universidad de guayaquil facultad de ingenerÍa...

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE INGENERÍA INDUSTRIAL DEPARTAMENTO ACADÉMICO DE TITULACIÓN

TRABAJO DE TITULACIÓN

PREVIO A LA OBTENCION DEL TÍTULO DE

LICENCIADO EN SISTEMAS DE INFORMACIÓN

ÁREA

REDES Y SEGURIDAD

TEMA

ASEGURAMIENTO Y ENDURECIMIENTO (HARDENING) DE LA INFRAESTRUCTURA DEL

SITIO WEB DE LA CORPORACIÓN REGISTRO CIVIL DE GUAYAQUIL.

AUTOR

JOZA CALDERÓN DANNY JOHN

DIRECTOR DEL TRABAJO

ING. CIV. CARVACHE FRANCO ORLY DANIEL, MSC.

2018

GUAYAQUIL – ECUADOR

ii

DECLARACIÓN DE AUTORÍA

“El contenido de este Trabajo de Titulación, son de mi autoría; y la

propiedad intelectual del mismo a la Facultad de Ingeniería Industrial de la

Universidad de Guayaquil”.

Joza Calderón Danny John

C.C: 0925777617

iii

DEDICATORIA

Dedico esta tesis a Dios que ha sido mi guía en este camino de

estudio, quien me ha dado las fuerzas, la voluntad, las ganas para

continuar con mis estudios y llegar a una de mis metas propuestas,

esperando me siga guiando en mi camino.

A mis padres; que, con su amor, confianza, consejos, apoyo y

ayuda que me brindaron con los recursos necesarios para poder continuar

con mis estudios, quienes también me enseñaron la importancia de la

educación y el conocimiento, con todo mi cariño y amor ya que son parte

fundamental para que yo pudiera lograr cumplir mis metas.

iv

AGRADECIMIENTO

Quiero agradecer a Dios por bendecirme y darme la suficiente

fortaleza, sabiduría, conocimiento y capacidad para poder culminar con mi

trabajo de tesis y obtener una meta más en mi vida.

Y agradecer a mis padres por estar pendientes siempre de mí, por

el apoyo incondicional que me han brindado a lo largo de mi vida y de mis

estudios.

v

ÍNDICE GENERAL

N° Descripción Pág.

PRÓLOGO

INTRODUCCIÓN

1

2

CAPÍTULO I

Marco TEÓRICO


1.1 OWASP 6

1.2 Riesgos 7

1.3 Los Diez Factores de Riesgo 7

1.3.1 A1-Injection 8

1.3.2 A2-Authentication 9

1.3.3 A3-Cross-Site Scripting (XSS) 9

1.3.4 A4-Broken Access Control 9

1.3.5 A5-Security Misconfiguration 10

1.3.6 A6-Sensitive Data Exposure 10

1.3.7 A7-Insufficient Attack Protection 10

1.3.8 A8-Cross-Site Request Forgery (CSRF) 11

1.3.9 A9-Using Components with Known Vulnerabilities 11

1.3.10 A10-Underprotected APIs 11

1.4 Hardening 12

1.5 Ciberataque 12

1.6 SharePoint 13

1.7 Sitio web 13

1.8 Sistema de Base de Datos 14

1.9 SQL Server 14

https://www.owasp.org/index.php/Top_10_2017-A3-Cross-Site_Scripting_(XSS)

https://www.owasp.org/index.php/Top_10_2017-A4-Broken_Access_Control

https://www.owasp.org/index.php/Top_10_2017-A5-Security_Misconfiguration

https://www.owasp.org/index.php/Top_10_2017-A6-Sensitive_Data_Exposure

https://www.owasp.org/index.php/Top_10_2017-A7-Insufficient_Attack_Protection

https://www.owasp.org/index.php/Top_10_2017-A8-Cross-Site_Request_Forgery_(CSRF)

https://www.owasp.org/index.php/Top_10_2017-A10-Underprotected_APIs

vi


1.10 Windows Server 2012 15

1.11 Hacking Ético 15

1.12 Vulnerabilidad 15

1.13 Firewall 16

1.14 IPS 16

1.15 IDS 17

1.16 Dirección IP 17

1.17 Proxy Server 17

1.18 Protocolos de red 18

1.19 DMZ 18

1.20 NAT 19

1.21

Auditoria de infraestructura de tecnología de

información basado en estándares y buenas

prácticas

19

1.22 Hardening 21

1.23 Nmap 24

1.23.1 Modelo característico de análisis con Nmap 25

1.24 OWASP Zed Attack proxy (ZAP) 26

1.25 KALI LINUX 27

CAPÍTULO II

METODOLOGÍA


2 Modalidad de la Investigación 29

2.1 Tipos de investigación 29

2.2 Método de la Investigación 30

2.3 Población y Muestra 31

2.3.1 Población 31

2.3.2 Muestra 31

2.4 Técnicas e instrumentos de Recopilación de datos 32

vii


2.4.1 Técnica de investigación 32

2.4.2 Observación Directa 33

2.4.3 Entrevista 33

2.4.3.1 Ejecución de la entrevista 33

2.4.3.2

Entrevistas al Jefe de Redes y Seguridades de

la Corporación Registro Civil de Guayaquil

34

2.4.3.3

Entrevistas al Técnico operador de Computó de la

Corporación Registro Civil de Guayaquil

35

2.4.3.4

Entrevistas a la Asistente de Monitoreo de la


36

2.4.4 Encuesta 37

2.4.5 Análisis y técnicas de procesamiento de Datos 37

2.5 Diagrama de Casos de Uso 43

2.6

Escenario Actual de las aplicaciones web de la


45

2.6.1 Tipos de Vulnerabilidades Generales 46

2.7

Revisión de vulnerabilidades mediante OWASP

Zed Attack proxy (ZAP)

48

2.8

Pruebas de gestión de configuración de la

infraestructura (OWASP-CM-003)

51

2.9 Pruebas de SSL/TLS (OWASP-CM-001) 51

CAPÍTULO III

PROPUESTA


3.1 Título de la Propuesta 52

3.2 Objetivo 52

3.3

Propuesta opciones y recomendaciones de

Hardening

52

3.3.1 Datos 52

viii


3.3.2 Página 53

3.3.3 Aplicación 53

3.3.4 Disminución de riesgos de seguridad tipo MIME 54

3.3.5

Aplacamiento del ataque XSS más común

empleando HttpOnly

55

3.3.5.1

Prueba de exploradores Web para soporte

HttpOnly

56

3.3.6 Prueba de atributos de Cookies (OTG-SESS-002) 60

3.3.6.1 Controles de acceso de seguridad 61

3.3.7 Reglas de prevención XXS 61

3.3.7.1

Regla # 0 Nunca implante datos

confidenciales exceptuados en establecimientos

accesibles

62

3.3.7.2

Regla # 1 Escape HTML antes de implantar datos

no confiados en el contenido del componente

HTML

62

3.3.7.3

Regla # 2 Escape de propiedad antes de implantar

datos no confiable en HTML propiedades

frecuentes

63

3.3.7.4

Regla # 3 Escape de JavaScript antes de implantar

datos no confiables en valores de datos

63

3.3.7.5

Regla # 4 CSS Escape riguroso validar antes de

implantar datos no fidedignos en valores de

atributos de estilo HTLML

64

3.3.7.6

Regla # 5 Escape de URL antes de implantar datos

no fidedignos en valores de cuantificación de URL

HTML

64

3.3.7.7

Regla # 6 Gestionar el marcado HTML con un

archivo delineado para el trabajo

65

3.3.8

Actualizar complemento de Silverlight Security

Update

66

ix


3.3.9 Parchar Windows Update Security 66

3.3.10

Administrar mejor las actualizaciones de Automatic

Update

66

3.3.11 Solo debe haber un usuario administrador 66

3.3.12

El firewall de Windows no tiene excepciones

esta por default

67

3.3.13

Habilitar el registro de ciertos eventos en el event

view

67

3.3.14 Los servicios no deben estar habilitados por default 67

3.3.15

No debe haber carpetas compartidas en servidores

web

68

3.3.16

No tiene login de dar permiso a los

administradores y usuarios normales

68

3.4 Estudio de factibilidad 68

3.4.1 Factibilidad técnica 69

3.4.2 Factibilidad económica 70

3.4.3 Factibilidad operacional 71

3.4.4 Impacto 72

3.5 Conclusiones 72

3.6 Recomendaciones 73

ANEXOS 74

BIBLIOGRAFÍA 78

x

ÍNDICE DE CUADROS


1 Factores de riesgo 8

2 Muestra dpto. de IT de la Corporación Registro

Civil de Guayaquil

32

3

Entrevistas al jefe de redes y Seguridades de la


34

4

Entrevistas al Técnico Operador de Computó de la

Corporación Registro Civil De Guayaquil

35

5

Entrevistas a la Asistente de Monitoreo de la

Corporación Registro Civil De Guayaquil

35

6

Pregunta 1: Encuesta al Personal de

Infraestructura de la Corporación Registro Civil de

Guayaquil

37

7



Guayaquil

38

8



Guayaquil

39

9



Guayaquil

40

10



Guayaquil

41

11



Guayaquil

42

xi

12 Vulnerabilidades generado por MBA 47

13

Resumen De Vulnerabilidades Por Owasp Zed

Attack Proxy (Zap)

49

14 Navegadores que Permiten Httponly 56

15 Características técnicas de ordenador de usuario 69

16 Recursos Humanos 71

xi

ÍNDICE DE GRÁFICOS


1 Fragilidad con los Hackers o Individuos mal

Intencionados

38

2 La Información dentro de la Corporación es segura 39

3 Hurto de la Información 40

4 Implementación de Hardening mediante OWASP 41

5 Conocimiento de Owasp 42

6 Utilización del Top 10 de Owasap 43

xii

ÍNDICE DE IMÁGENES


1 Análisis con Nmap I 25

2 Análisis con Nmap II 25

3 Reporte de Vulnerabilidades Generado por MBSA I 46

4

Reporte de Vulnerabilidades Generado por MBSA

II

46

5

Reporte de Vulnerabilidades Generado por MBSA

III

47

6 Herramienta Owasp Zed Attack Proxy (Zap) 48

7

Revisión de vulnerabilidades de red scaneo de

puertos

49

8 Fichero Robots.Txt generado mediante WGET 50

9 Reconocimiento mediante motores de búsqueda

(OWASP-IG-002)

50

10 Pruebas De SSL/TLS (OWASP-CM 001) 51

11

Cómo se visualiza el campo X-FRAME-OPTIONS

en una respuesta http

54

12 Disminución de Riesgos de Seguridad Tipo Mime 55

13 Desactivación de Httponly 57

14 Cookie con Éxito Leído con Httponly Apagado 57

15 Cookie Escrito con Éxito con Httponly Off 57

16 Activación de Httponly 58

17 Protección de Lectura de Cookie Forzada 58

18 Protección De Lectura De Cookies No Reforzada 59

19 Protección Contra Escritura De Cookie Forzada 59

xiii


20

Protección Contra Escritura De Cookies No

Reforzada

60

21

Regla # 0 Nunca implante datos

confidenciales exceptuados en establecimientos

accesibles

62

22

Regla # 1 Escape HTML antes de implantar datos

no confiados en el contenido del componente

HTML

62

23

Regla # 2 Escape de propiedad antes de implantar

datos no confiable en HTML propiedades

frecuentes

63

24

Regla # 3 Escape de JavaScript antes de implantar

datos no confiables en valores de datos

63

25

Regla # 4 CSS Escape riguroso validar antes de

implantar datos no fidedignos en valores de

atributos de estilo HTLML

64

26

Regla # 5 Escape de URL antes de implantar datos

no fidedignos en valores de cuantificación de URL

HTML

64

27 Regla # 6 Gestionar el marcado HTML con un

archivo delineado para el trabajo

65

xiv

ÍNDICE DE DIAGRAMAS


1 Caminos para atacar una aplicación 7

2 Principios de Cobit 5 20

3 Proceso de Hardening 22

4 Análisis Vulnerabilidades 22

5 Remediaciones del Sistema 23

6 Niveles de Profundidad 23

7 Diagrama De Casos De Uso Nº 2 44

8 Diagrama De Casos De Uso Nº 3 44

xv

ÍNDICE DE ANEXOS


1 Encuesta 75

2 Cronograma de Actividades 77

xvi

AUTOR: JOZA CALDERÓN DANNY JOHN TEMA: ASEGURAMIENTO Y ENDURECIMIENTO (HARDENING)

DE LA INFRAESTRUCTURA DEL SITIO WEB DE LA CORPORACIÓN REGISTRO CIVIL DE GUAYAQUIL.

DIRECTOR: ING. CIV. CARVACHE FRANCO ORLY DANIEL, MSC.

RESUMEN

Actualmente los aplicativos web se han tornado necesarios para la manipulación de la información dentro de una organización, transformándose en un instrumento que permite al usuario ingresar, mediante un navegador y poder agilizar sus labores o poder cubrir su necesidad desde cualquier sitio en donde se encuentre. La Corporación Registro Civil de Guayaquil al ser una entidad pública se ha visto en la necesidad de implantar esquemas libres y programas de código abierto para desarrollar sus procesos y ha desarrollado el aplicativo web utilizando el programa VB.NET con SharePoint, pero no se ha implementado ninguna clase de patrón o buenas prácticas para el fortalecimiento de la aplicación. El actual trabajo de tesis tiene como objetivo implementar en el sitio web de la Corporación Registro Civil de Guayaquil el aseguramiento y hardening empleando las recomendaciones y herramientas de OWASP top 10 para manifestar las debilidades que se presentan en el aplicativo y los peligros de ataques y riesgos que trae consigo el mismo y como este afectaría de manera transcendental la seguridad de la información. PALABRAS CLAVES: OWASP, Hardening, SharePoint, VB.NET,

Aplicativo, Web, Implementar.

Joza Calderón Danny John Ing. Civ. Carvache Franco Orly Daniel, Msc. C.C.:0925777617 Director Del Trabajo

xvii

AUTHOR: JOZA CALDERÓN DANNY JOHN SUBJECT: INSURANCE AND HARDENING OF THE

INFRASTRUCTURE OF THE WEB SITE OF THE CORPORACION REGISTRO CIVIL DE GUAYAQUIL.

DIRECTOR: C.E. CARVACHE FRANCO ORLY DANIEL, MSC.

ABSTRACT Currently the web applications have become necessary for the manipulation of information within an organization, becoming an instrument that allows the user to enter and manipulate a computer system through the internet with a web browser, giving access to information from any site where you are. The Corporacion Registro Civil de Guayaquil to be a public entity is interested in implementing free schemes and open source programs to develop their processes and it has developed the web application using the VB.NET program with SharePoint, but no pattern or good practices have been implemented for strengthening enforcement. This thesis work has as a main objective, the implementation of the insuring and hardening in the Corporacion Registro Civil de Guayaquil in the web site by making use of recommendations and tools of OWASP TOP 10 to be aware of the weaknesses that the application may present, as well as the risks and attacks that are proper of the system and how this would affect permanently in the security of the information KEY WORDS: OWASP, Hardening, SharePoint, VB.NET, Web,

Application, Implement. Joza Calderón Danny John C.E. Carvache Franco Orly Daniel, Msc. I.D.:0925777617 Director of Work

PRÓLOGO

El actual trabajo de tesis tiene como título Aseguramiento y

Endurecimiento (Hardening) de la infraestructura del sitio web de la

Corporación Registro Civil de Guayaquil cuya finalidad es determinar los

riesgos y amenazas que se muestran presentemente en el sitio web

mediante el uso de herramientas y análisis de riesgos de OWASP.

El proyecto busca implementar el aseguramiento y Hardening en el

sitio web de la Corporación Registro Civil de Guayaquil, reduciendo de

manera significativa la manifestación de información confidencial y huecos

de seguridad existentes en el sistema.

El proyecto se encuentra distribuido en tres capítulos descritos a

continuación:

Capítulo 1: Encontramos toda la parte conceptual de diversos

autores e hipótesis enlazadas a la problemática del estudio llevado a

cabo, se detallan los temas que incluye el proyecto.

Capítulo 2: Se explicarán los métodos manejados en la

investigación, para adoptar la medida más factible, también se lograrán

evaluar los riesgos y amenazas que presenta el sitio web de la

Corporación de Guayaquil mediante el uso de OWASP.

Capítulo 3: Se especificará la propuesta del estudio las

conclusiones y recomendaciones que ofrece el autor.

INTRODUCCIÓN

Tema

“Aseguramiento y Endurecimiento (Hardening) de la Infraestructura

del Sitio Web de la Corporación Registro Civil de Guayaquil.”

Introducción

La Corporación Registro Civil de Guayaquil está ubicada en Av.

Juan Tanca Marengo km 2 y entrada de la Martha de Roldos, brinda

atención al público con servicios de Cedulación, inscripción y certificados

de: nacimiento, difusión y matrimonios, servicios que realiza de manera

responsable y eficiente, garantizando la identidad como derecho

fundamental, esta institución es pionera en la modernización de tales

servicios. La Corporación Registro Civil de Guayaquil es una empresa

encargada de la cedulación de los ciudadanos de Guayaquil por lo que

contiene información de suma importancia y debe tener los niveles de

seguridades correctamente implementando ya que es de suma

importancia para asegurar la disponibilidad e integridad de la información.

Entre los servicios que presta la Corporación, está el sitio web

www.corporacionregistrocivil.gob.ec en el cual pueden acceder los

usuarios a consultar y verificar información de una manera ágil y rápida,

pero debido a los avances tecnológicos de malware, virus y ciberataque

se necesita tener endurecida toda infraestructura web que esta

presentada hacia el internet.

El endurecimiento o aseguramiento (Hardening) es una acción

compuesta por un conjunto de actividades que son llevadas a cabo por

http://www.corporacionregistrocivil.gob.ec/

Introducción 3

una persona encargada del área de sistemas para reforzar al máximo

posible la seguridad de sus equipos y evitar que en el caso que existiera

un ataque éste no se concrete en su totalidad.

Alcance

Una de las primeras cosas que hay que dejar en claro del

Hardening de sistemas, es que no necesariamente logrará forjar equipos

invulnerables. La implementación del aseguramiento y endurecimiento del

Sitio web tiene como alcance controlar, minimizar y evitar las

consecuencias de un inminente incidente de seguridad que provoque

incongruencia y fuga de información. Este proyecto está dirigido a toda la

infraestructura que comprende el sitio web desde la publicación en el

internet hasta los servidores donde están alojado las aplicaciones.

Objeto de investigación

El objeto de investigación es el aseguramiento y endurecimiento

(Hardening) de la infraestructura del sitio web de la Empresa Corporación

Registro Civil de Guayaquil es la disminución de las vulnerabilidades al

que está expuesto dicho sitio web. Para la Corporación Registro Civil de

Guayaquil es importante mantener la infraestructura tecnológica con la

debidas seguridades implementadas debido a los servicios q ofrece a los

ciudadanos de la ciudad. Mientras que las configuraciones de seguridad

predeterminadas para muchos productos han mejorado mucho a lo largo

de los años, algunas de las opciones y configuraciones favorecer el uso

pero dejan al descubierto vulnerabilidades que pueden ser utilizadas para

comprometer un sistema (usabilidad vs seguridad).

La seguridad de la red comprende tanto la protección física de los

dispositivos como también la integridad, confidencialidad y autenticidad de

las transmisiones de datos que circulen por ésta.

Introducción 4

El aseguramiento y endurecimiento de las seguridades del Sitio

web tiene el propósito, entorpecer la labor del atacante y ganar tiempo

para poder minimizar las consecuencias de un inminente incidente de

seguridad e incluso, en algunos casos, evitar que éste se concrete en su

totalidad.

Justificación de la investigación

Realizar el estudio del endurecimiento de las seguridades de la

infraestructura del sitio web de la empresa nos ayudara descubrir y a la

vez mitigar posibles ataques sin dejar de lado la funcionalidad del sitio

web hacia los usuarios.

El fortalecimiento se realiza utilizando principalmente herramientas

nativas de Windows y Microsoft, respetando el principio fundamental de

mínimo privilegio para reducir al mínimo la superficie de ataque y eliminar

servicios innecesarios. También, se analiza la forma de aplicar varias

capas de seguridad para detener diversas formas de ataque buscando

proteger los archivos personales.

Una infraestructura tecnológica debe estar diseñada para que sus

configuraciones minimicen los riesgos de ataques a la seguridad de la

información y asegurar que todas las capacidades del entorno tecnológico

de la organización sean explotadas al máximo para que apoyen a las

operaciones del negocio.

En pocas palabras, a medida que se busca una seguridad mayor

en los sistemas, la versatilidad y facilidad de uso del mismo se ven

limitados, puesto que la cantidad de decisiones que puede tomar el

usuario se reduce y la cantidad de posibilidades ajenas al propósito inicial

del sistema en sí disminuye drásticamente.

Introducción 5

Objetivos de la Investigación

Objetivo general

Realizar el aseguramiento y el endurecimiento de las seguridades

de los servicios web e infraestructura del sitio web de la Corporación

Registro Civil de Guayaquil.

Objetivo Específicos

Determinar áreas de vulnerabilidad de la infraestructura de sitio web

con sus respectivas acciones y afectaciones.

Formalizar procedimientos y monitoreo de las vulnerabilidades más

comunes en la web.

Realizar pruebas sobre los sistemas operativos del hardware para

determinar sus vulnerabilidades, mediante herramientas de testeo

(Software).

Mantener los servicios del sitio web actualizados para mitigar futuros

ataques de intrusos.

CAPÍTULO I

MARCO TEÓRICO

El actual apartado evidenciara los datos requeridos para contar con

un resguardo hipotético de este trabajo, a su vez identificar las diversas

concepciones de autores con temas enlazados al estudio, el marco

teórico es la base fundamental para un correcto procesamiento de la

información y obtener un sustento alto del mismo.

Toda entidad conoce la importancia de la información y que debe

ser resguardada de forma segura para que no existan amenazas con

datos confidenciales, daños al sistema o equipos. Por lo cual se deben

definir las herramientas necesarias que se emplearan en el presente

proyecto con el objetivo de endurecer el sitio web de la Corporación de

Guayaquil.

1.1 OWASP

OWASP es una organización internacional. OWASP es una

comunidad que se basa en el código abierto enfocada en mejorar las

seguridades de las aplicaciones y por ende de las redes.

La página oficial (OWASP, OWASP, 2017) indica lo siguiente:

OWASP está en una posición única para proporcionar

información imparcial y práctica sobre AppSec a

individuos, corporaciones, universidades, agencias

gubernamentales y otras organizaciones en todo el

mundo. Operando como una comunidad de profesionales

con ideas afines, OWASP emite

Marco Teórico 7

herramientas de software y documentación basada en el

conocimiento sobre la seguridad de las aplicaciones.

1.2 Riesgos

El apartado de (OWASP-CISO, 2015) plasmó lo siguiente:

“Los intrusos siempre utilizan diferentes aplicaciones

para hacer daño a su negocio u organización. Cada

intento representa un riesgo que puede o no ser lo

suficiente critico como para justificar la atención y tomar

las correcciones del caso” (pág. 39)

DIAGRAMA Nº 1

CAMINOS PARA ATACAR UNA APLICACIÓN

Fuente: https://www.owasp.org/images/1/19/Owasp-ciso-guide_es.pdf - (OWASP-CISO, 2015, pág. 39) Elaborado por: Joza Calderón Danny John

1.3 Los Diez Factores de Riesgo

La tabla siguiente presenta un resumen de los Principales Riesgos

de Seguridad de Aplicación 2017 y los factores de riesgo que hemos

asignado a cada riesgo. Estos factores se determinaron en base a las

estadísticas disponibles ya la experiencia del equipo Top 10 de OWASP.

https://www.owasp.org/images/1/19/Owasp-ciso-guide_es.pdf

Marco Teórico 8

Para comprender estos riesgos para una aplicación u organización

en particular, debe considerar sus propios agentes de amenaza

específicos y los impactos de la empresa.

Incluso las debilidades de software notables pueden no presentar

un riesgo serio si no hay agentes de la amenaza en una posición para

realizar el ataque necesario o el impacto del negocio es insignificante para

los activos implicados.

CUADRO Nº 1

FACTORES DE RIESGO

Fuente: https://www.owasp.org/index.php/Top_10_2017-Top_10 Elaborado por: Joza Calderón Danny John

1.3.1 A1-Injection

Las fallas de inyección, como la inyección de SQL, OS, XXE y

LDAP se producen cuando se envían datos que no han sido validados

antes de ser procesados como parte de un comando en un lenguaje

determinado.

“Los datos hostiles del atacante pueden engañar al

intérprete para que ejecute comandos no deseados o

acceda a los datos sin autorización adecuada.” (OWASP

F. , 2017)

Marco Teórico 9

1.3.2 A2-Authentication

Las funciones de aplicación relacionadas con la

autenticación y la gestión de sesiones se implementan de

forma incorrecta, permitiendo a los atacantes

comprometer contraseñas, claves o tokens de sesión, o

explotar otras fallas de implementación para asumir las

identidades de otros usuarios (temporalmente o

permanentemente). (OWASP F. , 2017)

1.3.3 A3-Cross-Site Scripting (XSS)

Las vulnerabilidad XSS o Cross-Site scripting resultan cuando una

aplicación contienen datos no validados en una nueva página web sin

validación o escape apropiados, o actualiza una página existente con

datos proporcionados por el usuario usando una API de navegador que

puede crear JavaScript.

XSS permite a los atacantes ejecutar scripts en el navegador de la

víctima, que pueden secuestrar las sesiones de usuarios, deshacerse de

los sitios web o redirigir al usuario a sitios maliciosos.

1.3.4 A4-Broken Access Control

Las restricciones sobre lo que se permite a los usuarios

autenticados no se aplican correctamente. Los atacantes

pueden aprovechar estas fallas para acceder a

funcionalidades y / o datos no autorizados, como acceder

a cuentas de otros usuarios, ver archivos sensibles,

modificar los datos de otros usuarios, cambiar los

derechos de acceso, etc. (OWASP F. , 2017)

https://www.owasp.org/index.php/Top_10_2017-A3-Cross-Site_Scripting_(XSS)

https://www.owasp.org/index.php/Top_10_2017-A4-Broken_Access_Control

Marco Teórico 10

1.3.5 A5-Security Misconfiguration

Una buena seguridad requiere tener una configuración

segura definida y desplegada para la aplicación, marcos,

servidor de aplicaciones, servidor web, servidor de bases

de datos, plataforma, etc. Las configuraciones seguras

deben definirse, implementarse y mantenerse, ya que los

valores por defecto son a menudo inseguros. Además, el

software debe mantenerse actualizado. (OWASP F. , 2017)

1.3.6 A6-Sensitive Data Exposure

Muchas aplicaciones web y API no protegen

adecuadamente los datos confidenciales, como

financieros, de atención médica y PII. Los atacantes

pueden robar o modificar tales datos débilmente

protegidos para realizar fraudes con tarjetas de crédito,

robo de identidad u otros delitos. Los datos sensibles

merecen una protección adicional, como cifrado en

reposo o en tránsito, así como precauciones especiales

cuando se intercambian con el navegador. (OWASP F. ,

2017)

1.3.7 A7-Insufficient Attack Protection

La mayoría de las aplicaciones y API carecen de la

capacidad básica para detectar, prevenir y responder a

los ataques manuales y automatizados. La protección

contra ataques va mucho más allá de la validación de

entrada básica e implica la detección automática, registro,

respuesta e incluso bloqueo de intentos de explotación.

Los propietarios de aplicaciones también deben ser

https://www.owasp.org/index.php/Top_10_2017-A5-Security_Misconfiguration

https://www.owasp.org/index.php/Top_10_2017-A6-Sensitive_Data_Exposure

https://www.owasp.org/index.php/Top_10_2017-A7-Insufficient_Attack_Protection

Marco Teórico 11

capaces de implementar parches rápidamente para

protegerse contra los ataques. (OWASP F. , 2017)

1.3.8 A8-Cross-Site Request Forgery (CSRF)

El ataque CSRF forza al navegador de una víctima a enviar una

solicitud HTTP falsificada. Este tipo de ataques explotan la confianza que

hace el sitio web a sus usuarios, comúnmente debido que los

navegadores de ahora proactivamente guardan información de inicio de

sesión la cual es tomada por el exploit para poder realizar los ataques.

1.3.9 A9-Using Components with Known Vulnerabilities

Los componentes, como bibliotecas, marcos y otros

módulos de software, se ejecutan con los mismos

privilegios que la aplicación. Si un componente

vulnerable es explotado, un ataque de este tipo puede

facilitar la pérdida de datos graves o la toma de control

del servidor. Las aplicaciones y las API que utilizan

componentes con vulnerabilidades conocidas pueden

socavar las defensas de las aplicaciones y permitir varios

ataques e impactos. (OWASP F. , 2017)

1.3.10 A10-Underprotected APIs

Las aplicaciones modernas a menudo implican

aplicaciones ricas de cliente y API, como JavaScript en el

navegador y aplicaciones móviles, que se conectan a una

API de algún tipo (SOAP / XML, REST / JSON, RPC, GWT,

etc.). Estas API a menudo no están protegidas y

contienen numerosas vulnerabilidades. (OWASP F. , 2017)

https://www.owasp.org/index.php/Top_10_2017-A8-Cross-Site_Request_Forgery_(CSRF)

https://www.owasp.org/index.php/Top_10_2017-A10-Underprotected_APIs

Marco Teórico 12

1.4 Hardening

Se puede definir como el proceso de asegurar un sistema mediante

la reducción de vulnerabilidades por lo que se evalúa servicios, software

y accesos innecesarios de la red o pc según sea el caso. Todas las

empresas tienen equipos o servicios críticos los cuales deben estar

debidamente protegido y asegurado usando técnicas, normas y la

documentación necesaria basada en seguridades de la información.

(Jara & Pacheco, 2012) Manifestaron lo siguiente:

Este proceso consiste en utilizar las propias

características de dispositivos, plataformas y

aplicaciones para aumentar sus niveles de seguridad.

Cerrar puertos que no son imprescindibles, deshabilitar

protocolos y funciones que no se utilicen, cambiar

parámetros por defecto y eliminar usuarios que no sean

necesarios son solo algunos ejemplos sencillos de un

proceso de Hardening. (Pág. 9)

1.5 Ciberataque

Un ciberataque se puede definir como un acto malicioso dirigida a

todo equipo o software informático comúnmente son originados por

usuarios anónimos con el fin de alterar robar o destruir el objetivo que

esta vulnerable.

El ciberataque radica en aprovechar cualquier vulnerabilidad o falla

en los programa, en el hardware, también en las personas que forman

parte de un ambiente tecnológico; para obtener un beneficio causando

daños en la seguridad del objetivo atacado, que luego pasa directamente

en los activos de la organización.

(CASAS, 2017) Explica lo siguiente:

Marco Teórico 13

Un ciberataque debe poder asimilarse a una acción

armada y, por tanto, tener el objetivo de matar, herir o

destruir físicamente propiedades. Por tanto, una

denegación de servicio que no funciones una página web

durante un tiempo, por ejemplo, algo al alcance de

cualquier grupito de chavales con conocimientos de

informática o el robo de datos como planes de defensa o

el nombre de agentes secretos no se pueden considerar

de esta categoría. (pág. 334)

1.6 SharePoint

SharePoint 2013 es un entorno de colaboración que

pueden usar organizaciones de todos los tamaños para

incrementar la eficacia de los procesos empresariales.

Los sitios de SharePoint 2013 proporcionan entornos

seguros que los administradores pueden configurar para

proporcionar un acceso personalizado a los documentos

y a otra información. Las funciones de búsqueda ayudan

a los usuarios a encontrar con eficacia contenido

independientemente de la ubicación física de los datos.

(TechNet, 2017)

1.7 Sitio web

Según el apartado de (Luján, 2002) indica que un sitio web:

Es un lugar virtual en la red que almacena información

para que las personas tengan acceso a él, así de simple.

Se conforma por varios documentos que están de manera

organizada para que sea atractivo visualmente, estos se

llaman páginas web. Por lo tanto, un sitio web es la

Marco Teórico 14

compilación organizada y ordenada de un determinado

número de páginas web. En el Internet encontramos una

gran variedad de tipos de sitios web que se diferencian

fundamentalmente por la clase y el servicio como son los

sitios estáticos y dinámicos. Sitio Web es un conjunto de

página web relacionadas entre sí. Se entiende por página

web tanto el fichero que contiene el código HTML como

todos los recursos que se emplean en la página

(imágenes, sonidos, código JavaScript, etc.).(pág. 62)

1.8 Sistema de Base de Datos

El estudio de (J. & Date, 2001) manifestó lo siguiente:

Un sistema de base de datos es básicamente un sistema

computarizado para guardar registros; es decir, es un

sistema computarizado cuya finalidad general es

almacenar información y permitir a los usuarios recuperar

y actualizar esa información con base en peticiones.

La información en cuestión puede ser cualquier cosa que

sea de importancia para el individuo u organización; en

otras palabras, todo lo que sea necesario para auxiliarle

en el proceso general de su administración. (pág. 80)

1.9 SQL Server

Es un sistema de manejo de bases de datos de tipo modelo

relacional, desarrollado por la empresa Microsoft. Se puede utilizar en

línea de comandos o mediante la interfaz gráfica de Management Studio

con lo que es Transact-SQL (TSQL), una implementación del estándar

lenguaje SQL, que sirve para manipular y recuperar datos, crear tablas y

definir relaciones entre ellas.” (Microsoft, 2017)

Marco Teórico 15

1.10 Windows Server 2012

En autor (Bonnet, 2013) índico que Windows Server 2012:

Provee a un administrador una plataforma completa, a

nivel de administración de dominio AD, virtualización o

implantación de un sistema de cloud computing. El

sistema operativo nos ofrece una plataforma de

virtualización que permite la creación de un entorno

totalmente aislado. La mejora de Power Shell, ahora en

versión 3, aporta nuevos comandos a los administradores

de servidores. La automatización de tareas es, ahora,

posible utilizando scripts Power Shell. Se presenta una

nueva interfaz, la interfaz de Windows. El botón inicio

está, ahora, ausente y la nueva interfaz la compone, en lo

sucesivo, por "tiles" o "azulejos" (Pág. 78)

1.11 Hacking Ético

Los autores (RAULT, y otros, 2015) Manifestaron lo siguiente:

El hacking ético describe el arte de pentester. El objetivo

es medir el nivel de seguridad del sistema de Información

de una empresa. De este modo, hay empresas de

seguridad que realizan ataques (también llamados

"pruebas o test de penetración") para revelar y corregir

fallos de seguridad en un determinado sistema. (Pág. 54)

1.12 Vulnerabilidad

Una vulnerabilidad es un agujero o una debilidad en la aplicación,

que puede ser una falla de diseño o un error de implementación, que

Marco Teórico 16

permite a un atacante causar daño a las partes interesadas de una

aplicación. Las partes interesadas incluyen el propietario de la aplicación,

los usuarios de la aplicación y otras entidades que dependen de la

aplicación. El término "vulnerabilidad" se utiliza con mucha frecuencia. Sin

embargo, aquí necesitamos distinguir amenazas, ataques y

contramedidas. (OWASP, 2016)

1.13 Firewall

Un firewall o cortafuegos es un dispositivo que puede ser hardware

o software de seguridad en la red, que monitorea el tráfico entrante y

saliente y decide si permite o bloquea tráfico específico, definido en un

conjunto de reglas. Básicamente la función de un firewall es resguardar

los dispositivos individuales, servidores o equipos conectados en red

contra intrusos que nos pueden robar datos privados.

Existen 2 tipos de firewall los de hardware y software, cada uno es

utilizado según la necesidad y presupuesto del administrador de red para

asegurar su infraestructura de las amenazas.

1.14 IPS

El autor (Tejada, 2015) indico que:

Los sistemas de prevención de intrusiones o IPS se

desarrollaron en 1990 con la finalidad de monitorizar el

tráfico de una red en tiempo real y conseguir prevenir las

intrusiones al sistema. Se consideran una evolución de

los sistemas de detección de intrusiones (IDS).

Los IPS tratan de prevenir que se filtre cualquier

intrusión: en cuanto se produce la caída de algún paquete

o se detecta que está dañado o incompleto, la red

Marco Teórico 17

bloquea la transmisión de este paquete con el fin de

prevenir un posible ataque. (Pág. 26)

1.15 IDS

(Tejada, 2015) Manifestó lo siguiente:

La herramienta que es capaz de monitorizar el tráfico de

la red a tiempo real es el sistema de prevención de

intrusos. Mientras que los IDS o sistemas de detección de

intrusos se limitan a la simple detección de ataques

(exitosos y no exitosos, según el tipo de IDS implantado),

los IPS o sistemas de prevención de intrusos pueden

aplicar medidas preventivas que eviten la entrada de

ataques a tiempo real gracias a la monitorización de la

red.(pág. 58)

1.16 Dirección IP

Es el acrónimo de Internet Protocol, la dirección IP es un

identificador único que puede ser privado o público, usado para comunicar

los dispositivos ya sea equipo de red, computadoras o servidores en una

infraestructura. El direccionamiento se compone de 32 bits, que se

conforma por la porción de la red y de la máscara de subred.

1.17 Proxy Server

Actúa como un gateway o pasarela segura para conectar su red

local LAN a Internet. Gateway se refiere a un software u ordenador que

permite la comunicación entre dos redes. Usando un gateway Proxy

Server, usted será capaz de proteger su red contra intrusos. El Gateway

actúa como una barrera que le permitirá hacer peticiones a Internet y

Marco Teórico 18

recibir información, pero no permitirá el acceso a su red de usuarios no

autorizados.

Usted puede configurar Proxy Server para permitir la

comunicación de sus estaciones de trabajo con servicios

remotos en Internet. Cuando seleccione el hardware

apropiado para un ordenador ejerciendo funciones de

Gateway o pasarela, asegúrese de que tiene el adecuado

ancho de banda para la conexión a Internet y planifique

con cuidado la seguridad para proteger su LAN.

(MICROSOFT, 2017)

1.18 Protocolos de red

El apartado de (García, 2015) definió lo siguiente:

Protocolo Conjunto de normas y procedimientos útiles

para la transmisión de datos conocido por el emisor y el

receptor.

Para clasificar los protocolos en función de las diferentes

funcionalidades que realizan se usan unas estructuras

llamadas capas de comunicación. En cada capa actúa un

protocolo encargado de la labor de dicha capa. Por eso

en ocasiones se habla de "pila" de protocolos.

Dentro de cada capa se podrán utilizar diferentes

protocolos en función del objetivo final (no es 10 mismo

enviar un correo electrónico que hacer una consulta a

una página web, por ejemplo). (Pág. 78)

1.19 DMZ

El autor (Albacete, 2015) indico que:

Marco Teórico 19

Las zonas DMZ añaden seguridad, porque aumentan la

separación entre redes. Por ejemplo, el rango de

direcciones IP, empleado en la zona DMZ será diferente al

rango de direcciones de la red privada, 10 que aumenta la

dificultad para acceder a la red privada. Habitualmente, se

pueden obtener más beneficios de las zonas DMZ,

empleándolas para diferentes servicios. (pág. 30)

1.20 NAT

(Quintero, 2015) Manifestó lo siguiente:

El protocolo de traducci6n de direcciones de red (NAT) es

el proceso que convierte direcciones IP privadas en

direcciones enrutables para Internet, es decir, en

direcciones IP públicas.

A través de NAT se consigue comunicar los hosts de una

red interna con Internet. Los routers además de

proporcionar una dirección privada a cada cliente de la

red local, reciben a su vez una dirección pública del ISP

que les permite enviar y recibir datos en Internet. Dado

que las direcciones privadas no se permiten en Internet,

es necesario el estándar NAT. (Pág. 94)

1.21 Auditoria de infraestructura de tecnología de información

basado en estándares y buenas prácticas

El autor (Rodríguez, 2016) expone un conjunto de conceptos para

efectuar una auditoria de IT fundamentado en estándares y buenas

practicas. Las mismas se describen a continuación:

Al realizar una auditoría en un departamento de

Sistemas debemos considerar los siguientes tópicos:

Marco Teórico 20

Auditoría a Base de Datos.

Auditoría a los sistemas que son Desarrollo interno/externo.

Auditorías de Sistemas de Gestión de Seguridad SGSI.

Auditorías de Equipos de Red (Switch, routers) y Seguridad (IPS,

IDS).

Auditorías a Gestión de Servicios de IT (Mesa de Ayuda y software

de soporte).

Hay que tener presente que existen normas y estándares

Internacionales que son de mucha ayuda en lo que respecta a

Hardening. Debemos tener presente el objetivo o principios del

Departamento de IT para saber que aporte y cuál es el alcance del

Departamento como tal, en este caso nos podemos ayudar con la

siguiente imagen:

DIAGRAMA Nº 2

PRINCIPIOS DE COBIT 5

Fuente:https://backtrackacademy.com/articulo/auditoria-de-infraestructura-de-tecnologia-de-informacion-basado-en-estandares-buenas-practicas (Rodríguez, 2016) Elaborado por: Joza Calderón Danny John

https://backtrackacademy.com/articulo/auditoria-de-infraestructura-de-tecnologia-de-informacion-basado-en-estandares-buenas-practicas

https://backtrackacademy.com/articulo/auditoria-de-infraestructura-de-tecnologia-de-informacion-basado-en-estandares-buenas-practicas

Marco Teórico 21

Es importante validar que la infraestructura donde nuestros

servicios se alojan y transportan, se encuentren en óptimas condiciones

o por lo menos las adecuadas a nuestras necesidades.

Enumeraremos los puntos por donde podremos empezar a

evaluar una infraestructura tecnológica:

Diagrama de Red en la cual interviene:

Equipos de Red.

Segmentación de Red.

Utilización de Puertos.

Monitoreo de Performance.

Cableado Estructurado.

En la Infraestructura interviene los equipos como son Desktop,

Server. En los cuales se valida registros de Instalaciones y

actualizaciones de Equipos.

Todo este conjunto de actividades se denominan Hardening

también conocido como endurecimiento de la infraestructura tecnológica

del departamento de sistemas.

Este procedimiento logra disminuir las vulnerabilidades y hacer

más complicado el ingreso de intrusos o usuarios no autorizados.

1.22 Hardening

El siguiente estudio efectuado por (Sanchéz, 2013) plasma teorías

e importancia en implementar Hardening en las organizaciones. Las

mismas se detallan a continuación:

Marco Teórico 22

DIAGRAMA Nº 3

PROCESO DE HARDENING

Fuente: http://www.magazcitum.com.mx/?p=2109#.WaBqTT6GPIV (Sanchéz, 2013) Elaborado por: Joza Calderón Danny John

Todas las empresas que tienen un departamento de sistemas

deben considerar una línea base de seguridad para sus equipos de

cómputo, la cual lleva a tener un nivel de seguridad satisfactorio. Hay

que recordar que cada vez que sale a producción algún servicio,

hardware o software este debe pasar por el proceso de Hardening y no

olvidar que periódicamente se deben hacer procesos de Hardening con

el fin de estar aplicando mejores prácticas de seguridades.

DIAGRAMA Nº 4

ANÁLISIS VULNERABILIDADES


Hay un error común en los Administradores de Infraestructuras que

con aplicar actualizaciones al producto creen que es suficiente como

mejores prácticas de hardening en su defecto remediaciones de huecos

de seguridad.

http://www.magazcitum.com.mx/?p=2109#.WaBqTT6GPIV


Marco Teórico 23

DIAGRAMA Nº 5

REMEDIACIONES DEL SISTEMA


También se debe tener en consideración los niveles o capas para

realizar hardening los cuales son detallados en la parte de abajo:

DIAGRAMA Nº 6

NIVELES DE PROFUNDIDAD




Marco Teórico 24

El aseguramiento a nivel de Perímetro se refiere a la

implementación de IPS IDS los cuales en el mercado varían por marca

precio y funcionalidades.

Se entiende a nivel de servicios de red son los aplicativos y

accesos necesarios a los usuarios para consumir los servicios ya sean

interno o externo por parte de la empresa que estén publicados.

Las pc’s de los usuarios son un punto determinante en el

aseguramiento, la mayoría de los administradores se enfocan en instalar

un antivirus, pero no solamente eso comprende también se debe

considerar aplicativos instalados, actualizaciones que se aplican y alcance

de permisos sobre la red a otra computadoras o servidores.

1.23 Nmap

Nmap es una herramienta de código abierto que sirve para

explorar una red la cual comprende protocolos y servicios que están

corriendo en el momento de la ejecución de la misma. Tiene versiones

tanto para Windows como para Linux lo cual hace versátil dicho

producto.

Generalmente se utiliza Nmap en auditorías de seguridad

informáticas, muchos administradores de sistemas lo usan para realizar

tareas rutinarias, como puede ser el inventariado de la red, y

seguimiento a eventos u ocurrencias dentro de la infraestructura de la

organización.

La salida de Nmap es un registro de objetivos estudiados, con

información agregada para cada adjunto de las opciones manipuladas. La

información principal es la lista de puertos analizados. Esta lista presenta

el número de puertos con su respectiva etiqueta el alias más frecuente del

Marco Teórico 25

servicio y el estado que suele ser abierto, depurado, cerrado, o no

depurado. Adicionalmente de la lista de puertos analizados, Nmap provee

información agregada sobre los objetivos, envolviendo el alias de DNS en

cuanto al valor contrapuesto de la IP, un registro de sistemas operativos

potenciales , y los tipos de terminales y direcciones MAC.

2.23.1 Modelo característico de análisis con Nmap

Esta herramienta muestra el escaneo de los puertos tanto tcp como

udp según los parámetros que se necesiten usar, en la imagen podemos

apreciar cómo se registra la url de la página web, luego de esto comienza

a mostrar todos los protocolos que se encuentran abiertos y por ende se

pude hacer un estudio de ataque de vulnerabilidades.

IMAGEN Nº 1

ANÁLISIS CON NMAP I

Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John

Una vez terminado el análisis del scanner muestra los puertos

abiertos los cuales muchas veces son los que necesitas las aplicaciones

web para poder funcionar como son http, https, etc.

IMAGEN Nº 2

ANÁLISIS CON NMAP II


Marco Teórico 26

1.24 OWASP Zed Attack proxy (ZAP)

Según la página oficial de OWASP definió OWASP Zed Attack

proxy (ZAP) de la siguiente manera:

El OWASP Zed Attack Proxy (ZAP) es una de las

herramientas de seguridad gratuitas más populares del

mundo y es mantenido activamente por cientos de

voluntarios internacionales * . Puede ayudarle a encontrar

automáticamente vulnerabilidades de seguridad en sus

aplicaciones web mientras desarrolla y prueba sus

aplicaciones. También es una gran herramienta para

testers experimentados para usar para pruebas de

seguridad manuales. (Proxy, 2017)

Está delineado para ser manejado por individuos con una extensa

gama de experiencia en seguridad por ende es idóneo para los

desarrolladores y tester que recién se sumergen en el mundo de las

pruebas funcionales. ZAP suministra escáneres mecanizados, así como

un grupo de instrumentos que ayudan a encontrar debilidades de

seguridad manualmente.

Algunas de estas particularidades de ZAP se detallan a

continuación:

Escáner computarizado

Escáner pasivo

Escáner de fuerza brusca

Fuzzer

Escáner de puertos

Certificados SSL dinámicos

Proxy de apropiación

https://translate.googleusercontent.com/translate_c?depth=1&hl=es&prev=search&rurl=translate.google.com.ec&sl=en&sp=nmt4&u=https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project&usg=ALkJrhguW60hoAyeermMyZK8u4XU4Ale2w#Justification

Marco Teórico 27

Fácil de instalar (sólo requiere java 1.6)

Habilidad de uso una prioridad

Páginas de ayuda completas

Completamente internacionalizado

Bajo perfeccionamiento activo

Fuente abierta

Open Source

Plataforma cruzada (Proxy, 2017)

1.25 KALI LINUX

La investigación realizada por el autor (Benito, 2014) define lo

siguiente:

Kali es una distribución Linux diseñada para la seguridad

informática. Como la mayoría de distribuciones Linux es

de código abierto y gratuito así como la mayoría de sus

herramientas. Este sistema operativo contiene una gran

colección de herramientas dedicadas a la auditoría

informática entre las que se encuentran las populares

Nmap, metasploit, w3af o John the ripper. Las

aplicaciones se encuentran divididas por secciones,

dependiendo de que ramo de seguridad abarquen. (Pág.

4)

El sistema Kali Linux conserva las siguientes particularidades:

Robusto: Conserva varias herramientas para pentesting, las cuales

fueron optimizadas.

Gratuito: Los autores aseguran que esto es un ensayo no alterable en

el tiempo, asimismo posee instrumentos de código abierto y con

intercesoras que a pesar de no ser open source por medio de

Marco Teórico 28

determinadas autorizaciones y en acuerdo con sus proveedores

consiguen acaparar su comercialización.

Open Source: Conserva un repositorio en donde hallamos todo el

código fuente Kali disponible para efectuar mejoras o reconstrucción.

FHS: Permite la distribución de los registros de creación e implantación

de los mismos.

Soporta un amplio conjunto de dispositivos inalámbricos y consiente

circular apropiadamente sobre una gran variedad de hardware; tolera la

concurrencia con terminales USB y dispositivos portátiles.

Instaurado bajo un ambiente seguro: La composición con las

plataformas para el desarrollo de cambios en los paquetes lo efectúan

el conjunto de Kali Linux ejecutando diversas normas de seguridad.

Soporta múltiples idiomas, a pesar que la mayoría de sus elementos

fueron encriptadas en inglés.

Personalizable: Es factible descargar una adaptación completamente

caracterizada de Kali en que solo abarque envíos de servicio al

usuario.

Kali Linux es una nueva reestructuración de backTrack,

basándose en Debían, ordenando las herramientas principales,

aumentando su calidad y eficiencia usando estándares de desarrollo

seguro. Kali Linux es una herramienta muy utilizada por hackers, que

buscan los límites y vulnerabilidades en la seguridad de las redes y

sistemas pero no necesariamente está orientado para realizar actos

delictivos.

A diferencia de Metasploit que es pagado, Kali es una suite que

permite ser ejecutada de forma live y bootebale desde un USB con fines

educativo.

Esta Suite contiene diversas herramientas por la cual son de uso

libre sin costo alguno, estas fueron las razones de peso por la cual se la

eligió, para realizar el procedimiento de aseguramiento.

CAPÌTULO II

METODOLOGÍA

2 Modalidad de la Investigación

En el proyecto del aseguramiento y hardening de la infraestructura

del sitio web, la modalidad de la investigación, es la investigación

aplicada, que se la puede conocer como práctica o experimental, este tipo

de investigación busca el uso de los conocimientos obtenidos a través de

prácticas anteriores o tomando informes de líneas bases de los

proveedores de los productos de seguridad.

Por lo antes indicado a la investigación aplicada le afecta que los

resultados adquiridos posean utilidad práctica contigua sobre la sociedad.

Este es el caso, por ejemplo, de investigaciones de necesidades de

información o comportamiento de usuarios de una institución particular,

cuyo argumento es implementar las representaciones nacidas de la

investigación; es decir, investigación tiene una intención muy inteligente

busca conocer, manifestar, anunciar o proceder sobre un evento o

problema existente.

2.1 Tipos de investigación

En el proyecto antes mencionado, el tipo de investigación que se

utiliza es la exploratoria este tipo de investigación se efectúa cuando el

objetivo a investigar un tema poco común, o que nunca se ha tratado

antes.

Metodología 30

Según el estudio de (Cazau, 2006) manifestó lo siguiente:

Una investigación exploratoria es, como su nombre lo

indica, examinar o explorar un tema o problema de

investigación poco estudiado o que no ha sido abordado

nunca antes. Por lo tanto, sirve para familiarizarse con

fenómenos relativamente desconocidos, poco estudiados

o novedosos, permitiendo identificar conceptos o

variables promisorias, e incluso identificar relaciones

potenciales entre ellas. La investigación exploratoria,

también llamada formulativa (Selltiz), permite conocer y

ampliar el conocimiento sobre un fenómeno para precisar

mejor el problema a investigar. Puede o no partir de

hipótesis previas, pero al científico aquí le exigimos

flexibilidad, es decir, no ser tendencioso en la selección

de la información. En la investigación exploratoria se

estudian qué variables o factores podrían estar

relacionados con el fenómeno en cuestión, y termina

cuando uno ya tiene una idea de las variables que juzga

relevantes, es decir, cuando ya conoce bien el tema. Por

ejemplo, cuando apareció por primera vez el Sida hubo

que hacer una investigación exploratoria, porque había

un desconocimiento de este tema. (Pág. 26)

2.2 Método de la Investigación

El método de investigación que se va a emplear en la presente

tesis, será el método deductivo que parte de lo general a lo particular

procediendo analizar las vulnerabilidades de la infraestructura del Sitio

Web y determinando específicamente las novedades encontradas para

así poder corregirlas y a su vez endurecer las seguridades de dicha

infraestructura.

Metodología 31

Según (Bisquerra.R, 1989) índico que el método deductivo:

Es parte de una premisa general para sacar conclusiones

de un caso particular. En definitiva sigue el modelo

aristotélico deductivo esquematizado en el silogismo. El

científico que utiliza este método pone el énfasis en la

teoría, en la explicación, en los modelos teóricos, en la

abstracción; no en recoger datos empíricos, o en la

observación y experimentación. Son muchos los autores

que distinguen entre método deductivo, inductivo e

hipotético-deductivo; entre otros. (Pág. 61)

2.3 Población y Muestra

2.3.1 Población

Se determina que la población corresponde a un todo de individuos

u objetos a estudiar referente a un problema específico o contexto que se

quiera dar solución, respecto al actual trabajo de tesis.

El universo determinado es el departamento Informática de la

Corporación Registro Civil de Guayaquil que consta de personal de

técnico y desarrolladores los cuales cumplen aplicando e innovando

nuevas tecnologías.

2.3.2 Muestra

La muestra es un perfil del universo seleccionado, es utilizado

cuando la población tiende a ser muy amplia, en el actual proyecto se

tomara como muestra el sitio web de la Corporación Registro Civil de

Guayaquil. En donde se procederá a entrevistar al personal de

Infraestructura y desarrolladores integrado por las siguientes personas:

Metodología 32

CUADRO Nº 2

MUESTRA DPTO. DE IT DE LA CORPORACIÓN REGISTRO CIVIL DE

GUAYAQUIL

Muestra Tamaño de la

Muestra

Coordinador de

Informática

1

Jefe de redes y

seguridades

1

Técnico operador de

computo

1

Asistente de Monitoreo 1

Desarrolladores 3

Total 7


2.4 Técnicas e instrumentos de Recopilación de datos

Para el actual proyecto se procedió a utilizar los siguientes

instrumentos:

Cuestionarios

Provisiones de oficina

Bitácoras

2.4.1 Técnica de investigación

Según (Morone, 2012) defino a la técnica como:

Procedimientos e instrumentos que utilizamos para

acceder al conocimiento. Encuestas, entrevistas,

observaciones y todo lo que se deriva de ellas. Las

técnicas de investigación se demuestran por su beneficio,

Metodología 33

que se transcribe en la optimización de los esfuerzos, la

sobresaliente dirección de los recursos y la difusión de

las deducciones. (pág. 2)

La técnica a implementar en el presente trabajo de tesis es la de

campo, debido a que por medio de las encuestas podremos obtener

información de suma importancia del personal de infraestructura

perteneciente a la Corporación de Guayaquil.

Para obtener la recolección de información e investigación de la

misma, se procederá el uso de las siguientes técnicas:

2.4.2 Observación Directa

Es una herramienta de suma relevancia, ya que el investigador

determina los puntos más importantes del tema de estudio. A sí mismo,

cumple los objetivos preliminarmente definidos en la investigación a

realizarse.

2.4.3 Entrevista

Calificada como una técnica fundamentada en cuestiones y

respuestas Entre el entrevistador y los entrevistados. La misma es la que

se empleara en el actual trabajo de investigación.

2.4.3.1 Ejecución de la entrevista

Referente a la entrevista se empleara un estudio de preguntas y

respuestas con el fin de detectar los huecos de seguridad del sitio web de

la Empresa Corporación Registro Civil de Guayaquil. La ejecución de

dicha entrevista está destinada al personal de infraestructura compuesta

por el jefe de área y técnicos.

Metodología 34

2.4.3.2 Entrevistas al Jefe de Redes y Seguridades de la


La entrevista estuvo dirigida al jefe de redes y seguridades de la

Corporación Registro Civil de Guayaquil, en donde su objetivo es detectar

los huecos de seguridad del sitio web de la entidad.

CUADRO Nº 3

ENTREVISTAS AL JEFE DE REDES Y SEGURIDADES DE LA

CORPORACIÓN REGISTRO CIVIL DE GUAYAQUIL

UNIVERSIDAD DE GUAYAQUIL FACULTAD DE INGENIERÍA INDUSTRIAL

Formato de entrevista

Empresa: Corporación Registro Civil de Guayaquil

Nombre: Ing. Kleber Falconi

Cargo profesional en la empresa: Jefe de Redes y Seguridades

Fecha: 22/08/2017

Preguntas: 1) ¿Cuenta la entidad con servicios que manejen los usuarios en el

propio segmento de red? Respuesta: Actualmente la entidad no cuenta con dicho servicios 2) ¿Los usuarios externos pueden conectarse directamente a las

aplicaciones internas de la página web con el fin de acceder a información, reestablecer registros o manipular otra información? Respuesta: los usuarios cuentan con permisos para manejar información.

3) ¿Se manipulan equivalentes elementos de IT de aplicación, como motores de bases de datos en soporte a terceras aplicaciones externas o nuevos servicios internos? Respuesta: No se utilizan mismos elementos IT de aplicación.

4) ¿La entidad consiente procesar datos privados o de propiedad externo de sus instalaciones?

Respuesta: No permite procesar información confidencial fuera de las instalaciones.

5) ¿Quiénes son los usuarios finales del sitio web principal de su ambiente?

Respuesta: los usuarios finales son los ciudadanos de la ciudad de Guayaquil.


Metodología 35

2.4.3.3 Entrevistas al Técnico operador de Computó de la


La entrevista estuvo destinada a los operadores de cómputo de la

Corporación de Guayaquil, cuya objetivo es conocer el nivel de seguridad

que maneja la entidad.

CUADRO Nº 4

ENTREVISTAS AL TÉCNICO OPERADOR DE COMPUTÓ DE LA

CORPORACIÓN DE GUAYAQUIL




Nombre: Ing. Wilmer Sánchez

Cargo profesional en la empresa: Técnicos operador de Cómputo.

Fecha: 22/08/2017

Preguntas: 1) Asumiendo que los controles de seguridad estuvieran lentos,

¿altera de manera crítica la capacidad de respuesta de la entidad?

Respuesta: Se reduce la capacidad de respuesta de manera significativa.

2) ¿La entidad resguarda mucha información de alta relevancia? Respuesta: efectivamente se almacena mucha información confidencial.

3) ¿Se recopilan o procesan los datos del cliente en un ambiente compartido de recursos de red?

Respuesta: si se almacenan y manipulan los datos en ambientes compartidos.

4) ¿Cómo ingresan los usuarios a los aplicativos primordiales? Respuesta: ingresan mediante la página oficial de la Corporación de

Guayaquil. 5) ¿Permite la entidad que los programadores de sistemas se

conecten remotamente a desarrollos en producción? Respuesta: Los programadores pueden conectarse de forma

remota para atender desarrollos en producción. Fuente: Investigación de campo Elaborado por: Joza Calderón Danny John

Metodología 36

2.4.3.4 Entrevistas a la Asistente de Monitoreo de la Corporación

Registro Civil de Guayaquil

El objetivo de entrevistar a la Asistente de Monitoreo de la

Corporación Registro Civil de Guayaquil, es determinar con que

ocurrencia se encuentran con componentes maliciosos y que eventos

pueden representar una amenaza a la seguridad de la información.

CUADRO Nº 5

ENTREVISTAS A LA ASISTENTE DE MONITOREO DE LA

CORPORACIÓN REGISTRO CIVIL DE GUAYAQUIL




Nombre: Ing. Alexandra Durán

Cargo profesional en la empresa: Asistente de Monitoreo

Fecha: 22/08/2017

Preguntas: 1) ¿Con que continuidad al verificar un monitoreo de red se halla con amenazas externas de la red? Respuesta: continuamente se hallan amenazas externas como virus o Malware. 2) ¿Con que ocurrencia los servicios de los servidores se caen? Respuesta: la ocurrencia de este suceso es alta. 3) ¿Comparte la entidad los elementos IT y aplicaciones entre algunos usuarios? Respuesta: si se comparten elementos IT entre varios usuarios. 4) Una interrupción de luz o fallo del sistema en equipos que perturbe las aplicaciones o IT de los usuarios, ¿afectaría arduamente? Respuesta: Efectivamente un apagón o fallo de las aplicaciones puede poner en peligro la integridad de la información. 5) En el último semestre, ¿se han realizado renovaciones de algún componente importante de IT? Respuesta: En el último semestre no se ha efectuado ningún cambio de componentes


Metodología 37

2.4.4 Encuesta

Se procederá a realizar encuestas las cuales serán efectuadas a la

muestra de estudio que en el caso actual es al personal de la Corporación

Regsitro Civil de Guayaquil, consentirán comprobar la apreciación de los

empleados hacia la implementación de Hardening en la infraestructura

del sitio web de la Corporación Registro Civil de Guayaquil.

2.4.5 Análisis y técnicas de procesamiento de Datos

Luego de efectuar las respectivas encuestas a la muestra

compendiada, se procederá a ejecutar la tabulación y análisis de los

resultados.

Pregunta # 1

¿Piensa usted que la información en el sitio web de la Corporación

Registro Civil de Guayaquil es sensible a los hackers o individuos

mal intencionados que podrían afectarlas?

CUADRO Nº 6

PREGUNTA 1: ENCUESTA AL PERSONAL DE INFRAESTRUCTURA

DE LA CORPORACIÓN REGISTRO CIVIL DE GUAYAQUIL

OPCIONES FRECUENCIA PORCENTAJE

SI 7 100%

NO 0 0%

TOTAL 7 100%


Metodología 38

GRÁFICO Nº 1

FRAGILIDAD CON LOS HACKERS O INDIVIDUOS MAL

INTENCIONADOS


Interpretación de los datos

Todo el personal de infraestructura del sitio web de la Corporación

Registro Civil de Guayaquil que corresponde al 100% de la muestra

considera que la información puede ser violada por cualquier hackers o

individuo mal intencionado.

Pregunta # 2

¿Considera usted que la información que se manipula dentro de la

Corporación Registro Civil de Guayaquil es segura?

CUADRO Nº 7




SI 4 55%

NO 3 45%

TOTAL 7 100%


Metodología 39

GRÁFICO Nº 2

LA INFORMACIÓN DENTRO DE LA CORPORACIÓN ES SEGURA



Según los resultados presentados vemos que el 50% de la muestra

encuestada considera que la información dentro del sitio web de la

Corporación no es segura, mientras que el otro 50% restante piensa que

si lo es.

Pregunta # 3

¿Se ha presentado hurto de información en el sitio web de la

Corporación Registro Civil de Guayaquil?

CUADRO Nº 8




SI 2 35%

NO 5 65%

TOTAL 4 100%


Metodología 40

GRÁFICO Nº 3

HURTO DE LA INFORMACIÓN



Los resultados indican que al menos en un 33% se ha presentado

hurto de la información dentro del sitio web de la Corporación Registro

Civil de Guayaquil, esto recalca la relevancia en el fortalecimiento del sitio

web de la entidad, ya que la misma maneja información confidencial de

los ciudadanos.

Pregunta # 4

¿Piensa usted que la implementación de Hardening en el sitio web

de la Corporación Registro Civil de Guayaquil mediante el uso de

OWASP será una solución viable para el resguardo y aseguramiento

de la información dentro de la entidad?

CUADRO Nº 9




DE A CUERDO 5 73%

PARCIALMENTE DE ACUERDO 2 27%

EN DESACUERDO 0 0%

TOTAL 7 100%


Metodología 41

GRÁFICO Nº 4

IMPLEMENTACIÓN DE HARDENING MEDIANTE OWASP



Los resultados nos muestran que el 75% de la muestra encuestada

está de acuerdo con la implementación de Hardening en el sitio web de la

Corporación Registro Civil de Guayaquil haciendo uso de las

recomendaciones y herramientas de OWASP, mientras que el otro 25%

está parcialmente de acuerdo con la implementación de la misma.

Pregunta # 5

¿OWASP es una comunidad abierta dedicada a habilitar a las

organizaciones para desarrollar, comprar y mantener aplicaciones

confiables, Conoce usted de esta entidad?

CUADRO Nº 10


DE LA CORPORACIÓN REGISTRO CIVILDE GUAYAQUIL


SI 2 27%

NO 5 73%

TOTAL 7 100%


Metodología 42

GRÁFICO Nº 5

CONOCIMIENTO DE OWASP



Como se observa en el gráfico solo un 25% de la muestra de

estudio conoce de la Organización OWASP para el endurecimiento y

fortalecimiento de aplicaciones web, y el 75% desconoce de la misma.

Pregunta # 6

¿Considera usted que la utilización del Top 10 de OWASAP sería de

gran ayuda para fortalecer la información dentro de la Corporación

Registro Civil de Guayaquil y optimizar sus recursos?

CUADRO Nº 11




SI 7 100%

NO 0 0%

TOTAL 7 100%


Metodología 43

GRÁFICO Nº 6

UTILIZACIÓN DEL TOP 10 DE OWASAP



El 100% de los encuestados consideran que el Top 10 de

OWASAP es de gran ayuda para el fortalecimiento del sitio web de la

Corporación Registro Civil de Guayaquil y resguardo de la información,

ayudando así a la optimización de sus recursos.

2.5 Diagrama de Casos de Uso

Se utiliza está herramienta con el propósito de evidenciar todo el

estudio ejecutado con los actores implicados en un diagrama detallado

con el comportamiento estratégico y funcional de los diversos procesos

implantados.

DIAGRAMA Nº 7

DIAGRAMA DE CASOS DE USO Nº 1


Metodología 44

DIAGRAMA Nº 8



DIAGRAMA Nº 3



Metodología 45

2.6 Escenario Actual de las aplicaciones web de la Empresa


Con el paso del tiempo los sistemas de diversas organizaciones

han progresado e integrado a su actividad sistemas informáticos esto se

debe a la mejora de las Tecnologías de la Información y la Comunicación

(TIC).

Por ende avalar la seguridad del sistema web encargado de brindar

servicios de Cedulación, inscripción y certificados de:

Nacimiento, difusión y matrimonios a los ciudadanos de la ciudad de

Guayaquil es de suma relevancia, pues de ello se acata la integridad,

privacidad y disponibilidad de la información recopilada en las

diferentes terminales de trabajo.

Una de las actividades que ofrece el aplicativo de la Corporación

Registro Civil de Guayaquil, es que mediante el ingreso al sitio web

pueden acceder los usuarios para consultar su información pero a su vez

existe un riesgo de amenaza de la información por virus y malware y

ciberataque.

Es por ello la necesidad de endurecer la infraestructura web del

mismo, con el fin de garantizar la seguridad de la información y que esta

no sea usada para objetivos ilícitos.

2.6.1 Tipos de Vulnerabilidades Generales

Metodología 46

El análisis efectuado por la herramienta Baseline Security Analyzer

encargada de comprobar el estado de seguridad según los protocolos de

seguridad de Microsoft arroja lo siguiente:

IMAGEN Nº 3

REPORTE DE VULNERABILIDADES GENERADO POR MBSA I


Metodología 47

IMAGEN Nº 4

REPORTE DE VULNERABILIDADES GENERADO POR MBSA II


IMAGEN Nº 5

REPORTE DE VULNERABILIDADES GENERADO POR MBSA III

Metodología 48


CUADRO Nº 12

VULNERABILIDADES GENERADO POR MBA

Security Update Scan

Results

Silverlight Security Update

Se necesita actualizar el complemento.

Windows Update Security Se necesita parchar.

Windows Scan results

Automatic Update Se necesita administrar mejor las

actualizaciones.

Incomplete Update Se necesita reiniciar para que se apliquen los parches o updates.

Administrators Solo debe haber un usuario

administrador.

Paswword Epiration No hay cambio de password

asignada y por ende siempre van a tener el mismo password.

Windows Firewall El firewall de Windows no tiene excepciones esta por default.

Additional System

Information

Auditing No está habilitado el registro de ciertos eventos en el event view.

Services Los servicios están habilitados

por default.

Shares No debe haber carpetas

compartidas en servidores web.

Windows Versión Se muestra la versión del S.O.

Desktop Application

Scan Results

IE Enhanced Security Configuration for Administrators

No tiene login de dar permiso a los administradores.

IE Enhanced Security Configuration for Non-

Administrators

No tiene login de dar permiso a los usuarios normales.


2.7 Revisión de vulnerabilidades mediante OWASP Zed Attack

proxy (ZAP)

Esta plataforma está perfilada principalmente para monitorizar la

seguridad de sitios web en entidades siendo una de las herramientas del

proyecto más utilizadas referente a auditorías de seguridad.

Metodología 49

IMAGEN Nº 6

HERRAMIENTA OWASP ZED ATTACK PROXY (ZAP)


CUADRO Nº 13

RESUMEN DE VULNERABILIDADES POR OWASP ZED ATTACK

PROXY (ZAP)

Vulnerabilidades detectadas por herramienta OWASP Zed Attack proxy (ZAP)

Remote OS Command Inyection

Inyección de comandos.

Secure Pages Include Mixed Content (Including Scripts)

Páginas con contenido mixto.

X-Frame-Options Header Not Set Protección contra amenazas de ataque clickjacking.

Content-Type Header Missing Disminución de riesgos de seguridad tipo MIME.

Cookie No HttpOnly Flag Aplacamiento del ataque XSS más común empleando HttpOnly.

Cookie Without Secure Flag Validación de atributos de Cookies dentro del sitio web.

Cross-Domain JavaScript Source File Inclusion

Controles de acceso de seguridad.

Incomplete or No Cache-control and Pragma HTTP Header Set

Autenticación web, gestión de sesiones y control de acceso.

Metodología 50

Web Browser XSS Protection Not Enabled

Reglas de prevención XXS.

X-Content-Type-Options Header Missing

Disminución de riesgos de seguridad tipo MIME.


IMAGEN Nº 7

REVISIÒN DE VULNERABILIDADES DE RED SCANEO DE PUERTOS


IMAGEN Nº 8

FICHERO ROBOTS.TXT GENERADO MEDIANTE WGET


El fichero robots.txt se obtiene del directorio raíz del servidor web.

Por ejemplo, para descargar el fichero robots.txt de

www.corporacionregistrocivil.gob.ec mediante web.

Metodología 51

IMAGEN Nº 9

RECONOCIMIENTO MEDIANTE MOTORES DE BUSQUEDA (OWASP-

IG-002)


2.8 Pruebas de gestión de configuración de la infraestructura

(OWASP-CM-003)

La seguridad de infraestructura del sitio web está definida por un

equipo perimetral con tecnología IPS la cual previene de ataques y

genera reportes de diferentes eventos de seguridad y a su vez está el

firewall externo que cuenta con la tecnología UTM la cual tiene asignada

los diferentes controles para la asignación de una DMZ donde está

publicado el servidor del sitio web.

2.9 Pruebas de SSL/TLS (OWASP-CM-001)

Metodología 52

IMAGEN Nº 10

PRUEBAS DE SSL/TLS (OWASP-CM

001)


El servidor del sitio web cuenta con certificado SSL versión 3

SHA256, emitido por la empresa thawte, Inc.

Los certificados SSL garantizan la privacidad de la información

proporcionada por el usuario mediante la encriptación, protegiendo de

esta manera el proceso de transmisión de datos entre el usuario y el

server. Siempre mejoran el esquema de seguridad que visualizan los

usuarios respecto a nuestro sitio web.

CAPÍTULO III

PROPUESTA

3.1. Título de la Propuesta

Aseguramiento Y Endurecimiento (Hardening) de la Infraestructura

del Sitio Web de la Corporación Registro Civil De Guayaquil

3.2. Objetivo

El objetivo del presente trabajo de tesis es implementar Hardening

a la infraestructura del sitio web de la Corporación Registro Civil de

Guayaquil analizando sus contenedores, procedimientos de instalación y

vulnerabilidades, mediante diversas herramientas de endurecimiento

entre las cuales se procederá a la utilización de las Recomendadas por la

Organización OWASP.

3.3 Propuesta opciones y recomendaciones de Hardening

3.3.1 Datos

Dentro del análisis de vulnerabilidades se pudo detectar que se

genera Remote OS Command Inyection o inyección de código el mismo

consiste en tratar de introducir código que es descifrado/desarrollado por

el aplicativo. Esta clase de ataque descarga la manipulación pobre de

datos no confiables. Para evitar este tipo de ataques se requiere autorizar

adecuadamente las entradas y salidas de la información de la siguiente

manera:

Propuesta 53

Caracteres aprobados (expresiones frecuentes, clases o

individualizadas)

Dimensión de los datos

Conjunto de identificaciones esperada.

3.3.2 Página

Otra vulnerabilidad encontrada en el sitio web es Secure Pages

Include Mixed Content o páginas de contenido mixto en este caso la

página web de la Corporación de Guayaquil combina el protocolo HTTPS

con contenido HTTP sin cifrar, en este caso la conexión solo estará

encriptada de manera parcial: la información sin cifrar está dispuesta a

recibir ataques de escaneando de información, por lo que resulta como

una conexión insegura. Por lo que se propone desactivar peticiones con

protocolos HTTP y remplazarlas por contenido servido por medio de

HTTPS.

3.3.3 Aplicación

Se requiere implementar medidas de protección contra amenazas

de ataque click hacking según el análisis de vulnerabilidades la aplicación

es sensible a la misma.

Esta clase de ataques engaña al usuario haciéndole creer que está

efectuando operaciones sobre un aplicativo web pero en realidad está

operando sobre un marco sobrepuesto diseñado por un atacante.

Por lo tanto, para impedir que las páginas de la aplicación web de

la Corporación de Guayaquil logren ser infiltradas y soportar ataques de

click hacking se propone implementar medidas entre las cuales está

puntualizar el campo X-Frame-Options en los encabezados de respuesta

HTTP.

Propuesta 54

En la siguiente imagen observamos cómo se visualiza el campo X-

Frame-Options en una respuesta HTTP:

IMAGEN Nº 11

CÓMO SE VISUALIZA EL CAMPO X-FRAME-OPTIONS EN UNA

RESPUESTA HTTP


3.3.4 Disminución de riesgos de seguridad tipo MIME

Con el fin de reducir este tipo de riesgos se propone que el servidor

envié como encabezado de respuesta "X-Content-Type-Options: nosniff".

La misma se basa en una particularidad de seguridad que frena los

ataques fundamentados en el desorden de los prototipos MIME.

Este cambio altera el procedimiento del navegador cuando el

servidor remite el encabezado "X-Content-Type-Options: nosniff" en sus

contestaciones.

http://go.microsoft.com/fwlink/p/?LinkId=215108

Propuesta 55

Si la directiva "nosniff" se toma en una contestación recogida por

un informe styleSheet, Windows Internet Explorer no cargará el archivo

"stylesheet. Sin embargo si adopta una contestación recobrada por un

informe script, Internet Explorer no cargará el archivo "script" excepto que

el tipo MIME concuerde con al menos uno de los siguientes valores:

IMAGEN Nº 12

DISMINUCIÓN DE RIESGOS DE SEGURIDAD TIPO MIME


3.3.5 Aplacamiento del ataque XSS más común empleando HttpOnly

Mayormente los ataques de tipo XSS proceden al hurto de cookies

por sesión. El servidor puede protegerlo amenorando este problema

instaurando en el indicador HttpOnly una cookie que establece,

mostrando que la cookie no tiene que ser asequible en el cliente.

Si un explorador que acepta HttpOnly muestra una cookie que

abarca el indicador HttpOnly y el código de cliente pretende leer la cookie

el explorador reintegra una sucesión vacía como respuesta. Lo que logra

que el ataque no tenga éxito y frena que el código malicioso remita los

datos a la página web de un atacante.

http://go.microsoft.com/fwlink/p/?LinkID=239584

http://go.microsoft.com/fwlink/p/?LinkID=190912

Propuesta 56

Se logra implementar HttpOnly con las siguientes herramientas:

Java Enterprise Edition 6 (JEE 6)

.NET 2.0

Python (CherryPy)

PHP

Navegadores que permiten HttpOnly:

CUADRO Nº 14

NAVEGADORES QUE PERMITEN HTTPONLY

Fuente: http://www.owasp.org/index.php/HttpOnly Elaborado por: Joza Calderón Danny John

3.3.5.1 Prueba de exploradores Web para soporte HttpOnly

La siguiente prueba fue llevada a cabo en los exploradores web

Internet Explorer 7 y Opera 9.22.

Deshabilitar HttpOnly

1. Se escoge la opción para desactivar HttpOnly

http://www.owasp.org/index.php/HttpOnly

Propuesta 57

IMAGEN Nº 13

DESACTIVACIÓN DE HTTPONLY


1. Luego de deshabilitar HttpOnly, se escoge el botón “Leer Cookies” se

muestra un cuadro de dialogo como mensaje de alerta que comunicará

que el HttpOnly no se encontraba activado, la cookie 'unique2u' se

analizó correctamente como se presenta en la siguiente imagen:

IMAGEN Nº 14

COOKIE CON ÉXITO LEIDO CON HTTPONLY APAGADO


2. Como el HttpOnly se encuentra deshabilitado, se escoge el botón

“Escribir Cookie” en donde se presentará un cuadro de diálogo

informando que al no estar activado HttpOnly, la cookie 'unique2u' se

cambió exitosamente en el lado del cliente.

IMAGEN Nº 15

COOKIE ESCRITO CON ÉXITO CON HTTPONLY OFF





Propuesta 58

Como se pude observar, navegar sin HttpOnly se ha convertido en

una amenaza potencial. Por lo que se procederá seguidamente, a activar

HttpOnly para exponer como dicho indicador resguarda la cookie.

Habilitar HttpOnly

3. Se procede a escoger el botón de opción activar HttpOnly como se

presenta en la siguiente imagen:

IMAGEN Nº 16

ACTIVACIÓN DE HTTPONLY


4. Luego de activar HttpOnly, se escoge el botón “Leer Cookie”. si el

explorador cumple cabalmente con el indicador HttpOnly, se presentará

sólo el ID de sesión como se ilustra en la siguiente imagen:

IMAGEN Nº 17

PROTECCIÓN DE LECTURA DE COOKIE FORZADA




Propuesta 59

Si el navegador no ejecuta correctamente el indicador HttpOnly, se

presentará un cuadro de diálogo de alerta que indica la cookie 'unique2u'

y el ID de sesión que se manifiesta a seguidamente:

IMAGEN Nº 18

PROTECIÓN DE LECTURA DE COOKIES NO REFORZADA


5. Escoger el Botón “Escribir Cookie”. Si el explorador cumple

correctamente con el indicador HttpOnly, la alteración del lado del

cliente no se efectuará por escrito en la cookie 'unique2u' y se mostrará

un mensaje de alerta que abarca el ID de la sesión.

IMAGEN Nº 19

PROTECCIÓN CONTRA ESCRITURA DE COOKIE FORZADA


En caso de que el navegador no aplique la propiedad de protección

contra escritura HttpOnly para cookie 'unique2u', la misma se actualizará

correctamente en el lado del cliente.



Propuesta 60

IMAGEN Nº 20

PROTECCIÓN CONTRA ESCRITURA DE COOKIES NO REFORZADA


3.3.6 Prueba de atributos de Cookies (OTG-SESS-002)

Para la validación de atributos de Cookies dentro del sitio web de la

Corporación Registro Civil de Guayaquil se propone realizar Prueba de

las debilidades de las propiedades de cookie por medio de la utilización

de un proxi de contención o de un complemento de explorador de

interposición de tráfico, obstruir todas las respuestas en las que el

aplicativo escoge una cookie y examinar la cookie para lo siguiente:

Propiedad segura: cuando una cookie abarca información personal se

requiere el uso de un túnel de encriptación.

Propiedad HttpOnly: esta propiedad debe implantarse aunque todos los

exploradores lo acepten. esta propiedad ayuda a evitar que la cookie

ingrese por medio de una secuencia de instrucciones del lado del

cliente, se encarga de eliminar ciertos segmentos de explotación.

Propiedad de dominio: evidenciar que el dominio no se ha determinado

exageradamente.

Propiedad de ruta: compruebe que la propiedad path igualmente que la

propiedad Dominio, no se haya determinado demasiado libre.

Caduca la propiedad: Si esta propiedad se implanta en el futuro

verificar que la cookie no abarque ninguna información personal.


Propuesta 61

3.3.6.1 Controles de acceso de seguridad

Con el fin de salvaguardar la información del sitio web de la

Corporación de Guayaquil se propone aplicar controles de acceso de

seguridad cada vez que se procede a la creación de sesiones e inicio de

sesión.

Atributos de ID de sesión: Para la implantación de identificadores de

sesión seguros, la concepción de identificadores debe de verificar las

siguientes propiedades:

1. ID de la sesión Nombre Fingerprinting: El seudónimo manejado

por el identificador de sesión no tiene que ser considerablemente

representativo ni brindar detalles redundantes en cuanto a la

intención y el significado de la identificación.

2. Longitud de ID de sesión: El identificador de la sesión tiene que

ser bastantemente extenso con el objetivo de impedir ataques de

fuerza bruta, en la cual el agresor logra transitar toda la progresión

de valores de ID y comprobar la efectividad de sesiones seguras.

3. Entropía de ID de sesión: El ID de la sesión debe ser aleatorio

con el objetivo de impedir ataques de adivinación, en el cual el

atacante es capaz de descifrar el ID de una sesión mediante

procedimientos de estudios estadísticos.

4. Contenido de ID de sesión: El ID de sesión deber ser

estrictamente un identificador de lado del cliente, y su contenido no

debe abarcar datos sensibles.

3.3.7 Reglas de prevención XXS

Para el fortalecimiento del sitio web de la Corporación Registro Civil

de Guayaquil se propone la implementación de reglas simples con el

objetivo de protegerse contra un ataque XXS.

Propuesta 62

3.3.7.1 Regla # 0 Nunca implante datos confidenciales

exceptuados en establecimientos accesibles

Una de las primeras reglas es la negación de todo no ingrese datos

no confiados en su documento HTML excepto que se encuentre dentro de

las ranuras puntualizadas en la Regla # 1 a la # 5.

IMAGEN Nº 21

REGLA # 0 NUNCA IMPLANTE DATOS CONFIDENCIALES

EXCEPTUADOS EN ESTABLECIMIENTOS ACCESIBLES


3.3.7.2 Regla # 1 Escape HTML antes de implantar datos no

confiados en el contenido del componente HTML

La regla # 1 es en el caso que se desea colocar datos no

confiables concisamente en el cuerpo del HTML. Lo que involucra los

protocolos div, p, b, etc. mayormente los frameworks web que poseen

mecanismos de escape HTML para representaciones definidos

seguidamente.

.

IMAGEN Nº 22

REGLA # 1 ESCAPE HTML ANTES DE IMPLANTAR DATOS NO

CONFIADOS EN EL CONTENIDO DEL COMPONENTE HTML


Propuesta 63

3.3.7.3 Regla # 2 Escape de propiedad antes de implantar datos no

confiable en HTML propiedades frecuentes

La regla # 2 permite colocar datos no confiables en valores de

propiedades característicos como amplitud, seudónimo, valor, etc. El

mismo no debe emplearse para propiedades complicadas.

IMAGEN Nº 23

REGLA # 2 ESCAPE DE PROPIEDAD ANTES DE IMPLANTAR DATOS

NO CONFIABLE EN HTML PROPIEDADES FRECUENTES


3.3.7.4 Regla # 3 Escape de JavaScript antes de implantar datos no

confiables en valores de datos

La regla # 3 hace referencia al código JavaScript creado

activamente: componentes de secuencia de instrucciones y propiedades

de examinador de eventos. El único sitio seguro para colocar datos no

confiados en dicho código es centralmente en un valor de datos.

IMAGEN Nº 24

REGLA # 3 ESCAPE DE JAVASCRIPT ANTES DE IMPLANTAR

DATOS NO CONFIABLES EN VALORES DE DATOS


Propuesta 64

3.3.7.5 Regla # 4 CSS Escape riguroso validar antes de implantar

datos no fidedignos en valores de atributos de estilo HTLML

La regla # 4 se debe emplear cuando se requiere implantar datos

no confiables en una página de estilo. CSS es una herramienta poderosa,

y puede ser manipulado para diversos ataques. Por lo cual, es de suma

relevancia utilizar datos no confiables en un valor de atributos y no en

otros sitios en las hojas de estilo.

IMAGEN Nº 25

REGLA # 4 CSS ESCAPE RIGUROSO VALIDAR ANTES DE

IMPLANTAR DATOS NO FIDEDIGNOS EN VALORES DE ATRIBUTOS

DE ESTILO HTLML


3.3.7.6 Regla # 5 Escape de URL antes de implantar datos no

fidedignos en valores de cuantificación de URL HTML

La regla # 5 se puede emplear para colocar datos no confiables en

el valor de cuantificación HTTP GET.

IMAGEN Nº 26

REGLA # 5 ESCAPE DE URL ANTES DE IMPLANTAR DATOS NO

FIDEDIGNOS EN VALORES DE CUANTIFICACIÓN DE URL HTML


Propuesta 65

3.3.7.7 Regla # 6 Gestionar el marcado HTML con un archivo

delineado para el trabajo

Si el aplicativo maneja el marcado suele ser muy complejo de

validar. La programación también es compleja, debido a que involucra

fragmentar todas las etiquetas que se encuentran en la entrada. Por lo

que se requiere una biblioteca que logre examinar y limpiar texto.

IMAGEN Nº 27

REGLA # 6 GESTIONAR EL MARCADO HTML CON UN ARCHIVO

DELINEADO PARA EL TRABAJO


Según El análisis de seguridad efectuado por la herramienta

Microsoft Baseline Security Analyzer se pudo detectar ciertas

vulnerabilidades del sistema por lo cual se propone las siguientes

acciones a aplicar:

3.3.8 Actualizar complemento de Silverlight Security Update

Se debe tener actualizado por medidas de seguridad el

complemento ya que además de proveer funciones de multimedia este es

vulnerable a ataques x, continua desfase de actualización del mismo.

Propuesta 66

3.3.9 Parchar Windows Update Security

Microsoft propone parchar constantemente sus productos ya sean

desde equipos con sistemas operativos de escritorios hasta servidores

debido a que continuamente existen amenazas que aprovechan estas

vulnerabilidades de sistemas Operativos para poder ingresar a los

sistemas.

Generalmente se debe aplicar parches de seguridad y de sistemas

operativos que son los más importantes, no hay que olvidar que también

se debe instalar las últimas versiones de los parches o actualizaciones es

contraproducente ya que saben provocar inestabilidad en los sistemas

operativos lo recomendable seria parchar cada 15 días o mensualmente.

3.3.10 Administrar mejor las actualizaciones de Automatic

Update

Con respecto a la forma de descargar las actualizaciones se debe

tomar en consideración una solución Administrable que aplique los

parches necesarios como System Center 2012 R2 o WSUS ya evitaremos

la tarea de hacerlo manualmente servidor por servidor y a su vez

evitaremos el excesivo consumo de ancho de banda.

3.3.11 Solo debe haber un usuario administrador.

En el servidor localmente debe contar con una sola cuenta

administrador con la complejidad necesaria como mayor a 8 dígitos y

debe contener caracteres especiales números y por los menos una letra

Mayúsculas.

Adicional el resto de cuenta debe ser manejada por Controlador de

Dominio como cuentas de servicios o en su defecto cuentas de soporte

para poder tener una mejor administración de las seguridades.

Propuesta 67

3.3.12 El firewall de Windows no tiene excepciones esta por

default

El Firewall de Windows generalmente en versiones anteriores de la

gama de servidores se desactivaba ya que no permitía explotación de sus

funciones como reglas de ingreso o salida, actualmente en as versión de

Windows server 2012 es más administrable por lo que se puede hacer un

filtrado de ciertos protocolos validando la necesidad de nuestro servidor

en este caso se podría activar y darle permiso a las conexiones remotas

de dominio y los protocolos 80 y 443 que son los que generalmente

maneja las peticiones de internet.

3.3.13 Habilitar el registro de ciertos eventos en el event view

En esta parte se manejaría por GPO de seguridad a nivel de

dominio donde se habilitaría el registro de los siguientes eventos:

Inicio de sesión de cuenta

Administración de cuentas

Seguimiento detallado

Acceso DS

Inicio de sesión o cierre de sesión

System (Sistema)

Acceso a objetos

3.3.14 Los servicios no deben estar habilitados por default

Los servidores Windows por lo general vienen con los servicios

activados por default, en este caso como es un servidor web se debería

deshabilitar los siguientes servicios comunes:

Telnet

Propuesta 68

FTP

SMTP

NNTP

Printer

Shared

3.3.15 No debe haber carpetas compartidas en servidores web

Los servidores Windows tienen la facilidad de compartir recursos

con el fin de poder verlos en otros servidores, pero cuando se trata de un

servidor web el cual va a estar presentado en internet este no debería

compartir ningún recurso ya que los atacantes lo pueden utilizar como

medio para causar un ataque masivo de los demás servidores.

3.3.16 No tiene login de dar permiso a los administradores y

usuarios normales

Por default viene habilitado ya que previene ataques de sitios web

mal intencionados, pero al estar habilitado al navegar en ciertos sitios web

no lo muestra correctamente por lo que la mayoría de los administradores

lo deshabilita, pero en este caso el servidor web solo va a prestar un

servicio y no va a navegar en internet por lo que debería quedar

habilitado.

3.4 Estudio de factibilidad

Una vez que se han estudiado las encuestas realizadas al personal

de infraestructura de la Corporación Registro Civil de Guayaquil en donde

se pudo concluir que dan un punto de vista favorable para la

implementación de Hardening en la infraestructura del sitio web, en donde

se logra constatar que el proyecto es factible en concordancia con todas

las medidas tomadas en cuenta para la resolución del actual ofrecimiento.

Propuesta 69

3.4.1 Factibilidad técnica

Para que el proyecto en proceso se desarrolle y funcione de

manera eficiente, es necesario cumplir con detalles técnicos tanto en

componente hardware como software, la Corporación Registro Civil de

Guayaquil cuenta con componentes de computación en sus instalaciones

las mismas se encuentran a disposición para ser manejados y para la

correcta implementación de Hardening en la infraestructura del sitio web

de la entidad. Seguidamente se describen las características técnicas de

los componentes de computación que se encuentran en el departamento

IT de la Corporación Registro Civil de Guayaquil las mismas utilizadas por

el personal IT.

CUADRO Nº 15

CARACTERISTICAS TÉCNICAS DE ORDENADOR DE USUARIO


Para la implementación de Hardening se detalla lo siguiente:

Propuesta 70

1. Los equipos que posee la Corporación Registro Civil de Guayaquil

cumplen con las características requeridas para la implementación y

funcionamiento óptimo del Hardening a aplicar en la infraestructura del

sitio web.

2. Se utiliza una máquina virtual con el sistema operativo KALI 2.0 el

mismo contiene la suite de testeo de la OWASAP.

3. Se utiliza herramientas Microsoft como MBA (Microsoft Base Analizer).

La técnica es elaborable de implementar en la infraestructura del

sitio web de la entidad, debido a que la misma cumple con los

requerimientos y los detalles técnicos.

3.4.2 Factibilidad económica

Los elementos técnicos y humanos requeridos para la

implementación del actual proyecto se describen a continuación:

Una laptop Hp Core i 7 con 12 GB de RAM

Como valoración de la factibilidad económica se genera lo

siguiente:

El costo de elementos hardware será nulo debido a que la Corporación

Registro Civil de Guayaquil consta con dichos recursos.

El costo de software y licencias no tendrá ningún costo ya que son

herramientas open source.

Las licencias para los sistemas operativos están abarcadas desde el

instante en que se obtuvieron los equipos.

Propuesta 71

Los costos referentes a Recursos humanos de describen seguidamente

en horas hombre para la implementación de Hardening en el sitio web

de la Corporación Registro Civil de Guayaquil.

CUADRO Nº 16

RECURSOS HUMANOS


Económicamente es factible ya que no se requiere gastos

agregados de hardware y software la implementación de Hardening

llevada a cabo será ejecutada por el investigador del actual proyecto para

la Corporación Registro Civil de Guayaquil.

3.4.3 Factibilidad operacional

El valor agregado más importante que se obtendrá con la

implementación de Hardening en el sitio web de la Corporación Registro

Civil de Guayaquil, es que la información confidencial manejada dentro

del sistema estará salvaguardada evitando ataques cibernéticos de toda

índole como virus informáticos, métodos de infección, etc.

Para su ejecución se llevó a cabo lo siguiente:

Determinar áreas de vulnerabilidad de la infraestructura de sitio web

con sus respectivas acciones y afectaciones.

Formalizar procedimientos y monitoreo de las vulnerabilidades más

comunes en la web.

Propuesta 72

Realizar pruebas sobre los sistemas operativos del hardware para

determinar sus vulnerabilidades, mediante herramientas de testeo

(Software).

Mantener los servicios del sitio web actualizados para mitigar futuros

ciberataques.

Planteado esto, se determina que es totalmente factible su

implementación desde la perspectiva operacional la implementación de

Hardening en la infraestructura del sitio web de la Corporación Registro

Civil de Guayaquil.

3.4.4 Impacto

Seguidamente se detalla el impacto que recibirá la Corporación de

Guayaquil:

a) Con la implementación de Hardening en la infraestructura del sitio web

de la Corporación Registro Civil de Guayaquil se reducirán de manera

significativa posibles ataques cibernéticos en el aplicativo. Evitando así

consecuencias de seguridad como robo de la información, infección por

virus informáticos, etc.

b) Se mejorará el proceso de monitoreo de detección de amenazas en el

sitio web, salvaguardando así de manera más óptima y eficiente la

información confidencial, por lo cual los clientes al acceder a la

aplicación correrán menos riesgos de ataques cibernéticos.

3.5 Conclusiones

El Hardening implementado lograra minimizar las vulnerabilidades

detectadas, la localización y atenuación de las fragilidades debe ser

específico para cada sistema operativo, como resultado del Hardening

aplicado se puede determinar que las vulnerabilidades pueden

Propuesta 73

minimizarse, si bien a diario se van creando nuevos tipos de amenaza

para sitios web y a pesar de poseer una distribución lógica preparada

para la mayor parte de envestidas informáticas los atacantes

constantemente hallan algún hueco de seguridad por donde acceden,

cabe reiterar que ningún sitio web es 100% seguro, lo que efectúa el

proceso de Hardening es minimizar el riesgo en caso que se presente

algún inconveniente todo esto dependerá de componentes técnicos y

elementos humanos.

En las pruebas efectuadas de vulnerabilidades en el sitio web de la

Corporación Registro Civil de Guayaquil se puede constatar que los

mismos pueden ser exitosos si no se toman las medidas sistemáticas

apropiadas, es suficiente con analizar las vulnerabilidades de datos o de

aplicación como tal para vulnerar el sitio web y que el mismo se vea

comprometido. El actual estudio se basó en las vulnerabilidades

existentes generadas por las herramientas de OWASP y el análisis de

vulnerabilidades efectuadas por la herramienta Microsoft Baseline

Security Analyzer muchas de estas vulnerabilidades trata de actualización

de componentes, creación de parches para la eliminación de la

vulnerabilidad, amenazas de ataque click hacking, contenido de páginas

mixtas , etc.

3.6 Recomendaciones

El Hardening implementado en sitios web debe fortalecer la

seguridad a nivel de usuario, habitualmente el usuario final resulta ser el

más vulnerable en el manejo de la seguridad informática, se recomienda

capacitaciones de inducción para la utilización segura de los sistemas

informáticos.

El presente Hardening aplicado en el sitio web de la Corporación

Registro Civil de Guayaquil logró minimizar las vulnerabilidades

Propuesta 74

detectadas por lo que se recomienda fortalecer la seguridad con

aplicaciones adicionales como antivirus, antimalware y administradores

consolidados de amenazas, la combinación de diferentes capas de

seguridad comprimirán el riesgo de ataques informáticos.

ANEXOS

Anexos 75

ANEXO N° 1

ENCUESTA

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE INGENIERÍA INDUSTRIAL

Formato de encuesta


Fecha: 22/08/2017

Preguntas:

1) ¿Piensa usted que la información en el sitio web de la

Corporación Registro Civil de Guayaquil es sensible a los

hackers o individuos mal intencionados que podrían

afectarlas?

SI NO

2) ¿Considera usted que la información que se manipula dentro

del Municipio Corporación Registro Civil de Guayaquil es

segura?

SI NO

3) ¿Se ha presentado hurto de información en el sitio web de la

Corporación Registro Civil de Guayaquil?

SI NO

Anexos 76

4) ¿Piensa usted que la implementación de Hardening en el sitio

web de la Corporación Registro Civil de Guayaquil mediante

el uso de OWASP será una solución viable para el resguardo

y aseguramiento de la información dentro de la entidad?

DE A CUERDO

PARCIALMENTE DE ACUERDO

EN DESACUERDO

5) ¿OWASP es una comunidad abierta dedicada a habilitar a las

organizaciones para desarrollar, comprar y mantener

aplicaciones confiables, Conoce usted de esta entidad?

SI NO

6) ¿Considera usted que la utilización del Top 10 de OWASAP

sería de gran ayuda para fortalecer la información dentro de

la Corporación Registro Civil de Guayaquil y optimizar sus

recursos?

SI NO


Anexos 77

ANEXO N° 2

CRONOGRAMA DE ACTIVIDADES


BIBLIOGRAFÍA

Albacete, J. F. (5 de 06 de 2015). Seguridad en equipos informáticos.

IFCT0510. Obtenido de Seguridad en equipos informáticos.

IFCT0510:

https://books.google.com.ec/books?id=GK_KCQAAQBAJ&dq=defin

icion+de+DMZ+en+redes&source=gbs_navlinks_s

Benito, F. G. (04 de 06 de 2014). Universidad de Valladolid. Obtenido de

Universidad de Valladolid: http://index-of.co.uk/USB/PFC-B.14.pdf

Bisquerra.R. (1989). UNIVERSIDAD NACIONAL ABIERTA. Obtenido de

UNIVERSIDAD NACIONAL ABIERTA:

http://dip.una.edu.ve/mead/metodologia1/Lecturas/bisquerra2.pdf

Bonnet, N. (2013). Ediciones ENI. Obtenido de

https://books.google.com.ec/books?id=x9bXoUpBUzQC&printsec=f

rontcover&dq=que+es+windows+server+2012&hl=es&sa=X&redir_

esc=y#v=onepage&q=que%20es%20windows%20server%202012

&f=false

Casas. (2017).

Cazau, P. (03 de 2006). Obtenido de

http://alcazaba.unex.es/asg/400758/MATERIALES/INTRODUCCI%

C3%93N%20A%20LA%20INVESTIGACI%C3%93N%20EN%20CC

.SS..pdf

CISCO. (2016). Obtenido de

https://www.cisco.com/c/es_mx/support/docs/ip/routing-information-

protocol-rip/13788-3.html

Bibliografía 79

CISCO. (2017). CISCO. Obtenido de CISCO:

https://www.cisco.com/c/es_mx/products/security/firewalls/what-is-

a-firewall.html

García, Á. L. (29 de 10 de 2015). Gestión de redes telemáticas.

IFCT0410 . Obtenido de Gestión de redes telemáticas. IFCT0410 :

https://books.google.com.ec/books?id=dDPTCgAAQBAJ&pg=PT10

6&dq=definicion+de+Protocolos+en+redes&hl=es-

419&sa=X&ved=0ahUKEwjq_PC_ir_VAhUD5SYKHRC7DeU4ChD

oAQgoMAE#v=onepage&q=definicion%20de%20Protocolos%20en

%20redes&f=false

J., C., & Date. (2001). Pearson Educación. Obtenido de

https://books.google.com.ec/books?id=Vhum351T-

K8C&dq=isbn:9684444192&hl=es&source=gbs_navlinks_s

Jara, & Pacheco. (2012).

Luján, M. S. (2002). Editorial Club Universitario. Obtenido de Editorial

Club Universitario:

https://books.google.com.ec/books?id=r9CqDYh2-

loC&pg=PA62&lpg=PA62&dq=que+es+un+sitio+web&source=bl&ot

s=MjwPVn4UJZ&sig=x635KhyOCP7WN0ddG9frbu_YL2I&hl=es&s

a=X&redir_esc=y#v=onepage&q=que%20es%20un%20sitio%20we

b&f=false

Microsoft. (2017). Microsoft. Obtenido de Microsoft:

https://msdn.microsoft.com/es-es/library/bb545450.aspx

Microsoft, S. (2017). Obtenido de https://support.microsoft.com/es-

es/help/550559

Bibliografía 80

Morone, G. (12 de 06 de 2012). Obtenido de

http://biblioteca.ucv.cl/site/servicios/documentos/metodologias_inve

stigacion.pdf

OWASP. (06 de 06 de 2016). Obtenido de

https://www.owasp.org/index.php/Category:Vulnerability

OWASP. (13 de 07 de 2017). OWASP. Obtenido de OWASP:

https://www.owasp.org/index.php/About_The_Open_Web_Applicati

on_Security_Project#The_OWASP_Foundation

OWASP, F. (2017). OWASP. Obtenido de OWASP:

https://www.owasp.org/index.php/Top_10_2017-Top_10

OWASP, G. d. (13 de 07 de 2017). Obtenido de

https://www.owasp.org/index.php/About_The_Open_Web_Applicati

on_Security_Project#The_OWASP_Foundation

OWASP-CISO. (17 de 03 de 2015). OWASP. Obtenido de OWASP:

https://www.owasp.org/images/1/19/Owasp-ciso-guide_es.pdf

Proxy, O. Z. (09 de 08 de 2017). Obtenido de

https://translate.googleusercontent.com/translate_c?depth=1&hl=es

&prev=search&rurl=translate.google.com.ec&sl=en&sp=nmt4&u=htt

ps://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

&usg=ALkJrhguW60hoAyeermMyZK8u4XU4Ale2w

Quintero, E. B. (29 de 10 de 2015). Equipos de interconexión y servicios

de red. IFCT0410. Obtenido de Equipos de interconexión y

servicios de red. IFCT0410:

https://books.google.com.ec/books?id=CDTTCgAAQBAJ&pg=PT72

&dq=definicion+de+NAT+en+redes&hl=es-

Bibliografía 81

419&sa=X&ved=0ahUKEwjXi5OMoL_VAhXEYiYKHRjqCAwQ6AEI

JTAA#v=onepage&q=definicion%20de%20NAT%20en%20redes&f

=false

Rault, R., Schalkwijk, L., Acissi, Agé, M., Crocfer, N., Crocfer, R., . . .

Lasson, S. (1 de 09 de 2015). EDICIONES ENI . Obtenido de

EDICIONES ENI :

https://books.google.com.ec/books?id=4X32wbgtNfUC&printsec=fr

ontcover&dq=isbn:2746097249&hl=es&sa=X&redir_esc=y#v=onep

age&q=hacking&f=false

Rodríguez, M. (11 de 2016). Obtenido de

https://backtrackacademy.com/articulo/auditoria-de-infraestructura-

de-tecnologia-de-informacion-basado-en-estandares-buenas-

practicas

Sanchéz, E. P. (03 de 06 de 2013). MAGAZCITUM. Obtenido de

MAGAZCITUM:


TechNet, M. (2017). Microsoft TechNet. Obtenido de Microsoft TechNet:

https://technet.microsoft.com/es-es/library/cc303422.aspx

Tejada, E. C. (5 de 06 de 2015). IC Editorial. Obtenido de IC Editorial:

https://books.google.com.ec/books?id=y63KCQAAQBAJ&dq=que+

es+IPS&source=gbs_navlinks_s

Toro, G. (04 de 01 de 2008). Obtenido de

https://we.riseup.net/assets/77169/Manual-de-uso-de-Nmap.pdf

universidad de guayaquil facultad de ingenerÍa...

Documents