REPÚBLICA BOLIVARIANA DE VENEZUELA

UNIVERSIDAD PRIVADA DR. RAFAEL BELLOSO CHACÍN VICERRECTORADO DE INVESTIGACIÓN Y POSTGRADO

DECANATO DE INVESTIGACIÓN Y POSTGRADO MAESTRÍA EN TELEMÁTICA

MODELO DE AUDITORIA PARA SERVICIOS TELEMÁTICOS DE LA UNIVERSIDAD SIMÓN BOLÍVAR.

Trabajo presentado como requisito para optar al grado de magíster scientiarum en telemática

AUTOR: ING. NICOLÁS LAGRECA C.I 19.789.562

E-MAIL: NICOLASLAGRECA@GMAIL.COM NLAGRECA@URBE.EDU.VE

TUTOR: DR. BERMÚDEZ JOSÉ

C.I.: 5.105.250 E-MAIL: JMBERMUDEZ@URBE.EDU.VE

Maracaibo, Enero de 2017

ii

MODELO DE AUDITORIA PARA SERVICIOS TELEMÁTICOS DE LA UNIVERSIDAD SIMÓN BOLÍVAR.

iii

iv

DEDICATORIA

Cada ser humano es único e irrepetible, estoy seguro que con unos padres

diferentes no estaría hoy donde estoy. Este logro se lo dedico a ustedes, no

existen palabras para describir tanto amor. Sandro gracias por enseñarme que

aunque el camino es largo nunca debemos parar. Gracias por no rendirte

conmigo.

v

AGRADECIMIENTO

Nunca es fácil estudiar un postgrado con todas las responsabilidades

diarias que debe cumplir un profesional, aun mas cuando se le suma el tener

que tomar un avión cada viernes y domingo para poder asistir a clases, han

sido dos años muy duros, no es fácil agradecer en tan pocas líneas a tantas

personas que formaron parte de este logro.

- En primer lugar gracias a mis padres por todo el apoyo incondicional.

- Laura gracias por enseñarme el camino y estar allí siempre.

- Sra. Lizbeth y Sr. Rene, por abrirme las puertas de su casa, brindándome

todo el apoyo posible en Maracaibo.

- Sr. Lares por buscarme al aeropuerto sin importar las horas de retraso.

- Marcelina por desviarte de tu camino y llevarme cada viernes a Maiquetía a

tomar mi vuelo.

- Dr. Bermúdez y Dr. Márquez por su orientación como excelentes profesores.

- A toda mi familia por ser un ejemplo día a día en lo que debo ser.

vi

ÍNDICE GENERAL

pág VEREDICTO iii DEDICATORIA iv AGRADECIMIENTO v ÍNDICE GENERAL vi LISTA DE CUADROS x LISTA DE FIGURAS xi RESUMEN xii ABTRACT xiii INTRODUCCIÓN 1 CAPÍTULO I EL PROBLEMA 1. PLANTEAMIENTO DEL PROBLEMA 4 1.1. FORMULACIÓN DEL PROBLEMA 9 2. OBJETIVOS DE LA INVESTIGACIÓN 9 2.1. OBJETIVO GENERAL 9 2.2. OBJETIVO ESPECIFICO 9 3. JUSTIFICACIÓN DE LA INVESTIGACIÓN 10 4. DELIMITACIÓN DE LA INVESTIGACIÓN 11 CAPÍTULO II MARCO TEÓRICO

1. ANTECEDENTES DE LA INVESTIGACIÓN 13 2. BASES TEÓRICAS 25 2.1 AUDITORIA INFORMATICA O ETHICAL HACKING 27 2.1.1 TIPOS DE AUDITORIA 30 2.1.2. AUDITORIA DE CAJA NEGRA 31 2.1.3 AUDITORIA DE CAJA BLANCA 32 2.1.4. AUDITORIA DE CAJA GRIS 32 2.1.5 PRUEBAS DE STRESS 33 2.1.6 AUDITORIA WIRELESS O VOIP 34 2.1.7 FASES DE UN PROCESO DE AUDITORIA 35 2.1.8 RECOLECCIÓN DE INFORMACIÓN 36 2.1.9. ANÁLISIS DE VULNERABILIDADES 37

vii

2.1.10. FASE DE EXPLOTACIÓN 38 2.1.11. TIPOS DE EXPLOITS 40 2.1.12. GENERAR INFORME 38 2.2 POLITICAS DE SEGURIDAD 44 2.3 VULNERABILIDADES INFORMATICAS 45 2.3.1 LAS MÉTRICAS BASE 48 2.3.2 MÉTRICAS TEMPORALES 49 2.3.3 LAS MÉTRICAS DE ENTORNO 49 2.4. AMBIENTES SENSIBLES 50 2.4.1 RIESGO 51 2.4.2 IMPACTO 51 2.5 AMENAZAS A LA SEGURIDAD 52 2.6 ATAQUES INFORMÁTICOS 54 2.6.1. AMENAZAS AVANZADAS PERSISTENTES (APT) 55 2.6.2. FUGA DE INFORMACIÓN 55 2.7 ESTANDARES Y MODELOS. 56 2.7.1 OPEN WIRELESS SECURITY ASSESSMENT METHODOLOGY

(OWISAM)

57 2.7.2 OPEN WEB APPLICATION SECURITY PROJECT (OWASP) 59 2.7.3 OPEN SOURCE SECURITY TESTING METHODOLOGY

MANUAL (OSSTMM) 86

2.7.4 THE PENETRATION TESTING EXECUTION STANDARD (PETS) 95

2.7.5. INFORMATION SYSTEM SECURITY ASSESSMENT FRAMEWORK (ISSAF) 99

2.7.6. NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) 100

3 SISTEMAS DE VARIABLES 100 3.1. DEFINICIÓN CONCEPTUAL 101 3.2 DEFINICIÒN OPERACIONAL 101 3.3 CUADRO DE OPERACIONALIZACIÓN DE LA VARIABLE 102 CAPÍTULO III MARCO METODOLÓGICO

1. TIPO DE INVESTIGACIÓN 103 2. DISEÑO DE LA INVESTIGACIÓN 105 3. UNIDAD DE ANALISIS 107 4. TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE DATOS 107 5. FASES DE LA INVESTIGACIÓN 108

5.1 FASE I: DIAGNOSTICAR LA SITUACIÓN ACTUAL DE LA SEGURIDAD EN SERVICIOS TELEMÁTICOS DE LA UNIVERSIDAD SIMÓN BOLÍVAR.

109

5.2 FASE II: IDENTIFICAR LOS AMBIENTES SENSIBLES EN REDES Y SERVICIOS TELEMÁTICOS, CON EL FIN DE ELEGIR LOS RECURSOS CLAVES CANDIDATOS A INTEGRAR EN EL MODELO DE AUDITORIA.

109

viii

5.3 FASE III: DISEÑAR EL MODELO DE AUDITORIA PARA LOS SERVICIOS DE

LA INFRAESTRUCTURA TELEMÁTICA.

109

CAPITULO IV RESULTADOS DE LA INVESTIGACION 1.1 FASE I: DIAGNOSTICAR LA SITUACIÓN ACTUAL DE LA SEGURIDAD EN

SERVICIOS TELEMÁTICOS DE LA UNIVERSIDAD SIMÓN BOLÍVAR.

111

1.2 FASE II: IDENTIFICAR LOS AMBIENTES SENSIBLES EN REDES Y SERVICIOS TELEMÁTICOS, CON EL FIN DE ELEGIR LOS RECURSOS CLAVES CANDIDATOS A INTEGRAR EN EL MODELO DE AUDITORIA.

118

1.3 FASE III: DISEÑAR EL MODELO DE AUDITORIA PARA LOS SERVICIOS DE LA INFRAESTRUCTURA TELEMÁTICA.

120

CAPITULO V PROPUESTA 1. OBJETIVOS DE LA PROPUESTA 128 1.1 OBJETIVO GENERAL 128 1.2 OBJETIVOS ESPECÍFICOS 128 2. JUSTIFICACIÓN DE LA PROPUESTA 129 3. PRESENTACIÓN DE LA PROPUESTA 130 3.1 AUDITORIA FÍSICA 131 3.1.1 REVISIÓN DE PERÍMETRO 131

3.1.2 REVISIÓN DE MONITOREO 131 3.1.3 EVALUACIÓN DE CONTROLES DE ACCESO 131 3.1.4 REVISIÓN DE RESPUESTA DE ALARMAS 132 3.1.5 REVISIÓN DE UBICACIÓN 133 3.1.6 REVISIÓN DE ENTORNO 133 3.2 AUDITORIA A SERVIDORES Y LABORATORIOS 134 3.2.1 RECOLECCIÓN DE INFORMACIÓN. 135 3.2.1.1 HERRAMIENTAS BÁSICAS 136 3.2.2 ESCANEO Y ENUMERACIÓN. 138 3.2.2.1 HERRAMIENTAS 139 3.2.3 ANÁLISIS DE VULNERABILIDADES. 143 3.2.4 EXPLOTACIÓN 144 3.2.5 POST – EXPLOTACIÓN 145 3.3 AUDITORIA A SERVICIOS WEB 147 3.3.1 PRUEBAS DE GESTIÓN DE CONFIGURACIÓN DE LA

INFRAESTRUCTURA 148 3.3.2 COMPROBACIÓN DEL SISTEMA DE AUTENTICACIÓN 151 3.3.3 PRUEBAS DE AUTORIZACION 154 3.3.4 PRUEBAS DE GESTIÓN DE SESIONES 155 3.3.5 PRUEBAS DE VALIDACIÓN DE DATOS 156 3.3.6 PRUEBAS DE DENEGACIÓN DE SERVICIO 160

ix

3.3.7 COMPROBACIÓN DE SERVICIOS WEB 161 4. AUDITORIA INALAMBRICA 162 4.1 CONTROLES 162 4.2 DESCUBRIMIENTO DE DISPOSITIVOS 163 4.3 FINGERPRINTING 165 4.4 PRUEBAS SOBRE LA AUTENTICACIÓN 166 4.5 CIFRADO DE LAS COMUNICACIONES 167 4.6 CONFIGURACIÓN DE LA PLATAFORMA 168 4.7 PRUEBAS DE INFRAESTRUCTURA 168 4.8 PRUEBAS DE DENEGACIÓN DE SERVICIO 169 4.9 PRUEBAS SOBRE DIRECTIVAS Y NORMATIVA 170 4.10 PRUEBAS SOBRE LOS CLIENTES INALÁMBRICOS 171 4.11 PRUEBAS SOBRE HOSTSPOTS Y PORTALES CAUTIVOS 171 5. FACTIBILIDAD 172 CONCLUSIONES 174 RECOMENDACIONES 175 REFERENCIAS BIBLIOGRÁFICAS 176

x

LISTA DE CUADROS

Cuadro Pág 1 Control de versiones 43 2 Métricas Base 48 3 Métricas Temporales 49 4 Métricas de entorno 50 5 Riesgos Principales 58 6 Fase de Inducción 89 7 Fase de Interacción 90 8 Fase de Indagación 91 9 Fase de Intervención 92

10 Secciones de prueba 93 11 Operacionalización de la Variable 102 12 Matriz de doble impacto 115 13 Brecha 116 14 Valoración de activos 120 15 Matriz de evaluación 122 16 Matriz de calidad 124 17 Análisis final ISSAF 124 18 Análisis a PTES 125 19 Análisis a OWASP 125 20 Análisis de final OSSTM 126 21 Análisis NIST 126 22 Controles 162 23 Descubrimiento de dispositivos 163 24 Fingerprinting 164 25 Pruebas de autenticación 165 26 Cifrado de comunicaciones 166 27 Configuración plataforma 167 28 Pruebas de infraestructura 168 29 Pruebas de denegación 168 30 Pruebas sobre directivas y normativa 169 31 Pruebas sobre los clientes inalámbricos 170 32 Pruebas de hostspots y portales cautivos 171

xi

LISTA DE FIGURAS

Figura Pág 1 Metodología de análisis 59 2 Propósito de OSSTMM 87 3 Diagrama de bloques de la metodología OSSTMM 88 4 Deber ser vs Actual 117 5 Modelo de calidad 123 6 Diagrama de modelo de auditoria a servicios telemáticos 129 7 Fases de auditoria a servidores y laboratorios 134

xii

LAGRECA LIPORACE NICOLÁS ALEJANDRO. Modelo de auditoria para servicios telemáticos de la Universidad Simón Bolívar, Universidad Privada Dr. Rafael Belloso Chacín. Programa de Maestría en Telemática. Maracaibo, 2017.

RESUMEN

La presente investigación tuvo como objetivo general proponer modelo de

auditoria para servicios telemáticos de la universidad simón bolívar. El análisis

de la variable auditoria a servicios telemáticos se sustentó en los criterios

teóricos de Gonzales (2014), entre otros. Desde el punto de vista

metodológico, el estudio se desarrolló como una investigación centrada en el

tipo denominado proyecto factible y de orden descriptivo de campo. La

investigación está constituida por tres (3) fases. Se hace un diagnóstico de

la situación actual de la seguridad en servicios telemáticos de la Universidad

Simón Bolívar. Seguidamente se identifican los ambientes sensibles en

servicios telemáticos con el fin de generar una valoración de activos y se

protagonistas del modelo de auditoria. El estudio para formar el procedimiento

se centró en las metodologías correspondientes para la evaluación de los

servicios telemáticos: OSSTMM Wireless (Open Source Security Testing

Methodology Manual), OWISAM (Open Wireless Security Assessment

Methodology), OWASP (Open Web Application Security Project), NIST

(National institute of standards and technology), ISSAF (Information system

security assessment framework) y PETS (The penetration testing execution

standard). El resultado es un modelo único unificando las diferentes

metodologías, contribuyendo según su especialidad cada metodología

estudiada.

Palabras Claves: Seguridad, Hacking, Auditoria, Penetración.

xiii

NICOLÁS LIPORACE LAGRECA ALEJANDRO. Audit model for telematic services at the Simón Bolívar University, Private Dr. Rafael Belloso Chacín University. Master Program in Telematics. Maracaibo, 2017.

ABSTRACT

This research was to propose overall objective audit model for telematics

services Simon Bolivar University. The analysis of the variable to telematics

services audit was based on theoretical criteria Gonzales (2014), among

others. From the methodological standpoint, the study was developed as a

research focused on the type and feasible project called descriptive field order.

Research consists of three (3) phases. a diagnosis of the current situation of

security in telematics services is Simon Bolivar University. Then sensitive

environments are identified in telematics services in order to generate a

valuation of assets and audit model protagonists. The study to form the

procedure focused on the corresponding free methods for the evaluation of

telematics services: OSSTMM Wireless (Open Source Security Testing

Methodology Manual), OWISAM (Open Wireless Security Assessment

Methodology) and OWASP (Open Web Application Security Project), NIST

(National institute of standards and technology), ISSAF (Information system

security assessment framework) y PETS (The penetration testing execution

standard). The result is a unique model unifying the different methodologies,

each contributing according to their specialty studied methodology.

Keywords: Security, Hacking, Auditing, Penetration.

INTRODUCCIÓN

Hoy en día los sistemas de información son el alma de las organizaciones,

el grado de responsabilidad reposa en los sistemas, datos e información

encaminados al logro de los objetivos internos. Es por esto que los activos de

información han pasado a formar parte de la actividad cotidiana de toda

institución; los equipos almacenan información, procesándose y

transmitiéndose a través de redes y canales de comunicación, abriendo

nuevas posibilidades a los usuarios, pero se deben considerar nuevos

paradigmas en estos modelos tecnológicos, tiendo muy claro que no existen

sistemas cien por ciento seguros, porque el costo de la seguridad total es muy

alto, las organizaciones no están preparadas para hacer este tipo de inversión.

En resumida cuenta se puede aclarar que un ataque informático consiste

en aprovechar alguna debilidad o falla en el software, en el hardware, e incluso,

en las personas que forman parte de un ambiente informático; a fin de obtener

un beneficio, por lo general de índole económico, causando un efecto negativo

en la seguridad del sistema, que luego repercute directamente en los activos

de la organización.

En la mediad que la Universidad Simón Bolívar ha venido desarrollándose

de manera significativa en la última década, hasta convertirse en patrón de

referencia dentro de las instituciones universitarias, no sólo a nivel nacional

sino también en el entorno latinoamericano. Junto con el crecimiento

institucional, lo han hecho también los servicios telemáticos que posee y que

se ofrecen utilizándola como plataforma educativa. Teniendo un amplio

despliegue en su red tecnológica con una variedad importante de servicios y

actores, es muy fácil que se comience a notar las vulnerabilidades, riegos y

2

amenazas que pueden comprometer el ecosistema tecnológico como un

entorno efectivo para el trabajo.

Se tiene la falsa percepción de que la seguridad de la información es una

tarea imposible de aplicar, en realidad, con esfuerzo, el conocimiento

necesario y el apoyo constante de las directivas se puede alcanzar un nivel de

seguridad razonable, capaz de satisfacer las expectativas de seguridad

propias. Para minimizar el impacto negativo provocado por ataques, existen

procedimientos y mejores prácticas que facilitan la lucha contra las actividades

delictivas y reducen notablemente el campo de acción de los ataques.

Comprender cuáles son las debilidades más comunes que pueden ser

aprovechadas y cuáles son sus riesgos asociados, permitirá conocer de qué

manera se ataca un sistema informático ayudando a desplegar de manera

inteligente estrategias de seguridad efectivas.

El capítulo I, corresponde al problema de investigación y abarca el

planteamiento del problema, las interrogantes las cuales reflejan la

formulación, el objetivo tanto general como específico seguidamente se

encuentra la justificación de la indagación culminando el capítulo con la

determinación. El capítulo II, denominado marco teórico donde se reseñan los

antecedentes de investigaciones realizadas sobre el tópico tratado, términos

básicos y las teorías que sustentan el estudio así como la operacionalización

de la variable, en conjunto con su definición conceptual y operacional, junto al

cuadro de las mismas.

El capítulo III, corresponde al marco metodológico, donde se plantea el tipo,

diseño de investigación, la técnica e instrumentos de recolección de datos y

las técnicas de análisis que permitió expresar los resultados del estudio

culminando con los procedimientos realizados en la investigación. El capítulo

IV, se presentan los resultados del diagnóstico expresados en la entrevista no

3

estructurada, la cual permitió efectuar el análisis e interpretación de los datos

obtenidos.

El capítulo V, se expone la propuesta del modelo de auditoria para

servicios telemáticos de la universidad simón bolívar, dándose a conocer sus

objetivos, justificación, plan operativo, tomando como punto de partida el

desarrollo de la investigación en función del diagnóstico efectuado, las

referencias bibliográficas y los anexos que demuestran las evidencias

correspondientes a la elaboración de esta investigación.