08 0597 CS
08 0597 CS
08 0597 CS
Facultad de Ingeniería
Escuela de Ingeniería en Ciencias y Sistemas
FACULTAD DE INGENIERÍA
TRABAJO DE GRADUACIÓN
AL CONFERÍRSELE EL TÍTULO DE
Todas las personas A quienes que por algún motivo hemos cruzado
que forman parte caminos o palabras, gracias por estar ahí; de
de mi vida todas aprendí algo muy valioso.
AGRADECIMIENTOS A:
IV
4.3. Soluciones de vulnerabilidades....................................................... 86
4.3.1. Apache ............................................................................ 91
4.3.1.1. Configuración de Apache ............................... 91
CONCLUSIONES ............................................................................................. 93
RECOMENDACIONES ..................................................................................... 95
BIBLIOGRAFÍA ................................................................................................. 97
V
VI
ÍNDICE DE ILUSTRACIONES
FIGURAS
VII
TABLAS
VIII
GLOSARIO
IX
Descifrado Aprovechamiento malicioso de una red
informática.
X
NMAP NMAP o exploración de red, es una herramienta
de escaneo que localiza los dispositivos de la
red.
XI
XII
RESUMEN
XIII
Dentro de los sistemas de información es posible crear las mejores
políticas de seguridad que existen en la actualidad, pero un punto importante
que no debe ser descuidado, es el lado de los usuarios, que muchas veces son
el punto de falla de la mayoría de sistemas.
XIV
OBJETIVOS
General
Específicos
XV
XVI
INTRODUCCIÓN
XVII
En el desarrollo del segundo capítulo son estudiados los delitos
informáticos, se dan a conocer los conceptos claves, y la clasificación que ha
realizado sobre estos la Organización de Naciones Unidas (ONU). En
Guatemala, al igual que muchos otros países, se están realizando legislaciones
que penalicen a los cibercriminales, debido a esto existe una iniciativa de ley
que es analizada para su pronta aprobación.
XVIII
1. PRINCIPIOS BÁSICOS DE SEGURIDAD
1
Las responsabilidades de seguridad deben ser especificadas: se refiere a
que debe existir una delegación de responsabilidades y encargados de la
supervisión para las diferentes áreas, que serán cubiertas por el sistema
de seguridad.
CH > CB > CS
2
Figura 1. Diagrama costo/seguridad/riesgo
350
300
250
200
Seguridad
150 Riesgo
100
50
0
0 2 4 6 8 10 12
3
Un aspecto muy importante, que se debe tener en cuenta al hablar de un
sistema de seguridad, es que se debe poseer algo que se desee proteger, y es
en este sentido, cuando se realiza una clasificación de todos los elementos que
contiene la organización, para determinar aquellos que necesiten ser
protegidos, y la prioridad de la protección que debe ser establecida.
Este nivel es uno de los más olvidados y se puede catalogar entre los
más importantes; la mayoría de las veces, las empresas invierten
considerablemente en sistemas informáticos, con el propósito de prevenir
ataques externos como hackers, virus, etc. Todo esto es necesario la mayoría
de veces, pero no se debe descuidar por ningún motivo cuestiones como, qué
personas tienen acceso a los servidores o bien las estrategias que deben
utilizarse en caso de algún suceso no esperado, como los fenómenos naturales.
4
A nivel de seguridad física se define como: la aplicación de barreras
físicas y procedimientos de control como medidas de prevención y
contramedidas contra las amenazas a los recursos y la información
confidencial.
5
Detección: si el tema anterior, por cualquier motivo es imposible
implementarlo, se debe tener un mecanismo que informe sobre cualquier
anomalía que esté sucediendo, pero a pesar de detectarlos siempre debe
existir el monitoreo y control, para reducir el riesgo de que las
notificaciones de los problemas se informen tarde.
Terremotos
Tormentas eléctricas
Inundaciones y humedad
Electricidad
Ruido eléctrico
Incendios y humo
Temperaturas extremas
6
1.2.2.3. Protección de datos
Interceptación
Backup
Consiste en educar a los usuarios que utilizan el sistema, para evitar que
estos brinden cualquier tipo de información acerca de la empresa a terceros,
que a simple vista parece ser irrelevante, pero que crea vulnerabilidades,
aumentando el riesgo de sufrir ataques (como ejemplo revelar el sistema
operativo que se utiliza), este tipo de extracción de información se le conoce
como ingeniería social.
7
1.2.3.2. Seguridad de red
Este nivel indica que, cada una de las aplicaciones que son empleadas
dentro de la organización, debe poseer sus propios mecanismos de seguridad
en el manejo de los datos.
8
1.3.1. Autenticación
Este atributo cuenta con una división, que está dado por la forma de
identificarse, las cuales son: contraseñas, que se refiere a información que se
conoce; hard tokens, que se refiere a elementos físicos que se tienen;
biométricos, que abarcan todo lo concerniente a lo que hace únicos a los seres
humanos; híbridos, que son la combinación de dos o más tecnologías para la
autenticación.
1.3.2. Confidencialidad
9
1.3.3. No repudio
1.3.4. Autorización
1.3.5. Integridad
Este atributo indica que, solo las entidades autorizadas son las encargadas
de modificar la información y además, se debe velar para que dentro de la
información no existan ambigüedades, ni datos incorrectos.
10
1.3.6. Auditoría
Este atributo también contiene una división, la cual se divide en: post
mortem (después del crimen), como su nombre lo indica permite realizar un
análisis luego de identificado y registrado un suceso; activo, el cual le permite al
sistema detectar y responder a errores, fallas y ataques en el momento que
suceden.
1.3.7. Disponibilidad
11
12
2. LEGISLACIÓN – SEGURIDAD INFORMÁTICA
13
2.1.1. Conceptualización
14
María de la Luz Lima dice que el "delito electrónico", "en un sentido
amplio, es cualquier conducta criminógena o criminal que en su realización
hace uso de la tecnología electrónica ya sea como método, medio o fin y
que, en un sentido estricto, el delito Informático, es cualquier acto ilícito
penal en el que las computadoras, sus técnicas y funciones desempeñan
un papel ya sea como método, medio o fin".
15
Actualmente, se están desarrollando diversas iniciativas que buscan
promover la cooperación internacional y hacer conciencia sobre la lucha contra
los delitos informáticos.
17
Manipulación de los datos de salida: se efectúa fijando un objetivo al
funcionamiento del sistema informático. El ejemplo más común es el
fraude de que se hace objeto a los cajeros automáticos mediante la
falsificación de instrucciones para la computadora, en la fase de
adquisición de datos. Tradicionalmente, esos fraudes se hacían a base de
tarjetas bancarias robadas; sin embargo, en la actualidad se usan
ampliamente equipo y programas de computadora especializados, para
codificar información electrónica falsificada en las bandas magnéticas de
las tarjetas bancarias y de las de crédito.
18
Estas fotocopiadoras pueden hacer copias de alta resolución, modificar
documentos, e incluso crear documentos falsos sin tener que recurrir a un
original, y los documentos que producen son de tal calidad que sólo un
experto puede diferenciarlos de los documentos auténticos.
19
dar instrucciones a un sistema informático de un banco para que transfiera
continuamente dinero a una cuenta ilícita.
20
emplear contraseñas comunes o de mantenimiento, que están en el propio
sistema.
21
2.2. Legislación de Cibercrimen en Guatemala
22
De esta manera, describe la evolución en la pérdida de valores de la
persona que inicia sus conocimientos con el fin de conocer, aprender o
formarse en una rama de la informática, al punto de buscar, robar información,
suplantar a una persona, robar dinero y realizar ataques, aunque su fin no sea
mostrar vulnerabilidades en sus sistemas a las empresas y/o personas
encargadas de una red o servicio en internet.
23
No importando si la persona que realice dicho ataque únicamente lo
haga como un ejercicio de aprendizaje y no diferenciando entre estos últimos o
como el mismo texto lo indica, las personas que llevaban a cabo ataques como
estos con fines de hacer notar vulnerabilidades, o únicamente para aprender y
encasillándolos junto con lo que ellos llaman como crimen organizado
cibernético, de tal manera que cualquiera que lleve a cabo un hecho de este
tipo, sería tomado como un delincuente ante los ojos de la justicia, y por tanto
debería de ser penado como tal; hablando en términos de lo planteado por la
iniciativa de ley.
El texto menciona y hace notar cómo a partir del año 2002 el concepto de
ciberdelincuencia cambió completamente; indica un incremento en los ataques
que al ser cada vez más sofisticados, se vuelven mucho más difíciles de
detectar. De aquí se vuelve necesario tomar en cuenta todo tipo de amenazas y
esto es una justificación adecuada, pues la internet ya no es segura para
hogares ni negocios; son requeridas medidas de seguridad avanzadas que no
están al alcance de usuarios comunes o con recursos no tan elevados, también
para las empresas, implica gastar en medidas de seguridad que requieren de
un mantenimiento y monitoreo que implica costos, que en caso de haber una
mejor regulación de los ataques a usuarios de la red, no sería necesario
tomarlos en cuenta.
25
Esto permite el tráfico de mercancía por así llamarla, que afecta la
economía de dicho país o inclusive organizaciones o grupos de países, de tal
manera que el no contar con una ley anticibercrimen en Guatemala lo sitúa en
una posición no amistosa en ese aspecto y hasta cierto punto podría ser
considerado como hostil, por no tomar medidas y permitir transacciones
generadoras de ataques e inestabilidad para empresas y gobiernos.
Esta iniciativa arroja luz y justifica correctamente los motivos por los
cuales cada vez se hace más necesario formar parte para un país de un
compromiso, tanto para sus habitantes y empresas, como para otros países y
su protección y seguridad, penando dentro de sí mismo las actividades
inadecuadas y no autorizadas en la web, previniendo de esta manera y
sentando reglas y normas a seguir, esto debería en teoría frenar el tráfico de
software no autorizado o con fines de daño robo o suplantación; esto de hecho
se mejoraría la imagen de Guatemala a nivel internacional; una iniciativa de ley
mejoraría grandemente o al menos arreglaría la forma en que es visto el país en
el exterior y tal vez, hasta cierto punto, sus relaciones con países amigos.
26
El documento en cuestión expone una gran cantidad de tipos de malware
explicando la finalidad de cada uno y cómo afecta a usuarios o empresas;
realmente es necesario exponer claramente el funcionamiento y fin de cada
software malicioso existente para tener una adecuada y consistente justificación
de una ley y normas como esta.
27
La iniciativa de ley contra el cibercrimen en Guatemala, no es una idea
propia ni nueva del país, es parte de un movimiento, de un esfuerzo para crear
una ley uniforme que permita juzgar y penalizar a las personas que transgredan
esta ley, de igual manera en cualquier parte del mundo y acá se ejemplifican las
formas en que puede ser llevado a cabo un ataque, muestra la vulnerabilidad de
un cliente o usuario ante cualquier aplicación, que podría ser una descarga de
un archivo que el usuario desconoce que es un malware.
28
Luego de un intenso análisis, planteamiento de problemáticas y posibles
soluciones así como el desglose de los tipos de ataques, cómo se llevan a cabo
y cuáles son sus tendencias, la iniciativa de ley presenta de manera formal y
legal cómo se espera que sea llevada a cabo y ejecutada dicha ley, y enumera
todas y cada una de las actividades que son consideradas como ataques
cibernéticos que deben ser penalizados.
Es importante hacer notar que la ley está sujeta a situaciones reales, que
han sido conocidas por medio de problemas y ataques y experiencia sobre
cómo se comportan en la actualidad los agresores y que debería ser una ley
bastante flexible, para adaptarse a los cambios y tendencias tecnológicas y
criminales, que probablemente necesitará una gran cantidad de tiempo para ser
interpretada, llevada a cabo y ejecutada de forma efectiva, pues con el tiempo,
una gran cantidad de nuevos tipos de ataques y tendencias podrían aparecer y
el que esta ley no cubra dichos problemas, significará una gran pérdida o el
ataque que podría quedar en la impunidad únicamente por la falta de
actualización.
29
Dentro de la definición formal como ley de esta iniciativa hay un extenso
vocabulario o grupo de definición de conceptos técnicos de informática que
permiten analizar a personas que no cuentan con conocimientos amplios de
software y hardware, de redes e internet, ni de malware, formarse un criterio; en
general, es una buena propuesta, está bastante completa y resume en gran
parte, de muy buena manera, lo más conveniente para el país y sus relaciones
con países amigos.
30
3. ANÁLISIS DE RIESGOS Y VULNERABILIDADES
31
3.1.1. Importancia de la administración de riesgos
32
Figura 2. Diagrama de flujo, metodología para valoración de riesgos
Actividades para
Entradas Salidas
evaluación de riesgos
Hardware
Límites del sistema
Software
Paso 1 Funciones del sistema
Interfases del sistema
Caracterización Sistema y datos
Información y datos
del sistema Criticidad
Personas
Sistema y datos sensibles
Misión del sistema
Paso 4
Controles actuales Lista de controles actuales y
Control de
Planificacion de controles planeados
análisis
Paso 7
Riesgo de explotar amenaza Determinación
Magnitud del impacto de riesgos Riesgos y niveles de riesgo
Pérdida de
Adecuación de los controles integridad asociados
Pérdida de
Actuales y planeados disponibilidad
Pérdida de
confidenciabilidad
Paso 8
Recomendaciones Controles recomendados
de control
Paso 9
Informe de evaluación de
Documentación
riesgos
de resultados
33
3.1.2. Metodología para valoración de riesgos
34
3.1.2.3. Identificación de vulnerabilidades
36
3.1.2.6. Análisis de impacto
37
La probabilidad de una amenaza concreta que pueda afectar una
vulnerabilidad dada.
La magnitud del impacto que puede ser una amenaza con éxito en el
ejercicio de la vulnerabilidad.
38
3.1.2.9. Documentación de resultados
39
Un análisis de vulnerabilidades es utilizado para lograr que las medidas
de seguridad implementadas o propuestas, sean las necesarias para proteger al
sistema. Los software que brindan la posibilidad de detectar vulnerabilidades
mediante escaneo, la mayoría de las veces no son utilizadas con propósitos de
detección para proteger a los sistemas, sino que también, son utilizadas por los
hackers para lograr penetrar e invadir el sistema; pero un administrador que
utilice de correcta manera estos software, puede prevenir con eficacia la
piratería y ataques en el futuro a su sistema.
40
contraseñas fácil de eliminar. Esta técnica presenta desventajas
dependiendo de la plataforma que se esté utilizando.
42
Figura 4. Detalle de ataques
Script o Vulnerabilidades en
Espías Uso no autorizado Procesa Flujo de datos
programa diseño
Agente Vulnerabilidades en
Terroristas
autónomo configuración
Espionaje Herramientas
industrial integradas
Criminales Herramientas
profesionales distribuidas
Intervención
Vándalos
de líneas de
(crackers)
comunicación
Resultados Objetivos
Corrupción de
Desafío
información
Revelación de Ganancia
información política
Acceso a
Ganancia
servicios no
financiera
autorizados
Denegación de
Dañar
servicios
43
3.2.2. Estadísticas del CERT (Computer Emergency Response
Team) – Datos históricos
Total de
vulnerabilidades Reportadas
Año catalogadas directamente
1995 171
1996 345
1997 311
1998 262
1999 417
2000 1 090
2001 2 437 153
2002 4 129 343
2003 3 784 191
2004 3 780 170
2005 5 990 213
2006 8 064 345
2007 7 236 357
Enero-septiembre 2008 6 058 310
44
Figura 5. Vulnerabilidades catalogadas
10000
8000
6000
4000
2000
0
REPORTADAS DIRECTAMENTE
TOTAL DE VULNERABILIDADES
CATALOGADAS
Definición de columnas:
45
Tabla III. Publicaciones sobre vulnerabilidades
46
Figura 6. Cantidad de publicaciones de vulnerabilidades
500
400
300
ALERTAS DE SEGURIDAD
200 PUBLICADAS
100
ALERTAS TECNICAS DE
0
SEGURIDAD PUBLICADAS
NOTAS DE VULNERABILIDADES
PUBLICADAS
Definición de columnas:
47
Estos documentos proporcionan información oportuna sobre cuestiones
actuales de seguridad, vulnerabilidades y exploits.
Notas de
Avisos incidentes Boletines Resúmenes
Año publicados publicados publicados publicados
1988 1
1989 7
1990 12
1991 23
1992 21
1993 19
1994 15 2
1995 18 10 3
1996 27 20 6
1997 28 16 6
1998 13 7 13 6
1999 17 8 5
2000 22 10 4
2001 37 15 4
2002 37 6 4
2003 28 4 4
2004 2 2
48
Figura 7. Publicaciones 1988-2004
40
35
30 RESÚMENES PUBLICADOS
25
20 BOLETINES PUBLICADOS
15
10 NOTAS DE INCIDENTES
5 PUBLICADOS
0 AVISOS PUBLICADOS
1988
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
Definición de columnas:
49
Boletines publicados: los boletines de los proveedores tenían por objeto
facilitar la distribución coordinada de información escrita por los vendedores
sobre los problemas y soluciones de seguridad.
Específicos de la Al
Robo Sabotaje Sistema operativo Instante
aplicación
Tiempo requerido
Violación de
“Pesca” de relaciones de Minutos
Espionaje interno Diseño del protocolo
información confianza
Horas
Protección de Claves poco
Protección física “Escuchas”
datos seguras
Días
Defectos de la política de
Debilidades
trabajo Meses
Interacción requerida
Fuente: http://www.ussrback.com/docs/papers/general/compvuln_draft.pdf.
Consultado el 20 de diciembre de 2010.
50
3.3. Herramientas para análisis
Con el transcurrir de los años se han desarrollado formas cada vez más
sofisticadas de ataque para explotar agujeros en el diseño, configuración y
operación de los sistemas, siendo las más comunes:
Ingeniería social
Ingeniería social inversa
Trashing (cartoneo)
Ataques de monitorización
Ataques de autenticación
Denial of service (DoS)
Ataques de modificación – daño
51
3.3.1. Sandcat
3.3.2. VisualRoute
3.3.3. WebInspect
3.3.4. Nikto
53
3.3.8. Codenomicon HTTP Test Tool
56
3.3.17. Secure-Me
3.3.18. SAIN
57
de filtros o firewall se está utilizando, y muchas otras características. Funciona
en la mayoría de las versiones de UNIX, así como Windows.
3.3.21. Foundstone
58
3.3.23. Internet Scanner
59
3.4.1. Personal – insiders
60
Estas cifras pueden ser preocupantes, debido a que, cualquier persona
que labore dentro de la organización, que conozca el sistema a la perfección,
tanto sus puntos fuertes como débiles, podría realizar un ataque más directo,
difícil de detectar y más efectivo, en comparación con cualquier ataque
proveniente del exterior.
Personal interno
Ex-empleado
Curiosos
Terroristas
Intrusos remunerados
Recomendaciones
62
Figura 11. Uso del comando nslookup
63
13/tcp open daytime
17/tcp open qotd
19/tcp open chargen
22/tcp open ssh
53/tcp open domain
88/tcp open kerberos-sec
135/tcp open msrpc
139/tcp open netbios-ssn
389/tcp open ldap
445/tcp open microsoft-ds
464/tcp open kpasswd5
593/tcp open http-rpc-epmap
636/tcp open ldapssl
1026/tcp open LSA-or-nterm
1029/tcp open ms-lsa
1059/tcp open nimreg
1066/tcp open fpo-fns
1071/tcp open unknown
1079/tcp open unknown
1723/tcp open pptp
2161/tcp open apc-agent
2222/tcp open unknown
3052/tcp open powerchute
3268/tcp open globalcatLDAP
3269/tcp open globalcatLDAPssl
8000/tcp open http-alt
8085/tcp open unknown
8086/tcp open unknown
MAC Address: 00:02:A5:EA:65:50 (Hewlett Packard)
64
No exact OS matches for host (If you know what OS is running on it, see
http://nmap.org/submit/).
Y cuenta con un puerto abierto dado que es el FTP; puede darse el caso
de tener habilitado el acceso por medio de cuenta anónima; también otra falla
es que se tiene información sobre el sistema operativo, y con un poco de
investigación, es probable encontrar las vulnerabilidades para este sistema.
65
Para la realización de un ataque o explotar alguna vulnerabilidad, las
personas que realizan este tipo de acciones, poseen un alto nivel de
conocimiento sobre redes, sistemas operativos y sobre la organización.
66
También se puede obtener información acerca de los dispositivos que se
encuentran en la red:
67
Con la herramienta xProbe2 se puede obtener información del servidor
que se esté analizando:
68
3.5.1. Vulnerabilidades identificadas
Exploits encontrados:
69
3.5.1.4. Servidor Web Microsoft IIS 6.0 (NMAP)
Exploits encontrados:
Exploits encontrados:
Exploits encontrados:
70
restricciones necesarias, cualquier persona podría accesar a contenidos
confidenciales.
71
También se debe hacer la aclaración que aunque hablando de
tecnologías, el servidor cuente con la seguridad necesaria, también debe
enfocarse en el nivel de aplicaciones, ya que la mayoría de veces se gasta
mucho en infraestructura y se descuida la parte de las aplicaciones.
72
Otra de las vulnerabilidades más comunes encontradas, es la
denegación de servicios (DoS), que su solución se proporcionará en el siguiente
capítulo.
73
74
4. REDUCCIÓN DE RIESGOS – APLICACIÓN DE POLÍTICAS DE
SEGURIDAD
75
Prevención de riesgos: para evitar el riesgo, se eliminan todas aquellas
causas que conllevan a la generación del mismo.
76
Figura 16. Estrategia de reducción de riesgos
Fuente de
la
amenaza
Existe
Diseño del
Vulnerable? SÍ Explotable? SÍ vulnerabilidad &
sistema
al ataque
NO NO
Costo de Perdida
Existencia Riesgo no
SÍ ataque < SÍ anticipada > SÍ
del riesgo aceptable
ganancia umbral
NO NO
77
Figura 17. Propuesta para implementación de controles
Paso 2
Evaluar
Reporte de evaluación de riesgos Recomendaciones Lista de posibles controles
opciones de control
Factibilidad
Eficacia
Paso 3
Análisis costo/beneficio
Impacto de Implementar Análisis costo/beneficio
Impacto de no implementar
Costos asociados
Paso 4
Seleccionar Controles seleccionados
controles
Paso 5
Lista de personas
Asignar
responsables
responsabilidades
Paso 6
Desarrollar plan de implementación de
protección
Riesgos y niveles de riesgos asociados
Acciones priorizadas
Plan de implementación de
Controles recomendados protección
Personas responsables
Fecha de inicio
Fecha de finalización
Requísitos de mantenimiento
Paso 7
Implementación
Riesgos residuales
de controles
seleccionados
78
4.1.1.1. Priorizar acciones
80
4.2. Políticas de seguridad
1
HUERTA, Antonio Villalón. Seguridad en Unix y redes. p.259.
2
REYNOLS, Joyce K.; HOLBROOK J. PAUL.RFC 1244: Site Security Handbook. p.23.
81
Las políticas de seguridad pueden verse como una serie de normas,
reglamentos y protocolos a seguir, donde se definen las medidas a tomar para
proteger la seguridad del sistema; “una política de seguridad es una forma de
comunicarse con los usuarios y gerentes. Estas establecen el canal formal de
actuación del personal, en relación con los recursos y servicios informáticos,
importantes de la organización. Siempre hay que tener en cuenta que la
seguridad comienza y termina con personas”.3
3
SPAFFORD, Gene. Manual de seguridad en redes. ArCERT. Argentina. 2000. p.17.
82
4.2.1. Etapas en el desarrollo de una política de seguridad
1. Creación
2. Revisión
4. Comunicación
3. Aprobación
5. Cumplimiento 7. Concienciación
Fase de Desarrollo
8. Monitoreo
6. Excepciones
9. Garantía de
Fase de Implementación Cumplimiento
10. Manteniemiento
11. Retiro
Fase de Eliminación
Fase de Mantenimiento
83
4.2.1.1. Fase de desarrollo
Durante esta fase se debe velar por el cumplimiento de la política por medio
de un constante monitoreo, además de involucrar las políticas deben
actualizarse a las necesidades actuales. Sus etapas son:
85
Luego que la política de seguridad ha cumplido con lo que se tenía
establecido, o ya no es necesaria, esta etapa involucra el retiro del sistema de
las políticas por cuestiones de rendimiento y eficiencia.
Sobre los puntos de red libres: es necesario tener un control sobre todos
los tomas de red que se estén utilizando, y aquellos que no estén en uso
deben de desconectarse del patch panel. Para la aplicación de esto, es
necesario que todos los puntos estén debidamente identificados.
86
Figura 19. Propuesta de uso de zona desmilitarizada (DMZ)
Red pública
. .
Red interna .
.
.
.
Red de
... servidores
87
Tabla VI. Recomendaciones de seguridad inalámbrica
Descripción Complejidad
Cambiar la contraseña que trae por defecto Baja
Usar mecanismos de encriptación WEP/WPA/WPA2 Alta
(en nivel de seguridad están escritos de menor a
mayor)
Cambiar el nombre de difusión (SSID) Baja
Cambio de claves continuamente Media
Desactivar DHCP, a menos que sea necesario Alta
Ejemplo:
<?php
$query = "SELECT * FROM usuarios WHERE usuario='{$_POST['usuario']}' AND password
='{$_POST['password']}'";
mysql_query($query);
?>
88
Si no se realiza una revisión de los datos enviados, se puede ingresar lo
siguiente:
<?php
$_POST['usuario'] = 'pepe';
$_POST['password'] = "' OR ''='";
?>
<?php
$_POST['usuario'] = mysql_real_escape_string($_POST['usuario']);
$_POST['password'] = mysql_real_escape_string($_POST['password']);
?>
89
La solución de esto, es similar a la de inyección de SQL se debe verificar
toda la información que es ingresada por los usuarios a las páginas.
90
4.3.1. Apache
91
DOSSystemCommand: cada vez que se deniegue el acceso a una IP,
ejecutará un comando en el sistema.
92
CONCLUSIONES
93
6. Un análisis exhaustivo de los riesgos a los que se enfrenta la organización
puede llevar a minimizar los impactos de estos; sin embargo, en la
mayoría de las ocasiones no pueden ser gestionados todos los riesgos,
debido a que el costo que involucra tener una seguridad total es un
precio que las organizaciones no están dispuestas a cubrir; el problema
se da cuando alguna vulnerabilidad genera pérdidas aún mayores, se
lamentan en no haber invertido un poco más en seguridad.
94
RECOMENDACIONES
95
7. Los oficiales de seguridad deben realizar un estudio sobre la aplicación de
políticas de seguridad informática, para prevenir conflicto entre las
diversas aplicaciones de la empresa.
96
BIBLIOGRAFÍA
97
5. GARCÍA GUTIÉRREZ, Daniel. Metasploitable: entorno de entrenamiento
de seguridad informática. No. 67, Polonia: Linux Plus Magazine,
2010. 50 p. ISSN: 1732-7121.
10. HOWARD, Patrick D.; TRIPTON, Harold F.; KRAUSE, Micki. The security
policy life cycle: functions and responsabilities. Information security
management handbook. 6a ed. Boca Raton, Florida: Aurebach
Publications, 2007. 3150 p. ISBN: 978-0-8493-7495-1.
98
11. HUERTA, Antonio Villalón. Seguridad en Unix y redes versión 2.1 [en
línea]. Cuenca, España, 2002.
http://es.tldp.org/Manuales-LuCAS/SEGUNIX/unixsec-2.1.pdf.
[Consulta: 18 de diciembre de 2010].
12. KISSEL, Richard. Glossary of key information security terms [en línea].
Gaithersburg: NIST, 2010.
http://csrc.nist.gov/publications/nistir/ir7298-rev1/nistir-7298-
revision1.pdf. [Consulta: 19 de diciembre de 2010].
99
17. STONEBURNER, Gary; GOGUEN, Alice; FERINGA, Alexis. Risk
management guide for information technology system [en línea].
Special publication 800-11, Gaithersburg, Maryland: National Institute
of Standars and Tecnology, 2002.
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf.
[Consulta: 20 de diciembre de 2010].
100