universidad de guayaquil facultad de ciencias...

UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES

ANÁLISIS Y PROPUESTA DE SOLUCIÓN DE UN SISTEMA DE CORRELACIÓN

DE EVENTOS DE SEGURIDAD EN EL SERVIDOR GYE.ECUAHOSTING.NET

PARA LOS SERVICIOS DE CORREO ELECTRÓNICO Y SERVICIO WEB QUE SE

BRINDAN A LOS CLIENTES DE ECUAHOSTING ALOJADOS DENTRO DE ESTE

SERVIDOR.

PROYECTO DE TITULACIÓN

Previa a la obtención del Título de:

INGENIERO EN NETWORKING Y TELECOMUNICACIONES

AUTORES:

YESICA EMPERATRIZ AUCANCELA ESCOBAR

CRISTHIAN GEOVANNY VELASQUEZ VASQUEZ

TUTOR:

ING. JORGE CHICALA ARROYAVE, M.Sc

GUAYAQUIL – ECUADOR

2018

II

REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA

FICHA DE REGISTRO DE TESIS

TÍTULO:

ANÁLISIS Y PROPUESTA DE SOLUCIÓN DE UN SISTEMA DE CORRELACIÓN DE EVENTOS DE SEGURIDAD EN EL SERVIDOR GYE.ECUAHOSTING.NET PARA LOS SERVICIOS DE CORREO ELECTRÓNICO Y SERVICIO WEB QUE SE BRINDAN A LOS CLIENTES DE ECUAHOSTING ALOJADOS DENTRO DE ESTE SERVIDOR

AUTORES:

YESICA EMPERATRIZ AUCANCELA ESCOBAR

CRISTHIAN GEOVANNY VELASQUEZ VASQUEZ

REVISOR(ES)/TUTOR(ES):

ING. JORGE CHICALA ARROYAVE

INSTITUCIÓN: UNIVERSIDAD DE GUAYAQUIL

UNIDAD/FACULTAD: CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA: INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES

GRADO OBTENIDO: TERCER NIVEL

FECHA DE PUBLICACIÓN: 2018 No. DE PÁGINAS: 113

ÁREAS TEMÁTICAS: SEGURIDAD

PALABRAS CLAVES/KEYWORDS:

Correlación de eventos, SIEM, políticas de acceso, seguridades, servidor

RESUMEN/ABSTRACT:

ADJUNTO PDF: SI NO

CONTACTO CON AUTOR/ES:

Teléfono: 0958846031 E-mail: [email protected] [email protected]

CONTACTO CON LA INSTITUCIÓN:

Nombre: Ab. Juan Chávez Atocha

Teléfono: 2307729

E-mail: [email protected]

X

mailto:[email protected]

mailto:[email protected]

III

APROBACIÓN DEL TUTOR

En mi calidad de Tutor del trabajo de titulación, “ANÁLISIS Y PROPUESTA DE

SOLUCIÓN DE UN SISTEMA DE CORRELACIÓN DE EVENTOS DE

SEGURIDAD EN EL SERVIDOR GYE.ECUAHOSTING.NET PARA LOS

SERVICIOS DE CORREO ELECTRÓNICO Y SERVICIO WEB QUE SE BRINDAN

A LOS CLIENTES DE ECUAHOSTING ALOJADOS DENTRO DE ESTE

SERVIDOR.”, elaborado por la Srta. YESICA EMPERATRIZ AUCANCELA

ESCOBAR y el Sr. CRISTHIAN GEOVANNY VELASQUEZ VASQUEZ, alumnos

no titulados de la Carrera de Ingeniería en Networking y Telecomunicaciones de

la Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil,

previo a la obtención del Título de Ingeniero en Networking y Telecomunicaciones,

me permito declarar que luego de haber orientado, estudiado y revisado, la

Apruebo en todas sus partes.

Atentamente,

_________________________

ING. JORGE CHICALA A. M.Sc

TUTOR

IV

DEDICATORIA

Dedicado con amor a mi madre y

hermanos por estar conmigo

siempre. Por y para ellos.

Yésica

Dedico la culminación de esta tesis

a mi hermano José Luis nos

encontraremos en la eternidad.

Cristhian.

V

AGRADECIMIENTO

A nuestro tutor Ing. Jorge Chicala

por la paciencia y guía en el

desarrollo de este trabajo de

titulación. A mis maestros

quienes estuvieron y formaron

parte en la culminación de esta

etapa.

Atentamente,

Yesica Aucancela Escobar

VI

TRIBUNAL PROYECTO DE TITULACIÓN

Ab. Juan Chávez Atocha, Esp.

SECRETARIO TITULAR

Ing. Jorge Chicala, M.Sc

PROFESOR TUTOR DEL PROYECTO

DE TITULACIÓN

Ing. Harry Luna Aveiga, M.Sc.

DIRECTOR DE LA CARRERA

INGENIERÍA EN NETWORKING Y

TELECOMUNICACIONES

Ing. Eduardo Santos Baquerizo, M.Sc.

DECANO DE LA FACULTAD

CIENCIAS MATEMÁTICAS Y FÍSICAS

Ing. Roberto Crespo, M.Sc

PROFESOR REVISOR DEL ÁREA

TRIBUNAL

Ing. Francisco Álvarez, M.sc

PROFESOR REVISOR DEL ÁREA

TRIBUNAL

VII

DECLARACIÓN EXPRESA

“La responsabilidad del contenido de este

Proyecto de Titulación, me corresponden

exclusivamente; y el patrimonio

intelectual de la misma a la

UNIVERSIDAD DE GUAYAQUIL”

Autores:

Yesica Emperatriz Aucancela Escobar

Cristhian Geovanny Velásquez Vásquez

VIII



ANÁLISIS Y PROPUESTA DE SOLUCIÓN DE UN SISTEMA DE CORRELACIÓN




SERVIDOR.

Proyecto de Titulación que se presenta como requisito para optar por el título

de INGENIERO EN NETWORKING Y TELECOMUNICACIONES

Autores:

Yesica Emperatriz Aucancela Escobar

C.I.: 0924199110


C.I.: 0926557992

Tutor: Ing. Jorge Chicala A, M.Sc

Guayaquil, septiembre del 2018

IX

CERTIFICADO DE ACEPTACIÓN DEL TUTOR

En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo Directivo

de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil.

CERTIFICO:

Que he analizado el Proyecto de Titulación presentado por los estudiantes

YÉSICA EMPERATRIZ AUCANCELA ESCOBAR y CRISTHIAN GEOVANNY

VELÁSQUEZ VÁSQUEZ, como requisito previo para optar por el título de Ingeniero

en Networking y Telecomunicaciones cuyo nombre es:

“ANÁLISIS Y PROPUESTA DE SOLUCIÓN DE UN SISTEMA DE CORRELACIÓN

DE EVENTOS DE SEGURIDAD EN EL SERVIDOR GYE.ECUAHOSTING.NET PARA

LOS SERVICIOS DE CORREO ELECTRÓNICO Y SERVICIO WEB QUE SE


SERVIDOR”

Considero aprobado el trabajo en su totalidad.

Presentado por:

Yesica Emperatriz Aucancela Escobar C.I.: 0924199110

Cristhian Geovanny Velásquez Vásquez C.I. 0926557992

Tutor: Ing. Jorge Chicala, M.Sc

Guayaquil, septiembre de 2018

X



PUBLICACIÓN

AUTORIZACIÓN PARA PUBLICACIÓN DE PROYECTO DE

TITULACIÓN EN FORMATO DIGITAL

1. Identificación del Proyecto de Titulación

Nombre Alumno: Yésica Emperatriz Aucancela Escobar

Dirección: Guayaquil, Cdla Los Esteros

Teléfono: 0983377272 E-mail: [email protected]

Facultad: CIENCIAS MATEMÁTICAS Y FÍSICA

Carrera: INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES

Proyecto de titulación al que opta: INGENIERO EN NETWORKING Y TELECOMUNICACIONES

Profesor guía: ING. JORGE CHICALA A, MGs.

Nombre Alumno: Cristhian Geovanny Velásquez Vásquez

Dirección: Durán, Cdla El Recreo

Teléfono: 0996441930 E-mail: [email protected]

Tema del Proyecto de Titulación: Correlación de eventos, gestión de alertas,

herramientas de monitoreo, prevención de ataques, sistema de gestión

TÍTULO DEL PROYECTO DE TITULACIÓN: ANÁLISIS Y PROPUESTA DE

SOLUCIÓN DE UN SISTEMA DE CORRELACIÓN DE EVENTOS DE SEGURIDAD

EN EL SERVIDOR GYE.ECUAHOSTING.NET PARA LOS SERVICIOS DE

CORREO ELECTRÓNICO Y SERVICIO WEB QUE SE BRINDAN A LOS

CLIENTES DE ECUAHOSTING ALOJADOS DENTRO DE ESTE SERVIDOR.

XI

2. Autorización de Publicación de Versión Electrónica del Proyecto de

Titulación

A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a la

facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de este

Proyecto de titulación.

Publicación electrónica

Inmediata x Después de 1 año

Yesica Emperatriz Aucancela Escobar Cristhian Geovanny Velásquez Vásquez

C.I.: 0924199110 C.I.: 0926557992

3. Forma de envío:

El texto del proyecto de titulación debe ser enviado en formato Word, como archivo .Doc. O .RTF y. Puf para PC. Las imágenes que la acompañen pueden ser: .gif, .jpg o .TIFF.

DVDROM CDROM

X

XII

INDICE GENERAL

APROBACIÓN DEL TUTOR .................................................................................... III

DEDICATORIA ......................................................................................................... IV

AGRADECIMIENTO .................................................................................................. V

TRIBUNAL PROYECTO DE TITULACIÓN ............................................................... VI

DECLARACIÓN EXPRESA ..................................................................................... VII

CERTIFICADO DE ACEPTACIÓN DEL TUTOR ...................................................... IX

AUTORIZACIÓN PARA PUBLICACIÓN DE PROYECTO DE TITULACIÓN EN

FORMATO DIGITAL ................................................................................................. X

INDICE GENERAL .................................................................................................. XII

ABREVIATURAS .................................................................................................... XV

INDICE DE TABLAS .............................................................................................. XVI

INDICE DE ILUSTRACIONES .............................................................................. XVII

RESUMEN ........................................................................................................... XVIII

ABSTRACT ............................................................................................................ XIX

INTRODUCCIÓN ...................................................................................................... 1

CAPITULO I .............................................................................................................. 3

EL PROBLEMA ..................................................................................................... 3

PLANTEAMIENTO DEL PROBLEMA .................................................................... 3

UBICACIÓN DEL PROBLEMA EN UN CONTEXTO .......................................... 3

SITUACIÓN CONFLICTO NUDOS CRÍTICOS ................................................... 5

CAUSAS Y CONSECUENCIAS DEL PROBLEMA ............................................. 5

DELIMITACIÓN DEL PROBLEMA ..................................................................... 6

FORMULACIÓN DEL PROBLEMA .................................................................... 6

OBJETIVOS DE LA INVESTIGACION ................................................................... 7

OBJETIVO GENERAL ....................................................................................... 7

OBJETIVOS ESPECÍFICOS .............................................................................. 7

XIII

ALCANCES DEL PROBLEMA ............................................................................... 8

JUSTIFICACION E IMPORTANCIA ....................................................................... 8

JUSTIFICACIÓN ................................................................................................ 8

METODOLOGIA DEL PROYECTO ..................................................................... 10

PROCESAMIENTO Y ANÁLISIS ..................................................................... 10

SUPUESTOS Y RESTRICCIONES .................................................................. 16

SUPUESTOS ................................................................................................... 16

RESTRICCIONES ............................................................................................ 17

PLAN DE CALIDAD ......................................................................................... 17

CAPITULO II ........................................................................................................... 18

MARCO TEORICO .............................................................................................. 18

ANTECEDENTES DEL ESTUDIO ....................................................................... 18

FUNDAMENTACION TEORICA .......................................................................... 20

SEGURIDAD DE LA INFORMACIÓN .............................................................. 20

PRINCIPALES ACTIVIDADES DE LOS PIRATAS INFORMÁTICOS ............... 24

CASOS DE ESTUDIO ...................................................................................... 25

FASES EN UN ATAQUE INFORMÁTICO. ....................................................... 29

IMPORTANCIA DE UNA HERRAMIENTA SIEM .............................................. 29

FUNDAMENTACIÓN LEGAL............................................................................... 30

PREGUNTA CIENTIFICA A CONTESTARSE ..................................................... 35

DEFINICIONES CONCEPTUALES. .................................................................... 35

CAPITULO III .......................................................................................................... 39

PROPUESTA TECNOLÓGICA ............................................................................ 39

ANÁLISIS DE FACTIBILIDAD .......................................................................... 39

FACTIBILIDAD OPERACIONAL ...................................................................... 40

FACTIBILIDAD TÉCNICA ................................................................................ 40

FACTIBILIDAD LEGAL .................................................................................... 41

FACTIBILIDAD ECONÓMICA .......................................................................... 41

ETAPAS DE LA METODOLOGIA DEL PROYECTO ........................................ 42

XIV

ENTREGABLES DEL PROYECTO .................................................................. 66

CRITERIOS DE VALIDACION DE LA PROPUESTA ....................................... 66

CAPITULO IV .......................................................................................................... 68

CRITERIOS DE ACEPTACION DEL PRODUCTO O SERVICIO ......................... 68

CONCLUSIONES ................................................................................................ 69

RECOMENDACIONES ........................................................................................ 70

Bibliografía .............................................................................................................. 71

ANEXOS ............................................................................................................. 73

ANEXO 1. CARTA DE AUTORIZACION DE LA EMPRESA REINEC C. LTDA Y

SU MARCA COMERCIAL ECUAHOSTING ......................................................... 74

ANEXO 2. INFORMACIÓN DE SERVIDOR UTILIZADO PARA ESTUDIO .......... 75

ANEXO 3. ENCUESTA REALIZADA ................................................................... 77

ANEXO 4. ESPECIFICACIONES DE HERRAMIENTAS SIEM EN EL MERCADO

............................................................................................................................ 78

ANEXO 5. Manual de Instalación del ALienVault ................................................. 81

ANEXO 6. ENCUESTA DE VALIDACION DE LA PROPUESTA .......................... 89

ANEXO 7. CRITERIO DE VALIDACION DE PRODUCTO ................................... 92

ANEXO 8. INFORME DE ANÁLISIS DE LOS SERVICIOS DE ESTUDIO DEL

SERVIDOR .......................................................................................................... 93

ANEXO 9. Plan de acción y mejora para la implementación de un sistema de

gestión de eventos en servidores ........................................................................ 94

ANEXO 10. COTIZACION DE SERVIDOR .......................................................... 96

ANEXO 11. Manual de configuración de AlienVault ............................................. 97

XV

ABREVIATURAS

DC Data Center

DDOS Ataque de Denegación de servicio

CPU Unidad Central de Proceso

SIEM Security Information and Event Management

OTX Open Threat Exchange

IP Protocolo de internet

XVI

INDICE DE TABLAS

Tabla 1. Causas y consecuencias del problema ............................................................... 5

Tabla 2. Población del estudio ........................................................................................... 10

Tabla 3. Pregunta 1 .............................................................................................................. 11

Tabla 4. Pregunta 2 .............................................................................................................. 12

Tabla 5. Pregunta 3 .............................................................................................................. 13

Tabla 6. Pregunta 4 .............................................................................................................. 14

Tabla 7. Pregunta 5 .............................................................................................................. 15

Tabla 8. Costo de implementación del Proyecto ............................................................. 41

Tabla 9. Criterios de Validación de propuesta ................................................................. 67

Tabla 10. Criterios de Aceptación del producto ............................................................... 68

XVII

INDICE DE ILUSTRACIONES

Ilustración 1. Forma general de un ataque DDoS .................................................... 28

Ilustración 16. Representación de pregunta 1 ......................................................... 11

Ilustración 17. Representación de datos de la pregunta 2 ....................................... 12




Ilustración 2. Representación gráfica de los datos obtenidos en el análisis. ............ 44

Ilustración 3. Representación gráfica de los datos obtenidos del Firewall ............... 48

Ilustración 4. Representación gráfica de los registros obtenidos en el servidor de

correos .................................................................................................................... 51

Ilustración 5. Representación gráfica de los registros obtenidos por login ............... 53

Ilustración 6. representación gráfica de los datos obtenidos por servicio web ......... 56

Ilustración 7. Esquema del diseño de red ................................................................ 59

Ilustración 8. Cuadro comparativo de herramientas SIEM ....................................... 58

Ilustración 9. Autenticación en el siem .................................................................... 60

Ilustración 10. Visualización de alarmas .................................................................. 61

Ilustración 11. Datos Generales de los servicios ..................................................... 62

Ilustración 12. Datos generales de los servicios ...................................................... 62

Ilustración 13. Estados de los recursos ................................................................... 63

Ilustración 14. Exportación mediante CSV -1 .......................................................... 64

Ilustración 15. exportación mediante csv -2 ............................................................. 64

XVIII



“ANÁLISIS Y PROPUESTA DE SOLUCIÓN DE UN SISTEMA DE CORRELACIÓN




SERVIDOR”

Autores: Yésica Emperatriz Aucancela Escobar


Tutor: Ing. Jorge Chicala A. M.Sc

RESUMEN

El tiempo de resolución sobre las incidencias generadas dentro de cualquier servicio

es esencial. El presente proyecto muestra los procedimientos de la empresa REINEC

- Ecuahosting por parte del encargado de seguridad al momento de la recolección de

información, el análisis y las medidas a tomar frente a una supuesta intrusión. La

información recabada por el estudio realizado al servidor gye.ecuahosting.net, nos

brindará una pauta para proponer una herramienta que ayude con la gestión de

eventos de seguridad acorde a las especificaciones que se requiere para brindar una

respuesta efectiva a diferentes incidentes que se producen en un servidor.

XIX



ANALYSIS AND PROPOSAL FOR THE SOLUTION OF A SECURITY EVENT

CORRELATION SYSTEM IN THE SERVER GYE.ECUAHOSTING.NET FOR THE

EMAIL AND WEB SERVICE THAT ARE PROVIDED TO THE ECUAHOSTING

CLIENTS ACCOMPANIED WITHIN THIS SERVER

Author: Yésica Emperatriz Aucancela Escobar


Advisor: Ing. Jorge Chicala A. M.Sc

ABSTRACT

The resolution time on the incidents generated within any service is essential. The

present project shows the procedures of the company REINEC - Ecuahosting on the

part of the security manager at the moment of the collection of information, the analysis

and the measures to be taken against an alleged intrusion. The information collected

by the study conducted at the gye.ecuahosting.net server, will provide us with a

guideline to propose a tool that will help with the management of security events

according to the specifications required to provide an effective response to different

incidents that occur on a server

1

INTRODUCCIÓN

Los ataques informáticos constituyen una gran amenaza para las empresas que

brindan servicios. Día a día son atacados cientos de sistemas y servidores en

distintas partes del mundo, provocando pérdidas en los servicios o en la

información que estos manejan. Es por esto que las medidas de seguridad son

parte fundamental en las empresas, especialmente las que utilizan el Internet para

sus operaciones.

La aparición de nuevos métodos de infiltración y encubrimiento por parte de los

atacantes es cada vez mayor, lo cual aumenta el riesgo para las empresas que

proveen servicios.

En el año 2017 fueron detectados más de 120.000 incidentes de seguridad

provocados por ciberataques. En mayo de ese año, varios ciberdelincuentes

realizaron un ataque de phishing hacia los usuarios de Gmail, logrando una

intrusión al menos a 1 millón de cuentas de correos electrónicos. El ataque fue

realizado de una forma muy sofisticada mediante un método conocido como

Ingeniería Social, el cual solicita a la víctima información y/o privilegios haciéndose

pasar por una entidad de confianza.

Para los expertos en seguridad, es una ardua tarea la de mantener protegidos los

equipos en los cuales se ejecutan los servicios. No basta solo con implementar

reglas de accesos, instalar antivirus, firewall o dispositivos de control, sino también

una constante revisión y análisis de los eventos generados.

Para lograr cubrir la brecha de seguridad que puede estar presente en el sistema,

se utiliza una de estas herramientas que gestione los eventos de seguridad y

registren cualquier tipo de actividad sospechosa. Sin embargo, es difícil contar

con una visión precisa de los ataques o la relación que puede haber entre ellos.

En este trabajo de titulación, se presenta la problemática de la Empresa REINEC

C. LTDA – Ecuahosting la cual realiza procesos de gestión de eventos de

seguridad de forma manual, generando scripts posterior a su revisión y derivando

el caso según su nivel de incidencia para tomar las correcciones debidas, esto

2

hace que el tiempo de respuesta sea mayor y las revisiones sean constantes en

cualquier horario por el personal técnico.

Debido a estas circunstancias se tomó inicio al desarrollo del presente trabajo,

cuyo contenido se fundamenta en el análisis y recolección de datos para luego

relacionarlos y ejecutar la debida acción para el inconveniente suscitado, de esta

forma mejora la seguridad, calidad y confianza de los servicios que se ofrecen.

Posteriormente, luego de correlacionar cada uno de estos registros, con una

adecuada herramienta de Gestión de Eventos SIEM, se puede gestionar los

eventos y brindar una solución rápida y eficaz contra la intrusión manifestada.

Por otro lado, el encargado de seguridad puede ahorrar tiempo en la solución de

problemas y evitar un cese del servicio, el cual puede provocar molestias a los

usuarios e innumerables pérdidas económicas.

El proyecto está dividido en cuatro capítulos, en el Capítulo uno es donde se

plantea la problemática del estudio así como las causas que pueden generar un

problema y las consecuencias que pueden acarrear. Así mismo, se define el

alcance y la importancia de implementar un sistema de gestión de eventos en los

procesos de la Organización.

En el Capítulo dos se define el marco teórico y los antecedentes que dieron inicio

al desarrollo de este trabajo, así como los términos y los temas más relevantes en

el desarrollo de este proyecto, también se describe la fundamentación tanto

teórica como legal los cuales fortalecen los puntos que se tratarán en este estudio.

En el Capítulo tres se desarrolla la metodología de la investigación, aquí se detalla

el proceso que se lleva a cabo para validar el proyecto. Se detalla y analiza la

información mostrándose en gráficos y tablas estadísticas para brindar una mayor

veracidad de los resultados que fueron recolectados usando las técnicas

adecuadas.

En el Capítulo cuatro obtendremos los resultados, las conclusiones y

recomendaciones posterior a las pruebas realizadas sobre el uso de un sistema

de gestión de eventos en un servidor de la Empresa Ecuahosting.

3

CAPITULO I

EL PROBLEMA

PLANTEAMIENTO DEL PROBLEMA

UBICACIÓN DEL PROBLEMA EN UN CONTEXTO

La denegación de servicios por ataques maliciosos externos es muy alta, debido

a esto mantener reglas, software y políticas de control ayudan a prevenir y actuar

de una forma más eficiente en caso de que la seguridad de los activos sea

vulnerada.

Es primordial mantener un sistema que almacene, correlacione y regule todos los

eventos de seguridad que se presentan en el servidor, para luego ejecutar una

acción predeterminada dependiendo de la gravedad del caso.

Existe infinidad de tipos de ciberataques realizados diariamente a distintos

servidores alrededor del mundo, intentando tomar el control, desestabilizar o

dañar el sistema, logrando así la negación total o parcial del servicio que estos

brindan.

En la actualidad, todos estos ataques son tan comunes y sofisticados, que las

empresas se ven en la obligación de invertir grandes cantidades de dinero en

software, hardware y especialistas en el área para mantener la confiabilidad,

integridad y disponibilidad de sus sistemas o servicios.

No es ninguna novedad que Internet sea la herramienta más utilizada por las

personas, que estén dentro de empresas privadas, públicas, colegios,

universidades y entidades gubernamentales alrededor del mundo.

Este medio ofrece muchos beneficios para las personas, pero también guarda

usuarios malintencionados los cuales tienen como único propósito, atacar redes y

servidores dejando así inutilizable los servicios e invadiendo la privacidad de los

usuarios.

Solo en el año 2017 se realizaron numerosos ataques alrededor del mundo, lo

cual afectó a distintas empresas en varios países como EEUU, Brasil, Filipinas,

Hong Kong por nombrar algunos; para poner un ejemplo Wannacry fue un tipo de

4

ataque denominado Ransomware que afecto a millones de equipos como a los de

Telefónica en Madrid, al servicio de salud británico, entre otros; dejando vulnerable

la seguridad y apropiándose de los datos e información personal de los usuarios.

Debido a que la gran mayoría de empresas poseen su información y sus servicios

en la nube, los proveedores que brindan este tipo de servicios son un objetivo

deseable para los atacantes informáticos que pretenden causar interrupciones en

el servicio.

Varias firmas importantes de seguridad informática como Symantec, Cisco y

Fortinet están innovando en nuevas tecnologías, que permitan evitar las brechas

de seguridad y ofrecer protección contra presentes y futuras amenazas que

puedan desarrollarse.

Las empresas, como Reinec – Ecuahosting que proveen servicios en la nube se

ven en la necesidad de poseer una buena infraestructura de seguridad, por lo cual

detectar un ataque informático o algún proceso inusual que se esté ejecutando,

es de gran utilidad para evitar denegaciones en el servicio y aumentar la

protección en diferentes puntos dentro de la infraestructura.

Es de suma importancia dar un seguimiento constante a los registros y archivos

de bitácoras que se generan en los servidores, para poder detectar los eventos

sospechosos que se han ejecutado y actuar de forma eficaz contra una posible

intrusión.

Mantener una investigación de los datos que se genera dentro del servidor o los

dispositivos es una tarea titánica, debido a que estos generan cientos y hasta miles

de alertas diariamente y no todas estas son ataques malintencionados del exterior

o procesos sospechosos generados por los usuarios que estén alojados en el

servidor.

Hoy en día existen herramientas que pueden ayudar a la gestión y la correlación

de los eventos, permitiendo así combinar eventos individuales y dar una mejor

perspectiva de lo que ha sucedido dentro del entorno operacional.

5

SITUACIÓN CONFLICTO NUDOS CRÍTICOS

Los proveedores de servicios en la nube son grandes blancos para los atacantes

cibernéticos, cada día varios servidores son vulnerados o expuestos a algún

ataque, provocando una denegación en los servicios.

Cientos de clientes alrededor del mundo que poseen sus servicios en la nube, en

algún momento son víctimas de un fallo en el servicio, provocando que paren sus

actividades y ocasionando pérdidas monetarias considerables o, importantes

contratos de trabajos que no pueden ser postergados.

Gracias a los registros de seguridad del servidor conjuntamente a la correlación

de eventos se proveerá una mejor visión, ayudando a encontrar que usuario

dentro del servidor realizó algún tipo de proceso inusual o de cual lugar se provocó

un ataque hacia el servidor.

CAUSAS Y CONSECUENCIAS DEL PROBLEMA

Detallamos a continuación varias causas y las consecuencias que pueden

acarrear.

Tabla 1. Causas y consecuencias del problema

Causas Consecuencias o proyecciones

Procesos de algún usuario con elevado

consumo de recursos en RAM o CPU.

Sobrecarga en el servidor.

Accesos no autorizados. Alteración de archivos o información del

usuario.

Ataques directo al servidor hacia los

servicios web o de correo electrónico.

Denegación total o parcial de los

servicios.

Descuido en la revisión de los eventos

de seguridad.

No lograr establecer respuestas hacia los

ataques dirigidos al servidor.

Reglas de seguridad muy permisivas. Permitir al atacante violentar la seguridad

con facilidad.

Fuente: Datos de la investigación

Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny

Velásquez Vásquez

6

DELIMITACIÓN DEL PROBLEMA

Campo: Telecomunicaciones y Redes

Área: Servicio de correo electrónico y servicio web.

Aspecto: Herramienta que permita capturar y analizar los eventos de seguridad

y correlacionar cada evento individualmente para brindar una visión global del

problema o suceso producido.

Tema: Análisis y propuesta de solución de un sistema de correlación de eventos

de seguridad en el servidor gye.ecuahosting.net para los servicios de correo

electrónico y servicio web que se brindan a los clientes de Ecuahosting alojados

dentro de este servidor.

FORMULACIÓN DEL PROBLEMA

¿La propuesta de una herramienta SIEM mejorará la solución de los casos en los

eventos de correos electrónicos y páginas web de usuarios alojados en un

servidor?

EVALUACIÓN DEL PROBLEMA

Los aspectos generales para la evaluación son:

Delimitado

El proyecto planteado está basado en el análisis de datos para resolver de forma

eficiente los problemas más comunes de correo electrónico y servicio web

utilizando la herramienta de gestión de eventos SIEM.

Claro

Evaluar diferentes scripts y/o herramientas que ayuden a simplificar los casos de

ataques o vulnerabilidades.

7

Evidente

Se analizará las estadísticas de eventos reales que se muestran en el servidor.

Factible

Con los logs generados es posible realizar un análisis a los servicios de correos

electrónicos y web de un servidor.

Identifica los productos esperados

Se estima seleccionar el mejor sistema de correlación de eventos de acuerdo

con el análisis planteado en el proyecto.

OBJETIVOS DE LA INVESTIGACION

OBJETIVO GENERAL

Mejorar el proceso individual de gestión de eventos de seguridad actual, mediante

la propuesta de un Sistema de Gestión de Información y Eventos de Seguridad

centralizado, que permita realizar correlación de eventos con la finalidad de

identificar presunción de ataques de seguridad y agilizar los tiempos de respuesta

y/o solución de posibles ataques.

OBJETIVOS ESPECÍFICOS

• Analizar los diferentes tipos de eventos de seguridad que se generan

en el servidor para identificar ataques que afectan la disponibilidad del

servicio proporcionado al cliente.

• Determinar políticas de filtrado de la información de seguridad del

servidor recabado en los servicios, para clasificarlas según su nivel

crítico.

• Analizar herramientas que permitan la identificación de eventos de

seguridad para proveer un plan de acción con los procedimientos a

seguir dependiendo de la gravedad del suceso de seguridad.

• Elaborar el plan de mejora para la implementación de un Sistemas de

Gestión de Información y Eventos de Seguridad como recomendación

de implementación para asegurar la continuidad del servicio.

8

ALCANCES DEL PROBLEMA

Debido a los eventos que se generen en el servidor gye.ecuahosting.net, por los

procesos de usuarios alojados en él, tendremos como consecuencia un análisis

objetivo que ayudará a agilizar las posibles soluciones a casos comunes de

vulnerabilidad.

El proyecto permitirá recopilar esta información del servidor, analizarla y

clasificarla según su nivel de prioridad.

Mediante este proceso se propondrá mejorar la correlación de eventos a través

de un sistema de gestión de información y eventos de seguridad, permitiendo un

mejor control de los eventos garantizando la disponibilidad del servicio brindado.

Identificando los factores, por los cuales el servicio de correo electrónico o servicio

web pueden quedar inhabilitados, se podrá relacionar dos eventos de seguridad

permitiendo obtener el resultado de estas acciones al no tomar las medidas

respectivas.

Con el sistema de gestión de información, no solo se administrará los eventos,

también se tomarán las acciones pertinentes dependiendo de la prioridad y nivel

de incidencia.

JUSTIFICACION E IMPORTANCIA

JUSTIFICACIÓN

Los fallos de seguridad pueden poner en riesgo la calidad de servicio que se brinda

a los usuarios, el estudio del proyecto ayudará a catalogar los eventos de

seguridad registrados. De esta forma tomar la acción apropiada, y no solo prevenir

una denegación de servicio, sino también fortalecer la seguridad en los servidores

de la Empresa.

Al conocer los fallos de seguridad se pueden implementar mejores reglas de

control, de igual forma al poseer conocimiento de los eventos y mantener un

monitoreo constante sobre ellos, se podrán asociar las acciones a tomar para

solucionar el inconveniente de una manera rápida y eficiente.

9

IMPORTANCIA

Este proyecto favorece a la Empresa en la medida que sea aplicado a otros

servidores operativos actualmente, permitiendo correlacionar y gestionar los

eventos, para disminuir considerablemente los falsos positivos que puedan

generarse. Así también optimizando los procesos y brindando un mayor

performance al servicio que se brinda.

Los servicios de correo electrónico y servicio web que ofrece el servidor a los

clientes deben mantener una alta disponibilidad.

Es necesario revisar las bitácoras de seguridad que el servidor ofrece como son:

• Alertas de seguridad cuando un usuario esté realizando un proceso que

sobrepase los límites de recursos asignados al plan

• Cese del servicio

• Cola de correos saturada

• Intrusión al servicio del usuario por medio de un fallo de seguridad en el

website.

• Modificación o alteración de los archivos webs del usuario

• Envíos masivos de correos electrónicos

• Ataques de diccionario de datos a las cuentas de correos

• Ataques de phishing

• Ataques de Sql injection

• Entre otros.

Contando con toda esta información se puede relacionar los eventos de seguridad

entre sí, para luego poder tomar la acción más adecuada y solventar el problema,

de esta forma no vuelva a ejecutarse a futuro.

Con la utilización de la herramienta SIEM lograremos detectar y analizar

actividades sospechosas que se ejecuten dentro de nuestra red y que amenacen

nuestros sistemas o servicios, así podremos garantizar la seguridad de la red y la

disponibilidad del sistema o servicio que la empresa brinde.

10

METODOLOGIA DEL PROYECTO

METODOLOGÍA DE CASCADA

La metodología de cascada se basa en un modelo lineal enfocado en ordenar los

procesos secuencialmente de tal forma que las etapas puedan ejecutarse una tras

otra.

Debido al enfoque del tema del proyecto se optó por la utilización de este método,

que permite un desarrollo consecutivo sobre los procesos que se ejecutarán en

las diferentes fases del proyecto que son:

Análisis

Se realiza primero una encuesta (Anexo 3), al personal de área técnica que labora

en la empresa, para levantar información importante que ayude a conocer que

necesidades se presentan en el estudio actual, posterior se elabora el análisis e

interpretación de los datos recolectados. Así también, se analiza los registros de

eventos recolectados del servidor gye.ecuahosting.net.

PROCESAMIENTO Y ANÁLISIS

POBLACION Y MUESTRA

Para el estudio y análisis de los casos, se seleccionó como población al personal

que labora en la Empresa Reinec en sus oficinas de Guayaquil y Quito, que

manejan y resuelven los eventos que se producen en los servidores.

Tabla 2. Población del estudio

INVOLUCRADOS POBLACION PORCENTAJE

Personal de la empresa

Reinec 15 100 %

Total 15 100 %

Fuente: Dpto. Talento Humano de la Empresa Reinec


Velásquez Vásquez

11

MUESTRA

La muestra tomada es la poblacional, en vista de que la población es pequeña,

resultó accesible en su totalidad para conseguir mayor fiabilidad en la propuesta.

ENCUESTA ELABORADA

Pregunta 1: ¿Conoce usted lo que es un SIEM y cuál es su utilidad?

Tabla 3. Pregunta 1

Fuente: Encuestas realizadas al personal de la Empresa Reinec


Velásquez Vásquez

Ilustración 1. Representación de pregunta 1



Velásquez Vásquez

100%

0%0%

SI

NO

POCO

Opciones Cantidad Porcentajes

SI 15 100%

NO 0 0%

POCO 0 0%

TOTAL 15 100%

12

Análisis e interpretación

Del personal que realiza tareas de soporte técnico en la Empresa REINEC -

Ecuahosting, el 100% indica que conoce lo que es un SIEM y su beneficio al ser

utilizado dentro de las tareas diarias que originan los procesos o eventos que se

generan en los servidores.

Pregunta 2: ¿Con que frecuencia se detectan eventos de seguridad dentro de los

servidores que brindan el servicio de alojamiento?

Tabla 4. Pregunta 2


POCO 0 0%

SIEMPRE 15 100%

NUNCA 0 0%

TOTAL 15 100%



Velásquez Vásquez

Ilustración 2. Representación de datos de la pregunta 2



Velásquez Vásquez

0%

100%

0%

POCO

SIEMPRE

NUNCA

13

20%

80%

SERVICIO WEB

BASE DE DATOS

CORREOS ELECTRONICOS



El 100% del personal que realiza tareas de soporte técnico en la Empresa REINEC

(Ecuahosting), indica que siempre manejan eventos de los servidores en los que

se encuentran, de esta forma se cumple como política de la empresa la revisión

del estado y funcionamiento de todos los servicios en los servidores.

Pregunta 3: ¿En su opinión que servicios generan la mayor cantidad de eventos

de seguridad en un servidor?

Tabla 5. Pregunta 3


SERVICIO WEB 3 20%

BASE DE DATOS 0 0%


12 80%

TOTAL 15 100%



Velásquez Vásquez



Velásquez Vásquez

14

93%

7%

SI

NO

TALVEZ



El resultado de las encuestas indica que el 80% del personal opina que los logs o

eventos generados en los servidores se dan mayormente a nivel de correos

electrónicos, siguiéndole en un 20% los servicios web y de base de datos en

menos recurrencia. Esto nos muestra que el servicio de correos es el más utilizado

por los usuarios y por consecuencia toma más tiempo en los eventos atendidos a

nivel de soporte.

Pregunta 4: ¿Cree usted que es necesario utilizar un SIEM en la Empresa

REINEC?

Tabla 6. Pregunta 4


SI 14 93%

NO 0 0%

TALVEZ 1 7%

TOTAL 15 100%



Velásquez Vásquez



Velásquez Vásquez

15


El 93% opina que si es necesario la utilización de un SIEM en la empresa para la

resolución de problemas comunes en los servidores, un 7% manifiesta que puede

ser una opción la implementación de éste sistema, es decir la mayoría de sus

colaboradores consideran que el uso de este software ayudaría significativamente

a controlar problemas comunes que se susciten entre los usuarios de los servicios

que se ofrecen, brindando así mayor atención a otros eventos importantes que

requieren atención personalizada.

Pregunta 5: ¿De acuerdo a los eventos diarios del servidor, que tipo de eventos

solucionaría en un 99% el SIEM implementado?

Tabla 7. Pregunta 5


SERVICIO WEB 3 20%

BASE DE DATOS 0 0%


12 80%

TOTAL 15 100%



Velásquez Vásquez



Velásquez Vásquez


20%

80%

SERVICIO WEB

BASE DE DATOS

CORREOSELECTRONICOS

16


El 80% de los encuestados opinan que el SIEM implementado puede solucionar

mayormente los problemas recurrentes de Correos electrónicos, y en menor

proporción los servicios web y de base de datos, esto demuestra que es necesario

implementar este sistema para ayudar en gran medida a resolver eventos en el

menor tiempo posible.

Diseño

Se identificará los requerimientos y requisitos solicitados por la herramienta que

se elegirá para el desarrollo del proyecto.

Prueba

Mediante pruebas de configuración se verificará las funcionalidades de la

herramienta los cuales validarán la propuesta a emplearse.

Propuesta.

Una vez concluido el análisis, identificada la herramienta y realizada las pruebas

de configuración se generará un informe y una propuesta de solución para la

empresa.

SUPUESTOS Y RESTRICCIONES

SUPUESTOS

• El personal técnico sería parte de los interesados en la implementación de

un correlacionador de eventos.

• Los usuarios a los que se presta el servicio obtendrían un nivel de

respuesta casi inmediata a los eventos sucedidos, garantizando la

operatividad y disponibilidad del servicio.

• La correlación de los eventos generados por el SIEM, reducirían la tarea

del personal técnico en la evaluación de cada incidencia.

• El tiempo de respuesta en relación con una amenaza se reduciría

considerablemente, sosteniendo la fiabilidad del servicio.

17

RESTRICCIONES

• No es posible realizar virtualizaciones en el servidor estudiado, por

políticas de seguridad de acceso al DC.

• El software usado para el desarrollo de las pruebas es de licencia free y

posee ciertas restricciones.

• Falta de equipos físicos con las especificaciones técnicas requeridas para

el desarrollo de pruebas.

PLAN DE CALIDAD

Para la propuesta del sistema correlacionador de eventos, se realizarán las

pruebas con respecto al uso del software y las ventajas de éste. Estas pruebas,

están contenidas en el siguiente listado:

• Virtualización del ambiente servidor – aplicativo

• Configuración del equipo en el que se realizarán las pruebas.

• Configuración de políticas de seguridad.

• Uso de la herramienta para el escaneo de Activo.

• Revisión de informes de estadísticas de los eventos mediante entorno

gráfico.

18

CAPITULO II

MARCO TEORICO

ANTECEDENTES DEL ESTUDIO

En la actualidad, con el uso de las redes informáticas, es cada vez mayor el

crecimiento de intrusiones o ataques a los sistemas que manejan las empresas

de cualquier tamaño en todo el mundo. Por ello, las organizaciones

continuamente desean mejorar el nivel de seguridad de sus sistemas protegiendo

sus datos ante posibles accesos no autorizados. Ante esto, refiere (Clavijo,

2016):

“El ofrecer productos o servicios a través de Internet sin tomar en cuenta la

seguridad informática no sólo denota negligencia, sino que constituye una

invitación para que ocurran incidentes de seguridad que podrían dañar

severamente la reputación y afectar los ciclos del negocio.”

Con el crecimiento en la demanda de proveedores de hosting, las organizaciones

buscan en los servicios de almacenamiento en la nube, servidores web, respaldos,

correos electrónicos, la fiabilidad y las medidas de seguridad que hagan posible

el monitoreo y la protección de su información de los posibles ataques que puedan

surgir.

Los proveedores de servicios de hosting en Internet, utilizan sistemas de

monitorización que les permite recoger información y tratarlos para determinar si

existe un problema o no en sus redes.

Este proyecto se realiza con el propósito de mejorar el proceso de correlación de

eventos de seguridad que utilizan los servidores de la Empresa Reinec C. Ltda,

los cuales prestan servicios de hosting a cientos de usuarios.

Generalmente todos los eventos de seguridad que surgen en el servidor son

revisados manualmente dependiendo de la gravedad en que éste sea catalogado,

el servidor posee varios sistemas de seguridad integrado como:

• Reglas de control, acceso y bloqueo.

19

• Sistema de control de recursos sobre el uso del CPU y memoria de cada

servicio.

• Sistema de control de recursos sobre el uso del CPU y memoria de cada

usuario.

• Reglas de control en el servicio web.

• Control y regulación de SPAM.

• Gestión de relay de envíos por cada cuenta dentro del servidor.

• Control y prevención de Mail Stoofing y SPAM.

• Scritps personalizados de control.

Cada uno de estos sistemas proveen registros o logs de cada actividad

sospechosa encontrada o proceso generado fuera de lo normal, tomando como

referencia la configuración previa de las reglas dentro del servidor. El Súper

Administrador en conjunto con los Administradores Juniors revisan y catalogan

cada suceso manualmente dependiendo de la gravedad de la alerta, también se

debe revisar si dicha alerta generada es un falso positivo por ejemplo:

La cuenta de un usuario posee configurado un relay de envíos máximos de 40

mails por hora, el sistema ha generado una alerta del usuario el cual indica que su

cuenta ha generado alrededor de 60 mails en menos de 1 hora, sobrepasando por

mucho la capacidad asignada, no necesariamente la cuenta de correo se

encuentra comprometida y este usuario está generando SPAM o la aplicación de

correo que utiliza presenta vulnerabilidad por virus. En este caso deben ser

verificados:

• Los envíos realizados, tanto el correo remitente como los destinatarios.

• El asunto con el cual están saliendo los correos debido a que pueden estar

utilizando un software de facturación electrónica.

• Si está enviando algún comunicado para sus clientes o el personal interno

de la empresa lo que incurrió en la falta cometida.

Con la finalidad de poder tomar la acción correspondiente sin afectar el flujo de

envíos del usuario, todos y cada uno de estos eventos son revisados de forma

manual y se ejecutan scripts que permiten tomar acción respecto al evento que se

genera en ese momento. Sin embargo, en otros casos se derivan estos

20

escenarios para que sean resueltos por el personal de soporte dependiendo del

nivel de emergencia.

La revisión constante de los logs y el análisis de esta información resulta una tarea

compleja, exhaustiva y poco eficaz cuando se generan varios logs diariamente y

crece aún más con la cantidad de servidores que se administra.

Se ha propuesto mejorar la calidad y disponibilidad del servicio, así como el

tiempo asignado al control y revisión de los eventos de seguridad y las acciones a

tomar a través de la propuesta de un SIEM.

FUNDAMENTACION TEORICA

SEGURIDAD DE LA INFORMACIÓN

“Uno de los asuntos sobre los que se ha venido incidiendo recientemente es la

eficiencia en la extracción de datos. Tanto si el proceso se realiza manualmente

como si se hace de forma automática.” (Enrique Rando González, 2015 )

La seguridad de la información se basa en la protección de la confidencialidad,

integridad y la disponibilidad de la información de una organización. Por tanto, el

gerente de la empresa toma en cuenta al personal que dispone la tarea,

verificando antes las aptitudes y el conocimiento que poseen.

Todavía existen muchos gerentes que consideran innecesaria la implementación

de un área de sistemas o más grave aún, integran un área con un personal poco

calificado para que la administre. Esto puede provocar una catástrofe en un

futuro debido a que la información no está segura y el conocimiento para prevenir

o actuar ante posibles intrusiones son escasas.

Cuando esta información no se asegura adecuadamente, se corre el riesgo de que

sea usada por personas no autorizadas lo que conlleva a graves consecuencias.

Por esta razón, la seguridad es un campo en el que se está trabajando

continuamente. Convirtiendo en una necesidad vital proteger la información

valiosa de las empresas. Esto se puede lograr con mecanismos y herramientas

de prevención o detección de intrusos y con un personal debidamente calificado.

21

“Los fallos web son el origen de puertas de entrada bastante frecuentes en los

sistemas. En efecto muchos sitios presentan problemas de seguridad que están

en los formularios, especialmente en los formularios de envío que están mal

protegidos y permiten enviar archivos al servidor o dando acceso a información de

la base de datos”. (ACISSI, 2015)

Para un proveedor de servicio web es primordial que los usuarios aseguren

correctamente los sitios que publican en línea. Lamentablemente la realidad es

otra, para minimizar costos realizan los sitios web con personas que no poseen

un conocimiento suficiente en esta área y en ocasiones la realizan ellos mismos.

Por desconocimiento en temas de seguridad web, provoca que el sitio no posea

la seguridad debida ni el monitoreo necesario para prevenir incidentes de hackeo,

dejando brechas de seguridad que un atacante puede aprovechar.

Los formularios o cajas de comentarios abiertos son las falencias más comunes

que un atacante explota. Utilizando este medio origina lo que comúnmente se

conoce como web spammer. Lo cual es la práctica de enviar SPAM mediante la

web.

Este es un riesgo muy grande para el servidor debido a que las entidades que

regulan y controlan el SPAM a nivel mundial, puede listar no solo el correo o

dominio de origen, también la IP del cual proviene los envíos, añadiendo una mala

reputación a la misma.

El administrador del servicio se ve en la necesidad de implementar estrategias que

le ayuden en la detección de estas anomalías. Mediante herramientas sean éstas

de hardware o software se logra incrementar en gran medida la seguridad sobre

amenazas potenciales.

Analizar los eventos y registros del sistema permitirá tener un mejor panorama de

lo que sucede en el servidor y que el usuario puede provocar el inconveniente.

El servicio web no es el único medio que se utiliza para la interacción digital, hoy

en día la mayor parte de información que manejamos y compartimos la realizamos

a través de nuestro correo electrónico. Esto ocasiona que los usuarios

malintencionados obtengan otro blanco al cual atacar.

22

La empresa GlobalSign experta en soluciones de seguridad digital comenta. “El

correo electrónico es una herramienta de la cual dependemos diariamente. A su

vez es muy fácil enviar información confidencial a otra persona, poniendo en riesgo

que esta información caiga en las manos equivocadas”. (GLOBALSIGN, 2016)

Esto implica que la utilización del correo electrónico mediante Internet u otras

redes privadas conlleven un alto grado de riesgo en la seguridad de la información

que se transmite. Por lo cual es imperativo para los usuarios garantizar la

integridad de la comunicación.

Debido a que el correo electrónico, para llegar a su destino debe viajar a través

de numerosos dispositivos y sistemas, se corre el riesgo que dicha información

confidencial pueda ser interceptada por otra persona. Es por eso que el

administrador debe emplear políticas de seguridad que ayuden a proteger la

confidencialidad del mensaje.

“Los hackers son cada vez más hábiles en hacerse pasar por otras

organizaciones. Incluso personas con altos conocimientos en seguridad pueden

ser engañados por un correo electrónico bien elaborado que contiene phishing”.

(GLOBALSIGN, 2016)

La pérdida parcial o total de la información puede llegar a costar miles de dólares.

Estas incidencias también afectan gravemente a la reputación de la empresa sin

mencionar las repercusiones legales que pueden presentarse. La confidencialidad

de la información no es el único riesgo latente. Otros riesgos que se pueden

presentar es el SPAM o también llamado correo basura.

Este tipo de ataque es el más común, en donde el atacante envía una cantidad

descomunal de correos de tipo comercial, no solicitado por el usuario destinatario.

Un tipo de ataque de denegación de servicio denominado inundación es uno de

los más perjudiciales, consiste en generar una sobrecarga en el servidor mediante

el envío de múltiples correos electrónicos saturando el servicio.

Por lo cual es de suma importancia analizar los eventos originados dentro del

servidor, Jean-François comenta que, “Un evento puede indicar que algo no

funciona correctamente, llevándonos al registro de un incidente. El evento también

puede indicar, durante la actividad normal, la necesidad de una intervención

ordinaria”. (Francois, 2016)

23

Cuando se origina un evento en el servidor puede indicar una alerta de advertencia

para el administrador del servicio. Esto no implica que cada evento generado

sugiera un fallo en el sistema o servicio, pero si da hincapié para que este sea

revisado.

Si el administrador ignora los eventos del servidor o no realiza el respectivo

análisis del suceso, puede producirse un fallo en el servicio provocando en el peor

de los casos un cese total del mismo.

El personal encargado de la seguridad en la empresa no solo debe monitorear los

eventos. Es vital que los eventos detectados sean gestionados de manera

correcta.

Frecuentemente deben ser revisados los servicios y componentes del sistema,

Jean-François comenta lo siguiente: “La gestión de eventos genera y detecta las

notificaciones, mientras que la supervisión verifica el estado de los componentes

aun cuando no exista evento alguno.” (Francois, 2016)

Por tanto, la supervisión continua del servicio aun cuando no se haya originado

algún evento es primordial para prevenir cualquier fallo del sistema. Gracias a esto

nos podemos dar cuenta si funciona el servicio como es debido, de esta forma se

podrá tratar cualquier suceso o anomalía con tiempo antes de que pueda

convertirse en un problema mayor.

“La gestión de los incidentes de seguridad es un aspecto muy importante para

lograr el mejoramiento continuo de la seguridad de la información de cualquier

compañía, el principal inconveniente es que muchas organizaciones no lo utilizan

adecuadamente.” (Gutiérrez, 2013)

Todos los sistemas deben mantener un registro de los eventos de seguridad, cada

evento indica alguna entrada o proceso sospechoso que ha sucedido en el

sistema o servicio, aquí es donde entra la gestión de todos estos eventos

generados. Gracias a esto, se podrá tomar la acción más adecuada para la

solución del problema y para mejorar la seguridad del servicio.

Para el personal de seguridad debe ser primordial contar con una herramienta de

gestión, para poder registrar toda la información recolectada en el servidor que

mantenga relación con las incidencias y eventos generados.

24

En la actualidad existen millones de amenazas provocadas por expertos

informáticos denominados hackers, también conocidos como piratas informáticos.

Estos individuos poseen un alto conocimiento tecnológico que utilizan para

actividades ilegales en su propio beneficio.

“La ingeniería social es un tema al que todavía no se le da tanta importancia en el

interior de las organizaciones. Las consecuencias de ser víctima de este tipo de

ataques pueden ser muy grandes. El atacante o hacker puede utilizar diferentes

mecanismos de persuasión.” (OWASP, 2016)

Los ataques generados por este grupo de personas se encuentran en aumento,

logrando explotar la más mínima vulnerabilidad del sistema para acceder y realizar

operaciones delictivas. Esto es un gran problema para los encargados de

seguridad en las empresas, los cuales deben mantener la confiabilidad e

integridad de los datos que se intercambian mediante la red.

PRINCIPALES ACTIVIDADES DE LOS PIRATAS INFORMÁTICOS

Desfiguramiento de los sitios web: Esto ocurre cuando se entra al servidor web

y se altera o reemplaza la página principal. Los desfiguramientos de los sitios web

es una práctica común, pues se lleva a cabo descargando de internet un programa

que está diseñado para aprovecharse de las vulnerabilidades de los sistemas.

Hurto de la información de las tarjetas de crédito: La información de la tarjeta

de crédito puede ser hurtada por medio de las mismas herramientas de ataque

que están tras los desfiguramientos de los sitios web.

Una vez los piratas informáticos tienen acceso a la red, pueden analizar las bases

de datos en busca de archivos que puedan tener información valiosa, como

archivos de clientes. Todo archivo que sea interesante para el intruso puede ser

descargado a su computadora.

Ataque a los programas instructores del servidor: Los programas instructores

del servidor permiten las comunicaciones bidireccionales entre los servidores y

usuarios web.

Las instrucciones del servidor también es un objetivo común de intrusos y lo

hacen ejecutando comandos, leyendo los archivos del sistema o modificando

los mismos.

25

Ataques de negación de servicio: La negación de servicio se produce cuando

alguien o algo impide que se realice una tarea u operación deseada. Los intrusos

o piratas logran esto principalmente con el consumo del ancho debanda,

inundando la red con datos, agotando los recursos del sistema, fallas de

programación, etc.

Los piratas de la red operan en distintos niveles realizando todo tipo de actividades

ilícitas y propinando ataques a usuarios o empresas con la única finalidad de

desestabilizar el sistema.

Entre los ataques más comunes tenemos alteración, modificación y denegación

de un sitio web, robo de información personal como datos de cuentas bancarias o

información privada, ataques a servidores y denegaciones de servicios, este

último es el más usado por los ciber atacantes; cada día incontables sistemas o

servicios son dados de baja por algún tipo de intrusión en todo el mundo.

CASOS DE ESTUDIO

Ataque al gestor de contraseñas LastPass

El popular gestor de contraseñas LastPass advirtió a los usuarios actualizar las

contraseñas de sus cuentas maestras, después de que su red de almacenamiento

de claves online sufriera un ataque.

La compañía ha escrito una entrada de blog para notificar primero a los clientes,

antes de enviar mensajes de correo electrónico directamente a los usuarios. El

ataque fue descubierto el pasado viernes, cuando notaron la intrusión: Nuestro

equipo descubrió y bloqueó actividad sospechosa en nuestra red, dijo Joe Siegrist

director ejecutivo de LastPass.

Una investigación descubrió que mientras que los atacantes no habían

comprometido los datos cifrados de los usuarios, direcciones de correo electrónico,

recordatorios de contraseñas y hashes de autenticación se vieron comprometidos.

Además, mencionaron como componente afectado a la sal utilizada para cada

usuario, es decir, el conjunto de datos que se le añade a las contraseñas durante

el cifrado para que sean más difíciles de robar.

26

En un correo electrónico de seguimiento directo a los clientes, la compañía declaró

que confía en que los algoritmos de cifrado que utiliza protegerán suficientemente

a los usuarios, pero dijo que se están implementando medidas adicionales para

remediar el inconveniente. Para garantizar aún más la seguridad, estamos

requiriendo verificación por correo electrónico al iniciar sesión desde un nuevo

dispositivo o dirección IP, señalo Siegrist.

Sin embargo, de parte del gestor de contraseñas LastPass han señalado que los

datos comprometidos no fueron utilizables en forma inmediata para los atacantes:

LastPass fortalece el hash de autenticación con una sal aleatoria y 100.000 rondas

de funciones PBKDF2-SHA256 del lado del servidor, además de las rondas

realizadas del lado del cliente. Este fortalecimiento adicional hace que sea difícil

de atacar a los hashes robados con cualquier velocidad significativa.

The Guardian informa que la empresa pidió a los usuarios actualizar su contraseña

maestra después del ataque. No está de más recordar cómo construir una

contraseña fuerte y segura.

Algunos usuarios de LastPass han respondido a la noticia solicitando más

información sobre la naturaleza del ataque, y detalles sobre cómo la compañía

planea prevenir otros similares en el futuro. Sin embargo, varios que publicaron

en el blog de la compañía destacaron la pronta divulgación del ataque, y halagaron

a LastPass por su postura en materia de seguridad.

Tenemos confianza en que nuestras medidas de encriptación son suficientes para

proteger a la vasta mayoría de usuarios, dijo en un blog el director ejecutivo Joe

Siegrist, quien se disculpó con los usuarios por la inconveniencia de cambiar sus

contraseñas.

Este último ataque a las contraseñas destaca la importancia de seguir siempre las

mejores prácticas de seguridad, mientras que la industria continúa desarrollando

alternativas nuevas y radicales que podrían reemplazarlas.

La empresa aconsejó a los usuarios que cambien sus contraseñas maestras de

LastPass, las cuales son utilizados para recuperar las contraseñas individuales

encriptadas para otros servicios en línea y cuentas de los usuarios; pero indicó

que no necesitan cambiar las contraseñas individuales.

(Carlos Pagni, 2015)

27

Caso Ronnie IRC Hispano (Ataque DDoS)

Dos años de prisión y 1,4 millones de euros de indemnización al autor del mayor

ataque de denegación de servicio en España

Sisco Sapena, presidente de IRC-Hispano: “esta sentencia es muy importante y

sienta un precedente para la persecución de este tipo de delitos, que por desgracia

han sido impunes hasta ahora”

Lleida, 7 de febrero de 2006. Hoy se ha celebrado en Lleida el juicio contra

Santiago Garrido, autor del mayor ataque DDoS en España y que llegó a afectar

en algunos momentos al 30% de los internautas españoles, unos 3 millones de

usuarios según la Unidad de Delitos Telemáticos de la Guardia Civil.

En el juicio, Santiago Garrido ha reconocido todos los hechos y los daños

causados. Finalmente, la sentencia es firme por haberse aceptado por ambas

partes y en el plazo de una semana el juez publicará dicha sentencia.

Este internauta, apodado en la red bajo los nicksde `Ronnie´ y `Mike 25´ ha sido

condenado a dos años de prisión por delitos de daños continuados, valorados en

1.332.500 euros de responsabilidad civil, desglosados en:

474.500 € en daños a LLEIDA.NET

570.716 € en daños a WANADOO

120.000 € en daños a ONO

218.000 € en daños a IRC-HISPANO

Además, Santiago Garrido deberá pagar 18 meses de multa con una cuota diaria

de 6€. Este es el primer caso de sentencia por ataque de denegación de servicio

en España, y posiblemente el de mayor cuantía en una sentencia en temas

informáticos.

IRC-Hispano, la mayor red de habla hispana con 16 millones de usuarios al mes,

fue una de las organizaciones más afectadas por este ataque que, gracias a la

Unidad de Delitos Informáticos de la Guardia Civil, en una operación que contó

con la colaboración de la empresa antivirus Panda Software, concluyó con su

detención a finales de julio de 2003, y esta mañana el caso `Ronnie´ ha finalizado

en una sentencia condenatoria.

28

Para Sisco Sapena, presidente de IRC-Hispano, “esta sentencia es muy

importante y sienta un precedente para la persecución de este tipo de delitos que

por desgracia han sido impunes hasta ahora.

A raíz de esta sentencia, empresas, asociaciones y usuarios en general estamos

más protegidos frente a los delitos informáticos, y frente a todo tipo de acciones

ilegales que se producen en la red y que causan grandes pérdidas económicas y

graves perjuicios para los usuarios de Internet”, resaltó Sisco Sapena.

En este caso se observa como un ataque desde varios puntos pudo desestabilizar

un servidor llegando a afectar la operatividad del servicio, este atacante mediante

un gusano conocido como Deloder infectó a varios ordenadores en Europa y Asia

que estaban vulnerables, convirtiéndolos en ordenadores zombies, desde los

cuales orquestó el ataque DDoS. Cabe mencionar que un ataque desde un solo

ordenador podría colisionar un servidor, pero al coordinar varios ataques desde

diferentes ordenadores hacia un mismo objetivo puede afectar el servicio y los

tiempos de respuesta del servidor atacado.



Velásquez Vásquez

Ilustración 6. Forma general de un ataque DDoS

29

FASES EN UN ATAQUE INFORMÁTICO.

Un ataque informático consta de una serie de etapas antes de que el ciber

delincuente comience con la intrusión:

• Preparación: Un atacante profesional comienza identificando el objetivo,

una vez seleccionado realiza una investigación para poder recolectar los

datos necesarios que le ayudarán a vulnerar la seguridad.

• Acceso: En este punto empieza el atacante hacer uso de las armas a su

disposición, realizando un escaneo a los puertos, explorando las

vulnerabilidades e infectando a la víctima; una vez infectado el ordenador

contaminado está a la espera de instrucciones por parte del hacker.

• Ejecución: El intruso empieza con los ataques hacia la víctima,

capturando los paquetes, recolectando información, alterando y/o

denegando el funcionamiento de las aplicaciones.

• Cubriendo huellas: En esta última fase el atacante elimina cualquier

evidencia de su intrusión, así como los rastros de la operación que ha

realizado, de esta forma mantiene el acceso al sistema u ordenador

comprometido; al eliminar sus huellas el atacante logra no ser detectado y

el encargado de seguridad no obtendrá evidencias o pistas claras de lo

sucedido.

IMPORTANCIA DE UNA HERRAMIENTA SIEM

Los sistemas SIEM es una tecnología implementada para la gestión de eventos

de seguridad, se centra en la recopilación de información con múltiples fines,

desde la administración de las bitácoras de los eventos de seguridad, respuestas

a incidencias suscitadas, hasta la resolución de problemas que pueden generarse

en el sistema.

En primera instancia las herramientas SIEM fueron desarrolladas para reducir el

número de falsos positivos generados por los sistemas de detección de intrusos y

los sistemas de prevención de intrusos conocidos como IDS e IPS

respectivamente, dichas herramientas se utilizan para mejorar el grado de

seguridad de los sistemas dentro de las empresas especialmente en las grandes

compañías.

Las funciones de una herramienta SIEM pueden detallarse de la siguiente manera:

30

• Obtención de datos y registros. - Recolecta toda la información de los

eventos y los resultados del análisis de vulnerabilidades realizado.

• Clasificación. - Convierte los registros recopilados a un formato que la

herramienta SIEM pueda manipular y los clasifica dependiendo de la

configuración que se le ingrese.

• Correlación. - Como lo indica su nombre realiza una correlación basada

en las reglas sean estas estadísticas o algorítmicas, así como los métodos

de relación de eventos entre sí; la correlación puede llevarse en tiempo

real o también con base en los datos históricos.

• Alertas. - Envía las notificaciones de los sucesos al operador estos pueden

ser mediante mensaje de texto, protocolo simple de administración de red

o correo electrónico.

• Niveles de prioridad. - Ayuda a conocer los eventos de mayor

importancia, así como los de un nivel medio o inferior

• Visualización de registros en tiempo real. - Muestra la información

detallada de los eventos en tiempo real aquí también se puede visualizar

los eventos pasados.

• Informes. - Presenta toda la información histórica que se ha recopilado.

FUNDAMENTACIÓN LEGAL

En las últimas décadas, el Ecuador ha sufrido profundas transformaciones

económicas, sociales y políticas. La Constitución del 2008, aprobada en las urnas,

impone obligaciones inaplazables y urgentes como la revisión del sistema jurídico

para cumplir con el imperativo de justicia y certidumbre (Zambrano-Mendieta,

2016).

Páez Rivadeneira en el 2010 planteó que el Código Penal Ecuatoriano en materia

de Delitos Informáticos siempre ha presentado deficiencias graves y aunque el

uso de la tecnología en nuestro país es nuevo (lo que podría entenderse como

excusa), la prevención en este tema no ha sido la adecuada.

El delito informático está tipificado en el artículo 190 del Código Orgánico Integral

Penal de acuerdo con lo que se establece como delito:

31

El uso de un sistema informático o redes electrónicas y de telecomunicaciones

para facilitar la apropiación de un bien ajeno o que procure la transferencia no

consentida de bienes, valores o derechos en perjuicio de esta o de una tercera,

en beneficio suyo o de otra persona alterando, manipulando o modificando el

funcionamiento de redes electrónicas, programas, sistemas informáticos,

telemáticos y equipos terminales de telecomunicaciones, será sancionada con

pena privativa de libertad de uno a tres años.

El delito informático en la ley penal ecuatoriana

En el Ecuador en el año 2009 se empieza a hablar de delitos informáticos

registrándose hasta el 2013 un total de 3,143 casos, esto a pesar de que se

conoce que el 80% de los delitos informáticos no son reportados, en cuanto al

índice delictivo. Ecuador ocupa el tercer lugar después de México con el 92 % y

Bolivia con el 85 %, lo que a criterio de la ONU se produce como consecuencia de

la falta de una cultura de denuncia.

El delito informático está tipificado en el Código Orgánico Penal Integral del

Ecuador aprobado en el año 2014, en el artículo 190, que señala, la apropiación

fraudulenta por medios electrónicos, los elementos que componen este delito son

los siguientes:

De los Delitos contra la inviolabilidad del secreto.

Art. 202 inciso 1.- Violación de claves o sistemas de seguridad, para acceder u

obtener información protegida contenida en sistemas de información.

Prisión

Pena específica 6 meses a 1 año; multa de 500 a 1000 dólares.

Art. 202.2 Cesión, publicación, utilización o transferencia de datos personales sin

autorización.

Prisión

Pena específica de 2 meses a 2 años; multa de 1000 a 2000 dólares.

Este artículo nos habla sobre la confidencialidad de la información y la necesidad

de que los datos guarden reserva absoluta. En caso de violar este derecho y

divulgar su contenido mediante medios electrónicos o afines se penalizará con

32

prisión y multa. Si la información vulnerada trata de Seguridad Nacional la sanción

aumenta; de igual manera si los datos pertenecen al sector comercial.

De la violación de los Deberes de los Funcionarios Públicos, de la

Usurpación de Atribuciones y de los Abusos de Autoridad.

Art. 262.- Destrucción o supresión de documentos o información por empleado

público depositario de la misma.

Reclusión menor ordinaria

Pena específica de 3 a 6 años.

Este artículo trata sobre la responsabilidad de Funcionarios Públicos de

precautelar la seguridad de la información a ellos encomendada. Hace énfasis en

la intencionalidad (fraudulenta y maliciosa) para destruir archivos, programas o

mensajes que involucren intervención electrónica, así como medios físicos para

su desaparición.

De la Falsificación de Documentos en general

Art. 353. 1 falsificación electrónica.

Varias

Pena específica

Depende del tipo de falsificación de acuerdo con los artículos 337 al 353

Este artículo detalla la falsificación electrónica y nos expone que aquella persona

o personas que alteren o modifiquen datos serán sometidas a lo que dispone la

ley, mencionando como puntos estratégicos la alteración, la simulación y la

distorsión de mensajes de datos.

Del incendio y otras Destrucciones, de los deterioros y Daños.

Art. 415.1 Destrucción, alteración o supresión de contenidos de sistema

informático o red electrónica.

Prisión

Pena específica de 6 meses a 3 años; multa de 60 a 150 dólares

33

Art. 415.2 Destrucción de infraestructuras físicas necesarias para la transmisión,

recepción o procesamiento de mensajes de datos.

Prisión

Pena específica de 8 meses a 4 años; multa de 200 a 600 dólares

El artículo señala una pena y multa a quien destruya de cualquier modo la

información existente en equipos electrónicos, actuando con voluntad,

provocando pérdida total o definitivamente de los datos almacenados por esa

entidad. Si la información es de servicio público su sanción aumentara, sin

embargo, si el daño es menor se acusará de un atenuante.

Del Robo

Art. 553.2 Los que utilizaren fraudulentamente sistemas de información o redes

electrónicas, para facilitar la apropiación de un bien ajeno, o los que procuren la

transferencia no consentida de bienes, valores o derechos de una persona, en

perjuicio de esta o de un tercero, en beneficio suyo o de otra persona alterando,

manipulando o modificando el funcionamiento de redes electrónicas, programas

informáticos, sistemas informáticos, telemáticos o mensajes de datos.

Pena específica de 6 meses a 5 años; multa de 500 a 1000 dólares; los autores

podrán ser colocados bajo la vigilancia especial de la autoridad por 2 años a lo

menos y 5 a lo más.

Circunstancias modificatorias no constitutivas

Numeral 2. Descubrimiento o descifrado de claves secretas o encriptados

Numeral 5. Violación de seguridades electrónicas, informáticas u otras semejantes

Este artículo hace referencia a quienes usen fraudulentamente sistemas de

información para el robo o apropiación de bien ajeno, manipulando o alterando

éstos para el cometido del delito. Asimismo, la sanción aumenta para quienes

hayan inutilizado sistemas de alarma, descifrado de claves secretas, uso de

tarjetas magnéticas, uso de instrumentos de apertura teledirigidos y toda violación

de seguridades electrónicas.

34

De las Estafas y otras defraudaciones

Art. 563 Circunstancias modificatorias no constitutivas

Inciso 2. Quien cometiere este delito utilizando medios electrónicos o telemáticos.

El Código Orgánico Integral Penal en el artículo 103 sanciona la pornografía

infantil como una medida para tipificar este delito que muchos casos quedaron sin

ser sancionado por falta de tipificación que: La persona que fotografíe, filme,

grabe, produzca, transmita o edite materiales visuales, audiovisuales,

informáticos, electrónicos o de cualquier otro soporte físico o formato que

contenga la representación visual de desnudos o semidesnudos reales o

simulados de niñas, niños o adolescentes en actitud sexual; será sancionada con

pena privativa de libertad de trece a dieciséis años.

La Ley Penal en el artículo 104 tipifica el delito de comercialización de material

pornográfico de la siguiente manera:

Quien publicite, compre, posea, porte, transmita, descargue, almacene, importe,

exporte o venda.

Haciendo uso de cualquier medio.

Con finalidad de uso personal.

Para intercambio pornografía de niños, niñas y adolescentes.

Sanción de diez a trece años.

La ley penal señala los delitos contra el derecho a la intimidad personal y familiar,

identificando la violación a la intimidad personal en el artículo 178 del Código

Orgánico Integral Penal cuyas características son:

Acto realizado sin consentimiento o la autorización legal.

Consiste en acceder, interceptar, examinar, retener, grabar, reproducir, difundir o

publicar.

Datos personales, mensajes de datos, voz, audio y vídeo, objetos postales,

información contenida en soportes informáticos, comunicaciones privadas o

reservadas.

35

De otra persona por cualquier medio.

Sanción con pena privativa de libertad de uno a tres años.

El delito informático se diferencia de los delitos ordinarios en dos aspectos

esenciales:

Quien comete el acto ilícito no tiene necesidad de estar presente en el lugar del

delito para perpetrarlo.

No existen frontera alguna, cualquier equipo puede ser víctima de un fraude

informático.

PREGUNTA CIENTIFICA A CONTESTARSE

¿Cómo impactará en la Organización el proceso de gestión de seguridad al

implementar una herramienta correlacionadora de eventos en el servidor

gye.ecuahosting.net?

DEFINICIONES CONCEPTUALES.

LinkedIn: Es una red social dirigida a las corporaciones. Fundada el 14 de

diciembre de 2002, se utiliza principalmente para redes de carácter profesional.

Desde el 2015, la mayor parte de los ingresos del sitio provenían de la venta del

acceso a la información sobre sus usuarios a los reclutadores y profesionales de

ventas.

Ingeniería social: Es la práctica de obtener información confidencial a través de

la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas

personas, tales como investigadores privados, criminales, o delincuentes

informáticos, para obtener información, acceso o privilegios en sistemas de

información que les permitan realizar algún acto que perjudique o exponga la

persona u organismo comprometido a riesgo o abusos.

Script: Se conoce como script a un conjunto de instrucciones realizadas mediante

programación, que ejecuta una o más acciones dentro de un sistema.

Falso positivo: Se define como falso positivo cuando un hecho que se presume

verdadero o cierto, resulta ser lo contrario.

36

Hacker: Se denomina hacker a la persona con grandes conocimientos de

informática que se dedica a infiltrase y manipular ilegalmente los sistemas

informáticos ajenos. El término hacker proviene del vocablo “hack” que significa

“cortar” o “alterar” cualquier tipo de objeto de forma irregular.

Foro: Consiste en una página web dinámica, en donde se generan discusiones

relativas a una serie de temas.

Blog: Es un sitio web con formato de bitácora o diario personal. Los contenidos

suelen actualizarse de manera frecuente y exhibirse en orden cronológico (de más

a menos reciente). Se puede afirmar que el blog es la evolución de un diario

personal en papel.

Phishing: Es un método que los ciberdelincuentes utilizan para engañar y

conseguir que una persona revele información personal, como contraseñas o

datos de tarjetas de crédito y de la seguridad social y números de cuentas

bancarias. Lo hacen mediante el envío de correos electrónicos fraudulentos o

dirigiéndole a un sitio web falso.

Mail Spoofing: Es la suplantación de la dirección de correo electrónico de otras

personas o entidades. Esta técnica es usada con frecuencia para el envío de

mensajes de correo electrónico como suplemento perfecto para el uso de

suplantación de identidad y para "spam".

IRC Hispano: Es una red social basada en IRC en español. Está operativa desde

el año 1996.

Ataque DoS: Un ataque DDoS es cuando un grupo de personas o un grupo de

ordenadores atacan a un servidor o dispositivo desde muchos equipos a la vez.

Este flujo masivo de datos hace que los recursos del servidor acaben no siendo

suficientes, lo que provoca que colapse y deje de funcionar. Esto hace que, si se

trata de un equipo que mantiene una web, servicio o comunidad, caiga junto al

servidor.

Ordenador zombie: Es la denominación asignada a computadores personales

que, tras haber sido infectados por algún tipo de malware, pueden ser usados por

una tercera persona para ejecutar actividades hostiles. Este uso se produce sin la

autorización o el conocimiento del usuario del equipo. El nombre procede de los

37

zombis o muertos vivientes esclavizados, figuras legendarias surgidas de los

cultos.

SIEM: Gestión de Eventos e Información de seguridad o Security Information and

Event Management por sus siglas en ingles. Esta herramienta busca proporcionar

un panorama global sobre la seguridad de la tecnología de información dentro de

una organización, la herramienta SIEM se centra en la seguridad de la

información, la seguridad de las redes y la seguridad de los datos, abarca la

recolección de registros relevantes, así como la normalización, adición, retención

y análisis de datos con la correlación y el establecimiento de los niveles de

prioridad, incluye también la presentación y visualización de los informes y todo el

flujo de trabajo que se relacione con el contenido de la seguridad.

IDS: El Sistema de Detección de Intrusos agrega a la red un mayor grado de

seguridad de tipo preventivo frente a una posible actividad sospechosa y envía

alertas sobre los eventos los cuales son dirigidos al encargado de seguridad.

IPS: El Sistema de Prevención de Intrusos es una herramienta la cual ejerce un

control de acceso a una red, para protegerlo de cualquier tipo de ataque o abuso

que pueda generarse. Su función es la de analizar los datos del ataque para luego

poder tomar una acción en respuesta a la incidencia, a fin de detenerlo antes de

que tenga logre penetrar la seguridad.

Firewall: También llamado cortafuegos su funcionalidad es la de bloquear el

acceso no autorizado, al sistema o servicio que se requiere proteger.

Relay: Servidor SMTP usado para envíos de correos.

SQL Injection: Es un tipo de ataque a una base de datos en el cual, por una débil

seguridad en las variables, se puede inyectar un código creado por un atacante al

código original de la base de datos.

Cross site scripting: Es un agujero de seguridad típico de las aplicaciones web,

el cual permite a un atacante insertar código malicioso en ellas.

Web spammer: Se denomina web spammer al proceso de envíos de correos

electrónicos no solicitados mediante la web, aprovechando una vulnerabilidad

dentro de los formularios o cajas de comentarios dentro de la página.

38

Código malicioso: Es un tipo de código informático o script web dañino diseñado

para crear vulnerabilidades en el sistema que permiten la generación de puertas

traseras, brechas de seguridad, robo de información y datos, así como otros

perjuicios potenciales en archivos y sistemas informáticos.

39

CAPITULO III

PROPUESTA TECNOLÓGICA

En la Empresa Reinec C. Ltda el modelo de su negocio se enfoca a brindar

servicios de internet como alojamiento web, correos electrónicos y registros de

dominios. Una de sus principales prioridades es la de otorgar un soporte técnico

de calidad a sus usuarios, manteniendo la disponibilidad de los servicios

ofreciendo a sus clientes seguridad e integridad en su información.

Actualmente no cuentan con un sistema que correlacione todos los eventos del

servidor y actúe de forma automática con la operación adecuada, debido a que

estos son analizados de forma manual aun por los técnicos y realizar la operación

adecuada a través de scripts ejecutados en el servidor.

Este proyecto analiza y formula una solución de un sistema de correlación de

eventos de seguridad en el servidor gye.ecuahosting.net para los servicios de

correo electrónico y servicio web que se brindan a los clientes de Ecuahosting.

Mediante un estudio de los eventos que se generaron en el servidor entre el 21 de

mayo del 2018 al 26 de mayo del 2018 y el 02 de junio del 2018 hasta el 08 de

junio del 2018 se podrá elaborar un análisis más aproximado de los sucesos

diarios y de la relación que puede existir entre ellos.

Se planea obtener esta información y analizar la herramienta o sistema más

adecuado, de acuerdo a los resultados obtenidos garantizando la mejora de los

servicios, el tiempo de respuesta al evento y las seguridades físicas y lógicas que

deben ser consideradas.

ANÁLISIS DE FACTIBILIDAD

Este análisis es importante, porque permite conocer la aceptación de la propuesta

por parte de los interesados quienes harán uso de la implementación del sistema.

A continuación, se realiza un análisis a nivel técnico, operacional, legal y

económico que permitirá establecer que la propuesta es viable para su

implementación en la Empresa Reinec C. Ltda.

40

FACTIBILIDAD OPERACIONAL

Este análisis es importante, porque permite conocer la aceptación de la propuesta

por parte de los interesados de la implementación del sistema de gestión de

eventos. Se dispone de una carta de autorización para el levantamiento de

información por parte de la Empresa. (Anexo 1)

Para el presente proyecto se realizará el previo análisis lo que no afectará la

operación de la Empresa por las siguientes razones:

• La información que se obtiene para análisis está permitida por la Empresa

en cualquier horario, esto no afecta la disponibilidad del servicio.

• Permite la recolección de información en estado operativo del servidor por

cuanto gran parte de estos datos, llegan a una dirección de correo

destinado para el monitoreo de los eventos.

• Los registros de logs pueden ser obtenidos directamente del servidor por

cuanto se mantienen acceso directo.

• Se cuenta con personal capacitado para la realización de este proyecto

dentro de la Empresa.

FACTIBILIDAD TÉCNICA

Fueron analizadas varias herramientas para la propuesta de implementación del

software, y se consideraron los siguientes puntos importantes:

• El Data Center de Ecuador posee una excelente infraestructura para la

operatividad de los dispositivos y cumple con los requisitos legales y

técnicos para manejar estos equipos (anexo 2).

• Poseen permiso de ingreso a las instalaciones del DC en Ecuador de las

ciudades Guayaquil y Quito, para la revisión o manejo de los equipos que

se encuentran operativos.

• Al intentar obtener un nuevo servidor para su operación, no será un

problema su instalación o configuración en la colocación de destino.

• Las pruebas de configuración se realizarán en un servidor virtual.

41

• El software que se utilizará se puede implementar tanto en servidores

Windows como en Linux por lo que su instalación es viable en cualquiera

de los casos.

FACTIBILIDAD LEGAL

El proyecto no infringe o viola cualquier artículo de propiedad intelectual, ya que

el software puede ser adquirido desde la página del autor y/o fabricante que

provee el sistema, por la remuneración que aplique al momento de su adquisición.

La información de los usuarios contenido en el servidor no es violentada en ningún

aspecto por parte de los administradores, basándose en el artículo 202 inciso 1

del Código Orgánico Penal Integral.

Cabe mencionar que el proyecto se realiza aplicando los artículos aplicados en el

marco legal de la Constitución del Ecuador.

FACTIBILIDAD ECONÓMICA

La inversión que la Empresa debe asumir se debe al costo de implementación por

parte del personal calificado para ello, el licenciamiento de la herramienta y la

adquisición del servidor físico para su instalación.

Se incluye en la propuesta la adquisición de un servidor de acuerdo con las

especificaciones del fabricante. (Anexo 10)

A continuación, se detalla los costos que genera al realizar este proyecto:

Tabla 8. Costo de implementación del Proyecto

RUBRO CANTIDAD VALOR TOTAL

Recurso Humano 1 $800 $800

Hardware (servidor)

1 $3000 $3000

Software- licencia mensual

1 $1695 $1695

TOTAL $5495 $5495



Velásquez Vásquez

42

FACTIBILIDAD DEL PROYECTO

De acuerdo con el análisis de las factibilidades operacional, técnica, legal y

económica, se puede afirmar que el proyecto es viable en todos sus aspectos.

Existe interés por parte del personal técnico y operativo de la empresa, en resolver

incidencias recurrentes a través de una herramienta de gestión.

Este software puede ser aplicado para varios servidores, así como sus parámetros

y políticas de seguridad de servidores de la Empresa. Legalmente, el proyecto

no presenta ninguna restricción y económicamente es factible debido al tamaño

de empresa y que se encuentra en la optimización de procesos actuales.

ETAPAS DE LA METODOLOGIA DEL PROYECTO

El proyecto se realiza utilizando la Metodología en Cascada, que se basa en

establecer un diseño secuencial dentro de la organización.

ANÁLISIS

Se realiza el estudio de la estructura actual de la empresa, analizando la forma en

que se obtiene la información de eventos generados por los servicios alojados en

el servidor, su procesamiento y como se catalogan dependiendo del nivel de alerta.

Se observa, que el tiempo de análisis de registros y respuestas por parte del

personal técnico a incidencias recurrentes es un poco alta, cuando es posible

minimizarlos atendiendo a casos similares de forma automática.

En la propuesta sugerida hacia la empresa, existe un nivel de aceptación elevado,

para que sea implementado un sistema de correlación de eventos para los

servidores que manejan.

Se toma un tiempo estimado para realizar la recolección y luego el análisis de la

información clasificándola en diversos grupos, en los resultados se detallará los

diferentes sucesos, la cantidad de alertas y/o ataques encontrados, así como los

servicios afectados.

43

Se mostrará parte de los eventos recolectados y se incluirá gráficamente el

análisis del contenido para entender los resultados de una forma visual, las alertas,

la gravedad y la acción ejecutada.

El estudio de los registros fue desde el 21 de mayo del 2018 al 26 de Mayo del

2018 y el 02 de junio del 2018 hasta el 08 de junio del 2018 de acuerdo al análisis

se encontraron los siguientes detalles:

Alertas de Advertencia 17

Alerta de estado del servicio 20

Alertas ignoradas 5

Servicio inactivo 4

Servicio restablecido 4

Carga elevada del servicio 15

De las 20 alertas detectadas sobre el estado de los servicios, en 4 ocasiones hubo

una falla el cual provocó que este se detenga.

Revisando los registros, en una ocasión el cese del servicio se produjo en el correo

electrónico. Específicamente en el servicio dovecot el cual es el encargado de las

conexiones IMAP o POP3 realizadas hacia el servidor. Se demoró

aproximadamente 5 minutos en quedar operacional nuevamente.

Para el servicio web no hubo novedad alguna. También se detectó que 15 eventos

indicaban una carga elevada en los servicios dentro del servidor, el análisis reveló

que ninguno de estos registros correspondía al servidor de correo o al servidor

web.

44



Velásquez Vásquez

Detallamos parte de los registros obtenidos que fueron usados para nuestro

análisis.

- The application “lvemanager” has registered with AppConfig for the service:

whostmgr

Name:lvemanager

Service: whostmgr

Server: gye.ecuahosting.net

ACLs required: any

System User: root

URL: /....../addon_lvemanager.cgi

Display Name: LVE Manager

Ilustración 7. Representación gráfica de los datos obtenidos en el análisis.

45

Entry URL: addon_lvemanager.cgi

- New Security Advisor notifications with High importance

Processes

Detected 39 processes that are running outdated executables: 2105706 2105707

4023631 2105705 2105703 40054 40052 40050 2105709 4023659 1877 174495

334413 334411 4023636 581730 4047 1982 1257374 2304 1 2405 1256963

581958 40048 40044 40046 3669 3487 1256951 1257519 41413 572172 2951

2105708 3685 808 2257 1256975

- The chkservd process has become non-responsive.

The chkservd subprocess with PID “1404576” ran for “5 minutes and 7 seconds”.

The system terminated this sub-process when it exceeded the time allowed

between checks, which is “5 minutes”. To determine why, check the “

/../chkservd.log ”

- The service “mysql” appears to be down.

Server gye.ecuahosting.net

Service Name mysql

Service Status failed

Notification The service “mysql” appears to be down.

Service Check Method

The system’s command to check or to restart this service failed.

Number of Restart Attempts 2

Service Check Raw Output

Exception::Timeout/(XID ms5558) The system failed to lock the file

“/.../restartsrv_mysql” after 197 seconds.

at /........./CORE.pm

46

Exception::create("Timeout", "The system failed to lock the file

\x{e2}\x{80}\x{9c}[_1]\x{e2}\x{80}\x{9d} after [quant,_2"..., ARRAY(0x174b3b0))

called at /......../Exception.pm

Exception::__ANON__(__CPANEL_HIDDEN__, __CPANEL_HIDDEN__...,

ARRAY(0x174b3b0)) called at /........l/SafeFile.pm line 729


- The service “mysql” is now operational.


Service Name mysql

Service Status recovered

Notification The service “mysql” is now operational.

- The service “cpanel-dovecot-solr” appears to be down.


Service Name cpanel-dovecot-solr

Service Status failed

Notification The service “cpanel-dovecot-solr” appears to be down.

Service Check Method

The system’s command to check or to restart this service failed.


The chkservd subprocess with PID “496380” ran for “5 minutes and 1 second”. The

system terminated this sub-process when it exceeded the time allowed between

checks, which is “5 minutes”. To determine why, check the “ /......../chkservd.log ”

- New Security Advisor notifications with High importance

Processes

47

Detected 25 processes that are running outdated executables: 2105706 2105707

2105705 2105703 40054 40052 40050 2105709 1877 334413 334411 4047 2304

1 2405 40048 40044 40046 3669 3487 2105708 2951 3685 808 2257

Registros del Firewall

Los siguientes datos fueron recolectados del firewall. El estudio de los registros

fue desde el 21 de mayo del 2018 al 26 de Mayo del 2018 y el 02 de junio del 2018

hasta el 08 de junio del 2018 de acuerdo al análisis se encontraron los siguientes

detalles:

Ataques detectados alrededor de 10000

Ataques bloqueados alrededor de 8500

Ataques ignorados alrededor de 1500

Del análisis realizado se pudo determinar que alrededor de 8500 ataques fueron

bloqueados. El 20% de ellos fueron hacia los sitios web alojados dentro del

servidor, se pudo determinar que el mayor tipo de ataque fue de SQL Injection.

También se generaron alertas de Cros site scripting dentro de los sitios de varios

usuarios. Lo cual implica que los sitios web de varios clientes poseen una

vulnerabilidad muy grande, que no ha sido analizada por el desarrollador del sitio.

Como medida, el personal de soporte se ha contactado con estos usuarios

poniendo a su conocimiento las vulnerabilidades encontradas para que puedan

corregir dichos fallos de seguridad.

El 50% de ataques bloqueados fue en el servidor de correos por intento fallido de

login. Se logró determinar que la mayoría de los intentos de acceso se originaron

desde varias IPs ubicadas en China.

Se concluyó que el mayor índice de ataque fue dirigido hacia el servidor de correos

tratando de acceder a los correos posiblemente utilizando algún tipo de ataque de

diccionario de datos. Una de las medidas precautelares es indicar a los usuarios

el uso de contraseñas seguras para prevenir la intrusión.

48



Velásquez Vásquez


análisis.

gye lfd[1641811]: /var/log/messages rotated. Reopening log file

gye lfd[1641811]: Watching /var/log/messages...

gye lfd[1641811]: /var/log/maillog rotated. Reopening log file

gye lfd[1641811]: Watching /var/log/maillog...

gye lfd[1641811]: /var/log/secure rotated. Reopening log file

gye lfd[1641811]: Watching /var/log/secure...

gye lfd[1716020]: Global DynDNS - update IP addresses

Ilustración 8. Representación gráfica de los datos obtenidos del Firewall

49

gye lfd[1641811]: Failed SMTP AUTH login from 181.39.23.130 - ignored


gye lfd[1641811]: Failed POP3 login from 190.152.51.247 - ignored

gye lfd[1641811]: Failed IMAP login from 181.175.189.89 - ignored

gye lfd[1755264]: (mod_security) mod_security (id:1234123460) triggered by

2.229.17.86 (IT/Italy/s86.gazzerro.com): 5 in the last 300 secs - *Blocked in csf*

port=80 [LF_MODSEC]

gye lfd[1755264]: (mod_security) mod_security (id:1234123460) triggered by

2.229.17.86 (IT/Italy/s86.gazzerro.com): 5 in the last 300 secs - *Blocked in csf*

port=443 [LF_MODSEC]

on account [dangbingshun] in the last 300 secs - *Blocked in csf* port=110

[LF_DISTATTACK]

(CN/China/252.7.90.117.broad.zj.js.dynamic.163data.com.cn), 10 distributed

pop3d attacks on account [dangbingshun] in the last 300 secs - *Blocked in csf*

port=995 [LF_DISTATTACK]




gye lfd[1768658]: 180.106.91.123 (CN/China/-), 10 distributed pop3d attacks on

account [chenyuan] in the last 300 secs - *Blocked in csf* port=110

[LF_DISTATTACK]



[LF_DISTATTACK]



[LF_DISTATTACK]

50



[LF_DISTATTACK]

gye lfd[1769764]: (pop3d) Failed POP3 login from 180.114.151.214 (CN/China/-):

10 in the last 300 secs - *Blocked in csf* port=110 [LF_POP3D]

gye lfd[1769764]: (pop3d) Failed POP3 login from 180.114.151.214 (CN/China/-):

10 in the last 300 secs - *Blocked in csf* port=995 [LF_POP3D]





Registros del Servidor de correos.

Los siguientes datos fueron recolectados del servidor de correos. El estudio de los

registros fue desde el 21 de mayo del 2018 al 26 de mayo del 2018 y el 02 de junio

del 2018 hasta el 08 de junio del 2018 de acuerdo al análisis se encontraron los

siguientes detalles:

Login correctos más de 70000

Login fallidos más de 30000

Bloqueos por login incorrectos más de 15000

Alertas de cuentas de correos generando SPAM 100

Falsos positivos detectados 20

Reportes enviados a los clientes 80

De la información recolectada se estableció el registro de una cantidad

considerable de ingresos fallidos. Varios de ellos fueron ataques, los cuales fueron

bloqueados por el firewall.

51

Se detectó también que varias cuentas de correos estaban generando SPAM.

Un estudio más minucioso sobre los eventos en las cuentas de correos reveló que

20 de estos eventos fueron falsos positivos debido a que dichos correos fueron

generados por facturación electrónica y no por algún tipo de virus o atacante

externo que estaba utilizando la cuenta para fines malintencionados.

De los eventos que se corroboró que estaban generando SPAM el personal de

soporte técnico contactó con los usuarios, para poner a conocimiento del usuario

la incidencia suscitada y puedan solucionar el problema.

Durante el tiempo de análisis, varias cuentas de correos reiteraron el problema por

lo que, como medida de precaución fueron suspendidas temporalmente hasta que

el usuario pueda dar una solución definitiva.



Velásquez Vásquez


análisis.

Ilustración 9. Representación gráfica de los registros obtenidos en el servidor de correos

52

gye dovecot: pop3-login: Login: user=<[email protected]>,

method=PLAIN, rip=190.57.170.8, lip=10.252.221.55, mpid=1715871,

session=<lMG7uEVusO2+OaoI>

gye dovecot: pop3([email protected]): Disconnected: Logged out

top=0/0, retr=0/0, del=0/33, size=671295, bytes=12/825



session=<q57LuEVuse2+OaoI>





session=<Tr/auEVusu2+OaoI>





session=<LKTpuEVus+2+OaoI>





session=<sTb5uEVutO2+OaoI>

Registros por LOGIN

Los siguientes datos fueron recolectados del servidor los cuales muestran los

accesos realizados por los usuarios. El estudio de los registros fue desde el

21 de mayo del 2018 al 26 de mayo del 2018 y el 02 de junio del 2018 hasta el 08

de junio del 2018 de acuerdo al análisis se encontraron los siguientes detalles:

Inicio de sesión mediante FTP 25000

53

Inicio de sesión al administrador del usuario 75000

Inicio de sesión satisfactorias 80000

Inicio de sesión incorrectas 20000

Bloqueos por inicio de sesión incorrecta 12500

El análisis de los registros detalló que hubo varios intentos de logins

incorrectos hacia el servidor por parte de los usuarios al servidor de correo

mediante la interfaz web.



Velásquez Vásquez


análisis.

gye pure-ftpd: ([email protected]) [INFO] New connection from 127.0.0.1

gye pure-ftpd: ([email protected]) [INFO] Logout.

Ilustración 10. Representación gráfica de los registros obtenidos por login

54

gye systemd: Started Session c66063 of user root.

gye systemd: Starting Session c66063 of user root.



gye systemd-logind: Removed session c65759.


gye pure-ftpd: ([email protected]) [INFO]




gye systemd: Started Session c66152 of user root.



proxy:http://127.0.0.1:2095/403.shtml,referer:

https://webmail.pco.com.ec/cpsess5733444613/3rdparty/roundcube/?_task=mail

&_caps=pdf%3D1%2Cflash%3D0%2Ctiff%3D0%2Cwebp%3D0&_uid=3736&_m

box=INBOX&_action=show

proxy:http://127.0.0.1:2095/cpsess8267001751/3rdparty/roundcube/, referer:

https://webmail.aditec-

ec.com/cpsess8267001751/3rdparty/roundcube/?_task=mail&_caps=pdf%3D1%

2Cflash%3D0%2Ctiff%3D0%2Cwebp%3D0&_uid=82&_mbox=INBOX&_action=s

how

proxy:http://127.0.0.1:2095/403.shtml, referer:

https://webmail.zamora-

chinchipe.gob.ec/cpsess8267001751/3rdparty/roundcube/?_task=mail&_caps=p

df%3D1%2Cflash%3D0%2Ctiff%3D0%2Cwebp%3D0&_uid=82&_mbox=INBOX&

_action= show

55

Registros del servidor Web

Los siguientes datos fueron recolectados del servidor los cuales muestran

los accesos realizados por los usuarios. El estudio de los registros fue desde el 21

de mayo del 2018 al 26 de mayo del 2018 y el 02 de junio del 2018 hasta el 08 de

junio del 2018 de acuerdo al análisis se encontraron los siguientes detalles:

Alertas generadas alrededor de 10000

Ataques bloqueados alrededor de 2000

Sitios comprometidos detectados 50

Cuentas generando SPAM desde la web 17

Cuentas con archivos maliciosos detectados 33

El análisis de los registros detallo alrededor de 2000 ataques generados hacia los

sitios web que fueron bloqueados por el firewall del servidor. Se detectó que 50

de estos sitios web estaban inseguros lo cual permitió que un atacante se infiltre

por esas brechas de seguridad.

En estas incidencias se encontró que 17 páginas web debido a formularios y/o

cajas de comentarios abiertos y sin ninguna seguridad, fueron explotados

ocasionando SPAM desde la web o también denominado webspammer.

Estos usuarios fueron contactados por el personal de soporte técnico e

inhabilitaron el formulario y el ingreso de información a la base de datos mediante

el sitio web. Las otras cuentas de servicios web o páginas web vulneradas

poseían archivos dañinos o código malicioso insertado dentro de la programación

del sitio. A estos usuarios se les inhabilitó el acceso web para que el atacante

no logre ingresar y continuar haciendo de las suyas.

Una vez realizado este proceso se contactó a los usuarios respectivos y se

indicaron los archivos maliciosos encontrados para revisar y reestructurar el sitio

juntamente con el desarrollador web.

56



Velásquez Vásquez


análisis.

[hostinglimits:notice] [pid 10137:tid 140026188064896] mod_hostinglimits: use

Min UID 1000

[hostinglimits:notice] [pid 10137:tid 140026188064896] mod_hostinglimits: version

1.0-36. LVE mechanism enabled

[hostinglimits:notice] [pid 10137:tid 140026188064896] mod_hostinglimits: found

apr extention version 3

[hostinglimits:notice] [pid 10137:tid 140026188064896] mod_hostinglimits:

apr_lve_environment_init_group_minuid check ok

Ilustración 11. representación gráfica de los datos obtenidos por servicio web

57

[ssl:warn] [pid 10137:tid 140026188064896] AH01909: proxy-subdomains-ssl-

default-vhost.localhost:443:0 server certificate does NOT include an ID which

matches the server name

[ssl:warn] [pid 10137:tid 140026188064896] AH01909:

lavapromo.dominio.com:443:0 server certificate does NOT include an ID which



rewards.dominio.com:443:0 server certificate does NOT include an ID which


ssl:warn] [pid 10137:tid 140026188064896] AH01909:

loyalpromo.dominio.com:443:0 server certificate does NOT include an ID which



misterteenuniverse.dominio.com:443:0 server certificate does NOT include an ID

which matches the server name

DISEÑO

El análisis previo mostró considerables registros de eventos emitidos por el

servidor. Se pudo corroborar que las mayores incidencias fueron detectadas en el

servicio de correo electrónico y el servicio web. Al gestionar los eventos mediante

el SIEM, el administrador del servidor obtendrá un menor tiempo en la resolución

de las incidencias.

Para la elección del componente a utilizar, se realizó un estudio con otros

productos similares, las características, requerimientos, costos, entre otros. Las

herramientas analizadas con sus especificaciones se encuentran en el anexo 2.

58

Ilustración 12. Cuadro comparativo de herramientas SIEM

Producto Fuente de información Observaciones Fabricante

Qradar SIEM https://www.ibm.com/e

s-es/marketplace/ibm-

qradar-siem

Posee una versión de

prueba de 30 días,

para un informe de

precios es necesario

contactar al fabricante.

IBM

ArcSight https://software.microf

ocus.com/en-

us/products/siem-

security-information-

event-

management/overview

De acuerdo a la

información del

fabricante posee una

versión de prueba que

puede ser descargada

desde el sitio, para un

informe de precios se

debe contactar con el

fabricante.

HP

AlienVault https://www.alienvault.

com/solutions/siem-

log-management

Posee una versión de

prueba de 14 días, los

precios los pueden

visualizar dentro del

sitio del fabricante

AT&T



Velásquez Vásquez

Existen varias opciones al elegir un SIEM, los cuales permiten gestionar distintas

tareas haciendo más rápido la resolución de eventos en el servidor.

Para este caso se ha escogido el SIEM ALIENVAULT la información acerca de las

ventajas, uso y costos se encuentran claramente en la página del fabricante

(anexo 2), además brinda servicios adicionales de soporte para el buen manejo

de la herramienta.

59

Entre sus opciones importantes están las alarmas en tiempo real y la gestión de

eventos para minimizar los falsos positivos, además de la automatización en la

resolución de eventos, factor primordial en la empresa porque contribuye en sus

procesos de automatización actual. Se ha diseñado un esquema de la red de

manera que la herramienta a utilizar pueda recolectar la información necesaria.

En la Ilustración 12, se presenta el diseño de red propuesto para realizar la

instalación y configuración del sistema de correlación de eventos en el servidor.



Velásquez Vásquez

Ilustración 13. Esquema del diseño de red

60

PRUEBAS

Para las pruebas de configuración de la herramienta se verificó las funcionalidades

del software a utilizar.

Levantamos un equipo con características similares al servidor de estudio y los

requerimientos técnicos que indica el fabricante de la herramienta.

Se ha realizado la instalación respectiva en un ambiente de prueba, las cuales

podrán visualizarlas en los anexos posteriores a este documento. (anexo 5)

Se realizó la configuración de la herramienta la información puede ser revisada en

el anexo respectivo al final del documento. (anexo 11)

Mediante un reporte generado se observa las alamas, alertas y demás información

relevante lo cual ayudará a tomar las acciones correspondientes.

A continuación, se detalla los resultados obtenidos de la herramienta SIEM.

Fuente: Datos de la herramienta SIEM


Velásquez Vásquez

Al abrir el dashboard visualizamos en tablas los diferentes eventos donde se

obtienen los datos de una forma detallada. Es posible configurar esta sección de

manera que los gráficos de los eventos más relevantes se muestren en cierta

posición de esta forma sea más fácil de identificar para la persona que

administrará el sistema.

Ilustración 14. Autenticación en el Siem

61

Visualizaremos las alertas diarias, semanales y mensuales que se generan por la

recolección de datos del sistema.



Velásquez Vásquez

Aquí se visualiza de forma general los servicios que han sido atacados con mayor

frecuencia, todos los eventos recabados y el servicio respectivo se mostrará en el

gráfico respectivo.

Con esta información se obtiene un panorama global de las incidencias que

afectan a su red y/o servicio y las acciones a tomar frente a un eventual ataque

informático, con estos datos se podrá tomar medidas de seguridad y control frente

a ellos.

Ilustración 15. Visualización de alarmas

62

Ilustración 16. Datos Generales de los eventos



Velásquez Vásquez



Velásquez Vásquez

Ilustración 17. Datos generales de los servicios

63

Es posible monitorear el estado de los recursos del servidor. Gracias a ello, se

obtiene información valiosa en caso de presentar algún fallo, consumo excesivo o

límite del recurso dentro del servidor como memoria, disco duro y estado del CPU.



Velásquez Vásquez

Toda esta información obtenida por el SIEM también es posible exportarla en CSV

de esta forma poder analizarla más detalladamente mediante un Excel.

Ilustración 18. Estados de los recursos

64



Velásquez Vásquez

Ilustración 20. Exportación mediante CSV -2



Velásquez Vásquez

Ilustración 19. Exportación mediante CSV -1

65

La recolección de información mediante la herramienta SIEM se obtiene de forma

visiblemente más atractiva, además de realizar la clasificación automáticamente

siguiendo los parámetros establecidos desde su inicio.

Esta herramienta reducirá significativamente el tiempo de respuesta sobre

ataques que se pudieran suscitar dentro del servidor. El administrador también

tendrá acceso a los logs, registros, alarmas y acciones ejecutadas por el SIEM.

En contraste con la forma actual en la que se maneja la recolección de datos,

análisis, interpretación y ejecución de tareas para un determinado evento,

podemos observar que mediante el SIEM la gestión de la información, la

identificación de ataques y el tiempo de respuesta para la solución de presuntas

intrusiones mejoraría notablemente.

Se provee al administrador un panorama global de lo que está sucediendo en el

servidor y/o los servicios que este maneje, mostrando no solo las alarmas también

un detalle del suceso ocurrido.

PROPUESTA

En el análisis previo realizado a los registros de eventos que provee el servidor,

se observa la tarea de gestionar las incidencias que afectan a los servicios. El

tiempo que ocupa en analizar esta información es alta, provocando que las

acciones a tomar para la resolución del problema también lo sean. Terminada la

fase de pruebas se logró recolectar la información que se origina del servidor de

una manera más sencilla y detallada por parte de la herramienta SIEM.

Por lo cual dado al estudio realizado y las pruebas respectivas se propone a la

empresa la implementación del SIEM ALIENVAULT. Las características de esta

herramienta cumplen con los requerimientos respectivos para la gestión y

correlación de los eventos generados.

El monitoreo continuo de la herramienta es primordial, por lo tanto, se debe

mantener como mínimo una persona con los conocimientos adecuados que

administre, monitoree y simplifique de esta forma el tiempo en la recolección de la

información por parte del personal técnico, logrando respuestas rápidas en la

detección de anomalías.

66

ENTREGABLES DEL PROYECTO

A continuación, se establece los entregables del presente proyecto como

resultado de las pruebas realizadas:

• Manual de Instalación del sistema SIEM. (Anexo 5)

• Manual de configuración de la herramienta. (Anexo 11)

• Informe de análisis de los servicios de estudio del servidor. (Anexo 8)

• Plan de acción y mejora para la implementación de un sistema de gestión

de eventos en servidores. (Anexo 9)

CRITERIOS DE VALIDACION DE LA PROPUESTA

Para este proyecto se realiza un informe de análisis de los casos de eventos

estudiados en las pruebas, en el que se resume los eventos en los registros, las

acciones tomadas y la información recolectada, se muestra la mejoría con el uso

de la herramienta de gestión de eventos.

Se utilizó la viabilidad operacional y técnica de la propuesta como validación del

proyecto, que permite establecer que existe la disposición del personal y de la

infraestructura para hacerlo.

Se realiza además una encuesta de satisfacción para la herramienta propuesta en

la solución de eventos. Este procedimiento se aplicó al Gerente de la Empresa, el

administrador TI y el Super Administrador de la red responsables en la toma de

decisiones sobre nuevas tecnologías a implementar en la Empresa. (anexo 6)

ANALISIS DE LOS DATOS

En la encuesta realizada (anexo 6) se demuestra aceptación por parte del

personal de la Empresa en el uso de la herramienta propuesta para la correlación

de eventos del servidor operativo de la Empresa.

A continuación, se muestra los datos tabulados de la encuesta:

67

Tabla 9. Criterios de Validación de propuesta

Criterios Excelente Muy Bueno

Bueno Regular

Como califica el uso de la herramienta para el análisis de los logs del servidor.

3

Como califica el uso de estadísticas para el control de los informes técnicos requeridos.

1 2

Cómo califica la respuesta de la herramienta a los eventos causados por correos electrónicos

2 1

Cómo califica la respuesta de la herramienta a los eventos causados por servicio web.

2 1

Cómo califica el tiempo de respuesta a los eventos generados en el servidor.

1 2



Velásquez Vásquez

Los datos tabulados pertenecen al personal responsable de los procesos en la

Empresa Reinec, quienes han brindado su calificación referente al sistema

propuesto para el control diario de registros de su servidor ubicado en el Data

center de Guayaquil.

68

CAPITULO IV

CRITERIOS DE ACEPTACION DEL PRODUCTO O SERVICIO

Los criterios que determinan la validación de nuestra propuesta de solución en la

herramienta para el sistema de correlación de eventos de seguridad enfocados en

los servicios de correo electrónico y servicio web de una forma integrada son

detallados a continuación:

Tabla 10. Criterios de Aceptación del producto

Fuente: Realizadas de la Investigación


Velásquez Vásquez

La información es respaldada según el anexo 7 adjuntado en el presente

proyecto.

Requerimiento Validación

Validación sobre la detección de amenazas que pueden afectar la disponibilidad del servicio proporcionado al usuario final.

SI CUMPLE

Validación del sistema de recolección de información y la manera de gestionar los eventos clasificándolos por el nivel de amenaza.

SI CUMPLE

Validación sobre las acciones generadas en respuesta a la posible intrusión hacia el sistema.

SI CUMPLE

Validación de los reportes y estadísticas generadas para una mejor comprensión visual por parte del administrador del servicio.

SI CUMPLE

Validación de la manera en la que se correlaciona cada uno de los eventos adicionados al sistema para desplegar las alarmas de advertencia.

SI CUMPLE

69

CONCLUSIONES

• Una vez realizado el análisis de la situación actual de los procesos de la

Empresa Reinec - Ecuahosting, se encontraron varios eventos generados

por problemas de webspammer, accesos incorrectos de usuarios,

bloqueos de IP, envíos de spam, los cuales enviaron alertas, fue tomada

la acción y derivado según su nivel de incidencia al personal encargado.

• Se identificó las políticas actuales que mantiene la empresa Reinec según

el nivel de incidencia, de acuerdo con su modelo de servicio y el soporte

técnico asistido. De esta forma se plantea la solución de los casos

generados en el servidor.

• Posterior al análisis de la información y pruebas de configuración

realizadas de la herramienta, se provee un plan de acción para los eventos

generados por los usuarios que servirán como referencia para su

aplicación en otros servidores de la empresa.

• De acuerdo con las políticas actuales de la Empresa se realiza un plan de

mejora para los procesos actuales en la solución de incidencias que se

generen en él o los servidores en que sea aplicado.

70

RECOMENDACIONES

• Adquisición de un equipo dedicado con las especificaciones técnicas

mínimas requeridas para un mejor desempeño en el desarrollo e

implementación del SIEM.

• Mantener un administrador responsable del sistema para el monitoreo de

las alertas y estadísticas generadas por el SIEM.

• Actualizar constantemente las configuraciones y reglas implementadas en

para un mejor control de amenazas y evitar falsos positivos.

• Revisiones constantes de las actualizaciones de amenazas generados en

los Labs del AlienVault mediante OTX.

• Análisis General de las estadísticas de eventos, para la mejora de los

servicios brindados por la Empresa, que ayudará en su objetivo de brindar

la mejor atención a sus usuarios.

71

Bibliografía

ACISSI. (2015). SEGURIDAD INFORMATICA. BARCELONA: EDICIONES ENI.

AlienVault, I. (2018). https://www.alienvault.com/products/ossim.

Asamblea Constituyente de la República del Ecuador. (2008). Editorial Registro

Oficial 449.

Catrián. (2010). http://www.catrian.com/gestservlogs.html. Obtenido de Delitos

informáticos tipificados en el código penal ecuatoriano.

Chris. (2015). Cisco Systems The BSD Syslog Protocol. Obtenido de

http://www.ietf.org/rfc/rfc3164.txt.

Clavijo, C. A. (2016). Políticas de seguridad informática. redalyc.org, 86-92.

Francois, J. (2016). La seguridad informatica en la PYME. ENI.

GLOBALSIGN. (2016). Seguridad de Correo Electrónico. Globalsign.

Gutiérrez, C. (2013). Importancia de la gestión de incidentes para la seguridad

de la información.

Inza, J. (2006). El Caso Ronnie (Ataque DoS:Denegación de Servicio) .

Iturralde, M. (. (2017). Minería de datos en redes sociales por medio de un

correlacionador de datos. Quito.

Jorge Burgos Salazar, Pedro G. Campos. (2008). Modelo Para Seguridad de la

Información en TIC . 236-256.

Jorge, D. C. (2015). Seguridad Informática Personal y Corporativa (Segunda

parte).

Kevin D. Mitnick y William L. Simón. (2007). El arte de la intrusion: la verdadera

historia de las hazañas de hackers, intrusos e impostores.

Leopoldo Venegas, F. E. (2017). Evaluación y Auditoria de Sistemas

Tecnologicos. Alicante: Area de Innovacion.

O’Horo, R. (2012). Pen testing.

Rascagneres, P. (2016). Seguridad Informatica y Malwares. Barcelona: Eni.

72

RIVADENEIRA, P. (2010). Derecho. Concepciones Generales. Código penal.

Ecuatoriano delito Informático.

Urbina, G. B. (2016). Seguridad Informática. MEXICO: GRUPO EDITORIAL

PATRIA.

Zambrano-Mendieta, A. J. (2016). Delito Informático. Procedimiento Penal en

Ecuador.

73

ANEXOS

74

ANEXO 1. CARTA DE AUTORIZACION DE LA EMPRESA REINEC C. LTDA Y SU

MARCA COMERCIAL ECUAHOSTING

75

ANEXO 2. INFORMACIÓN DE SERVIDOR UTILIZADO PARA ESTUDIO

A continuación, se detalla características del servidor GYE.ECUAHOSTING.NET y la

información de su ubicación en DATA CENTER de Ecuador que fue objeto de estudio.

76

Ubicación de Data Center donde se encuentra el Servidor

77

ANEXO 3. ENCUESTA REALIZADA

Encuesta para proponer la implementación de herramienta SIEM en la

Empresa REINEC

1. ¿Conoce usted lo que es un SIEM y cuál es su utilidad?

• SI

• NO

• POCO

2. ¿Con que frecuencia se detectan eventos de seguridad dentro de los

servidores que brindan el servicio de alojamiento?

• POCO

• SIEMPRE

• NUNCA

3. ¿En su opinión que servicios generan la mayor cantidad de eventos de

seguridad?

• SERVICIO WEB

• BASE DE DATOS

• CORREOS ELECTRONICOS

4. ¿Cree usted que es necesario utilizar un SIEM en la Empresa

REINEC?

• SI

• NO

• TALVEZ

5. ¿De acuerdo a los eventos diarios del servidor, que tipo de eventos

solucionaría en un 99% el SIEM implementado?

• SERVICIO WEB

• BASES DE DATOS

• CORREOS ELECTRONICOS

78

ANEXO 4. ESPECIFICACIONES DE HERRAMIENTAS SIEM EN EL MERCADO

QRadar SIEM

Es una herramienta que ayuda a la detección de anomalías, posee incorporado una

tecnología denominada Sense Analytics que ayuda a correlacionar los datos y los

ataques de seguridad. Un adicional que se le puede incorporar es el IBM X-Force

Threat Intelligence el cual suministra una lista de Ips,potencialmente maliciosos.

Características Principales

Detecte fraudes y amenazas internas y avanzadas.

Lleve a cabo actividades de correlación y normalización inmediata.

Identifique, realice el seguimiento y vincule amenazas e incidentes importantes.

Despliegue QRadar SIEM en local o en entornos cloud.

Añada más almacenamiento y procesamiento de forma rápida y económica.

Aplique la ejecución de políticas de privacidad de datos.

Incorpore la experiencia en inteligencia de amenazas de IBM X-Force.

Habilite la gestión y la colaboración en la prevención de amenazas.

Realice la integración con cientos de productos de IBM y terceros.

Requerimientos técnicos.

Requisitos de software

Java SDK: IBM Runtime Environment Java Technology edición 7.0.8 Gestión de

seguridad: Tivoli Directory Integrator 7.1.7 Requisitos del navegador:

Google Chrome 43.

Microsoft Internet Explorer 10.

Mozilla Firefox ESR 38.

Requisitos de hardware

No se encontró una página específica de requisitos de hardware que se requiera para

el uso de este producto.

79

Especificaciones técnicas S.O.

QRadar SIEM requiere Red Hat Enterprise Linux (RHEL) Server 6.

ArcSight

Es un potente, escalable y eficiente software de seguridad SIEM, esta

herramienta permite personalizar reglas, tableros y otros contenidos analizando y

presentando los informes de todos los eventos de seguridad de la empresa.

Características Principales

Correlación distribuida.

Vista de clúster.

Datos enriquecidos de eventos de seguridad.

Compatibilidad con ArcSight Data Platform y ArcSight Investigate.

Requerimientos técnicos

Los requerimientos del servidor dependerán en gran medida del flujo de datos a

analizar. De acuerdo al sistema a implementar se debe gestionar el servidor y la

licencia de los cuales tenemos los modelos:

EE7600-250

EE7600-1000

EE7600-2500

Especificaciones técnicas S.O.

El sistema Operativo recomendado es Red Hat Enterprise Linux 7.1 64-bit

Requisitos de hardware

Procesador 2 x Intel Xeon E5-2680v3, 2.5GHz, 12-core Processor

Dimensiones 3.44 x 17.54 x 28.75

Memoria 6 x 32 GB, 2133 MHz RAM

Disco 8 x 600 GB

80

AlienVault

Dentro de su capacidad de seguridad que ofrece este software está el uso de Aws y

Azure Logs Analytics, que son plataformas especializadas en servicios de Cloud que

permiten realizar detección de intrusos, anomalías en la red, pruebas de penetración

y prevención de ataques por DDos. Puede automatizar la correlación de eventos y el

análisis de seguridad con AlienVault Threat Intelligence.

Características principales.

Descubrimiento automatizado de activos

Detección y respuesta de punto final

Detección de intrusiones

Evaluación de Vulnerabilidad

Monitoreo de Integridad de Archivos

Supervisión de la actividad del usuario

Dark Web Monitoring

Gestión de registro

Medicina forense y respuesta

Orquestación de seguridad

Informes de cumplimiento

Especificaciones Técnicas

Los requisitos dependen del uso que se le vaya a brindar a la herramienta. Los

requerimientos mínimos son un procesador de 4 núcleos i7 o XEON (mínimo de 2,

con 1+ 1 por cada NIC Promiscuo hasta 6), 16 GB de RAM y al menos 500 GB de

disco duro.

81

ANEXO 5. Manual de Instalación del ALienVault

PASO 1. Inicio de instalación



Velásquez Vásquez

PASO 2. Selección de idioma de la herramienta



Velásquez Vásquez

82

PASO 3. Selección de ubicación



Velásquez Vásquez

PASO 4. Configuración del teclado



Velásquez Vásquez

83

PASO 5. Inicio de la instalación de los componentes



Velásquez Vásquez

PASO 6. Configuración de la IP de red



Velásquez Vásquez

84

PASO 6.1. Configuración de la máscara de red



Velásquez Vásquez

PASO 6.2. Configuración del Gateway de la red



Velásquez Vásquez

85

PASO 6.3. Configuración de los DNS de la red



Velásquez Vásquez

PASO 6.4. Actualizando los parámetros de la red



Velásquez Vásquez

86

PASO 7. Configuración del usuario principal



Velásquez Vásquez

PASO 8. Configuración del reloj



Velásquez Vásquez

87

PASO 9. Instalación del sistema



Velásquez Vásquez

PASO 10. Instalación de aplicaciones



Velásquez Vásquez

88

PASO 11. Culminación de la instalación



Velásquez Vásquez

89

ANEXO 6. ENCUESTA DE VALIDACION DE LA PROPUESTA

90

ANEXO 6

92

ANEXO 7. CRITERIO DE VALIDACION DE PRODUCTO

93

ANEXO 8. INFORME DE ANÁLISIS DE LOS SERVICIOS DE ESTUDIO DEL

SERVIDOR

Se recabó la información generada por el servidor y las acciones a tomar por parte del

personal técnico en lo cual se detalla los siguientes puntos:

Recolección y análisis de los eventos

La manera de recolección de información es manual, se analiza a detalle los eventos

que el sistema genera. El técnico revisa los logs del suceso y determina luego de un

profundo análisis y determinado tiempo el inconveniente.

Se pudo constatar que varios de los eventos son enviados a un correo donde el

personal técnico mantiene acceso y puede revisar las distintas incidencias suscitadas.

Varios eventos críticos son enviados al correo que monitorea el personal técnico. Gran

parte de esta información no es revisada pasando por alto las incidencias como un

cese del servicio o algún usuario consumiendo altos recursos en el servidor.

Se observó en varias ocasiones que los usuarios contactan con el personal técnico

por algún inconveniente en sus cuentas. Debido a que estos no han sido notificados

del problema generado.

El tiempo en la obtención del log, la revisión, el análisis y la medida de acción es alta.

Políticas de filtrado

No existe una política de filtrado por parte del sistema. La información es filtrada por

parte del Super Administrador, este regula y analiza constantemente los eventos del

servidor realizando la corrección respectiva en los eventos más críticos.

Los eventos con menor prioridad catalogados por el Super Administrador, los envía al

Administrador Junior, quien se encarga de revisarlos y darles solución, cualquier

incidencia menor es enviada al personal técnico que se encargará de examinarla y

contactar con el usuario de ser el caso.

94

ANEXO 9. Plan de acción y mejora para la implementación de un sistema de

gestión de eventos en servidores

Considerando el uso de la herramienta para la solución de casos de eventos en el

servicio de correo electrónico y el servicio web, proponemos considerar los siguientes

puntos:

Sitio web hackeado, al encontrar archivos maliciosos por parte de un atacante los

archivos afectados deben renombrarse o deshabilitar temporalmente el acceso

web. Inmediatamente realizar la notificación respectiva, de esta manera el usuario

podrá tener conocimiento de los archivos afectados y con más prioridad en su

revisión. Elaborar y enviar el reporte para que el usuario pueda revisarlo.

Web spammer, al encontrar un sitio web generando SPAM inhabilitarlo

temporalmente. Inmediatamente realizar la notificación respectiva señalando el

formulario o caja de comentarios sin protección para que lo pueda revisar y añadir

las seguridades respectivas. Elaborar y enviar el reporte para que el usuario

pueda revisarlo.

Phishing en la web, inhabilitar el acceso al sitio web. Contactar al usuario, enviar

un reporte señalando el link que está incurriendo en la falta para que lo pueda

revisar y eliminar.

Correo comprometido, analizar los envíos realizados por la cuenta y generar un

informe al cliente. En caso de continuar sin solucionarlo, cambiar la contraseña

de la cuenta de correo y notificar al usuario los pasos a seguir para solventar el

problema.

Correo comprometido recurrente, generar un informe al cliente y suspender la

cuenta de correo.

Envíos de SPAM, suspender el correo del cual se origina los envíos. Generar un

informe y contactar al cliente para su revisión.

Estas acciones permitirán mantener un mejor control frente a las incidencias en la

Empresa, a través de la implementación de un sistema de gestión de eventos se

obtendrá:

Mejora significativa en gestión y análisis de la información, el tiempo que se

ocupaba para el análisis de los datos será reducido, debido a que la herramienta

catalogaría estos eventos y los mostrará al administrador de forma gráfica y

seccionada.

95

Tiempos de respuesta cortos para los incidentes suscitados, una vez detecte un

incidente generará una alarma con la cual el administrador del sistema podrá

visualizarla y ejecutar la acción respectiva. También podrá determinar si el SIEM

realiza la acción automáticamente.

Políticas que el administrador podrá implementar en los eventos originados, con

esta herramienta el administrador podrá enviar las alertas menos críticas al

administrador junior o al personal técnico dependiendo del caso.

Procedimientos actualizables a medida que el SIEM recolecte y catalogue la

información, la herramienta SIEM contiene un histórico de todos los incidentes y

muestra el contenido en tiempo real, de acuerdo como vaya recibiendo la

información. Esto le permitirá al administrador actualizar de forma constante los

procedimientos ejecutados por el sistema o por el personal técnico.

Exportación de los datos en un archivo CSV para los reportes deseados en los

casos de análisis. Si el administrador desea revisar de una forma lineal los datos

obtenidos y gestionados por el SIEM, los podrá descargar en un formato legible.

Con estos datos podrá determinar si las reglas de control deben estar más

permisivas o ser más estrictas al momento de la gestión de la información.

Para el administrador es un gran ahorro de energía y tiempo, para el usuario

aumentará en gran medida el control de amenazas, brindando mayor seguridad e

integridad a la información que este maneja. La empresa ganará una mayor

confiabilidad en los servicios que brinda aumentando el número de clientes.

96

ANEXO 10. COTIZACION DE SERVIDOR

97

ANEXO 11. Manual de configuración de AlienVault

Ilustración 1. Inicio de configuración de AlienVault



Velásquez Vásquez

Ilustración 2. Configurando el sistema



Velásquez Vásquez

98

Ilustración 3. Configurando la red



Velásquez Vásquez

99



Velásquez Vásquez

100

Ilustración 4. Configurando hostname



Velásquez Vásquez

Ilustración 5. Seleccionando la interfaz



Velásquez Vásquez

101

Ilustración 6. Activando Firewall



Velásquez Vásquez

Ilustración 7. Activando los complementos



Velásquez Vásquez

102

Ilustración 8. Aplicando cambios



Velásquez Vásquez

103



Velásquez Vásquez

104

Ilustración 9. Creación de cuenta



Velásquez Vásquez

Ilustración 10 Ingreso al Panel



Velásquez Vásquez

105

Ilustración 11. Inicio de Configuración



Velásquez Vásquez

Ilustración 12. configuración de interfaces



Velásquez Vásquez

106



Velásquez Vásquez

Ilustración 13. Agregando las IPS de los activos a escanear



Velásquez Vásquez

107

Ilustración 14. implementar HIDS a los servidores



Velásquez Vásquez

Ilustración 15. Aplicación de HIDS en los dispositivos seleccionados



Velásquez Vásquez

108

Ilustración 16. Finalización - HIDS en dispositivos



Velásquez Vásquez

Ilustración 17. Integrar OTX (Open Threat Exhange)



Velásquez Vásquez

109

Ilustración 18. finalizacion de configuración



Velásquez Vásquez

Ilustración 19. empezando con el panel de administracion



Velásquez Vásquez

110

Ilustración 20. Creación de políticas

112



Velásquez Vásquez

Ilustración 21. Visualización Grafica de los eventos registrados



Velásquez Vásquez

113



Velásquez Vásquez

universidad de guayaquil facultad de ciencias...

Documents