Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES”
FACULTAD DE SISTEMAS MERCANTILES
PROGRAMA DE MAESTRÍA EN SISTEMAS DE INFORMACIÓN
GERENCIAL
ARTÍCULO CIENTÍFICO PREVIO A LA OBTENCIÓN DEL GRADO
ACADÉMICO DE MAGISTER EN SISTEMAS DE INFORMACIÓN
GERENCIAL
TEMA:
IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS DE LA RED DE
LA UNIDAD EDUCATIVA “GONZALO ZALDUMBIDE”
AUTOR: ING. SILVA TERÁN JORGE ANDRÉS
TUTORES: DR. ROMERO FERNÁNDEZ ARIEL JOSÉ, PHD
ING. SANDOVAL PILLAJO ANA LUCÍA, MG
IBARRA – ECUADOR
2019
APROBACIÓN DE LOS TUTORES DEL TRABAJO DE TITULACIÓN
CERTIFICACIÓN:
Quienes suscriben, legalmente CERTIFICAMOS QUE: El presente Trabajo de
Titulación realizado por el Ing. Silva Terán Jorge Andrés estudiante del programa de
Maestría en Sistemas de Información Gerencial, Facultad de Sistemas Mercantiles, con
el tema “IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS DE LA
RED DE LA UNIDAD EDUCATIVA GONZALO ZALDUMBIDE”, ha sido
prolijamente revisado, y cumple con todos los requisitos establecidos en la normativa
pertinente de la Universidad Regional Autónoma de Los Andes -UNIANDES-, por lo
que aprobamos su presentación.
Ibarra, junio del 2019
_______________________________ _______________________________
Dr. Romero Fernández Ariel, Ph.D Ing. Sandoval Pillajo Ana Lucía, Mg
TUTOR TUTORA
DECLARACIÓN DE AUTENTICIDAD
Yo, Ing. Silva Terán Jorge Andrés, estudiante del programa de Maestría en Sistemas
de Información Gerencial, Facultad de Sistemas Mercantiles declaro que todos los
resultados obtenidos en el presente trabajo de investigación, previo a la obtención del
Grado Académico de MAGISTER EN SISTEMAS DE INFORMACIÓN
GERENCIAL, son absolutamente originales, auténticos y personales; a excepción de
las citas, por lo que son de mi exclusiva responsabilidad.
Ibarra, junio de 2019
DERECHOS DEL AUTOR
Yo, Ing. Silva Terán Jorge Andrés, declaro que conozco y acepto la disposición
constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma
de Los Andes, que en su parte pertinente textualmente dice: El Patrimonio de la
UNIANDES, está constituido por: La propiedad intelectual sobre las Investigaciones,
trabajos científicos o técnicos, proyectos profesionales y consultaría que se realicen en
la Universidad o por cuenta de ella;
Ibarra, junio de 2019
CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN
Yo, Ing. Checa Cabrera Marco Antonio, MBA. en calidad de Lector del Artículo
Científico.
CERTIFICO:
Que el presente trabajo de titulación realizado por el estudiante Ing. Silva Terán Jorge
Andrés sobre el tema: “IDENTIFICACIÓN DE VULNERABILIDADES Y
AMENAZAS DE LA RED DE LA UNIDAD EDUCATIVA GONZALO
ZALDUMBIDE”, ha sido cuidadosamente revisado por el suscrito, por lo que he
podido constatar que cumple con todos los requisitos de fondo y forma establecidos por
la Universidad Regional Autónoma de Los Andes, para esta clase de trabajos, por lo que
autorizo su presentación.
Ibarra, julio de 2019
_______________________________
Ing. Checa Cabrera Marco Antonio, MBA.
LECTOR
DEDICATORIA
El presente trabajo se lo dedico en primer lugar a Dios, quien siempre ha sido mi luz,
protector y guía para tomar el camino correcto y avanzar pese a las adversidades en el
camino y poder alcanzar este éxito profesional.
A mis padres: Marco y Anita, que son un ejemplo y una guía para seguir, brindándome
todo su amor, comprensión y por mostrarme el camino hacia la superación en mi
formación académica y personal.
A mi novia Johanna, por ser un pilar en mi vida y darme su apoyo incondicional en
todas las actividades que realizo, demostrándome su amor y afecto en todo momento.
A mi hijo Nickolás Alejandro, quien con su amor y ternura ha sido una inspiración
fundamental para poder continuar en el camino del esfuerzo y un motivo para seguir
adelante.
A todas las personas que sin esperar nada a cambio me han apoyado con gestos y
palabras de aliento para lograr que este objetivo se cumpla.
AGRADECIMIENTO
Quiero agradecer a todas las personas que hicieron posible esta investigación porque en
todo el camino ha sido una bendición.
También un agradecimiento especial a la Universidad Regional Autónoma de los Andes
“UNIANDES”, por haberme permitido formarme en ella y todos los conocimientos
recibidos por parte de los docentes durante el transcurso de la carrera; y a los tutores que
me apoyado para que todo sea de la mejor manera.
ÍNDICE GENERAL
Pág.
APROBACIÓN DE LOS TUTORES DEL TRABAJO DE TITULACIÓN
DECLARACIÓN DE AUTENTICIDAD
DERECHOS DEL AUTOR
CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN
DEDICATORIA
AGRADECIMIENTO
ÍNDICE GENERAL
ÍNDICE DE TABLAS
ÍNDICE DE FIGURAS
RESUMEN
ABSTRACT
TEMA ............................................................................................................................... 1
LÍNEA DE INVESTIGACIÓN ........................................................................................ 1
INTRODUCCIÓN ............................................................................................................ 1
MATERIALES Y MÉTODOS ......................................................................................... 4
RESULTADOS ................................................................................................................ 5
Herramientas para la revisión de puertos .......................................................................... 6
Herramientas para la verificación del tráfico de red ......................................................... 6
Herramientas para la búsqueda de vulnerabilidades ......................................................... 7
Plataformas de análisis e inteligencia de negocios ........................................................... 8
Método de Deming ........................................................................................................... 9
Aplicación del método de Deming ................................................................................. 10
Fase 1: Plan (Planear) ..................................................................................................... 10
Fase 2: Do (Hacer) .......................................................................................................... 11
Fase 3: Check (verificar) ................................................................................................. 14
Fase 4: Act (actuar) ......................................................................................................... 15
DISCUSIÓN ................................................................................................................... 18
CONCLUSIONES .......................................................................................................... 19
REFERENCIAS BIBLIOGRÁFICAS
ÍNDICE DE TABLAS
Pág.
Tabla 1. Población. ........................................................................................................... 5
Tabla 2. Análisis de las herramientas de test o escaneo. .................................................. 6
Tabla 3. Análisis de las herramientas de tráfico de red. ................................................... 7
Tabla 4. Análisis de las herramientas de búsqueda de vulnerabilidades. ......................... 8
Tabla 5. Reporte de figuras 3-4-5 ................................................................................... 14
Tabla 6. Reporte de figuras 7-8-9 ................................................................................... 17
Tabla 7. Reporte General ................................................................................................ 18
ÍNDICE DE FIGURAS
Pág.
Figura 1. Cuadrante Mágico para plataformas de análisis e inteligencia de negocios ..... 9
Figura 2. Topología de la red de la Unidad Educativa Gonzalo Zaldumbide................. 10
Figura 3. Reporte de Nmap para revisión de puertos y script vuln................................. 11
Figura 4. Reporte de Nmap para revisión de antivirus ................................................... 12
Figura 5. Reporte de WireShark ..................................................................................... 13
Figura 6. Reporte de Greenbone ..................................................................................... 14
Figura 7. Cantidad de puertos abiertos por dirección ip ................................................. 15
Figura 8. Tipos de Puertos abiertos por dirección ip ...................................................... 16
Figura 9. Resumen de datos suministrados ..................................................................... 16
RESUMEN
La seguridad de la red se convierte en una necesidad en la Unidad Educativa “Gonzalo
Zaldumbide”, porque trata de no poner riesgo la integridad de la información y
estabilidad de los sistemas que son utilizados por los miembros que laboran en la
misma. Existen piratas informáticos que pueden descifrar claves de acceso, tanto a
sistemas como a la red; así como virus y spam que son muy frecuentes, por lo tanto, se
debe estar alerta ante las amenazas y vulnerabilidades y buscar las soluciones ante estas
posibles intrusiones. El objetivo principal fue la determinación de procedimientos que
identifiquen vulnerabilidades y amenazas de la red en la institución. El tipo de
investigación fue deductiva porque justificó el problema que es la inseguridad la red y
descriptiva porque caracteriza la existencia de la problemática. Las herramientas
utilizadas para la identificación de vulnerabilidades de red fueron Nmap, Wireshark y
Open VAS; y para el procesamiento de datos se usó Power BI mediante cuadros de
mando; estas fueron escogidas haciendo una comparación con otras herramientas
revisando características funcionales y no funcionales para seleccionar la mejor opción.
Los resultados obtenidos reflejan que la red es insegura, y la decisión fue contrarrestar
las amenazas, mitigando las vulnerabilidades mediante cierre de puertos que no deben
estar abiertos, actualizaciones de sistemas operativos y la revisión periódica de los
dispositivos; el beneficiario directo es toda la Comunidad Educativa, porque se ofrece
seguridades en la red para el uso del personal Administrativo, Docentes, Estudiantes y
Padres de Familia.
Palabras clave: Seguridad, red, vulnerabilidades, amenazas, herramientas.
ABSTRACT
Network security has become a “Gonzalo Zaldumbide" Educational Unit necessity,
because it doesn’t put the integrity of the information and stability of the systems which
are used by the members that work in it at risk. There are hackers who can decrypt
access codes, both systems and network; as well as viruses and spam that are very
frequent, therefore, we must be alert to threats and vulnerabilities and also look for
solutions to these possible intrusions. The main objective was the determination of
procedures that identify network vulnerabilities and threats for decision making at
institution. The research type was deductive because it the problem such as the network
insecurity and it was descriptive because it characterizes the existence of the problem.
The used tools were Nmap, Wireshark and Open VAS; for the existence of network
vulnerabilities and Power BI was used for data processing using dashboards; these were
chosen by making a comparison with other tools reviewing functional and non-
functional characteristics to select the best option. The obtained results reflect that the
network is insecure, and the decision was to counteract the threats which mitigate
vulnerabilities by means of closing ports which should not be open, operating system
updates and the periodic revision of the devices; the direct beneficiary is the entire
Educational Community, because it is offering security in the network for the use of
administrative staff, teachers, students and parents.
Keywords: Security, networking, vulnerabilities, threats, tools.
1
TEMA
Identificación de vulnerabilidades y amenazas de la red de la Unidad Educativa
“Gonzalo Zaldumbide”
LÍNEA DE INVESTIGACIÓN
Aplicación de los sistemas informáticos en la toma de decisiones gerenciales.
INTRODUCCIÓN
El presente artículo muestra resultados del proyecto que se desarrolló para tener una red
segura, libre de piratas informáticos y mantener la información que posee la institución
resguardada para que no tengan acceso personas no autorizadas. Se conoce que las
tecnologías de la información y comunicación han ido evolucionando; esto ha causado
que existan nuevos riesgos en la tecnología que si no se los detecta y depura pueden
tener efectos en contra de la seguridad (Santiso , Koller, & Bisaro, 2016).
El desarrollo web ha facilitado las supuestas vulnerabilidades específicas de cualquier
producto de tecnología. La cantidad de ataques va aumentando a diario; muchos se
basan en amenazas, antes que tener causas como errores de configuración, errores de
software, la inexperiencia del desarrollador, la falta de especialistas en seguridad de la
información y falta de información sobre la seguridad de la información. (Bernardo,
2015)
En la práctica, han existido casos en que el programador web considera que el código
solo puede ser conocido por personas escogidas, y él no da la atención necesaria a su
seguridad, así las vulnerabilidades salen a flote; ha pasado en algunos sistemas de
información grandes e importantes. Hay ocasiones en que ellos no conocen sobre estas
vulnerabilidades y mientras no ocurra nada siguen con su aplicación. (Pîrnău, 2015).
Los piratas informáticos utilizan cada vez más el encubrimiento técnico, inventan
códigos difíciles con complejidad de análisis. La solución del antivirus de contrarrestar
el código de malware es demorosa y complicada según el tipo, así los hackers tienen
mayor cantidad de tiempo para robar más dinero a los afectados. Los procedimientos
utilizados para infectar a un dispositivo móvil han aumentado así como la expansión de
2
programas de malware por medio de tiendas en línea; los robots priorizan el envío de
mensajes de texto con malware a contactos de la víctima. (Iovan & Ramona, 2018).
Es muy importante la protección de datos y privacidad como herramienta primordial en
la defensa de los individuos y sus relaciones con las empresas: Amazon, Apple,
Facebook, Google y Microsoft; que han evolucionado y alcanzado una expansión y un
poder realmente desmedido creando monopolios (Morte, 2017).
La evolución del desarrollo de software, los inventos y las publicaciones desmedidas,
generan la aparición de aplicaciones nuevas en las tiendas, generando el rompimiento de
la información y el problema para descubrir aplicaciones necesarias, por lo que es
prudente que los programadores desarrollen las apps o módulos requeridos. Existe la
falta de profesionales idóneos, lo que crea que el contenido venga de una fuente dudosa
(Martinez, Martinez, Mud-Castelló, Mud-Castelló, & Moreno , 2015).
Se ha demostrado que la utilidad de las pruebas de inteligencia y valoraciones de
vulnerabilidades no son tan eficientes, hay que seguir con el avance de la tecnología y
las herramientas para detección y su funcionalidad evolucionan; los usuarios tomarán en
cuenta la importancia, previniendo que los sistemas sean más complicados en las
tecnologías de la información. (Mckinnel, Dargahi, Dehghantanha, & Choo, 2019)
Las vulnerabilidades y ataques encontrados en la red se establecen por medio de
observación directa, estudios de evaluaciones con herramientas de búsqueda de tráfico
de red, de envío y recepción de paquetes, y encuestas a usuarios que se encuentran en la
red. Se prosigue con el bajo nivel de preparación en seguridad de la información y
errores sin control, intrusiones y ataques; culminando con el diseño de un programa que
detecte problemas para resolver las amenazas existentes (Vega & Ramos, 2017).
La gestión de riesgos en la actualidad se ha convertido en un elemento vital para todo,
por lo que ahora las actividades que se realicen tienen que estar bajo control.
Dependiendo de los objetivos estratégicos, la ventaja competitiva en el mercado, las
regulaciones o restricciones de cumplimiento, las empresas de Tecnología de
información o los departamentos tecnológicos pueden ser certificados en cuanto a
estándares de sistemas de gestión con normas ISO (Barafort, Mesquida , & Mas, 2016).
3
La utilización de normas ISO como la 27001-2015 del Sistema de Gestión de la
Seguridad de la información son una ventaja competitiva y ayudan con el buen manejo
de la información basados en sus ejes principales como la confidencialidad, integridad y
disponibilidad de la información.
La ingeniería social es ahora una vulnerabilidad existente, debido a que, mediante
engaños a las personas; los atacantes que, generalmente están encubiertos y con perfiles
falsos, encuentran y reciben información suministrada por redes sociales con la
finalidad de realizar delitos informáticos, causados por exceso de confianza por parte de
las víctimas.
La Unidad Educativa “Gonzalo Zaldumbide” es una institución fiscal, la cual posee una
red que se encuentra vulnerable, sin un firewall externo disponible; lo que dificulta la
restricción desde y hacia algunos sitios no permitidos e inseguros y genera un riesgo
para los usuarios. También se encontró algunos dispositivos que son miembros de la red
con antivirus, anti-spyware, filtro anti-spam, anti-malware sin instalar y
desactualizados.
Se definió que el acceso a la red de la Unidad Educativa “Gonzalo Zaldumbide” por
personas no autorizadas es identificado; y solventan las dudas por el desconocimiento
de políticas de seguridad, para que no generen inseguridad de los docentes y personal
administrativo al ingresar en la red institucional.
La seguridad de la red se convierte en una necesidad en la Unidad Educativa “Gonzalo
Zaldumbide” como los puertos abiertos, el acceso de personal no autorizado y el
desinterés existente por revisar habitualmente las estaciones de trabajo de la red, han
permitido buscar soluciones; porque trata de no poner en riesgo la integridad de la
información y estabilidad de los sistemas que son utilizados por los miembros que
laboran en la misma para determinar procedimientos que identifiquen vulnerabilidades y
amenazas de la red en la institución.
En el laboratorio de la red de la unidad cada año se realizan las pruebas de Ser
Bachiller, donde la mayoría de las estaciones de trabajo no se encuentran en óptimas
condiciones; tienen virus y malware que dificultan la extracción de datos realizada con
dispositivos externos, resultando infectados y con la posibilidad de expandirse en todo
este espacio.
4
En la investigación se diagnosticó la vulnerabilidad de la infraestructura de
telecomunicaciones de la facultad de Ingeniería Industrial de la Universidad de
Guayaquil, y se describe el conocimiento de las vulnerabilidades en la seguridad, donde
se pueden obtener mejoras en los servicios ofertados, fortificar la seguridad de la red y
evitar el acceso de personas que no tengan permisos. (Garcia, 2017)
Usando Kali Linux se facilita la inspección por el alcance de sus herramientas para
análisis de la red, al hacer correr este programa se puede identificar las amenazas
existentes (Gonzalez, y otros, 2018)
Existen herramientas para mapeo y revisión de puertos como Network Mapper (Nmap),
Deepmagic Information Gathering Tool (Dmitry) y (Zmap); con Nmap se pueden
analizar múltiples puertos y detectar vulnerabilidades con los diferentes scripts que al
actualizar se obtiene, con Dmitry se puede obtener la información sobre un host objetivo
y hasta reportes de su tiempo de funcionamiento o para realizar un escaneo de puertos
TCP; con Zmap se pueden analizar de forma sistemática todas las direcciones IP versión
4 que se encuentran valederas en la web. (Paluch & Wünderlich, 2016)
En la parte de sniffer existen herramientas como Wireshark que es para capturar el
tráfico de la red y análisis, tiene interfaz gráfica integrada y los resultados se los puede
exportar en algunos formatos; otra herramienta es TCPdump que es un analizador de
paquetes en el nivel de línea de comando.
Para la detección de vulnerabilidades y la topología de la red se tiene herramientas
como Open Vulnerability Assessment System (openVAS) que es un framework con la
finalidad de escanear las vulnerabilidades de la red y su base de datos está actualizada
regularmente en Network Vulnerability Tests (NVT), con más de 50000 tipos de
vulnerabilidades; además de la consola tiene su interfaz gráfica Greenbone para
facilidad de uso y mejor entendimiento de los reportes; otra herramienta que se tiene es
Nessus que es un escáner de redes que detecta posibles vulnerabilidades que se basan en
una lista de fallas conocidas; las dos son gratuitas y de código abierto. (Revay, 2019)
MATERIALES Y MÉTODOS
Según la finalidad, la investigación fue deductiva porque justificó el problema que es la
inseguridad la red de la Unidad Educativa, enfocada en la identificación de
5
vulnerabilidades y amenazas como una deducción de la existencia, para buscar la
resolución de esta problemática usando los resultados para mitigar la vulnerabilidad de
la red.
Según el alcance la investigación que se realizó fue descriptiva porque caracteriza la
existencia de una problemática que es la inseguridad la red de la institución y existe la
necesidad de evitar que piratas informáticos puedan acceder y robar la información
usando pruebas de penetración en ambientes virtuales.
La encuesta generada se la realizó a los 36 docentes que laboran en la institución para
determinar el grado de inseguridad que tienen los docentes al ingresar a la red de la
institución y no se aplicó un muestreo ni un método muestral porque el universo es
menor a 100; ellos usan con frecuencia los dispositivos conectados a la red, donde tres
de los encuestados cumplen con las actividades del área administrativa, y la entrevista
directa que se hizo al Licenciado Jorge Chapi, rector de la Unidad; estas técnicas fueron
utilizadas para la recopilación de la información, la población se definió como se
presenta en la tabla 1. La herramienta para la encuesta fue un cuestionario con preguntas
que ayudaron a conocer la frecuencia y uso de los ordenadores, la existencia de
problemas que hayan tenido con el ingreso a la red y las restricciones de acceso a sitios
con riesgos.
Tabla 1.
Población.
Cantidad Personal Técnica de investigación
36 Docentes Encuesta
1 Rector Entrevista
Fuente: Autor
RESULTADOS
En la investigación se buscó la mejor alternativa para determinar las vulnerabilidades de
la red de la institución; usando una máquina virtual de Oracle Virtual Box Versión 6.0.8
r130520 donde se instaló Kali-Linux 4.19.0 por ser usada para auditoría y seguridad
informática, y por tener más de 600 programas preinstalados; se ha tomado en cuenta a
las herramientas Nmap para el escaneo de puertos y vulnerabilidades, Open VAS para la
detección de vulnerabilidades y Wireshark para la revisión de tráfico de red; porque son
utilizables en los distintos sistemas operativos (Windows, Linux, IOS, Android), y son
de código abierto y gratuitas.
6
(Narayan & Mehtre, 2015) dicen que existen muchas herramientas de código abierto, de
alta calidad para evaluación de vulnerabilidades y herramientas de prueba de
penetración disponibles en el mercado con su propia experiencia y limitación y realizan
una tabla para su elección en una de sus publicaciones.
Herramientas para la revisión de puertos
Entre las herramientas para mapeo y revisión de puertos se revisó tres con licencia free
que son: Nmap Versión 7.70, que permitió ver los equipos que se encontraron activos en
la red, los puertos abiertos vulnerables para realizar ataques y las aplicaciones
ejecutadas; además ayudó a encontrar vulnerabilidades explotables en con los scripts
asociados a la herramienta con ingresos ocultos a otras estaciones de trabajo; Zmap
posee características parecidas para escaneo de un puerto, utiliza grupos multiplicativos
cíclicos, lo que permite el escaneo del mismo espacio más rápido que Nmap; con
DMitry se puede recopilar mayor cantidad de información posible sobre un host, reunir
posibles subdominios, escaneo del puerto TCP, direcciones de correo electrónico,
información sobre el tiempo de actividad, y búsquedas de IP con whois.
Tabla 2.
Análisis de las herramientas de test o escaneo.
N° Nombre de la
herramienta
Tipo de
licencia Escaneo
Modo
Gráfico
1 Nmap Libre Multipuerto Zenmap
2 Zmap Libre Un Puerto No posee
3 Dmitry Libre TCP Si
Fuente: Autor
Para la decisión de uso de la herramienta Nmap en escaneo de puertos se analizó la
Tabla 2. y se comparó con Zmap y Dmitry tomando en consideración los parámetros
tipo de licencia, escaneo y modo gráfico; las tres herramientas son de software libre y la
licencia es gratuita, se especifica que Dmitry y Nmap poseen modo gráfico para mejor
visualización, así mismo en escaneo Nmap tiene la opción de realizar por multipuerto
por lo que se puede ocultar el ingreso a otras estaciones de trabajo, y en las otras pueden
ser descubiertos.
Herramientas para la verificación del tráfico de red
Entre las herramientas de verificación de tráfico de red se revisaron 2, la primera es
Wireshark versión 2.6.6 que es muy reconocida por ser un analizador de protocolos en
7
tiempo real y con modo gráfico, con ella se realizó un monitoreo de paquetes enviados y
recibidos, mediante un filtro se especificó los hosts que tenían problemas en la
transmisión y se realizó una prueba de intrusión, en la cual se observó el puerto por
donde se ingresó denominado puerta trasera, también posee un modo consola para su
revisión que no es muy detallada; la segunda es TCPDump en la que se hizo un análisis
mediante comandos y sin poder observar gráficamente el tráfico, también el fue
revisado en tiempo real con menor entendimiento, también se utiliza esta herramienta
para rastrear problemas y actividades de la red y tiene una versión para Windows
conocida como WinDump que posee iguales características como el modo consola con
lenguaje de código del Sistema Operativo.
Tabla 3.
Análisis de las herramientas de tráfico de red.
N°
Nombre de la
herramienta
Tipo de
licencia Librería
Modo
gráfico
1 Wireshark Libre Libpcap Incluído
2 TCPDump Libre Libpcap No
Fuente: Autor
Para la decisión de uso de la herramienta WireShark en revisión de transferencia de
paquetes se analizó en la Tabla 3 teniendo en consideración los parámetros tipo de
licencia, librerías y modo gráfico; con características iguales, pero WireShark posee su
interfaz gráfica y TCPDump es un analizador de paquetes en el nivel de línea de
comando.
Herramientas para la búsqueda de vulnerabilidades
Entre las herramientas para la búsqueda de vulnerabilidadesse hizo la revisión de 2 que
son: OpenVAS 9.0 con una interfaz web Greenbone Security Assistant versión 7.0.3, se
trata de un framework que tiene como base servicios y herramientas para la evaluación
de vulnerabilidades y puede utilizarse de forma individual o como parte del conjunto de
herramientas de seguridad, también puede utilizarse desde Metasploit, el framework
para la explotación de vulnerabilidades, el gestor es el servicio que lleva a cabo tareas
como el filtrado o clasificación de los resultados del análisis, control de las bases de
datos que contienen la configuración o los resultados de la exploración y la
administración de los usuarios, incluyendo grupos y roles. El proyecto OpenVAS
mantiene una colección de NVT (OpenVAS NVT Feed) que crece constantemente y
que actualiza los registros semanalmente. Los equipos instalados con OpenVAS se
8
sincronizan con los servidores para actualizar las pruebas de vulnerabilidades y Nessus
es una herramienta de seguridad de código abierto basado en plugins, tiene una interfaz
basada en la biblioteca de componentes gráficos GIMP Toolkit (GTK), y realiza más de
1200 pruebas de seguridad remotas en su versión pagada; en la versión gratuita se pudo
realizar un test a 16 estaciones de trabajo por una sola ocasión en la misma red.
Tabla 4.
Análisis de las herramientas de búsqueda de vulnerabilidades.
N° Nombre de la herramienta Tipo de licencia Modo Gráfico
1 OpenVAS Libre Greenbone
2 Nessus Libre / pagada Incluído
Fuente: Autor
Para la decisión de uso de la herramienta OpenVAS en análisis de vulnerabilidades se
analizó la Tabla 4. y se comparó con Nessus teniendo en cuenta los parámetros tipo de
licencia y modo gráfico; donde OpenVas fue designada porque es gratuita y Nessus
tiene su versión free para una revisión de máximo 16 hosts y de solo una red y no tiene
activadas todas sus características.
Herramientas de análisis e inteligencia de negocio
Entre las herramientas de bussiness intelligence se tiene a Power BI es un servicio de
análisis de negocios de Microsoft que tiene gran afinidad con sus productos, es pagada y
con el directorio activo y los correos institucionales otorgados por el Ministerio de
Educación se la utiliza con esa licencia; con su uso se proporcionó visualizaciones
interactivas y capacidades de inteligencia empresarial con una interfaz entendible para
todo el personal administrativo de la institución; Tableau es otra de las herramientas de
Business Intelligence que, también tiene buenas características, pero al ser pagada y
como las instituciones fiscales no poseen recursos ha sido descartado en el uso de este
proyecto.
9
Figura 1. Cuadrante Mágico para plataformas de análisis e inteligencia de negocios
Fuente: Gartner (febrero, 2019)
En la figura 1 se observa el cuadrante mágico que indica que Microsoft Power BI
durante 3 años ha sido el líder en herramientas líderes y visionarias, la herramienta ha
sido elegida por los clientes por dos razones principales que son la experiencia en ventas
y los precios bajos; además de la facilidad de uso para análisis complejos y la visión
global del producto. (Gartner, 2019)
Método de Deming
A continuación, se aplicó el método de Deming Plan-Do-Check-Act (PDCA o PHVA)
para encontrar las vulnerabilidades y mitigarlas; este ciclo repetitivo está basado en la
norma ISO/IEC 27001 y consta de 4 fases que son:
Fase 1: Plan (Planificar): En esta fase se realiza la topología de la red, colocando los
hosts con sus respectivas direcciones IP.
Fase 2: Do (Hacer): En esta fase se escanean puertos abiertos y sus servicios, sistemas
operativos, firewall, el tráfico de red diario, por cada host y se hace la constatación de
que todos los equipos que se definieron en la fase 1 se encuentren en la red.
10
Fase 3: Check (verificar): En esta fase se realiza la detección y evaluación de
vulnerabilidades y la verificación de la topología de la red expuesta.
Fase 4: Act (actuar): En esta fase se realiza un informe del análisis efectuado para poder
mitigar las vulnerabilidades.
Aplicación del método de Deming
Usando el método de Deming se realizan las actividades de cada fase expuesta y se
tiene como resultado lo siguiente.
Fase 1: Plan (Planear)
En esta fase con la persona responsable de la red y con el uso de la herramienta Nmap
se procede a revisar cada una de las estaciones de trabajo y se realiza un diagrama de la
topología de la red con sus respectivas direcciones IP, puertas de acceso y las
conexiones hacia el módem y switch que son los encargados de enviar y recibir datos
para tener acceso al Internet.
Figura 2. Topología de la red de la Unidad Educativa Gonzalo Zaldumbide
Fuente: Autor
En la figura 2 se observa la cantidad de equipos conectados a la red de la Unidad
Educativa con su respectiva dirección IP, el módem mediante el cual se realiza la
11
conexión del cableado de red y el router que posee la institución con un ancho de banda
que fue subido de 4 Mb a 10 Mb. El proveedor del servicio es la Corporación Nacional
de Telecomunicaciones (CNT) y el tipo de enlace es de fibra óptica.
Fase 2: Do (Hacer)
Figura 3. Reporte de Nmap para revisión de puertos y script vuln
Fuente: Autor
En esta fase se inició con el uso de la herramienta Nmap con la cual se busca los puertos
que se encontraban abiertos con su servicio y versión, en cada uno de los dispositivos
conectados en la red, como indica la Figura 3, y la obtención del sistema operativo.
Además, se usaron los scripts de la herramienta Nmap para la buscar la existencia de
firewalls, con los seguimientos sin pasar por estos filtros. Dentro de kali Linux se usó la
herramienta Zenmap que es una interfaz gráfica de la línea de comandos de Nmap para
observar las instrucciones que se ha ejecutado con Nmap.
Como ayuda de la revisión de los puertos se usó la herramienta Drancnmap que posee
código de Nmap con una interfaz más amigable para acceder a distintas funcionalidades
y poder aprovechar la fuerza de Nmap Script Engine (NSE), y cumplir el test de
penetración en sistemas; el código generado sirvió para ingresar comandos en el
terminal de Nmap que sirve en el análisis de una forma más detallada de los hosts.
12
Figura 4. Reporte de Nmap para revisión de antivirus
Fuente: Autor
En la figura 4 los resultados que genera el script de vulnerabilidades reflejan los puertos
abiertos y el antivirus que no permite la intrusión porque el firewall está habilitado para
algunos servicios, también se encuentra el nombre asignado al host, el grupo de red al
que pertenece y el sistema operativo que usa cada estación de trabajo que se ha
solicitado con la línea de comandos.
Con esta herramienta se realiza las pruebas de intrusión para ingresar a los puertos TCP
que se encontraban abiertos identificando si existe el riesgo por encontrarse en ese
estado; también se puede observar los hosts que se encuentran subidos y la existencia de
algún otro equipo conectado a la red sin el permiso respectivo.
También se verificó la dirección MAC y se realizó pruebas de intrusión usando
máquinas virtuales, evadiendo firewalls y accediendo a otras estaciones de trabajo por
puertas traseras, se comprobó mediante el acceso a la consola MicroSoft Disk Operating
System (MS-DOS), de donde se ejecutó tareas del host victñ9imario como cambios en
el inicio de sesión; se realizó una prueba donde se logró crear y abrir archivos, así como
copiar, editar y borrarlos desde el host atacante hacia la víctima.
13
Figura 5. Reporte de WireShark
Fuente: Autor
En la figura 5 se refleja el uso de la herramienta WireShark, se realizó un test de la
transferencia de datos enviados y recibidos por cada computador que se encuentra
asociado a una red con una ip única; además se realizó una captura de paquetes en vivo
desde una interfaz de red obteniendo una muestra paquetes con información detallada,
desde que dirección se conectan para el envío de paquetes, el tamaño del paquete, la
dirección del destino, el tiempo que se demoran las transacciones y la información del
comportamiento del paquete usado; cada color corresponde a un puerto y se exportó al
formato de archivo de para después hacer una comparativa con otras exportaciones.
Con la ventana de gráficos se observa el rendimiento de la red; tiempo donde existe un
tráfico alto y momentos donde se encuentra calmado el envío y recepción de paquetes,
los retardos de los protocolos en forma individual y se comprobó las efusiones de datos
simultáneos.
En la jerarquía de protocolos se obtiene una estadística, para observar de mejor manera
la situación se divisan los protocolos de la capa de aplicación y las conexiones usadas
Transfer Control Protocol (TCP) y User Datagram Protocol (UDP); también los
porcentajes transacciones completadas y el tamaño en bytes lo que ayuda a solucionar e
incluso prevenir los posibles problemas que puedan surgir.
14
Tabla 5.
Reporte de figuras 3-4-5
N° de
figura
Tipo de
herramienta Actividad Reporte
3 Nmap Escaneo de puertos Puertos abiertos por servicio y versión,
descripción de sistema operativo
4 Nmap Escaneo de estaciones
de trabajo
Puertos abiertos y firewall y
vulnerabilidades
5 Wireshark Sniffing Captura de paquetes, test de
transferencia de datos
Fuente: Autor
En la tabla 5 se observa las actividades realizadas y reportes que se encontraron en cada
figura descrita; para la figura 3 se usaron los comandos “nmap --script vulscan --script-
args vulscandb=exploitdb.csv -sV” donde arrojó como resultados la descripción de la
IP, los puertos abiertos, servicios con su versión y la descripción del sistema operativo;
en la figura 4 se utilizaron los comandos: “nmap -sV --script= vulscan.nse” para cada
dirección IP que se encontraba en uso, el resultado encontrado indicó que de los puertos
abiertos existían algunos, en donde el firewall estaba activo y no se podía tener acceso a
esos puertos, y en otros dispositivos se tenía un libre acceso que es una vulnerabilidad
para esas estaciones de trabajo. En la figura 5 se ejecutó Wireshark donde se encontró
los datos enviados y recibidos en vivo de cada dirección IP, la transferencia se visualiza
por cada puerto y servicio; con el filtro se obtuvo resultados con mejor definición.
Fase 3: Check (verificar)
Figura 6. Reporte de Greenbone
Fuente: Autor
15
Para encontrar las vulnerabilidades se puede observar en la figura 6 el uso de la
herramienta OpenVAS con su interfaz gráfica web Greenbone en la dirección
https://127.0.0.1:9392 se autentica y se procede a realizar tareas como escaneo de hosts,
de puertos y con una base de datos actualizada de vulnerabilidades refleja como
resultado la cantidad y el tipo de vulnerabilidad por cada host, cada vulnerabilidad
indica el nivel de riesgo y los falsos positivos; también se genera una topología de red
con los equipos de la red y al final se exporta el reporte en formatos conocidos como
pdf, cvs, html y otros con la fecha en que se ejecutó el escaneo. al ver el reporte de estas
aplicaciones de Vulnerabilidades y Exposiciones Comunes (CVE) se ingresó al sitio
cve.mitre.org en donde se encontró una lista con los nombres estandarizados para saber
a qué tipo de vulnerabilidades y otras manifestaciones de seguridad de la información se
encuentra expuesta la red.
Fase 4: Act (actuar)
Figura 7. Cantidad de puertos abiertos por dirección ip
Fuente: Autor
En la fase 4 se realizó el informe como se observa en la figura 7, obteniendo un reporte
de Power BI del total de puertos que se encuentran abiertos por dirección IP; tomando
en cuenta los resultados que se obtuvieron con las herramientas de pentesting y se
elaboró una matriz con los datos obtenidos para generar este reporte.
16
Figura 8. Tipos de Puertos abiertos por dirección IP
Fuente: Autor
En la figura 8 con el reporte obtenido de Power BI se puede observar cuales son los
tipos de puertos que se encuentran abiertos por dirección IP; el reporte está elaborado
con los datos que se obtuvieron con la herramienta Nmap.
Figura 9. Resumen de datos suministrados
Fuente: Autor
17
En la figura 9 se observa un reporte general de todas las tablas y se puede identificar la
gráfica con la cantidad de vulnerabilidades total; también se tiene la curva que indica la
cantidad de equipos que usan los sistemas operativos; además se obtuvo un reporte por
mes de paquetes enviados y recibidos en kb/seg en el tráfico de red.
En el sistema operativo Windows 8 se localizó una estación de trabajo, en Windows 10
se encontraron 3 ordenadores y en Windows 7 se encontraban usando 12 hosts; de las
cuales 4 se encontraban desactualizadas y sin parches lo que generó la vulnerabilidad
CVE-2019–0708 donde un atacante remoto podía aprovecharla para tomar el control del
sistema afectado, la explotación no necesita ninguna autentificación específica; el
servicio de terminal por defecto se ejecuta en el puerto 3389/TCP y también es usado
por los atacantes de Ransomware para hacer un ataque de fuerza bruta apoderarse del
servidor y luego saltarse a un servidor local de Base de datos y cifrar archivos
importantes.
Tabla 6.
Reporte de figuras 7-8-9
N° de
figura
Tipo de
herramienta Actividad
7 Power BI Cantidad de puertos abiertos por dirección IP
8 Power BI Tipos de puertos abiertos por dirección IP
9 Power BI Dirección IP, nombre del equipo, Sistema Operativo, Firewall,
Datos enviados y recibidos por mes
Fuente: Autor
Como indica la tabla 6 se tiene que en la figura 7 se hizo un análisis de los puertos
abiertos por dirección IP, obteniendo como indicadores la cantidad de puertos para cada
uno de los hosts y en la figura 8 se describió cada uno de los puertos abiertos y servicios
de los hosts activos; en la figura 9 se observa un análisis general, donde se encuentra
que en las estaciones de trabajo, el 31,25% no tienen puertos abiertos, el 25% tienen 1
puerto abierto, el 18,75% tienen 4 puertos abiertos, el 12,50% tienen 2 puertos abiertos,
el 6,25% tiene 9 puertos abiertos y el 6,25% tiene 5 puertos abiertos. En la parte del uso
de Sistema Operativo se obtiene que el 75% usan Windows 7, el 18,75% Windows 10 y
el 6,25 % Windows 8; del total el 25% se encuentra sin actualizaciones y se visualiza
que son vulnerables. También se observa que el firewall estaba activo en las estaciones
con un porcentaje de 18,75% siendo una protección en forma mínima, teniendo el
81,25% desprotegido como se visualiza en la tabla 7.
18
Tabla 7.
Reporte General
N° Sistema Operativo Porcentaje de equipos
instalados
1 Windows 7 75%
2 Windows 8 6,25%
3 Windows 10 18,75%
N° Actualizaciones
de Windows 7
Porcentaje de ordenadores
actualizados
1 Si 75%
2 No 25%
N° Firewall Porcentaje
1 Activado 18,75%
2 Desactivado 81,25%
N° Puertos Porcentaje
1 Cerrados 31,25%
2 Abiertos 68,75%
Fuente: Autor
DISCUSIÓN
De los dispositivos que tenían uno o varios puertos abiertos se tenía que el 68,75%
tenían esta vulnerabilidad; el cambio que se ha producido es la revisión de puertos que
se pueden quedar abiertos sin que tengan ningún problema y los que solo se requiera
para accesos predeterminados se abren cuando sea necesario y así mismo se cierran
cuando ya se haya ejecutado el proceso o transferencia.
Se mejoró la seguridad de la red con revisiones periódicas y mitigando las
vulnerabilidades, antes del proyecto los ordenadores y programas que se encuentran
instalados no se encontraban actualizados, había un 25% de estaciones de trabajo en
donde el Sistema Operativo se encontraba sin el parche de seguridad lo que generaba
que los datos e información pueda ser interceptada.
Otra de las mejorías con el proyecto es la instalación de un firewall a todos los hosts
para protección contra el acceso a sitios web no permitidos, y las posibles intrusiones de
hackers, el porcentaje de hosts sin instalarlo estaba en un 81,25%; y en la nueva
medición tiene un 0%.
Las vulnerabilidades siempre van a existir, por lo tanto, se debe realizar una revisión
periódica de los ordenadores para estar atentos y poder contrarrestar las amenazas para
que el riesgo desaparezca de una forma parcial.
19
CONCLUSIONES
Las vulnerabilidades con esta identificación y análisis se han podido mitigar con la
actualización de Sistemas Operativos y software, cierre de puertos, uso de antivirus,
instalación de antimalware y revisión periódica de los dispositivos conectados a la red.
Con la herramienta Power BI se efectuó informes obteniendo como resultado que el
grado de vulnerabilidad que tiene la red de datos en las estaciones de trabajo que la
componen es nivel medio, esto fue producto de software obsoleto o desactualizado; para
que se impida la contaminación de los ordenadores con virus, troyanos, que generan
intrusiones.
El beneficiario directo es toda la Comunidad Educativa, porque se ofrece seguridades en
la red para el uso del personal Administrativo, Docentes, Estudiantes y Padres de
Familia; así no serán víctimas de intrusiones y robo de información.
Docentes, Estudiantes y Padres de Familia pueden navegar con resguardo por las redes
sociales, así como el envío y recepción de correos; porque la solución presentada evita
técnicas de hackeo como pishing, pharming y punycode; estableciendo medidas que
permitan disminuir el porcentaje del riesgo.
Con los resultados obtenidos y las medidas tomadas; la información académica de los
estudiantes que reposa en la Unidad Educativa “Gonzalo Zaldumbide” está protegida y
es entregada a tiempo, sin novedades para el uso requerido, mediante solicitud y trámite
personal.
REFERENCIAS BIBLIOGRÁFICAS
Bajpai, P., Sood, A., & Enbody, R. (Abril de 2018). The art of mapping IoT devices in
networks. Network Security, 8-15. doi:https://doi.org/10.1016/S1353-
4858(18)30033-3
Barafort, B., Mesquida , A., & Mas, A. (2016). Integrating Risk Management in IT
settings from ISO Standards and Management Systems Perspectives. Computer
Standards & Interfaces,, 38-64. doi:http://dx.doi.org/10.1016/j.csi.2016.11.010
Barreño, R., Navarro, W., Cardenas, S., Sarmiento, H., Duarte, N., & Vargas, G. (2016).
Análisis de la seguridad en la implementación de servicios corporativos sobre el
protocolo IPV. Revista de Tecnología, 14(1), 127-138.
Bas, M., Özgür, C., & Gül, E. (Enero de 2018). Detection of attack-targeted scans from
the Apache HTTP Server access logs. Applied Computing and Informatics,
14(1), 28-36. doi:https://doi.org/10.1016/j.aci.2017.04.002
Bernardo, D. (2015). Clear and present danger: Interventive and retaliatory approaches
to cyber threats. Applied Computing and Informatics, 11(2), 144-157.
doi:https://doi.org/10.1016/j.aci.2014.11.002
Effiong , C., Sassatelli, G., & Gamatie, A. (Julio de 2018). Exploration of a scalable and
power-efficient asynchronous Network-on-Chip with dynamic resource
allocation. Microprocessors and Microsystems, 60, 173-184.
doi:https://doi.org/10.1016/j.micpro.2018.05.003
Gonzalez, G., Dubus, S., Motzek, A., García, J., Alvarez, E., Merialdo, M., . . . Debar,
H. (Junio de 2018). Dynamic risk management response system to handle cyber
threats. Future Generation Computer Systems, 83, 535-552.
Hespersen, A., & Hasle, P. (Noviembre de 2017). Developing a concept for external
audits of psychosocial risks in certified occupational health and safety
management systems. Safety Science, 99, 227-234.
doi:https://doi.org/10.1016/j.ssci.2016.11.023
Iovan, S., & Ramona, M. (2018). MALWARE FOR MOBILE DEVICES AND THEIR
SECURITY. Fiabilitate şi Durabilitate, 267-272.
Martinez, J., Martinez, O., Mud-Castelló, S., Mud-Castelló, F., & Moreno , L. (2015).
Análisis de la calidad y seguridad de la información de aplicaciones móviles en
prevención terciaria. Farmaceúticos Comunitarios, 7(4), 23-27.
Mckinnel, T., Dargahi, T., Dehghantanha, A., & Choo, K.-K. (Febrero de 2019). A
systematic literature review and meta-analysis on artificial intelligence in
penetration testing and vulnerability assessment. Computers and Electrical
Engineering, 75, 175-188.
doi:https://doi.org/10.1016/j.compeleceng.2019.02.022
Morte, R. (2017). ¿Protección de datos/privacidad en la época del Big Data, IoT,
wearables…? Sí, más que nunca*. Dilemata, 219-233.
Narayan, J., & Mehtre, B. (2015). Vulnerability Assessment & Penetration Testing as a
Cyber Defence Technology. Procedia Computer Science 5, 57, 710-715.
doi:https://doi.org/10.1016/j.procs.2015.07.458
Paluch, S., & Wünderlich, N. (Julio de 2016). Contrasting risk perceptions of
technology-based service innovations in inter-organizational settings. Journal of
business research, 2424-2431.
Petrov, S., Ahramenko, D., Goroshko, S., & Pulko, T. (2018). ACCESS CONTROL IN
A LOCAL NETWORK USING THE BASIC CONFIGURATION OF
NETWORK DEVICES. Sistemnyj Analiz i Prikladnaâ Informatika, 3, 55-61.
doi:10.21122/2309-4923-2018-3-55-61
Pîrnău, M. (2015). General Aspects of some Causes of Web Application Vulnerabilities.
Memoirs of the Scientific Sections of the Romanian Academy, 55-66.
Revay, L. (2019). From Malware Testing to Virtualization. Procedia Computer Science,
150, 751-756.
Santiso , H., Koller, J. M., & Bisaro, M. (Septiembre de 2016). Seguridad en entornos
de educación virtual. Memoria Investigaciones en Ingeniería, 14, 67-88.
Stenholm, D., Mathiesen, H., & Bergsjo, D. (2015). Knowledge Based Development in
Automotive Industry Guided by Lean Enablers for System Engineering.
Procedia Computer Science, 44, 244-253.
doi:https://doi.org/10.1016/j.procs.2015.03.047
Vega, G., & Ramos, R. (2017). Vulnerabilidades y amenazas a los servicios web de la
intranet de la Universidad Técnica de Babahoyo. 3c Tecnología, 6, 53-66.