativos.

Subproceso 4.4.5 Recursos compartidos.

- Escaneo de host con recursos compartidos con seguridad activa e inactiva.

- Comprobar contraseñas con fuerza bruta.

- Ingresar a la máquina víctima.

Subproceso 4.4.6 Re-Ingeniería.

- Buscar las posibles combinaciones de contraseñas por fuerza bruta en las aplicaciones.

- Reunir información sensible a partir de ataques hombre-en-el-medio.

Subproceso 4.4.7 Descifrado de contraseña.

- Obtener usuario y contraseña.

- Usar contraseñas obtenidas o sus variaciones para acceder a sistemas o aplicaciones adicionales.

Subproceso 4.4.8 Testeo de denegación de servicios.

- Análisis de la seguridad de las estaciones de trabajo.

Fase III. Desarrollo de planes y estrategias de seguridad.

• Proceso 5. Análisis de riesgos.

• Proceso 6. Desarrollar estrategias de protección.

APLICACIÓN DE LOS PROCESOS

Luego de haber definido los procesos a utilizar, el siguiente paso es su aplicación según la infraestructura de la universidad.

FASE I. Construir perfiles de amenazas basados en activos.

Proceso 1. Identificación de la información al usuario final.

La UTPL tiene diferentes tipos de usuarios tales como:

• Estudiantes.
• Empleados.
• Usuario especial: (autoridades, usuario financiero).
• Profesores.
• Personas externas.

Proceso 2. Consolidación de la información y creación de perfiles de amenaza.

Riesgos de los servicios de la red LAN UTPL.

Para realizar este análisis de riesgos que enfrentan los usuarios,  se ha clasificado los servicios en dos tipos:

• Servicios internos.

• Servicios externos.

La figura 1 demuestra los servicios internos y externos, incluyendo el acceso al medio, ya que este también corre riesgos.

Figura 1. Servicios Internos y externos

Los servicios internos son aquellos los que la universidad brinda a la comunidad utepelina en cambio los servicios externos son utilizados por el usuario, pero no son propios de la entidad.

Todos estos son los que hacen uso de los servicios de internet que ofrece la red de la entidad  para realizar sus actividades diarias; por eso se ha considerado importante conocer cuales son los riesgos a los que están expuestos, tales como: fraude, robo de información, suplantación de identidades, entre otros.

FASE II. Identificar los puntos vulnerables en la infraestructura.

Proceso 3. Identificación de componentes claves.

Una vez conocidos los servicios y riesgos, es imprencindible evaluar los riesgos más importantes, determinando con la ayuda de una tabla el nivel de criticidad de cada uno. En la tabla 1, se ha considerado categorizar cualitativamente los nivel de criticidad según el porcentaje de impacto del riesgo como:

• Alto.
• Medio.
• Bajo.

Tabla 1. Nivel de criticidad de los riesgos.

La forma de determinar el nivel de criticidad de cada uno de los riesgos fue con la ayuda de la tabla anterior considerando el impacto del riesgo en base a la experiencia del personal que administra estos servicios y el porcentaje de probabilidad que ocurra. Cabe recalcar que estos resultados están enfocados a la continuidad del negocio más no en los servicios. Además estos dependen de la organización y del enfoque que se dé.

La tabla 2 presenta la evaluación de los riesgos más comunes y el nivel de criticidad que comparten los servicios de la UTPL.

Tabla 2. Riesgos comunes

Técnicas, Métodos y Herramientas.

La siguiente tabla detalla varias herramientas que se utilizó para el test de penetración.

Tabla 3. Herramientas para el test de penetración.

Proceso 4. Evaluación de componentes seleccionados.

Proceso 4.2. Seguridad inalámbrica.

Subproceso 4.2.1 Verificación de redes inalámbricas [802.11].

Proceso 4.3. Seguridad física.

Otra de las secciones de OSSTMM es la seguridad física, por ende se ha considerado fundamental analizarla, teniendo como apoyo una entrevista realizada al Departamento de Infraestructura de la Universidad sobre los temas incluidos en esta sección. Los resultados se evalúan en los siguientes puntos:

Subproceso 4.3.1 Evaluación de controles de acceso.

• Enumerar dispositivos o elementos críticos utilizados por el usuario final

- Impresoras.

- Computadoras.

- Data Centers.

- Laboratorios.

- Aulas.

- Copiadoras.

• Examinar dispositivos y tipos de control de acceso.

En esta área existen diferentes dispositivos de control de acceso como:

- Sistema de personal (Guardias).

- Sistema de circuito cerrado que incluye alarmas y cámaras.

• Determinar el nivel de privacidad en un dispositivo de control de acceso.

El nivel de privacidad de los controles de acceso es supervisado por los responsables del Departamento de Infraestructura.

• Determinar las áreas físicas seguras del campus universitario.

Todas las áreas internas del campus universitario se consideran seguras, sin embargo se ha categorizado de dos formas áreas críticas y no tan criticas, las áreas críticas como son:

- Edificio de la UPSI.

- Edificio del OCTOGONO.

- Edificio ADMINISTRACIÓN CENTRAL.

Y las áreas no tan críticas se puede mencionar algunas como:

- Aulas.

- Coliseo.

- El centro de convenciones.

Pero cabe mencionar que si estos lugares requieren de seguridad por motivos como: congresos, exposiciones, juegos internos, entre otros se proporciona la seguridad necesaria.

• Examinar los dispositivos de control de acceso en búsqueda de puntos débiles y vulnerabilidades.

En el caso de robo o pérdida de los dispositivos críticos dentro del campus universitario, el afectado deberá recurrir al departamento de Infraestructura para mencionar lo sucedido, luego de esto el departamento de Infraestructura comunica al Departamento de Seguridad y también a la Policía PJ para las respectivas investigaciones.

Si el elemento crítico pertenece a los activos fijos de la universidad estos cuentan con un seguro para la remediación del dispositivo, en el caso contrario no se responsabilizan de los daños.

• Enumerar dispositivos o elementos críticos utilizados por el usuario final

Proceso 4.4.Seguridad en las tecnologías de internet.

Subproceso 4.4.1 Sondeo de red

Definición del sistema a sondear

En este proceso las herramientas optadas para el sondeo de red fueron: Nmap, GFI LANguard Network Scanner y Autoscan Network.

En el sistema a sondear se incluyen los equipos utilizados por los usuarios finales, dirección IP críticas, direcciones físicas, puertos abiertos, servicios instalados, sistemas operativos instalados, recursos compartidos sin seguridad, claves de aplicaciones, la red inalámbrica y Telefonía IP.

Identificar servicios activos.

Es así que la siguiente figura muestra un resumen de todos los servicios habilitados de las 5 vlans que individualmente se presentaron en las figuras anteriores, recalcando que el servicio con mayor porcentaje es el NETBIOS, seguido de MICROSOFT-DS, el servicio de MSRPC en tercer lugar, en la siguiente posición es para el servicio de TERMINAL SERVER, a continuación HTTPS, luego HTTP, con un porcentaje del 2% SSH y finalmente con 1% los servicios restantes.

Figura 2. Servicios totales habilitados en la vlan's escaneadas.

Tipo de sistema operativo.

La siguiente figura 3 muestra que el 90% de los sistemas operativos que se tiene instalado es Windows, mientras que un 7% Linux y el restante 3% Mac OS, luego de haber realizado el proceso de exploración durante los meses de Abril, Mayo, Junio y Julio de aproximadamente 250 hosts.

Figura 3. Porcentaje de los sistemas operativos instalados en las computadoras de los usuarios.

Identificar todas las vulnerabilidades relativas a los sistemas operativos.

Los sistemas operativos utilizados son: Microsoft, Linux y Mac, cada uno de estos presenta vulnerabilidades.

Windows encabeza la lista del sistema operativo más vulnerable, a continuación Mac OS y GNU/Linux según el reporte de ESET.

Y también en otro estudio realizado se ha reportado lo siguiente:

- Windows XP 55 %

- Windows NT 1.7 %

- Windows Me 6.3 %

- Windows 98 20.8 %

- Windows 95 1 %

- Windows 2003 0.1 %

- Windows 2000 11.5 %

- Linux 0.1%

- Mac OS 1.8 %

- Otros 1.7 % .

La mayor parte de las vulnerabilidades son por problemas de seguridad denominados “O Day”

• Windows.

Windows es el sistema operativo universal, es decir el más utilizado por la mayoría de personas, de esta manera se ha convertido en el preferido para ataques. Microsoft proporciona la solución de los mismos con la aplicación de parches, sin embargo mayoría de los usuarios no actualizan su sistema operativo o no instalan los parches sugeridos, ocasionando ser víctimas de ataques.

- Susceptible a ataques de hacking.

- Vulnerable a ataques de virus.

- Agujeros de seguridad en versiones de los sistemas operativos.

- Tiene en su mayoría programas vulnerables que corren en este sistema operativo.

- Se desarrolla mucho software malicioso.

• Linux.

- Vulnerabilidad de seguridad en la librería libpng de Solaris.

- Vulnerabilidad de seguridad en Solaris XScreenSaver.

- Vulnerable a ataques de hacking.

• MAC OS.

- Aplicaciones instaladas en Mac que son vulnerables a través de detección de pruebas de concepto (PoC) a través de Ransomware con el objetivo de realizar fraudes.

- Creación de troyanos con RealBasic lenguaje de programación.

- Error de Buffer overflow por diferentes aplicaciones como: Google Chrome, Mozilla, OpenBSD.

- Solucionan sus problemas de seguridad en un tiempo considerable.

- Se tuvo un problema de JRE (Java Runtime Enviromment) que podría ser blanco por los intrusos para ejecutar código con solo ingresar a una página web.

Sin embargo estas vulnerabilidades son algunas de las que presenta cada uno de los sistemas operativos.

Subproceso 4.4.2 Recursos compartidos.

Escaneo host con recursos compartidos con seguridad activa e inactiva.

Para realizar este subproceso de escaneo de recursos compartidos se cuenta con la cantidad de 45 host de las diferentes VLANs, finalmente se determinó que los 28 hosts tienen seguridad activa y los 17 hosts restantes no tienen seguridad activa ver Tabla 4.

Tabla 4. Porcentaje de Recursos compartidos con seguridad activa e inactiva.

Subproceso 4.4.3 Descifrado de contraseña.

La figura siguiente muestra que el servicio de correo electrónico es el que tiene un número mayor de contraseñas obtenidas, el Entorno Virtual de Aprendizaje en un segundo lugar, varios en el tercer lugar y finalmente las redes sociales.

Subproceso 4.4.4 Testeo de denegación de servicios.

Análisis de la seguridad de las estaciones de trabajo.

Se tiene como resultado el gráfico de barras representado por la figura 4, en el cual se observa que el firewall es la tecnología de seguridad más habilitada en la mayoría de los equipos, como también los puertos cerrados o filtrados son una solución de seguridad, sin embargo de la VLAN 32 el segundo lugar ocupa los recursos compartidos con seguridad habilitada según el escaneo de los usuarios de 8 VLANs, otra medida es el bloqueo de los pings.

Figura 4. Porcentaje de las soluciones de seguridad habilitadas en las estaciones de trabajo.

FASE III Desarrollo de planes y estrategias de seguridad

3.4.1 Análisis de riesgos.

Es muy difícil considerar la eliminación total de los riesgos, pero implantando contramedidas de seguridad se podrán mitigar y reducir el impacto. De tal forma al encontrarse expuesto a un riesgo, se puede tomar tres alternativas: reducirlo, transferirlo o asumirlo el riesgo.

Las varias pruebas que se realizaron fueron para comprobar el impacto de los riesgos identificados al inicio.

Se determinó que todo los riesgos puede llevarse a cabo de una o de otra manera, al final se puede hacer hincapié de cuáles son los riesgos que tienen mayor probabilidad de ocurrencia. Ver figura 5.

Figura 5. Riesgos de mayor probabilidad.

3.4.2. Desarrollar estrategias de protección.

Implementar diferentes estrategias de seguridad para la red de la Universidad es importante y necesario, definiendo varias soluciones las cuales incrementen el nivel de confianza, por lo tanto, estas soluciones deberán evitar futuras amenazas que afecten la imagen y reputación de la red LAN de la Universidad. Recalcando que la manipulación no autorizada de la información critica podría llegar a ser invaluable.

Con el objetivo de asegurar la red LAN de la Universidad es necesario implementar estrategias de protecciones como:

• Preventivas.

• Correctivas y

• Detectivos.

La figura 6 es la representación gráfica de las estrategias de protección.

Figura 6. Clasificación de las estrategias de protección.

3.4.2.1. Estrategias de protección preventivo.

- Test de intrusión internos periódicamente.

- Crear contraseñas robustas y cambiarlas periódicamente.

- Ubicación física del punto de acceso.

- Instalar un firewall personal.

- Instalar un antivirus adecuado.

- Defensa en profundidad.

- Implementar soluciones a nivel de host.

- Capacitación a los miembros del equipo de seguridad.

- BCP Plan de Continuidad de Negocio.

- Identificación de un plan de seguridad enfocándose al ciclo PDCA.

- Escaneador de puertos.

- Respaldo de datos.

3.4.2.2. Estrategias de protección correctivos

- Importancia de la implantación de una política de seguridad de la información en la organización.

- Evitar ataques de envenenamiento de ARP.

- Seguridad en cuanto Voz/IP.

- Realizar un plan de contingencia de los servicios críticos.

- ISO 27001, 27002 y Sistema de Gestión de la Seguridad de la Información.

- Certificados digitales.

- Escaneo de Puertos.

- Boletines de seguridad que publican en las páginas web oficiales de los sistemas operativos.

- Procesos de concientización.

3.4.2.3. Estrategias de protección detectivos

- Políticas de seguridad.

- Herramientas Antisniffing.

- Siempre estar actualizados.

- Recursos compartidos.

- Criptografía.

- Auditorías.

- Protegerse de los sniffers.

RESULTADOS

Se cuenta con un mapa conceptual para mayor información y comprensión de las causas principales de los problemas y las estrategias de protección.

LINK DEL MAPA CONCEPTUAL.

https://docs.google.com/document/pub?id=1bdIcLHBNGJXq1eyKcrCZS0aehgvwI5FSLYTg63TDhkw

La figura 7 representa la seguridad actual de la Red LAN de la Universidad, en la cual se consideró un 99.9% de seguridad ideal en la red, sin embargo cada uno de los círculos pequeños significan diferentes ítems revisados en el test de intrusión, por lo que el porcentaje que se localice por fuera del círculo grande es determinado inseguro, es decir en el caso de obtención de documentos el porcentaje seguro es 29.9% e inseguro el valor restante que es de 70%, en IPv6 24.9% es seguro, en cuanto a Voz/IP seguro es 29.9%, con un 89.9% de inseguridad está la seguridad física, recursos compartidos es 54.9% seguro y finalmente la obtención de claves seguro con un porcentaje de 9.9%.

Figura 7. Porcentaje de la seguridad total de la red LAN.

• Para ir disminuyendo o mitigando las vulnerabilidades encontradas durante el desarrollo de esta tesis se debe contar con una gran disponibilidad y unificar esfuerzos para obtener los resultados esperados.

El considerar todos estos temas de seguridad detallados anteriormente, entenderlos su funcionamiento en la redes LAN, y tener claro lo que se debe proteger es fundamental en una organización.

• Por lo tanto una organización en la mayoría del tiempo está más arriesgada a un ataque interno que a uno externo según los reportes presentados por Symantec y Cybsec, por ello conlleva a una emergente utilización de medidas de seguridad para contrarrestarlas o evitarlas.

• Se cuenta con varias metodologías que se pueden aplicar para un test de penetración, en este caso se han analizado cada una de las características de ellas, optando por la que cumpla con las necesidades de la red LAN.

• El Plan de contingencia ahora en la actualidad es necesario y más aún en la Universidad por la información crítica que circula por la red, tanto que así la no existencia es alarmante

• Por lo tanto los resultados arrojados durante el test de penetración fueron hechos por una muestra de 8 VLANs de alrededor de 86, reflejando únicamente solo el comportamiento de las mismas, pero se puede llegar a realizar una analogía de la seguridad de todas las VLANs

CONCLUSIONES

• El conjunto de procesos seleccionados empleados para el test de intrusión fue la unión de algunos secciones de seguridad de la metodología Osstmm y de todas las fases de Octave, las cuales se adoptaron a las necesidades iniciales del proyecto de investigación, proporcionado una guía importante para determinar los pasos a seguir, brindando los ítems de entrada y salida para la culminación exitosa del análisis de vulnerabilidades de la Red LAN de la UTPL.

• Se ha podido cumplir con todos los pasos incluidos en el conjunto de procesos de las dos metodologías durante el periodo abril - agosto, como resultado en el anexo VII está el informe final de test de intrusión interno donde se representa los hallazgos encontrados durante el periodo del test, dado los resultados obtenidos es necesario la implementación de diferentes mecanismos de protección. Este tipo de proyecto permite actuar de forma proactiva anticipando los hechos que pueden suscitar, analizando el impacto de los riesgos y el nivel de criticidad, además se ha demostrado que no es suficiente la estrategia actual si no la combinación de todo la infraestructura de seguridad con las pruebas de ethical hacking.

• No se puede llegar a tener una seguridad al 100%, pero aplicando algunas de las estrategias de protección se obtendrá una seguridad aceptable de acuerdo a las necesidades de seguridad que la Universidad requiere.

• Los servicios internos y externos que manipula el usuario final por medio de la red LAN siempre se encuentran acechados por múltiples riesgos de seguridad, el nivel de criticidad identificado por cada uno de los riesgos fue determinado en base a la continuidad del negocio más no en un cierto servicio, también en la experiencia de las personas que están al contacto de los usuarios finales y por la probabilidad de ocurrencia de los riesgos.

• Es así que la concientización de parte de todos los usuarios finales es crucial y fundamental para mitigar el gran porcentaje de problemas encontrados, siendo el usuario final el principal protagonista, además proporcionar capacitaciones periódicas enfocadas al factor humano con el tema de seguridad de la información con el objetivo de protegerse de los ataques.

• De tal forma que la red cableada como la red inalámbrica se ha interceptado las comunicaciones, sin embargo la red inalámbrica es más propensa ya que no utiliza ningún tipo de cifrado esto es en los AP abiertos, considerar las mismas políticas de utilización y administración para estos dos tipos de redes que son utilizados por los usuarios.

• El conjunto de técnicas, procesos y herramientas utilizadas fue lo más importante para realizar las pruebas de ethical hacking, ayudando a recopilar información y obtención de resultados. La mayoría del software es gratuito y está disponible ampliamente en el internet, siendo una amenaza para la seguridad.

• Los riesgos planificados desde el principio de esta tesis fueron considerados ALTOS, pero en el trayecto y final han sido categorizados de la misma forma, se debe tomar los controles de forma urgente ya que el impacto en el caso de que llegará a suscitar es ALTO, llegando a tener problemas no previstos. Sin embargo la mayoría de estos riesgos de intercepción de las comunicaciones, robo/pérdida de información, suplantación de identidad e interrupción de los servicios son producidos en algunos casos por el factor humano, originados por descuido, robo del equipo portátil, memorias, virus informáticos, recursos compartidos sin protección, entre otros.

• La principal preocupación detectada es que los ataques son suscitados por amenazas internas como el personal interno de la Universidad y estudiantes, reduciendo la hipótesis que el origen son las amenazas externas, no se debería dejar a un lado esta afirmación, al contrario, prestar toda la atención ya que estos manejan y acceden a información confidencial y crítica que resulta un activo importante para la Universidad.

RECOMENDACIONES

• Se recomienda un análisis profundo de los hallazgos encontrados, sobre todo conocer cuál sería el efecto de las estrategias a implementar ya sean estas a corto, mediano o a largo plazo, se debe tomar en cuenta la comodidad ante la seguridad.

• La seguridad es un conjunto de procesos mas no es un producto, es recomendable que se estudie el plan de acción emitido para que sea aplicado por las personas encargadas de la gestión de la seguridad de la información de la Universidad

• Es recomendable que todo los procesos, tecnología y servicios a implementar en la red de la Universidad y los mismos sean para el uso de los usuarios finales tengan un proceso de análisis de vulnerabilidades y se recomienda que este tipo de proyecto se haga en un ambiente de pruebas para evitar la interrupción del servicio en producción

• Debido a los problemas suscitados y encontrados durante este proyecto de tesis, es imprescindible la implementación de un IDS/IPS para todos los segmentos de la red enfocados a los usuarios finales garantizando la seguridad.

• Se recomienda mantenerse informados de las nuevas herramientas de seguridad disponible, de tal forma permite la actualización del plan de acción que se encuentra en el anexo VII, debido a que las vulnerabilidades y amenazas cada día aumentan y cambian rápidamente. Gracias a la aplicación de la gestion de la seguridad con el plan de (PLAN-DO-CHECK-ACT). para realizar un monitoreo continuo de la seguridad de la información.

• Sin embargo la implementación de una solución para monitorear al usuario final sería otra solución extrema, permitiría conocer el cumplimiento de las políticas, es el caso del tipo de robustez de contraseñas, parches de las aplicaciones, versiones del sistemas operativos, la actualización del antivirus, entre otras cosas, analizando el nivel de cumplimiento de las mismas.

• Es recomendable la implementación de políticas enfocadas al usuario final las mismas que se elaboraron y se encuentran en el anexo VII, es imprescindible utilizar métodos de difusión de las políticas como: prensa escrita o televisiva y lo más difícil es tratar de conocer que el personal está cumpliendo con estas políticas, esto reduciría un gran porcentaje las amenazas que acechan día a día.

• De forma paralela a la aplicación de políticas de seguridad se recomienda el proceso de auditoría de la gestión de la seguridad ya que es fundamental utilizarla, ayudando a verificar de qué forma se están cumpliendo las políticas y revisando si cumplen con las expectativas.

• Se recomienda la implementación de mecanismos de protección y de seguridad para IPv6 y las respectivas políticas de seguridad.

• El recurso humano que integra el grupo de seguridad debe estar constantemente actualizado, capacitado y asesorado, contar con un seguimiento total o a su vez un ethical hacking de la seguridad implementada, reportando las fallas encontradas y generando un informe final para su presentación a las personas involucradas.

PROYECTOS FUTUROS

• Llevar a cabo un proceso de auditoría interna y un control interno a la red LAN de la Universidad.

• Realizar el proceso de ethical hacking enfocado a las aplicaciones desarrolladas por el personal de la Universidad para identificar y analizar vulnerabilidades.

• Implementar el Esquema de Seguridad para IPv6 para toda la red de equipos activos y usuarios finales.

• Que el proceso de la metodología planteada en este proyecto de tesis sea llevada a cabo por el área de la seguridad de la información en los diferentes campos.

• Implementar una Honeynet interna UTPL para analizar tráfico malicioso originado desde la red interna.

• Realizar un software de seguridad que permita automatizar la mayoría de los procesos seleccionados en esta tesis.

REFERENCIAS

Capítulo 1.

[1] ArCERT. (s.f.). Manual de Seguridad en Redes . Recuperado el 22 de Noviembre de 2009, de Manual de Seguridad en Redes : http://www.arcert.gov.ar/webs/manual/manual_de_seguridad.pdf

[2] BIBLIOGRAPHY Ardita C. Julio Lic. Jornadas de Seguridad Informática recuperado el 30 de Marzo de 2010 CYBSEC. Security Sistems

[3] Berenguela Castro, A. A, & Cortes Collado, J. P. (Diciembre de 2006). Metodología de medición de Vulnerabilidades en redes de datos de Organizaciones. Recuperado el 28 de Octubre de 2009, de. HYPERLINK "http://www.formacionalimentaria.com/documentos/medicion-vulnerabilidades.pdf"

[4] Borghello, C. F. (Septiembre de 2001). Seguridad Informática sus implicaciones e implementación. Recuperado el 28 de Octubre de 2009, de Seguridad Informática sus implicaciones e implementación: http://www.segu-info.com.ar/tesis/

[5] Delgado Reyes, Silvia Janeth, Guaichizaca, Sarango Laura Amparo. Análisis de la Influencia de los Delitos Informáticos e implementación de Políticas para su prevención en la red y las plataformas de la Universidad Técnica Particular de Loja. Disponible en Recuperado el 24 de Noviembre del 2009, Disponible HYPERLINK "http://www.utpl.edu.ec/eccblog/wp-content/uploads/2007/04/articulo-tecnico-analisis-de-la-influencia-de-los-delitos-informaticos-e-implementacion-de%20politicas_silviadelgado.pdf"

[6] ESET. (2010). ESET Security Report Latinoamérica. Recuperado el 16 de Marzo de 2010, de ESET Security Report Latinoamérica: Disponible en http://www.eset-la.com/press/informe/eset_report_security_latinoamerica.pdf

[7] Gómez Cárdenas, R. (20 de Noviembre de 2005). Seguridad en redes LAN. Recuperado el 1 de Diciembre de 2009, de Seguridad en redes LAN: http://www.criptored.upm.es/guiateoria/gt_m626j.htm

[8] Herzog, P. (s.f.). Metodología Abierta de Testeo de Seguridad . Recuperado el 15 de Noviembre de 2009, de Metodología Abierta de Testeo de Seguridad : http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf.

[9] Hidalgo, R. (2006). Uso de IPSEC versus SSL para aplicaciones de internet de la UTPL .Recuperado el 23 Noviembre del 2010

[10] Loayza Carlos. Seguridad para la Red Inalámbrica de un Campus Universitario. Tomado el 27 de Noviembre del 2010 HYPERLINK "http://www.lacnic.net/documentos/lacnicxi/presentaciones/WiFi_UTPL.ppt" www.lacnic.net/documentos/lacnicxi/presentaciones/WiFi_UTPL.ppt

[11] López García, M. d. (15 de Junio de 2009). Seguridad en los sistemas de información: Recuperado el 1 de Diciembre de 2009, de Seguridad en los sistemas de información:: http://delta.cs.cinvestav.mx/~francisco/ssi/PresentacionSeguridad.pdf

[12] Monroy López, D. (Junio de 2009). Análisis inicial de la anatomía de un ataque a un sistema informático. Recuperado el 27 de Noviembre de 2009, de Análisis inicial de la anatomía de un ataque a un sistema informático: http://www.segu-info.com.ar/tesis/

[13] Ochoa Roblez, J. M., Quinde España, V. M., & Uyaguari Ojeda, M. (2006). Evaluación de Amenazas y Vulnerabilidades de Recursos Criticos Operacionales(OCTAVE) a nivel de usuario final para la UTPL. Loja. Disponible en HYPERLINK "http://www.utpl.edu.ec/eccblog/wp-content/uploads/2007/04/articulo-" http://www.utpl.edu.ec/eccblog/wp-content/uploads/2007/04/articulo- tecnico-evaluacion-de-amenazas-y-vulnerabilidades-de-recursos-criticos-operacionalesoctave-a-nivel-de-usuario-final-para-la-utpl.pdf.

[14] OWASP. (s.f.). Recuperado el Noviembre de 22 de 2009, de HYPERLINK "http://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.pdf" http://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.pdf Racciatti, H. M. (2005).

[15] Pinzón Olmedo Freddy Bolívar. Junio del (2008). Identificación de vulnerabilidades, análisis forense y atención a incidentes de seguridad en los servidores de la UTPL. Recuperado el 22 de Noviembre del 2010 http://www.segu-info.com.ar/tesis/

[16] Racciatti, H. M. (2005). Metodologías de Testeo de la Seguridad. @RROBA (94), 12. http://es.calameo.com/read/000122258ce6a23a6fca2

[17] Robos por internet, el factor humano los usuarios son en el talón de Aquiles en la seguridad informática. La 'Ingeniería Social', un arma para cometer ciberdelitos. (08 de 15 de 2008). Recuperado el 15 de Abril de 2010, de http://www.dinero.com/edicion-impresa/tecnologia/robos-internet-factor-humano_51219.aspx

[18] Symantec, Applied Research Reporte Seguridad IT, Recuperado en Noviembre del 2010. tomado el 6 de Agosto del 2010.

[19] Sistema de Gestión de Seguridad Norma ISO-27001. (s.f.). Recuperado el 27 de Noviembre de 2009, de Sistema de Gestión de Seguridad Norma ISO-27001. HYPERLINK "http://www.slideshare.net/gugarte/sistema-de-gestion-de-seguridad-it-norma-iso-27001-corpei-presentation" http://www.slideshare.net/gugarte/sistema-de-gestion-de-seguridad-it-norma-iso-27001-corpei-presentation

[20] Tirado, J. M. (28 de Enero de 2009). El usuario es el eslabón más débil en la cadena de protección IT. Recuperado el 14 de Abril de 2010, de Enemigo Interno: http://www.eset-la.com/press/concurso/enemigo-interno.pdf

[21] Verdesoto Gaibor, A. (2007). Utilización de Hacking Ético para diagnósticar, analizar y mejorar la seguridad Informática en la Intranet de vía celular comunicaciones y representaciones. Quito.

[22] Vieites, Á. G. (2007). Enciclopedia de la Seguridad Informática . México : Alfaomega. Tomado el 27 de Noviembre del 2009.

Capítulo 2.

[1] Cabrera, A., Cueva, H., & Espinosa, M. P. (15 de Julio de 2008). Manual de Gestión de Seguridad de la Información , Loja, Ecuador.

[2] Manual de Administración de la Red LAN del grupo de Telecomunicaciones. Tomado el 27 de Noviembre del 2009

Capítulo 3.

[1] Álvarez Marañón, G., & Pérez García, P. P. Seguridad informática para empresas y particulares. Mcgraw-hill. Tomado el 5-Agosto-2010.

[2] Audea, Seguridad de la Información Recuperado el 25 de junio del 2010, de http://www.abogados-lopd.es/wp-content/uploads/2009/11/20100430-%C3%81UDEA-Boletin-de-Vulnerabilidades.pdf.

[3] Baluja Garcia, W., & Anías Calderón, C. (27 de Septiembre de 2006). Amenazas y defensas de seguridad en las redes de próxima generación. Cuba. tomado el 23 de mayo del 2010.

[4] Calvo Orra, A. (2006). ISO 27001. Normas y Estándares . CERT. (17 de Septiembre de 2008). OCTAVE. Recuperado el 27 de Marzo de 2010, de http://www.cert.org/octave/.

[5] Castellanos Luis ¿Qué porcentaje de gente usa Mac, Linux, Windows, etc.? http://tecnologiaaldia.wordpress.com/2009/11/30/%c2%bfque-porcentaje-de-gente-usa-mac-linux-windows-etc/ (2009) .Tomado el 15 de junio del 2010.

[6] Corral Torrela, G. (10 de Julio de 2009). New Challenges in Detection and Manegement of Security of Vulnerabilities in Data Netwmorks Tesis Doctoral. Barcelona. tomado el 24 de mayo del 2010

[7] Detectando sniffers en nuestra red. Redes conmutadas y no conmutadas tomado el 15 de junio del 2010 Disponible en http://www.maestrosdelweb.com/editorial/sniffers.

[8] Envenamiento ARP INTECO, disponible en http://www.inteco.es/Seguridad/Observatorio/Actualidad_Observatorio//Noticia_articulo_envenenamiento TOMADO EL 15 de junio del 2010

[9] ESET. (2010). ESET Security Report Latinoamérica. Recuperado el 16 de Marzo de 2010, de www.eset-la.com

[10] Farías-Elinos, M., Gómez Velazco, L. E., & Mendoza Díaz, M. C. (s.f.). Importancia del Análisis de Riesgo de Seguridad. Recuperado el 17 de Abril de 2010, http://seguridad.internet2.ulsa.mx/congresos/2003/cudi2/impariesgo.pdf

[11] Forné, J., Melús, J. L., & Soriano, M. (s.f.). Criptografía y Seguridad en Comunicaciones. Recuperado el 28 de Octubre de 2009, de http://www.govannom.org/seguridad/criptografia/jf_novatica.pdf

[12] Fyodor. (s.f.). Secctols. Recuperado el 16 de Abril de 2010, Las 75 Herramientas de Seguridad Más Usadas: http://sectools.org/

[13] Gómez Cárdenas, R. (20 de Noviembre de 2005). Seguridad en redes LAN. Recuperado el 1 de Diciembre de 2009,: http://www.criptored.upm.es/guiateoria/gt_m626j.htm.

[14] Hervalejo Sánchez Alberto. Auditorías de Seguridad Informática y la OSSTMM tomado (2009) tomado el 15 de mayo del 2010. Disponible en: http://www.scribd.com/doc/17740680/Auditorias-de-Seguridad-Informatica-y-la-OSSTMM#fullscreen:on

[15] Herzog, P. (s.f.). Metodología Abierta de Testeo de Seguridad . Recuperado el 15 de Noviembre de 2009, : http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf OSSTMM 2.1.

[16] Hidalgo, R. (2006). Uso de IPSEC versus SSL para aplicaciones de internet de la UTPL.

[17] Hispasec Sistemas ¿Cuánto tardan los grandes fabricantes de software en arreglar una vulnerabilidad? (Septiembre, 2009) HYPERLINK "http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades.pdf" http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades.pdf tomado el 15 de junio del 2010.

[18] González Tello Mery E Diseño del sistema de mejoramiento de seguridad y administración de trafico para el IDP (Internet service provider) READYNET" Recuperado el 22 de Junio de 2010, de http://bibdigital.epn.edu,ec/bitstream/15000/52/1/CD-0019.pdf.

[19] Hernandez Maximilian Alan (2004) Estrategias de seguridad informática Tomado el 15 de junio del 2010 Disponible en HYPERLINK "http://www.desarrolloweb.com/articulos/1592.php" http://www.desarrolloweb.com/articulos/1592.php

[20] Mieres Jorge(2009) Ataques informáticos Debilidades de seguridad comúnmente explotadas Disponible en https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf.

[21] Monroy López, D. (Junio de 2009). Análisis inicial de la anatomía de un ataque a un sistema informático. Recuperado el 27 de Noviembre de 2009, http://www.segu-info.com.ar/tesis/

[22] Nmap. (s.f.). Nmap. Recuperado el 13 de Abril de 2010, de Nmap: http://nmap.org/

[23] Ochoa Roblez, J. M., Quinde España, V. M., & Uyaguari Ojeda, M. (2006). Evaluación de Amenazas y Vulnerabilidades de Recursos Criticos Operacionales(OCTAVE) a nivel de usuario final para la UTPL. Loja.

[24] Ramió Aguirre Jorge (febrero/junio de 2010) Elementos de optimización en la gestión de la seguridad de la información orientada a la continuidad del negocio, recuperado el 13 de Julio del 2010 Disponible en http://www.criptored.upm.es/guiateoria/gt_m001x.htm

[25] Remoite-Exploit Bactrack4. (s.f.). Recuperado el 13 de Abril de 2010, de http://forums.remote-exploit.org/guias-y-tutoriales/29656-fping-backtrack4.html

[26] Sophos. (2010). Security Threat Report 2010. Recuperado el 19 de Febrero de 2010, de Security Threat Report 2010: http://www.sophos.com/sophos/docs/eng/papers/sophos-security-threat-report-jan-2010-wpna.pdf

[27] Mohamed Al-Hemairy, Saad Amin, Zouheir Trabelsi (2009) Towards More Sophisticated ARP Spoofing Detection/Prevention Systems in LAN Networks. Tomado el 25 de julio del 2010.

[28] Vila, C. (s.f.). El origen de los ataques de la red interna:DEBILIDADES DEL PROTOCOLO ARP. http://www.infosecurityvip.com/newsletter/capacitaciones_abr10.html Recuperado el 15 de Abril de 2010, de www.isec-global.com

ENLACES

Tesis

Paper

Informe final del test de intrusión interna

Plan de acción

Políticas de seguridad enfocadas al usuario final