UNIVERSIDAD DE GUAYAQUIL FACULTAD DE INGENIERÍA...

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE INGENIERÍA INDUSTRIAL DEPARTAMENTO ACADÉMICO DE GRADUACIÓN

TRABAJO DE TITULACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE

INGENIERA EN TELEINFORMÁTICA

ÁREA TECNOLOGÍAS DE LA INFORMACIÓN Y

COMUNICACIÓN

TEMA ANÁLISIS DE LA GESTIÓN DE SEGURIDAD INFORMÁTICA EN SERVIDORES DEDICADOS Y VPS DE LA EMPRESA

REINEC C. LTDA. EN GUAYAQUIL

AUTOR CEDEÑO CASTRO LEYDY ALEJANDRA

DIRECTOR DEL TRABAJO ING. SIST. PINCAY BOHORQUEZ FREDDY STEVE

2015 GUAYAQUIL – ECUADOR

ii

DECLARACIÓN DE AUDITORÍA

“La responsabilidad del contenido de este trabajo de titulación, me corresponden exclusivamente; y el patrimonio intelectual del mismo a la Facultad de Ingeniería Industrial de la Universidad de Guayaquil”

Cedeño Castro Leydy Alejandra

C.I. No. 0928656958

iii

AGREDECIMIENTO A Dios por darme la sabiduría, el entendimiento y la bendición de poder

estudiar.

A mi madre por ser una de las principales personas por quien deseo

superarme.

Mariana Cedeño Castro.

A mis padrinos por haberme apoyado en los momentos difíciles,

proveerme de valores e inculcarme la ética de trabajo y superación.

Wilson Mendoza y Gladys Ampuero.

A mi esposo y amigo de vida por ser apoyo incondicional.

Xavier Rodríguez Quiroz.

Por su tiempo y orientación Ing. Sist. Pincay Bohorquez Freddy Steve MSc. Ingrid García Torres

iv

INDICE GENERAL

Descripción Pág.

PROLOGO 1

CAPÍTULO I

INTRODUCCIÓN

No. Descripción Pág.

1. Tema 2

1.2. Problema 2

1.3. Campo de acción 3

1.4. Antecedente 3

14.1. Descripción del proceso de producción 7

1.4.1.1. Primer proceso - Solicitud de orden de compra 7

1.4.1.2. Segundo proceso - Depuración del servicio solicitado 7

1.4.1.3. Tercer proceso – Emisión de factura/Ingreso al Control

de registro y accesos 8

1.4.1.4. Cuarto proceso – Plataforma de registro dominios,

acceso WHM Cpanel 8

1.5. Objeto de la investigación 9

1.6. Justificación de la investigación 10

1.7. Objetivos 12

1.7.1. Objetivo general 12

1.7.2. Objetivos específicos 12

v

CAPÍTULO II

MARCO TEÓRICO


2.1. Marco teórico 13

2.1.1. Antecedentes del estudio 13

2.2. Fundamentación teórica 16

2.2.1. Seguridad informática en entornos virtuales 16

2.2.2. Servidor dedicado 17

2.2.3. Servidor virtual privado (VPS) 18

2.2.4. Análisis del diseño de servidores de seguridad 18

2.2.5. Arquitectura de la red 18

2.2.6. Servidor de seguridad 19

2.2.7. Disponibilidad 20

2.2.8 Análisis de la Gestión remota en servidores 21

2.2.8.1. Secure Shell (SSH) 21

2.2.8.2. Uso de Contraseñas 22

2.2.9. Ataques y defensa del sistema del servidor 23

2.2.9.1. Tipos de intrusión 23

2.2.10. Defensa del sistema 25

2.2.10.1. IDS (Sistema de detección de intrusiones) 25

2.2.10.2. IPS (Sistema de prevención de intrusiones) 26

2.2.10.3. Firewalls 27

2.2.11. ¿Qué es CSF (ConfigServer Seguridad y Firewall)? 28

2.2.11.1. Configuración 28

2.2.11.2. Reportes del Firewall - csf 31

2.3. Fundamentación legal 32

2.3.1. Legislación ecuatoriana sobre delitos informáticos 32

2.3.2. La organización de naciones unidas y los delitos

informáticos 32

2.3.3. Política de seguridad 34

vi

CAPÍTULO III

METODOLOGÍA


3.1. Metodología 36

3.2. Método de investigación descriptiva 36

3.2.2. Población y muestra 37

3.2.2.1. Población 37

3.2.2.2. Muestra 38

3.3. Técnicas de observación y recolección de datos 39

3.3.1. Problema general 39

2.3.1.1. Problemas específicos 40

3.3.2. Análisis del estado de los servidores dedicados virtuales 40

3.3.3. Herramientas de investigación 41

3.3.4. Análisis de riesgo 42

3.3.4.1. Proceso de identificación del riesgo 42

3.3.4.2. MAGERIT: Metodología de Análisis y Gestión de Riesgos

de los Sistemas de Información. 43

3.3.4.3. Paso 1: Identificación de activos 44

3.3.4.4. Paso 2: Amenazas 46

3.3.4.4.1. Las amenazas se clasifican así 46

3.3.4.4.2. Valoración de las amenazas mediante tablas 48

3.3.4.5. Paso 3: Salvaguardas 49

3.3.4.5.1. Tipos de protección 49

3.3.4.5.2. Eficiencia de la protección 51

3.3.4.6. Paso 4-5: Impacto y riesgo residual 51

3.3.5. Gestión la seguridad de la información 52

3.3.5.1 ¿Cómo funciona la ISO 27001? 53

3.3.5.2. Política seguridad de la información 53

3.3.5.2.1. Organización de la seguridad 53

3.3.5.2.2. Acceso por parte de terceros 54

3.3.5.2.3. Protección de las instalaciones de los centros de datos 54

vii


3.3.5.2.4. Protección contra virus 55

3.3.5.2.5. Copias de respaldo 55

3.3.5.3. Evaluación y el tratamiento de riesgos 56

3.3.5.3.1. Análisis técnico del funcionamiento 56

3.3.5.3.2. Importancia de los activos 58

3.3.5.4. Aplicación de controles de auditoría 58

3.3.5.4.1. Realización del Análisis y Evaluación 60

3.3.5.4.2. Enunciado de aplicabilidad 61

3.3.6. Protocolo de seguridad DNSSEC 67

3.3.6.1. ¿Qué es DNSSEC? 67

3.3.6.2. Beneficios en su implementación 67

CAPÍTULO IV

CONCLUSIONES Y RECOMENDACIONES


4.1. Conclusiones 69

4.2. Recomendaciones 70

GLOSARIO DE TERMINOS 72

ANEXOS 77

BIBLIOGRAFÍA 91

viii

ÍNDICE DE DIAGRAMA


1 La organización de la empresa 4

2 Mecanismos de seguridad preventivos 35

ix

ÍNDICE DE GRÁFICOS


1 Proceso de producción de Reinec c. Ltda 9

2 Conexiones mediante túnel ssh 22

3 Csf del servidor para bloquear el acceso 31

4 Incidencias de ataques 38

5 Coste de la disponibilidad de un servicio 45

6 Zonas de riesgo 52

7 Como actúa DNSSEC 68

x

ÍNDICE DE TABLAS


1 Características de servidores dedicados root 41

2 Escalas cualitativas 48

3 Estimación del impacto 48

4 Estimación del riesgo 49

5 Análisis y evaluación 60

6 Aplicación de controles de auditoría 61

xi

AUTOR: CEDEÑO CASTRO LEYDY ALEJANDRA

TEMA: ANÁLISIS DE LA GESTIÓN DE SEGURIDAD

INFORMÁTICA EN SERVIDORES DEDICADOS Y VPS

DE LA EMPRESA REINEC C. LTDA. EN GUAYAQUIL

DIRECTOR: ING. SIST. PINCAY BOHÓRQUEZ FREDDY STEVE

RESUMEN

Este proyecto propone analizar una metodología de gestión de riesgos de los sistemas de información de seguridad informática para la empresa Reinec C. Ltda, con el objetivo de facilitar al administrador, recursos necesarios sobre vulnerabilidades y peligros que se presenten, con el fin de prevenir daños y proteger los datos almacenados, se utilizó como metodología de análisis la técnica de investigación descriptiva que permite observar y describir situaciones y eventos que perturban el rendimiento de los servidores sin afectar la conectividad; como herramienta se utilizó el método Magerit de observación y gestión de riesgo de los sistemas de información, la norma ISO/IEC 27001:2013 admite establecer, implementar y mejorar el procedimiento de administración de conflictos en la compañía, además se usó el protocolo DNSSEC que tiene como función mediante la firma digital de las exploraciones de DNS(Domain Name System) usar criptografía de clave pública reconociendo la validación de los registros de búsqueda. A través del resultado obtenido de la investigación realizada se conoció que las vulnerabilidades y los ataques son causados a menudo por el cliente, sea por software obsoleto, falta de mantenimiento en los sitios web, uso excesivo de recursos asignados en espacio de almacenamiento y la transmisión de correos por hora. Se recomienda aplicar una técnica o norma que reconozca los peligros que existen e implementar un cuarto de enfriamiento sólo para los servidores físicos, evitando daños en el enlace de las bases de datos de producción y control.

PALABRAS CLAVES:

Cedeño Castro Leydy Alejandra Ing. Sist. Pincay Bohórquez Freddy S.

C.I.0928656958 Director del trabajo

Gestión, Seguridad, Vulnerabilidades, Norma, método, software.

xii

AUTHOR: CEDEÑO CASTRO LEYDY ALEJANDRA

SUBJECT: ANALYSIS OF THE MANAGEMENT OF COMPUTER

SECURITY IN DEDICATED SERVERS AND VPS OF

THE COMPANY REINEC C. LTDA. IN GUAYAQUIL

DIRECTOR: SYST. ENG. PINCAY BOHÓRQUEZ FREDDY STEVE

ABSTRACT

This project proposes to analyze a methodology for risk management of information systems of computer security for the company Reinec C. Ltda. with the objective of facilitate to the administrator, necessary resources on vulnerabilities and dangers that appear, In order to prevent damage and protect the data stored, was used as a methodology for the analysis of descriptive research technique that allows you to observe and describe situations and events that disrupt the performance of the servers without impacting the connectivity; as a tool is used the Magerit method of observation and management of information systems risk, the norm ISO/IEC 27001:2013 admits to establish, to implement and to improve the procedure of administration of conflicts in the company, In addition we used the DNSSEC protocol that has as a function by using the digital signature of the explorations of DNS(Domain Name System) using public-key cryptography in recognition of the validation of the records search. Through the result obtained from the investigation it was discovered that the vulnerabilities and the attacks are often caused by the customer, either by outdated software, lack of maintenance in the web sites excessive use of resources allocated in storage space and transmission of emails per hour. It is recommended to apply a technique or a rule that recognizes the dangers that exist and implement a fourth cooling only for physical servers, avoiding damage to the link of the production databases and control. KEY WORDS:

Cedeño Castro Leydy Alejandra Syst. Eng. Pincay Bohórquez Freddy S.

C.I.0928656958 Director of Work

Management, Security, vulnerabilities, Norm, method, software.

PROLOGO

Mi trabajo se desarrolla en el área de tecnologías de la información

y comunicación que consiste en realizar el Análisis de la Gestión de

Seguridad Informática en Servidores Dedicados y Vps de la Empresa

Reinec C. Ltda, se encontrará con información sobre la importancia de la

seguridad informática en entornos virtuales, tipos de vulnerabilidades,

ataques y así también métodos de defensa que usan los servidores

dedicados tanto en el diseño y desarrollo como en la gestión remota de un

sistema.

En el primer capítulo se encontrara con todo lo relacionado a la

información de la empresa, como problemas que se presentan en los

servidores dedicados de hospedaje web, antecedentes, la justificación del

tema, los objetivos generales y específicos. En los demás capítulos se

desarrolla el tema de tesis con definiciones de conceptos y leyes, en la

parte de metodología se conocen las herramientas para realizar el análisis

de riesgo, la norma de administración de seguridad y encuestas.

Con el fin de dar a conocer la importancia que tiene la seguridad

informática en las empresas, instituciones o personas naturales, donde la

información que manejan o almacenen en un centro de datos o cualquier

lugar virtual sea privada para su desarrollo y crecimiento, ofreciendo

confianza a sus clientes con las responsabilidad y protección. Además de

Implementar medidas de seguridad que ayudan a mantener la integridad,

confidencialidad y disponibilidad de los datos dentro de los sistemas de

aplicación, redes, instalaciones de cómputo y procedimientos manuales.

CAPÍTULO I

INTRODUCCIÓN

1. Tema

Análisis de la gestión de seguridad informática en servidores

dedicados y vps de la empresa Reinec C. Ltda.

1.2. Problema

El problema mayor que enfrenta la empresa Reinec C. Ltda es la

vulnerabilidad a ataques de DDoS, sobrecarga en los servidores por

cuentas hospedadas que sobrepasan los recursos, porque la información

que maneja es uno de los activos más importantes como es la base de

datos de los páginas web, los correos creados en su cuenta de hosting

del usuario, la información que hospedan los servidores dedicados de los

clientes Corporativos grandes. Al haber un ataque de denegación de

servicio esto afecta a la empresa y a los clientes.

En la actualidad un administrador de red aunque se preocupe de la

seguridad en los servidores, cuando llega a tener problemas el tiempo

que emplea es mucho mayor al que podría demorar si existiera alguna

política o procedimiento para el uso correcto de los recursos informáticos.

Sin la búsqueda de vulnerabilidades, las empresas crean una idea

errada de su seguridad, piensan que la seguridad de su información es

muy poco vulnerable, sea porque nunca se han visto afectados o tal vez

lo están siendo sin saberlo.

Introducción 3

1.3. Campo de acción

El campo de acción para obtener el análisis será el siguiente:

Área académica: Comunicaciones

Línea de Investigación: Metodología de análisis de seguridad.

Sublínea de Investigación: Sobrecarga y ataques en servidores

dedicados.

Delimitación Espacial: El presente trabajo de investigación se realizara

en la empresa Reinec C. Ltda. Ubicada en Guayaquil en Av. Rodrigo

Chávez S/N y Av. Juan Tanca Marengo, Parque Empresarial Colón,

Edificio Empresarial 5 Piso 1 Oficina 114.

1.4. Antecedente

La empresa Reinec C. Ltda. Fue creada en 2001 en los Estados

Unidos de América por el empresario Ec. Juan Alfredo Triviño. Desde esa

fecha hasta ahora la empresa ha incursionado en el mundo del Internet

hospedando sitios Web con la más alta Tecnología con servidores en los

Estados Unidos, Europa y Ecuador, siendo así la primera empresa

Ecuatoriana especializada en este servicio (Hospedaje web). Reinec C.

Ltda está patentado y protegido por las leyes y derechos de Copyright.

Los nombres de los planes, productos y servicios son exclusivos de

EcuaHosting.NET, EcuaWeb.Com, vps.EC EcuaMailing.Com marcas

líderes a nivel nacional.

Organización de la empresa.- Reinec C. Ltda es una empresa

que vende servicios de internet como hospedaje web, registro de

dominios genéricos y además es también Agente Registrador de

Dominios TLD .EC de Ecuador y sus dominos derivados .ec también

llamado registrar.

Introducción 4

La empresa consta con 15 trabajadores permanentes distribuidos

en diferentes áreas y Outsourcing o técnicos independientes.

DIAGRAMA No.1

LA ORGANIZACIÓN DE LA EMPRESA

Fuente: Investigación directa Elaborado por: Cedeño Castro Leydy Alejandra

Clasificación Industrial Internacional Uniforme (CIIU).-Tomando

como base la clasificación Industrial Internacional Uniforme de todas las

Actividades Económicas CIIU Rev. 4.0 de Naciones Unidas. La CIIU, sirve

para clasificar uniformemente las actividades o unidades económicas de

producción, dentro de un sector de la economía, según la actividad

económica principal que desarrolle.

La empresa Reinec está en la sección I (TRANSPORTE,

ALMACENAMIENTO Y COMUNICACIONES) (divisiones 60 y 64) en la

estructura esquemática por divisiones con el código I64 (CORREO Y

TELECOMUNICACIONES) con la estructura esquemática por grupos con

Gerente General

Desarrollo Web

Web Master

STAFF

Gerente Financiero

Control de Producción

Facturación/Ventas

STAFF

Soporte Técnico

Staff Soporte Feliz

Centro de datos

Data Center

Introducción 5

el código I642 de (TELECOMUNICACIONES) con estructura

esquemática por clases con el código 6422 de (SERVICIOS DE

TRANSMISIÓN DE DATOS A TRAVÉS DE REDES).

Producto o servicio que presta.- Reinec C. Ltda por medio de

sus marcas vende los siguientes servicios:

La Marca EcuaHosting.- www.EcuaHosting.NET es actualmente

por cantidad de usuarios el Mayor proveedor de Hosting Nacional provee

los siguientes servicios: Streaming de Audio, Hosting y mailing. Aloja el

62% de los sitios Nacionales y el 61% del tráfico de correo electrónico

nacional, ofreciendo:

Servidores Dedicados

Servidores Compartidos

Servidores Virtuales

Hosting Compartido Linux

Hosting Compartido Windows

Servidores Personalizados y Administrados

Manejo de Servidores

Marca EcuaMailing e-mail Marketing.- www.EcuaMailing.com

tiene Base de 1’200.000 de destinatarios a su alcance segmentación

nacional.

Soporte Técnico “Feliz”.- Servicio de Asistencia y Soporte 24/7

vía Help Desk, Chat Online y Telefónico www.soportefeliz.com

Ofreciendo una Robusta Experiencia PostVenta a los usuarios.

Plataforma de atención con asistencias numeradas.

Staff especialista Unix.

Staff especialista Microsoft Certificado.

Staff especialista en asesoría web.

Introducción 6

Servidores VPS (Servidores Privados Virtuales).- Tiene VPS,

Servicios Cloud, virtualizaciones y servidores Dedicados www.VPS.ec

para usuarios con mayor exigencia web y correos que no desean

compartir recursos.

Alojados en los mejores Data Centers Internacionales:

Frankfourt Alemania; Phoenix, AZ, USA; Scranton, PA, USA y Quito,

Pichincha, Ecuador.

Publicidad Web.- Certificada por Google, con todo el respeto,

experiencia y profesionalismo en publicidad.

Hospedaje Web (Windows y Linux). - El servicio tiene el lugar

más conveniente para el Hospedaje web. Sin banners, no pop ups, con

soporte real. Tiene un DataCenter seguro para su presencia en internet.

Diseño y desarrollo Web Sities.- Diseña páginas web dinámicas

y estáticas, según la necesidad y tipo de información que el usuario final

desee dar a conocer. Utilizando tecnologías disponibles, para facilitar un

medio atractivo, ergonómico y fácil de manejar.

Certificados SSL de Seguridad para Sitios Seguros https://

Registro de Dominios .ec.com en todas sus extensiones.- La

importancia de registrar un dominio de internet (red de identificación

asociada a un grupo de dispositivos o equipos conectados a la red),

radica en el hecho de que una vez que un dominio es registrado nadie

más puede registrar esa dirección. Registro de dominios de 1er nivel (.com

.net .org .biz .Info .etc.)

Filosofía corporativa.- Como parte de la filosofía estratégica de

Reinec C. Ltda tenemos la misión y visión de la empresa:

Introducción 7

Misión: Reinec C. Ltda. Es una empresa seria, eficiente y 100%

orientada al cliente, cuya misión es cumplir proyectos y trabajos

dando un servicio de calidad, y donde lo importante no sea vender,

sino satisfacer 100% las necesidades del cliente.

Visión: REINEC C. Ltda, se ha propuesto tener el mayor

reconocimiento a nivel nacional por el alto grado de satisfacción de

sus Clientes en cuanto al trato personalizado, flexibilidad, calidad y

disponibilidad, apoyada en el uso de las últimas tecnologías y en

un equipo de técnicos capacitados que se comprometen

íntegramente en resolver los problemas que presenten sus

Clientes.

14.1. Descripción del proceso de producción

1.4.1.1. Primer proceso - Solicitud de orden de compra

El cliente se registra en las páginas sean: Ecuaweb.com, Ecuaweb.net

EcuaHosting.net, Ecuamailing.com y vps.ec

Llega la orden a la plataforma Kayako desde las diferentes páginas.

La plataforma se encuentra dividida por áreas, las órdenes de compra

llega al departamento de Control de producción y facturación.

En el área se encuentran 4 asesores que deben abrir los tickets,

responderlos y cerrarlos resueltos el requerimiento del cliente sea de

órdenes de compras, pagos, documentos necesarios para el registro

de dominios .org.ec , .edu.ec , .gob.ec y consultas sobre el servicio

que poseen o desean adquirir.

1.4.1.2. Segundo proceso - Depuración del servicio solicitado

Se verifican los datos del cliente como:

Ruc de la empresa: Razón social, nombre comercial y representante

legal.

Dirección – país – provincia-ciudad.

Introducción 8

Teléfonos: convencional y celular.

Email: es muy importante para el envió de accesos al CPanel.

Registro mercantil para dominios .org.ec o Cesión de derecho del

dominio .ec.

Tipo de servicio periodo anual, trimestral o mensual.

Verificación que el dominio esté disponible para el registro y cumpla

con los caracteres mínimos que son 3 caracteres para poder registrar

el dominio.

1.4.1.3. Tercer proceso – Emisión de factura/Ingreso al Control de

registro y accesos

Emisión de Factura.- Se ingresa al sistema de facturación, se

ingresa al nuevo cliente, se escoge el producto, la comisión, se guarda y

se imprime.

Ingreso al Control de registro y accesos:

Si pago el servicio se ingresa al control de activación del día, con la

descripción del servicio y forma de pago.

El control de activación se divide en tres partes: Activación-

Renovaciones-Transferencias de dominio y Pago del día.

1.4.1.4. Cuarto proceso – Plataforma de registro dominios, acceso

WHM Cpanel

Plataforma de registro dominios:

Se ingresa a la plataforma de ecuaweb.net donde están los dominios

genéricos para activar y registrar el dominio. Se ingresan los datos del

cliente y se ingresan los dns para que se direccionen y propaguen a

los dns del servidor donde se encuentra el hosting.

Introducción 9

Se ingresa a la plataforma de registro de dominios ccTLD (Country

Code Top Level Domain) con extensión .ec, se ingresan los datos del

cliente y se ingresan los dns para que se direccionen y propaguen a

los dns del servidor donde se encuentra el hosting.

Acceso WHM Cpanel:

Se ingresa al servidor donde se creara el hosting Linux o Windows, se

da el espacio de almacenamiento, se ingresa el dominio, clave, correo

de contacto, dns, etc.

En el control de envió de accesos de datos técnicos se llenan los

campos como: El dominio, clave, correo de contacto, dns y se enviar.

En la plataforma de Ecuaweb.net se activan los Secure server

Windows y Linux, SSL, etc.

GRÁFICO No.1

PROCESO DE PRODUCCIÓN DE REINEC C. LTDA


1.5. Objeto de la investigación

Debido al número de cuentas que hospeda un servidor dedicado,

algunas veces un usuario específico puede estar consumiendo más de los

recursos de espacio asignado, provocando que el servidor se

Introducción 10

sobrecargue y el rendimiento se degrade, el servidor empezará a caerse y

todos los clientes experimentarán un tiempo de inactividad debido a una

página web que está sobrecargando el servidor. Además las

configuraciones por defecto insuficientes en los servidores dedicados y

aspectos como los ataques contra las aplicaciones web del servidor.

Muchas veces el daño no solo es sobrecarga, sino también

directamente desde el data center, en el año 2014 por el mes de marzo

las empresa sufrió daño en uno de los servidores ubicados en Arizona

Estados Unidos, la causa fue una ruptura en la red de fibra óptica, esto

provoco que muchos usuarios vip como instituciones privadas y públicas

sufran perdidas económicas. De allí la importancia de analizar las

políticas de seguridad con el propósito de proteger la información de la

empresa.

La implementación de medidas de seguridad que ayuda a proteger

la integridad, privacidad y disponibilidad de las bases de datos que se

enlazan con servidor para el correcto funcionamiento del sistema de

control de producción. El análisis de riesgos permite tomar decisiones de

inversión en tecnología, desde la adquisición de equipos de producción

hasta el despliegue de un centro alternativo para asegurar la continuidad

de la actividad, pasando por las decisiones de adquisición de

protecciones técnicas y capacitación del personal.

1.6. Justificación de la investigación

Un sistema de seguridad es un conjunto de elementos tanto físicos

como lógicos que se encarga de prevenir o remediar posibles riesgos que

se puedan presentar en un determinado momento, una de sus principales

características es ser proactivo, un buen sistema de seguridad ayuda

bastante en el trabajo, la producción y minimizan las tareas de corrección.

En las organizaciones existen activos tangibles e intangibles, en un

comienzo lo importante para estas era lo tangible sobre lo intangible, con

Introducción 11

el tiempo la prioridad de cada uno fue cambiando, para algunas

organizaciones es más importante la información que almacenan que el

equipamiento o infraestructura.

Medina, Wilmer (2014) manifiesta que:

Para aprovechar al máximo los recursos de los

servidores dedicados, los negocios deben asegurarse

que los proveedores del servicio son genuinos y

tienen la habilidad de crecer junto con el crecimiento

del negocio y llenar siempre las necesidades que

vayan surgiendo. Hay reportes que revelan que

muchos negocios han experimentado un desempeño

muy lento a causa del servidor en el cual están

hospedados, causándoles grandes pérdidas, puntos

esenciales que se deben tener en cuenta:

El centro de datos debe ser de un alto grado de

calidad.

Investigar el tipo de hardware que están utilizando

para el servicio de hospedaje web.

El porcentaje de tiempo en línea o disponibilidad

de la red ellos dan para sus aplicaciones.

Un aspecto importante que parecer suficientemente indiscutible y

que posiblemente algunos administradores de sistemas informáticos

vigilan y realizan son los respaldos de la información las bases de datos.

Si no hay un esquema sólido de respaldos, simplemente hay que

empezar a hacerlo diariamente, lo cual permite estar seguros de que

nuestra información está segura; teniéndola respaldada de tal forma que

si algo trágico acontece con nuestro servidor dedicado, poder recuperar al

menos la mayor parte de la información almacenada desde la fuente de

respaldos que tengamos.

Introducción 12

Existen ciertas tecnologías que permiten apoyarnos para obtener

estrategias de Backups como lo son rsync, tar y similares que permiten

transferir archivos de forma rápida. Además se debe tener cuidado al

migrar las bases de datos de MySQL debido a la importancia que tiene en

el servidor para el proceso del desarrollo web y visibilidad de los sitios

web almacenados. Desde el punto de vista económico es factible la

creación de este proyecto, porque ayudara a la empresa a mejorar y tener

control de sus activos que son las bases de datos de páginas webs,

software, hardware y el servidor de dominio.

1.7. Objetivos

1.7.1. Objetivo general

Analizar una metodología de gestión de riesgos de los sistemas de

Información de seguridad informática para los servidores dedicados de la

empresa Reinec C. Ltda, facilitando al administrador información

necesaria sobre las vulnerabilidades y peligros que presenten.

1.7.2. Objetivos específicos

Examinar el estado de los servidores de la empresa REINEC.

Distinguir las herramientas necesarias para desarrollar una política de

seguridad.

Constatar una gestión proactiva que nos ayude a identificar las

vulnerabilidades potenciales que se manifiesten y provoquen una

degradación en la calidad del servicio.

CAPÍTULO II

MARCO TEÓRICO

2.1. Marco teórico

En el presente capítulo se dará a conocer incidentes sobre

seguridad informática, conceptos sobre seguridad informática, legislación

ecuatoriana, política de seguridad, entre otros, además se dará a conocer

el tipo de firewalls que usan los servidores de la empresa.

2.1.1. Antecedentes del estudio

Los siguientes antecedentes son casos sobre seguridad informática

que nos dan pautas para el desarrollo del tema.

2.1.1.1. Incidentes de seguridad informática

1.- (Sabnis S., 2014). Seguridad informática en entornos virtuales.

Sabnis, S., Verbruggen, M., Hickey, J. and McBride, A. J. (2012). Hacen

mención de algunos aspectos para la aplicación de seguridad en entornos

virtuales al inicio de su diseño, por ejemplo: clasificación del tráfico e

información real entre máquinas virtuales, mecanismos de autentificación

y controles de acceso robustos, controles para el acceso y la operación,

corrección de vulnerabilidades e instalación de actualizaciones de

seguridad, así como configuración de auditoría y escaneo de

vulnerabilidades.

Se debe considerar la utilización de VLAN para la separación del

tráfico entre máquinas virtuales, lo que permitirá cierto nivel de

aislamiento entre cada una de ellas. La utilización de firewalls personales

Marco Teórico 14

en cada una de las máquinas también constituye una línea de defensa,

puede administrar el tráfico de red permitido desde y hacia cada una de

las máquinas.

Otra opción es el empleo de switches virtuales, éstos pueden

segmentar la red y controlar el tráfico, sobre todo cuando varias máquinas

virtuales hacen uso de una sola interfaz física (Pág. 3).

2.- (Ropero, 2014). Obtención de contraseña administrativa en

Cisco WebEx Meetings Server. Se ha anunciado una vulnerabilidad en

Cisco WebEx Meetings Server Enterprise License Manager que podría

permitir a atacantes remotos autenticados obtener la contraseña de

administrador de Cisco WebEx Meetings Server.

El problema se debe a que la página web del Enterprise License

Manager incluye la contraseña administrativa en el código fuente de la

página. Esto puede permitir a cualquier usuario remoto autenticado

obtener la contraseña de forma sencilla, con tan sólo visualizar el código

de la página. Los usuarios afectados deberán contactar con su canal de

soporte para obtener versiones actualizadas, ya que Cisco no ofrece

actualizaciones gratuitas para los problemas considerados de gravedad

baja a media.

3.- (Luz, 2015). Los ataques DoS contra la capa de aplicación

aumentan, dejando de lado los de infraestructura. Los cibercriminales

poco a poco se están centrando más en atacar contra la capa de

aplicación en lugar de hacerlo a nivel de infraestructura. El objetivo de un

ataque DoS contra la capa de aplicación es dejar inaccesible el servicio

que la aplicación presta, como por ejemplo tirar una página web que usa

Apache como servidor web.

Para lograr el objetivo de dejar inaccesible el servicio, se

aprovechan de fallos de diseño en los protocolos de comunicaciones de

Marco Teórico 15

esta capa o fallos de seguridad en las propias aplicaciones. Al contrario

que los ataques contra la infraestructura, donde el objetivo es agotar el

ancho de banda, memoria o CPU del servidor a través del envío de

millones de paquetes, un ataque contra la capa de aplicación necesita un

ancho de banda muchísimo menor en comparación con el conocido

ataque SYN Flood en TCP, por lo que no es necesario una gran

infraestructura para lanzar dicho ataque.

Uno de los grandes problemas de un ataque contra la capa de

aplicación está en que es muy difícil diferenciar el tráfico malicioso del

legítimo, la mayor de protecciones más habituales como cortafuegos,

sistemas IDS/IPS se centran en la capa de red o de transporte. La

mayoría de los ataques contra la capa de aplicación van dirigidos al

protocolo HTTP que es el más utilizado, y por tanto el que más interesa

atacar por parte de cibercriminales.

4.- (Ortega, 2015). Cibermafias atacaron a 17 empresas

ecuatorianas. El virus se propagó desde la mañana del lunes 19 de enero.

Por la tarde, expertos en seguridad informática ya conocieron las primeras

infecciones. El ‘malware’ avanzó y en cinco días penetró en los

ordenadores de unas 17 empresas privadas e instituciones públicas de

Quito, Guayaquil y Cuenca.

El programa maligno ingresó en las computadoras y encriptó

archivos sensibles: documentos levantados en Word, Excel, Autocad. Una

de las empresas atacadas perdió carpetas en las que se almacenaban

datos del departamento de contabilidad. Tras la infección, las compañías

comenzaron a notificar de los daños a GMS (Seguridad y Consultoría

Informática), una de las cinco empresas que en Ecuador cubre mega

plataformas informáticas.

Reportes de la Fiscalía corroboran esa afirmación. En los últimos

dos años, ese organismo registró delitos informáticos relacionados sobre

Marco Teórico 16

todo con la clonación de tarjetas de crédito y robo de claves bancarias. En

Ecuador están registradas más de 67 000 empresas, pero el ataque a 17

llamó la atención, porque se consideró que la difusión del virus fue

sostenido y masivo. Hasta el 2014, esos hechos eran aislados.

Los técnicos analizaron los ordenadores infectados y detectaron

que se trataba del virus denominado cryptolocker, un potente ‘malware’

que llega a los usuarios a través de correos electrónicos con información

aparentemente útil. De las alertas que divulgaron las compañías

afectadas se conoce que el programa utilizó una falsa fachada con el

asunto ‘facturación electrónica’. Los técnicos no descartan que el

‘malware’ se haya propagado en Ecuador tomando en cuenta la

coyuntura, pues desde el 1 de enero de este año se exige la emisión de

estos documentos digitales. Una de las principales recomendaciones para

evitar la infección es revisar que la empresa que envía el correo

electrónico sea conocida.

2.2. Fundamentación teórica

Los conceptos teóricos nos permiten tener fundamentos sobre los

diferentes conceptos que definen un tema, algunos son de conocimiento

personal y otros de son de diferentes autores que nos permiten tener

bases teóricas para el desarrollo pertinente y significativo del trabajo de

titulación.

2.2.1. Seguridad informática en entornos virtuales

La seguridad informática se puede definir como un conjunto de

procedimientos, dispositivos y herramientas encargadas de asegurar la

integridad, disponibilidad y privacidad de la información en un sistema

informático e intentar reducir las amenazas que pueden afectar. La

seguridad informática comprende software, bases de datos, metadatos,

archivos y todo lo que la organización valore o considere como un activo y

Marco Teórico 17

signifique un riesgo si ésta se pierde o llega a manos de otras personas. A

este tipo de información se le conoce como información privilegiada o

confidencial.

Un sistema informático puede ser protegido desde un punto de

vista lógico mediante software o físico mediante hardware y también

vinculado al mantenimiento eléctrico, del aire acondicionado por ejemplo.

Las amenazas lógicas pueden proceder desde programas dañinos que se

instalan en la computadora del usuario como un virus o llegar por vía

remota los delincuentes o hackers que se conectan a Internet e ingresan

a distintos sistemas.

Entre las herramientas más conocidas de seguridad informática, se

encuentran los programas antivirus, los cortafuegos (firewalls) y el uso de

contraseñas (passwords). Sin embargo los departamentos responsables

de la seguridad informática de la empresa deben preocuparse por el

cumplimiento de las normativas y regulaciones de seguridad.

2.2.2. Servidor dedicado

Un servidor dedicado es una máquina virtual remota alojado en un

DataCenter en cierto lugar del mundo, las características que posee es

exclusivamente para uso de la cuenta adquirida, permitiendo que el

usuario instale cualquier aplicación compatible con el sistema operativo.

Cuando un servidor dedicado es usado para aplicaciones y alojamientos

webs convencionales (hosting) es llamado servidor compartido porque

comparte los recursos con las cuentas hospedadas allí, bajando el

rendimiento del servidor.

El manejo de un servidor dedicado se lo realiza por medio de un

potente programa que permite el acceso administrativo a la parte final de

cPanel, WHM (Web Host Manager)/cPanel (control Panel) en servidores

Linux, para servidores Windows usa la plataforma Parallels Plesk, que

Marco Teórico 18

permiten la administración remota de los recursos y características que

poseen desde el lugar en se encuentre. Pero en el caso que el usuario

adquiera un servidor con Sistema Operativo Windows Servers la interfaz

de usuario depende de la aplicación que instale para manejarlo

virtualmente.

2.2.3. Servidor virtual privado (VPS)

La división del servidor dedicado en partes muchos más grandes

que un hosting hacen a los vps en servidores semicompartidos porque

comparte menos recursos que un servidor compartido, permitiendo que

cada vps puede usar un sistema operativo diferente, recursos y banda

ancha diferente pero dependiendo así del servidor dedicado.

2.2.4. Análisis del diseño de servidores de seguridad

El Análisis del diseño de servidores de seguridad permite elegir un

software para el servidor de seguridad apropiado para una zona segura

de la red interna y red externa de internet en la empresa, permitiendo

demonstrar las diferentes clases de servidores de seguridad útiles y

resaltando características que permitan proteger la información. Los

puntos que analizáremos son: Arquitectura de la red, información para el

diseño, servicios existentes, disponibilidad y la escalabilidad.

2.2.5. Arquitectura de la red

(Microsoft, 2015). En una arquitectura de red empresarial,

generalmente, existen tres zonas como que se explican a continuación:

Red de borde.- Permite ir directamente a Internet a través de un

enrutador que debe proporcionar una capa de protección inicial, en

forma de filtro de tráfico de red básico. El enrutador transmite datos a

través de la red perimetral por medio de un servidor de seguridad

perimetral.

Marco Teórico 19

Red perimetral.- Es denominada DMZ (red de zona desmilitarizada) o

red de extremo, relaciona los usuarios entrantes a los servidores Web

u otros servicios así los servidores Web se enlazan a las redes

internas a través de un servidor de seguridad interno.

Redes internas.- Enlazan a los servidores internos, como el servidor

SQL y los usuarios internos que se conectan por medio de un sistema.

2.2.6. Servidor de seguridad

Un servidor de seguridad comprueba los paquetes IP entrantes y

bloquea los que considera intrusos. Algunos bloqueos se pueden llevar a

cabo al reconocer de forma predeterminada que algunos paquetes no son

válidos y otros al configurar el servidor de seguridad para que los bloquee.

El Protocolo de control de transmisión/Protocolo de Internet (TCP/IP) se

diseñó hace muchos años, representar todas las reglas de comunicación

para Internet y se basa en la noción de dirección IP pero sin tener en

cuenta los problemas de seguridad ni las intrusiones.

Por ejemplo, el Protocolo de Mensajes de Control y Error de

Internet (ICMP) se diseñó como un mecanismo de señales dentro de

TCP/IP, pero está expuesto al abuso y puede provocar problemas como

ataques de denegación de servicio (DoS). Un servidor de seguridad tiene

una capacidad más restringida que un servidor de seguridad interno,

porque el tráfico entrante es más limitado cuando su destino válido es el

servidor Web u otros servicios especiales.

Para seleccionar un servidor se debe determinar cuáles son las

necesidades de la empresa teniendo en cuenta las siguientes

consideraciones:

Servicios existentes.- Puede que ya haya servidores de seguridad

en el entorno que se puedan volver a utilizar, o enrutadores que

dispongan de un conjunto instalado de características de servidor de

Marco Teórico 20

seguridad. El Proveedor de servicios de Internet (ISP) puede implementar

a su vínculo restricciones de servidor de seguridad en efecto, tenemos la

limitación de velocidad cuando se le envían ciertos paquetes, permitiendo

reducir los ataques de denegación de servicio distribuido (DdoS) cuando

varios terceros equipos bombardeen simultáneamente la red.

Se debe solicitar a su ISP el filtrado de acuerdo con Asignación de

direcciones para Internet privada (RFC1918) este proceso hace que las

rutas hacia muchos clientes pueden ser agrupadas, y aparecerán a los

demás proveedores como una sola ruta [RFC1518], [RFC1519] y RFC

2827 que es Red de filtrado de entrada permitiendo la derrota de ataques

de denegación de servicio que emplean Fuente Dirección IP Spoofing en

los servidores.

2.2.7. Disponibilidad

La empresa Reinec C. Ltda., ofrece un servicio de servidor Web

público permitiendo que los usuarios se puedan conectar las 24/7,

haciendo que se necesite casi un 100% de tiempo de actividad. Con

cualquier servidor de seguridad hay siempre una posibilidad de error, por

lo que necesitará reducirlos al mínimo. Para esto tenemos dos métodos

que son Componentes redundantes y Dispositivos duplicados.

Componentes redundantes.- La duplicación de los componentes

con más posibilidades de dar error, como la fuente de alimentación,

mejora la resistencia del servidor de seguridad, puesto que se puede

producir un error en el primer componente sin que ello afecte al

funcionamiento.

Los servidores de seguridad de bajo costo no disponen

habitualmente de ninguna opción redundante; aumentar la resistencia de

dichos servidores supone un costo añadido sin que aumente la capacidad

de procesamiento.

Marco Teórico 21

Dispositivos duplicados.- La duplicación del dispositivo de

servidor de seguridad proporciona un sistema totalmente resistente pero

tiene un costo considerable, ya que requiere también un cableado de red

duplicado y conectividad duplicada en los enrutadores o conmutadores a

los que se conecta el servidor de seguridad. Pero la ventaja es que se

tiene Backups o respaldos de la información en varios servidores,

permitiendo la disponibilidad de la información almacena de la empresa

evitando perdida de dinero y tiempo.

2.2.8 Análisis de la Gestión remota en servidores

2.2.8.1. Secure Shell (SSH)

Es un protocolo de red que permite el intercambio de datos sobre

un canal seguro entre dos computadoras. SSH usa técnicas de cifrado

que hacen que la información que viaja por el medio de comunicación

vaya de manera no legible y ninguna tercera persona pueda descubrir el

usuario y contraseña de la conexión ni lo que se escribe durante toda la

sesión. SSH usa criptografía de clave pública para autenticar el equipo

remoto y permitir al mismo autenticar al usuario. El puerto ssh permite

subir archivos de manera segura al servidor.

El protocolo SSH consta de tres componentes principales:

El Protocolo de capa de transporte proporciona autenticación de

servidores, la confidencialidad y la integridad con la confidencialidad

directa perfecta.

El Protocolo de autenticación de usuario autentica el cliente al

servidor.

El Protocolo de conexión multiplexa el túnel encriptado en varios

canales lógicos.

Marco Teórico 22

El protocolo SSH se utiliza con frecuencia para tunelizar tráfico

confidencial sobre Internet de una manera segura. Por ejemplo, un

servidor de ficheros puede compartir archivos usando el protocolo SMB

(Server Message Block), cuyos datos no viajan cifrados. Esto permitiría

que una tercera parte, que tuviera acceso a la conexión pudiera examinar

a conciencia el contenido de cada fichero trasmitido.

Para poder utilizar el protocolo SSH se necesitan dos programas:

uno que hará de servidor SSH que es el server Web y otro que se instala

en una máquina para acceder remotamente que se denomina cliente.

GRÁFICO No. 2

CONEXIÓN MEDIANTE TÚNEL SSH


2.2.8.2. Uso de Contraseñas

Para la creación de una contraseña robusta la longitud mínima

debe ser de ocho caracteres, que combine mayúsculas, minúsculas,

números y símbolos, no se debe utilizar palabras sencillas en cualquier

idioma, nombres propios, lugares, combinaciones excesivamente cortas,

fechas de nacimiento, etc.

Por tal motivo la importancia de que en los datos técnicos que se le

envían al cliente, cuando se le crea la contraseña de ingreso al CPanel

del usuario debe ser segura y contener lo citado anteriormente para

Marco Teórico 23

impedir ser descifrada por intrusos, así mismo si el usuario usa

aplicaciones con sistema de gestión de contenidos (CMS) debe crear una

contraseña robusta al ingreso del administrador del sitio web. Otro punto

importante sería que la base de datos debe contener una contraseña

distinta a la de ingreso del Cpanel evitando ser descifrada.

2.2.9. Ataques y defensa del sistema del servidor

Algunos de los ataques al sistema más identificados, para usar un

servicio de servidor de seguridad como principal línea de defensa

tenemos el Sistema de detección de intrusiones (IDS), Sistema de

prevención de intrusiones (IPS) Firewalls, Hardening. Para ello se

identificara primero que es un ataque externo e interno.

Ataques externos.- Afectan de forma adversa a la empresa, como

robar información confidencial para sacar algún beneficio, un servidor de

seguridad permite el registro de intrusiones que tiene una servidor

dedicado virtual esto permite que el administrador pueda tomar decisiones

de seguridad. Si no fuera así el atacante descubre la parte más vulnerable

para atacar la disponibilidad del servicio, que en el caso de la empresa

seria las los usuarios o aplicaciones hospedados allí.

Ataques internos.- Se basa en información importante de la

empresa que debe ser protegida de determinados usuarios, empleados y

proveedores por ejemplo, en el momento de enviar los datos técnicos de

ingreso a un panel de control al cliente se debe tener cuidado de solo

enviar la información necesaria al cliente que administrara el espacio de

hospedaje web (hosting) contratado.

2.2.9.1. Tipos de intrusión

(Microsoft, 2015). Las amenazas de intrusión pueden tomar

diversas formas, escribirlas todas sólo tendría un objetivo limitado, puesto

que se crean otras nuevas a diario. Algunas intrusiones, como hacer ping

Marco Teórico 24

a una dirección de servidor, pueden ser inofensivas, pero una vez

descubierta la presencia de un servidor, el intruso puede intentar un

ataque más grave.

Algunas de las principales intrusiones son:

Rastreadores de paquetes.- Un rastreador es una aplicación de

software o un dispositivo de hardware que se conecta a la LAN y captura

información de las tramas Ethernet.

Los rastreadores actúan de forma revuelta; es decir, están atentos

a los paquetes que son transportados. De allí la importancia de usar

aplicaciones seguras porque muchas envían la información de nombre de

usuario y contraseña del panel de control en texto no cifrado, permitiendo

que los rastreadores puedan leer y tener acceso a muchas aplicaciones.

Suplantación de IP.- La suplantación en el protocolo de Internet

(IP) se produce cuando se cambia la dirección de origen de un paquete IP

para eludir los controles de seguridad para conectarse con la red. Esto

permite enviar paquetes pero omite la dirección de origen permitiendo que

un intruso envié paquetes destructivos al sistema ocultando el origen de

donde proviene el ataque llamándose así suplantación que habitualmente

es usado para realizar ataques de denegación de servicios.

Si esto ocurre en un servidor de hospedaje web hace que se

sobrecargue el servidor haciendo que los usuarios hospedados allí por

cierto tiempo sus cuentas estén inhabilitados, causando perdida a la

empresa proveedora y al cliente. Para evitar la suplantación de IP se

puede usar mecanismos como control de acceso, Filtrado de entrada RFC

2827, la mayoría de servidores modernos tienen la posibilidad de impedir

la suplantación de IP entrante.

Ataques de denegación de servicio.- Difieren de otros tipos de

ataque en que no causan un daño permanente a la red, sino que intentan

Marco Teórico 25

que ésta deje de funcionar bombardeando un servidor o un dispositivo de

red o reduciendo el rendimiento de los vínculos de red hasta el punto que

provoca descontento en los clientes y pérdida de negocio para la

empresa.

Ataques a aplicaciones CMS.- (Microsoft, 2015). Los ataques a

aplicaciones suelen ser los más divulgados y frecuentemente aprovechan

los puntos débiles conocidos de servidores web y servidores de bases de

datos. La mayoría de los ataques son contra deficiencias conocidas del

producto, por lo que la mejor defensa es instalar las últimas

actualizaciones de los fabricantes.

Actualmente por la facilidad y economizar el diseño de una página

algunos desarrolladores web usan aplicaciones gratis como Joomla,

WordPress entre otras, pero olvidan algo importante poner módulos de

seguridad y que las aplicaciones siempre se deben estar actualizando,

igualmente darles mantenimiento cada cierto tiempo; porque son páginas

dinámicas a diferencia de una estática que normalmente usa un lenguaje

de programación más seguro.

2.2.10. Defensa del sistema

Un sistema de defensa permite prevenir intrusiones no deseadas,

tener un control de accesos seguro, control de aplicaciones, poder realizar

filtrado web, control de virus, spyware y malware.

2.2.10.1. IDS (Sistema de detección de intrusiones)

El sistema de detección de intrusiones es el proceso de monitorizar

un sistema, en busca de violaciones de políticas de seguridad,

permitiendo proporcionar eventos que afecte al sistema, que actúa según

los resultados de análisis de evidencias de intrusiones y problemas de

seguridad que normalmente se da por el diseño, el desarrollo y la gestión.

Marco Teórico 26

Diseño y desarrollo.- Los problemas causados por diseño y

desarrollo ineficaces afectan al software como al hardware. Por ejemplo

común es cuando un usuario malicioso hace una inyección SQL de código

intruso dentro del código SQL programado, esto altera al software

logrando así que se ejecute en la base de datos de la página web

afectando así al cliente, esta cuenta le es suspendida para proteger al

servidor, se le notifica al cliente por medio de un reporte de que ha sido

hackeado.

Gestión.- La incorrecta configuración del sistema encargado de

protegerlo o la falta de mantenimiento del servidor. Por ejemplo, el

problema común que tiene la empresa Reinec C.Ltda. Es la inadecuada

aplicación de permisos en los archivos del sistema de seguridad. Por lo

cual un administrador debe evitar las incorrectas configuraciones, dar

mantenimiento constantemente al servidor evitará muchos problemas, por

eso la gran importancia de realizar respaldos diariamente del sistema de

la empresa, archivos importantes y página web.

2.2.10.2. IPS (Sistema de prevención de intrusiones)

El sistema de prevención de intrusiones monitorea el tráfico de una

red, para prevenir que se filtre cualquier actividad maliciosa provocando la

caída del servidor y la transmisión de información, inmediatamente se

bloquea la transmisión evitando posibles daños o distorsiones en la

transferencia de datos.

Tomado de (Microsoft, 2015).

Características de IPS:

Protección contra amenazas avanzadas.

Visualizar y correlacionar, grandes cantidades de información y

actividades relacionadas en entornos de aplicaciones de TI, usuarios,

Marco Teórico 27

dispositivos, sistemas operativos, servicios, procesos, comportamiento

de la red, archivos y amenazas.

Automatización de seguridad, mediante el monitoreo del impacto por

evento, gestión de políticas, análisis del comportamiento de la red e

identificación de usuarios.

Rendimiento y escalabilidad, incorporando una baja latencia y

adaptabilidad de acuerdo a las necesidades que se vayan

presentando en la seguridad de las redes. Tiene velocidad de

rendimiento para la inspección de amenazas y filtrado de paquetes.

Control de aplicaciones y filtrado de URL, reduciendo la superficie de

ataques a través de un control granular de aplicaciones y URLs.

Protección contra malware avanzado, bloqueando el malware a través

de la red y análisis retrospectivo de alerta continúa.

Los IPS permiten una adecuada reacción automática para prevenir

de intrusiones al control de acceso a la red, evitando ataques y abusos

que dañen el sistema, siempre que estén debidamente configurados e

instalados con el fin de maximizar su nivel de precisión. Los Sistema de

prevención de intrusos reaccionan de forma automática a las alarmas por

ejemplo reconfigurando firewall del servidor, actualizando la lista negra del

firewall, bloqueando puertos e IP públicas.

2.2.10.3. Firewalls

Elemento basado en Hardware, Software o en una combinación de

ambos, que controla el flujo de datos que entra y sale de una red. Por

ejemplo, si un terminal de la red intenta enviar un paquete a una dirección

IP no autorizada, el Firewall rechazará éste envío impidiendo realizar ésta

transmisión. Con el Firewall se puede definir tamaños de paquetes, IP con

las que no interesa comunicación, deshabilitación de envíos o recogida de

paquetes por determinados puertos, imposibilitar el uso del comando

Finger que muestra información del usuario, etc.

Marco Teórico 28

2.2.11. ¿Qué es CSF (ConfigServer Seguridad y Firewall)?

Es un cortafuego, inspector de paquetes, detector de intrusiones y

aplicación de seguridad para servidores Linux. CSF configurar el

cortafuego del servidor para bloquear el acceso del público a los servicios

y sólo permita ciertas conexiones, como iniciar sesión en FTP, revisar su

correo electrónico, o cargar sus sitios web.

Es un escáner de intrusiones que revisará los archivos de logs de

ingreso indebido de contraseñas y monitorizará los intentos de acceso

erróneo a servicios como por ejemplo, ingreso al cPanel, acceso FTP,

bloqueando cualquier intento no legítimo.

El ConfigServer Security & Firewall - csf genera reportes y son

enviados al usuarios para que pueda ser desbloqueado.

Permite realizar revisiones básicas como:

La correcta o incorrecta configuración de PHP, APACHE y MySQL

Revisar la configuración de puertos para envío y recepción de emails.

Revisar configuración del SSH

Revisar algunos servicios básicos de un servidor Linux

Revisar el montaje de las carpetas /tmp

2.2.11.1. Configuración

Toda la configuración de CSF se guarda en un solo archivo que se

puede editar:

nano /etc/csf/csf.conf

Cada vez que hagas un cambio tienes que reiniciar CSF para que

regenere las reglas de iptables.

csf –r a) Abrir y cerrar puertos

Marco Teórico 29

Dependiendo que servicios se vayan a instalar se tendrá que dejar

abiertos unos puertos. CSF, por defecto, crea una lista de puertos tanto

de entrada como de salida que cubre un catálogo amplio.

TCP_IN = 20,21,22,25,53,80,110,143,443,465,587,993,995

TCP_OUT = 20, 21, 22, 25, 53, 80,110,113,443

UDP_IN = 20, 21, 53

UDP_OUT = 20, 21, 53, 113,123

Lo básico es que la máquina permita conectarse por SSH y que

pueda responder al PING y a las peticiones DNS. Estos son los puertos

que se debe dejar abiertos:

TCP_IN: 22,53

TCP_OUT: 22, 53, 80, 113,443

UPD_IN: 53

UPD_OUT: 53, 113,123

Para el servidor web, sea Apache o Nginx necesitara:

TCP_IN: 80,443

Para acceder por FTP, aunque mejor sería usar SFTP por

seguridad esta es la configuración:

TCP_IN: 20, 21

TCP_OUT: 20, 21

UPD_IN: 20, 21

UPD_OUT:20,21

Las bases de datos MySQL usan el puerto 3306 pero solo hay que

dejarlo abierto para poder acceder desde otra máquina:

TCP_IN: 3306

TCP_OUT: 3306

Y para el servidor de correo:

Marco Teórico 30

TCP_IN: 25, 110, 143, 587, 993,995

TCP_OUT: 25,110

b) Más configuraciones de seguridad

Además de lo de los puertos en el fichero de configuración vienen

explicadas en los comentarios todas las acciones que puede ejecutar

CSF.

Estas son las más básicas:

ICMP_IN permite activar y desactivar si queremos que el VPS responda a

los PINGs.

ICMP_IN_LIMIT establece la cantidad de PINGs por segundo que

permitirá.

DENY_IP_LIMIT establece el número de IPs que mantendrá en la lista

de bloqueadas.

Si la lista es muy larga el rendimiento bajará. Por lo cual se debe

poner un límite normal.

DENY_TEMP_IP_LIMIT marca el tiempo que mantendrá el bloqueo.

PACKET_FILTER rechaza los paquetes de datos no validos o no

solicitados.

CONNLIMIT limita el número de conexiones concurrentes en un puerto.

PORTFLOOD limita el número de conexiones en un intervalo de tiempo a

un puerto en concreto.

c) Guardar los cambios

Una vez terminada la configuración se guarda el archivo csf.conf y

se reinicia el servicio csf -r. Terminada la configuración del firewall no

funcionará hasta que en el archivo se cambie el valor de TESTING a 0.

Marco Teórico 31

CSF tiene dos medidas de seguridad por si hay una equivocación: una es

agregar tu IP al archivo csf.allow para que no se apliquen las reglas del

firewall y la otra es dar 5 minutos de gracia hasta que se activa la

configuración.

GRÁFICO No. 3

CSF DEL SERVIDOR PARA BLOQUEAR EL ACCESO


2.2.11.2. Reportes del Firewall - csf

Los siguientes reportes son generados por el Firewalls que posee

cada servidor los cuales son enviados al directamente SuperAdmin

encargado de la seguridad de los servidores de la empresa Reinec C.

Ltda, luego es enviado el reporte al área de soporte el cual se encarga de

comunicar al usuario sobre la intrusión causada.

Primer reporte sobre software obsoleto y vulnerable lo vemos en el

anexo 1 el cuál es enviado al usuario para que tome las siguientes

medidas de seguridad.

Por favor, asegúrese de que su cliente:

Actualice todos los softwares que se ejecutan en está cuenta.

Compruebe todos los archivos.

Cambie todas las contraseñas (Cpanel, FTP, buzones de correo,

bases de datos, administración de software, etc.).

Marco Teórico 32

Aviso: La cuenta no ha sido suspendida, así que es urgente

solucionar el problema porque los hackers aún tienen acceso a la cuenta

y se vuelva a cargar su basura y enviar spam o lo que sea.

Segundo reporte de estilodintex.com enviando SPAM y hackeada

lo vemos en el anexo 2.

Desde [email protected] se está enviando SPAM y Pishing

aquí el reporte.

Aviso: Cambie las contraseñas, la casilla ha sido eliminada no la

cree con las mismas claves ni en la misma PC que está infectada.

Fuente: Reportes de los servidores de la empresa Reinec C. Ltda.

2.3. Fundamentación legal

2.3.1. Legislación ecuatoriana sobre delitos informáticos

En la legislación del Ecuador bajo el contexto de que la información

es un bien jurídico a proteger, se mantienen leyes y decretos que

establecen apartados y especificaciones acorde con la importancia de las

tecnologías, para ello la Ley de Comercio Electrónico, Firmas Electrónicas

y Mensajes de Datos la empresa Reinec lo especifica en los contratos de

servicios ver anexo 3.

2.3.2. La organización de naciones unidas y los delitos

informáticos

El Manual de las Naciones Unidas para la Prevención y Control de

Delitos Informáticos señala que cuando el problema se eleva a la escena

internacional, se magnifican los problemas y las insuficiencias, por cuanto,

los delitos informáticos constituyen una forma de crimen trasnacional y su

combate requiere de una eficaz cooperación concertada.

Marco Teórico 33

La Organización de Naciones Unidas (ONU) reconoce los

siguientes tipos de delitos informáticos:

Fraudes cometidos mediante manipulación de computadoras.

Manipulación de los datos de entrada, este tipo de fraude informático

conocido también como sustracción de datos, representa el delito

informático más común ya que es fácil de cometer y difícil de

descubrir.

La manipulación de programas, consiste en modificar los programas

existentes en el sistema o en insertar nuevos programas o rutinas. Es

muy difícil de descubrir y a menudo pasa inadvertido, porque, el

delincuente tiene conocimientos técnicos concretos de informática y

programación.

Fraude efectuado por manipulación informática, aprovecha las

repeticiones automáticas de los procesos de cómputo. Es una técnica

especializada, en que transacciones financieras, apenas perceptibles,

van sacando repetidamente de una cuenta, dinero y transfieren a otra.

Manipulación de los datos de entrada.

Como objeto, cuando se alteran datos de los documentos

almacenados en forma computarizada.

Como instrumento, las computadoras pueden utilizarse también para

efectuar falsificaciones de documentos de uso comercial.

Daños o modificaciones de programas o datos computarizados.

Sabotaje informático, es el acto de borrar, suprimir o modificar sin

autorización, funciones o datos de computadora con intención de

obstaculizar el funcionamiento normal del sistema.

Marco Teórico 34

Acceso no autorizado a servicios y sistemas informáticos, estos

accesos se pueden realizar por diversos motivos, desde la simple

curiosidad hasta el sabotaje o espionaje informático.

Reproducción no autorizada de programas informáticos de protección

legal, esta puede producir una pérdida económica sustancial para los

propietarios legítimos. Algunas jurisdicciones han tipificado como delito

esta clase de actividad y la han sometido a sanciones penales.

2.3.3. Política de seguridad

Es imprescindible disponer de un marco general en el que

encuadrar todos los subprocesos asociados a la Gestión de la Seguridad.

Su complejidad y complicadas interrelaciones necesitan de una política

global clara en donde se fijen aspectos tales como los objetivos,

responsabilidades y recursos.

La Política de Seguridad debe determinar:

Los protocolos de acceso a la información.

Los procedimientos de análisis de riesgos.

El nivel de monitorización de la seguridad.

Qué informes deben ser emitidos periódicamente.

El alcance del Plan de Seguridad.

La estructura y responsables del proceso de Gestión de la Seguridad.

Los procesos y procedimientos empleados.

Los recursos necesarios: software, hardware y personal.

Marco Teórico 35

DIAGRAMA DE PROCESO No. 2

MECANISMOS DE SEGURIDAD PREVENTIVOS


•Ejemplo: utilizar el cifrado en la transmisión de la información evita que un posible atacante capture información

en un sistema de red.

Detección

Detectan las desviaciones si se

producen, violaciones o

intentos de violación de la seguridad del

sistema.

•Ejemplo: Usar la herramienta Tripwire para cmprobar la integridad de ficheros y directorios del

S.O

•Ejemplo: Las copias de seguridad o backups de la información como BD,

correos, aplicaciones, archivos importantes.

CAPÍTULO III

METODOLOGÍA

3.1. Metodología

El análisis de la gestión de seguridad informática en servidores

dedicados y vps de la empresa Reinec C. Ltda. Es una propuesta en la

cual se analizan los niveles de seguridad informáticos que debe tener la

empresa en base a los servidores virtuales que posee y en este caso

elegí Reinec C. Ltda. Empresa en la que laboro, la cual brinda servicio de

hospedaje web y registro de dominios entre otros servicios de tecnologías

de internet.

En este punto se analizan los aspectos como el tipo de

investigación, las técnicas, analizar una metodología de gestión de

riesgos de los sistemas de información de seguridad informática para los

servidores dedicados, distinguir las herramientas de una política de

seguridad basada en normas y procedimientos que fueron utilizados para

llevar a cabo dicha investigación. La herramienta más importante es la

observación dentro de la empresa como es el número de tickets por

reportes de intrusión maliciosa, involucrando todos los sujetos.

3.2. Método de investigación descriptiva

Este método permite observar y describir situaciones y eventos que

se produjeron en la seguridad y el rendimiento de los servidores

dedicados sin afectar la conectividad. Permitiendo analizar

minuciosamente los resultados, a fin de extraer generalizaciones

significativas que contribuyan al conocimiento.

Metodología 37

3.2.1. Investigación descriptiva

El método de investigación descriptiva tiene varias etapas que

permiten recolectar información necesaria para realizar el análisis de

seguridad informática en servidores dedicados físicos ó remotos y

además conocer el tipo de activo que tiene la información almacenada en

sus bases de datos.

Entre las etapas tenemos:

Examinar las características de los servidores

Seleccionar y verificar técnicas para la recolección de datos

Describir y analizar los datos obtenidos

Para recolectar los datos se debe definir la población y la muestra

con la que se trabajará en manera representativa, permitiendo elegir la

una metodología de análisis de riesgo respectivo al problema y a la

finalidad que se desea llegar para mejorar la seguridad informática.

3.2.2. Población y muestra

3.2.2.1. Población

La población que sirvió como objeto de investigación fueron los

servidores hospedados en varios DataCenter de la empresa que para su

manejo y administración de cada uno de ellos se lo realiza virtualmente

por medio de un panel administrativo. Lo que se quiere es analizar el

manejo correcto de la infraestructura virtual, fallos o configuraciones por

defecto insuficientes en servidores Dedicados y VPS.

Aspectos como la Seguridad por oscuridad que utiliza el secreto

para asegurar la seguridad de la información contra ataques de fuerza

bruta o hacia aplicaciones web del servidor, esto ayudara a los

Metodología 38

servidores, equipos de TI y de entrega de servicios a mantener la calidad

de servicio, encontrar y solucionar problemas.

A su vez ser más proactivos para evitar los problemas, otro punto

importante que se tomó en cuenta es la escalabilidad y la importancia de

crear una buena base de datos para el servidor en el proceso del

desarrollo web, como la importancia de saber auditar no sólo de forma

externa mediante herramientas Software, sino también configuraciones

críticas del servidor.

El siguiente gráfico n°3 muestra el % de ataques en los últimos 4

años sucedido en la empresa, en el año 2011 se calificó con el 8% por ser

de sobrecarga se por uso de recursos más del límite adquirido por los

clientes, en el 2012 la empresa sufrió el problema más grande de su

historia calificado con 10% por que se cayeron los servidores donde

estaban hospedados las mayoría de usuarios de empresas públicas y

privadas grandes, es se dio por la migración de los servidores físicos a

otro DataCenter.

3.2.2.2. Muestra

GRÁFICO No. 4

INCIDENCIA DE ATAQUES


0%

2%

4%

6%

8%

10%

12%

Año 2014 Año 2013 Año 2012 Año 2011

Niv

le d

e d

año

NIVEL DE VULNERABILIDAD Y ATAQUES

Los ultimos 4 años enReinec

Metodología 39

Donde se perdieron tres servidores que no contaban con Backups

de sus bases de datos de los usuarios hospedados allí, de aquí viene la

importancia de mantener respaldo de la información y más si es de un

sistema que diariamente realiza procesos de consultas almacenadas. En

el año 2013 algunos servidores se cayeron porque el DataCenter en

Alemania sufrió una ruptura en la conexión de fibra óptica, tardando un

día en solucionarse. La empresa pública más afectada fue la Corporación

del Seguro de Depósitos (COSEDE), por estar en un servidor compartido.

La COSEDE estaba encargada de asegurar la devolución de

dinero a los afectados por la liquidación del banco territorial, los clientes

perjudicados consultaban sobre el procedimiento que tenían que llevar

para recibir su dinero, descargando los formularios en la página web pero

estaba caída. Pero luego tuvo solución con la adquisición de un servidor

dedicado solo para Corporación del Seguro de Depósitos. En la cual no

comparte recursos con otros usuarios, pero deben mantener la seguridad

directamente en las herramientas que utilicen para evitar ataques.

Por ultimo en el año 2014 bajo al 7% en ataques e intrusión debido

a que se tomaron medidas de seguridad por parte del SuperAdmin una de

ella fue cambiar las versiones PHP, se migraron las cuentas a servidores

más potentes con aumento en los discos duros a terabyte y disco

calientes para Backups. Aunque los incidentes de reporte de ataques

siempre se presentaran por eso la importancia de mantener una política

de seguridad basada en normas en los sistemas y servidores virtuales.

3.3. Técnicas de observación y recolección de datos

3.3.1. Problema general

¿Cómo puede Reinec es C. Ltda proveedor de hospedaje web y

agente Registrador de Dominios territoriales (TLDEC) Ecuador y dominios

genéricos (gTLD) proteger la información de sus clientes almacenada en

Metodología 40

sus servidores dedicados sobre vulnerabilidades y peligros de que hay en

internet?

2.3.1.1. Problemas específicos

Amenazas de intrusión en los servidores.

Incidencia de reportes de abuso y hackeo que se da por Spam,

Webspammers y Pishing en las páginas hospedadas en los

servidores.

Hay usuarios que tienen software(s) obsoleto y vulnerable a amenazas

el cual puede ser usado para ilícitos en internet, ataques y spam.

Sobrecarga en los servidores por abuso de los usuarios que usan

muchos recursos estando en un servidor compartido o por ataque

DdoS.

En los servidores físicos para uso interno de la empresa no están en

un lugar libre de peligro ambiental como el polvo, el calor y la

humedad.

Falta de ambientación segura y mantenimiento para los servidores

internos, esto hace que muchas veces se apaguen y se pare el

sistema de facturación y producción del día.

3.3.2. Análisis del estado de los servidores dedicados virtuales

A continuación se detallan las características de los servidores

dedicados virtuales, por lo cual solo se toma en consideración los de

hospedaje web, donde están los usuario, esto ayudará a realizar el

análisis de seguridad donde nos daremos cuenta la administración de un

servidor, donde depende mucho también del usuario.

Metodología 41

TABLA No. 1

CARACTERÍSTICAS DE SERVIDORES DEDICADOS ROOT

CARACTERÍSTICAS DE SERVIDORES DEDICADOS ROOT REINEC C.LTDA MARCA ECUAHOSTING

CARÁCTERÍSTICAS SERVIDOR DEDICADO

CANTIDAD VERSIÓN

WHM VERSIÓN

CLOUDLINUX PROMEDIO DE

CARGA TAMAÑO DISCO

(M)

15 SERVES 11.46.2 6.6 x86_64 standard

DEPENDE DE CADA

SERVIDOR 496M

SERVIDOR DE BASE DE DATOS

TIPO DE SERVIDOR

PROTOCOLO

MYSQL CARACTERES

DEL SERVIDOR SERVIDOR

MySQL 10 VERSIÓN 5.5.40-CLL

UTF-8 UNICODE (UTF8)

UNIX

SERVIDOR WEB

CPSRVD VERSIÓN DEL CLIENTE DE BD

11.46.2.3 5.1.73

PHPMYADMIN VERSIÓN: 4.0.10.7

CARACTERÍSTICAS DEL CPANEL

APACHE VERSIÓN

VERSIÓN PHP SISTEMA

OPERATIVO PERL VERSIÓN KERNEL VERSIÓN

2.4.10 5.5.19 LINUX 5.10.1 2.6.32-

531.23.3.LVE1.3.6.EL6.X86_64

Fuente: Investigación directa Elaborado por: Cedeño Castro Leydy Alejandra – Servidores Reinec.

3.3.3. Herramientas de investigación

Las herramientas ayudaran a realizar el análisis de seguridad

informática en la empresa tanto en los servidores virtuales y físicos

externos e internos que posee para la información de los servicios que

ofrece.

Metodología 42

1. Usar un método para realizar el análisis de riesgo por abuso y ataques

que se da por Spamming, Webspammers, DdoS, Pishing, software(s)

obsoleto y vulnerable a amenazas. Para determinar el nivel de riesgo

en los servidores.

2. Uso de la norma ISO/IEC 27001:2013 que nos permitirá describir

cómo gestionar la seguridad de la información por medio de la

aplicación de controles de seguridad.

3. Protocolo de seguridad DNSSEC permitirá conocer sobre como

asegurar una protección más completa de los sistemas ante los

posibles agujeros en su seguridad.

3.3.4. Análisis de riesgo

Análisis de riesgo es el proceso cuantitativo o cualitativo que

permite evaluar los riesgos. La posibilidad de que ocurra algún evento

negativo para las personas y empresas que están expuesta a una serie

de riesgos procedidos de factores internos y externos, el cual es variables

como su propio personal, la actividad que realiza, la situación económica,

la asignación de sus recursos financieros o la tecnología utilizada,

permitiendo así tomar medidas para reducirlo.

La valoración del riesgo basada en la fórmula matemática es:

Riesgo = Probabilidad de Amenaza x Magnitud de Daño

3.3.4.1. Proceso de identificación del riesgo

Se fundamenta en tres elementos importantes que son los activos,

las amenazas y las vulnerabilidades como variables primordiales que se

identifican y se relacionan entre sí, para determinar los riesgos. Los

activos pueden tener vulnerabilidades que son producidas por las

amenazas, las cuales conlleva al riesgo inminente en la empresa.

Metodología 43

Activos.- Los activos son todos los elementos que requiere una

empresa u organización para el desarrollo de sus actividades diarias y las

que serán tratadas durante el proceso de análisis de riegos. Los activos

de la empresa son: activos físicos los servidores y equipos de

comunicación y activos lógicos son las aplicaciones, bases de datos,

sitios web.

Amenazas.- Son todos aquellos hechos que han ocurrido en la

empresa, perjudicando directamente los activos ya sea en el

funcionamiento incorrecto o eliminación del mismo.

Vulnerabilidades.- Son todas las debilidades de seguridad en la

cual se encuentran los activos que se han identificado en el análisis y son

susceptibles de amenazas para su daño o destrucción. Las

vulnerabilidades pueden provenir de muchas fuentes, desde el diseño o

implementación de los sistemas, los procedimientos de seguridad, los

controles internos, etcétera; se trata en general de protecciones

inadecuadas o insuficientes, tanto físicas como lógicas, procedimentales o

legales de alguno de los recursos informáticos.

3.3.4.2. MAGERIT: Metodología de Análisis y Gestión de Riesgos de

los Sistemas de Información.

(AMAYA, 2013). Para realizar el análisis de riegos se eligió

MAGERIT es una metodología de análisis y gestión de riesgos elaborada

por el Consejo Superior de Administración Electrónica de España, que

ofrece un método sistemático para analizar los riesgos derivados del uso

de tecnologías de la información y comunicaciones para de esta forma

implementar las medidas de control más adecuadas que permitan tener

los riesgos mitigados.

Exactamente MAGERIT se basa en analizar el impacto que puede

tener para la empresa la violación de la seguridad, buscando identificar

las amenazas que pueden llegar a afectar la compañía y las

Metodología 44

vulnerabilidades que pueden ser utilizadas por estas amenazas, logrando

así tener una identificación clara de las medidas preventivas y correctivas

más apropiadas.

3.3.4.3. Paso 1: Identificación de activos

Activos esenciales: Información que maneja la empresa alojada

en los servidores web y el servicio que presta que es espacios de

hospedaje web en sus servidores dedicados llamado hosting, usados para

subir bases de datos para mostrar un sitio web y creación de correos

corporativos siempre vinculado con el nombre de un dominio genérico o

territorial.

Activos relevantes:

Datos: Toda información almacenada y alojada en los

servidores virtuales y físicos de la empresa, como registro de

los usuarios, correos, registro de dominios (whois, dns, mx,

redirecciones, smtp, nameservers, etc.), datos técnicos de

accesos al panel de acceso servidor.

Servicios: Soporte técnico, registro de dominios genéricos y

territoriales, diseño web, desbloque de IP, Certificados SSL.

Aplicaciones informáticas: Web Host Manager (WHM),

Licencia de Cpanel, Bases de datos, kayaco, sistema de envió

de datos técnicos y sistema de control.

Equipos informáticos: Servidores dedicados, equipos de

cómputo, tablets, teléfonos VoIP, laptops, cámaras VoIP,

firewall, centralita telefónica, concentradores, punto de acceso

inalámbrico, escáneres y módems.

Soportes de información: Celular, Discos duros externos,

Pendrives, Televisor Plasma.

Redes de comunicaciones: red telefónica, Internet, red

inalámbrica.

Metodología 45

Instalaciones: Centro de datos (DataCenter), edificio,

instalaciones de respaldo (backup).

Personal: SuperAdmin de seguridad, desarrolladores,

distribuidores, proveedores, usuarios externos e internos.

Valoración del activo.- Tiene como necesidad proteger los datos

y servicios esenciales que se ofrecen para prestar un servicio permitiendo

el funcionamiento de empresa.

Dimensiones de seguridad.- Son tres puntos esenciales su

confidencialidad, su integridad, la disponibilidad del servicio las 24/7, la

autenticidad de los datos del usuario, la trazabilidad del uso del servicio y

la trazabilidad del acceso a los datos permitiendo el ingreso solo al

administrador de la cuenta creada en el servidor.

El valor de la interrupción del servicio.- Nos permite conocer la

importancia de la disponibilidad del 100% y que pasaría si es interrumpido

por una hora, un día o un mes sin servicio esto causaría un daño tanto

para la empresa que dejaría de operar y para el cliente, dejando

consecuencias como: la mala reputación, poca confiabilidad de seguridad

y baja calidad del servicio que ofrece la empresa. A continuación se

muestra un gráfico para valorar la disponibilidad del activo.

GRÁFICO No. 5

COSTE DE LA DISPONIBILIDAD DE UN SERVICIO

Fuente: Tomado de Magerit versión 3 del libro I de método pág. 26

Metodología 46

3.3.4.4. Paso 2: Amenazas

Se determinaran las amenazas que afectan a los activos y causan

daños. A continuaciones se conocen las amenazas de tipo defectos de las

aplicaciones por el tema se basa más en servidores, porque la mayoría de

las vulnerabilidades son a causa de del diseño o implementación que use

el usuario lo cual causa consecuencias negativos a la accesibilidad del

servicio.

Influencia en el valor de los activos se da por degradación del valor

y probabilidad ocurrencias. Sea la escala siguiente útil para calificar el

valor de los activos, la magnitud del impacto y la magnitud del riesgo:

MB: muy bajo

B: bajo

M: medio

A: alto

MA: muy alto

3.3.4.4.1. Las amenazas se clasifican así

Tomado de (Puig, 2008)

1. Grupo A de Accidente.

A1 Accidente físico de origen industrial.- Incendio, explosión,

inundación por roturas, contaminación por industrias cercanas o

emisiones radioeléctricas

A2 Avería. - De origen físico o lógico, debida a un defecto de

origen o sobrevenida durante el funcionamiento del sistema.

A3. Accidente físico de origen natural.- Fenómeno sísmico o

volcánico, meteoro, rayo, corrimiento de tierras, avalancha,

derrumbe

A4. Interrupción de servicios o de suministros esenciales.-

Energía, agua, telecomunicación, fluidos y suministros diversos.

Metodología 47

A5. Accidentes mecánicos o electromagnéticos.- Choque,

caída, cuerpo extraño, radiación, electrostática.

2. Grupo E de Errores.

E1 Errores de utilización ocurridos durante la recogida y

transmisión de datos o en su explotación por el sistema.

E2 Errores de diseño existentes desde los procesos de

desarrollo del software (incluidos los de dimensionamiento, por

la posible saturación).

E3 Errores de ruta, secuencia o entrega de la información en

tránsito.

E4 Inadecuación de monitorización, trazabilidad, registro del

tráfico de información.

3. Grupo P de Amenazas Intencionales Presenciales.

A1 Acceso físico no autorizado con inutilización por destrucción

o sustracción (de equipos, accesorios o infraestructura).

P2 Acceso lógico no autorizado con intercepción pasiva simple

de la información.

P3. Acceso lógico no autorizado con alteración o sustracción de

la información en tránsito o de configuración; es decir, reducción

de la confidencialidad para obtener bienes o servicios

aprovechables (programas, datos).

P4. Acceso lógico con corrupción o destrucción de información

en tránsito o de configuración; es decir, reducción de la

integridad y disponibilidad del sistema sin provecho directo

(sabotaje inmaterial, infección vírica).

P5. Indisponibilidad de recursos, sean humanos (huelga,

abandono, rotación) o técnicos (desvío del uso del sistema,

bloqueo).

Metodología 48

4. Grupo T de Amenazas Intencionales Teleactuadas.

T1 Acceso lógico no autorizado con intercepción pasiva (para

análisis de tráfico).

T2 Acceso lógico no autorizado con corrupción o destrucción de

información en tránsito o de configuración.

T3 Acceso lógico no autorizado con modificación de información

en tránsito.

T4 Suplantación de Origen o de Identidad.

T5 Repudio del Origen o de la Recepción de información en

tránsito.

3.3.4.4.2. Valoración de las amenazas mediante tablas

TABLA No. 2

ESCALAS CUALITATIVAS

Escalas

Impacto Probabilidad Riesgo

MA: muy alto MA: prácticamente seguro MA: crítico

A: alto A: probable A: importante

M: medio M: posible M: apreciable

B: bajo B: poco probable B: bajo

MB: muy bajo MB: Muy raro MB: despreciables

Fuente: Tomado de Magerit versión 3 del libro III de técnicas pág. 7

TABLA No. 3

ESTIMACIÓN DEL IMPACTO

Impacto Degradación

1% 10% 100%

Valor

MA M A MA

A B M A

M MB B M

B MB MB B

MB MB MB MB Fuente: Tomado de Magerit versión 3 del libro III de técnicas pág. 6

Metodología 49

TABLA No. 4

ESTIMACIÓN DEL RIESGO

Riesgo Probabilidad

MB B M A MA

Impacto

MA A MA MA MA MA

A M A A MA MA

M B M M A A

B MB B B M M

MB MB MB MB B B

Fuente: Tomado de Magerit versión 3 libro III de técnicas pág. 7

3.3.4.5. Paso 3: Salvaguardas

Las salvaguardas son procedimientos tecnológicos que reducen el

riesgo y hacer frente a las amenazas, para la selección de la salvaguarda

es necesario tener en cuenta los siguientes aspectos como el tipo de

activo a proteger, dimensiones de seguridad que necesitan protección y

las amenazas de las que necesitamos protegernos.

Efectos de las salvaguardas.- Permiten realizar el cálculo del

riesgo por medio de dos formas:

Reduciendo la probabilidad de las amenazas.- Impiden que la

amenaza se realice.

Limitando el daño causado.- Permiten detectar rápidamente el

ataque y evitando que la degradación avance.

3.3.4.5.1. Tipos de protección

1. Protección de los datos / información

Copias de seguridad de los datos (backup), es necesario que el

desarrollador tenga respaldo diario de la información que se guarda

en el sistema de producción en un servidor de respaldo de

archivos.

Metodología 50

Aseguramiento de la integridad, como la utilización de

información y de diferentes actividades operativas, con el fin de

proteger la información, los sistemas de información y las redes,

para preservar la disponibilidad, la integridad, la confidencialidad, la

autenticación y el no repudio, ante el riesgo de impacto de

amenazas locales, o remotas a través de comunicaciones e

Internet.

Cifrado de la información, método que permite aumentar la

seguridad de un mensaje o de un archivo mediante la codificación

del contenido, de manera que solo pueda leerlo la persona que

disponga de la clave de cifrado adecuada para descodificarlo.

Uso de firmas electrónicas, para evitar que se falsifiquen

documentos electrónicos.

Anti-virus, actualizado en cada computadora que tenga acceso al

servidor o al sistema.

IDS (Sistema de detección de intrusiones), detectar actividades

anormales o sospechosas de este modo, reducir el riesgo de

intrusión.

2. Protección de las claves criptográficas

Gestión de claves de cifrado de información.

Gestión de certificados como por ejemplo que las páginas usen

certificado SSL.

3. Protección de los servicios

Protección de servicios y aplicaciones web.

Protección del correo electrónico POP3 o IMAP.

Protección del directorio de las bases de datos.

Protección del servidor de nombres de dominio (DNS).

Voz sobre IP.

Metodología 51

4. Protección de las aplicaciones (software)

Copias de seguridad (backup), el usuario es responsable de

realizar su respaldo de la información que contenga en su cuenta.

Esto permite que si el usuario es atacado por un hacker pueda

subir de nuevo su información no infectada.

Puesta en producción, diariamente se realiza respaldo de la

producción del día.

Cambios (actualizaciones y mantenimiento), se le comunica al

usuario sobre migraciones a un nuevo servidor y además de

actualizaciones de versiones, esto evita inconveniente al sitio web

y correos.

5. Protección de las comunicaciones

Uso de acceso a internet.

Seguridad Wireless (WiFi), permite que dispositivos autorizados se

conecten a la red.

Segregación de las redes en dominios.

3.3.4.5.2. Eficiencia de la protección

Las salvaguardas de protección ayudan a enfrentarse al riesgo que

protege y desde lo operacional ayudan a realizar los procedimientos de

uso normal y en caso de incidencia ayuda a los usuarios a estar formados

y concientizados sobre controles que avisan de posibles fallos del

servicio prestado.

3.3.4.6. Paso 4-5: Impacto y riesgo residual.

(Margerit, Versión 3), Impacto y riesgo residual son una medida del

estado presente, entre la inseguridad potencial (sin salvaguarda alguna) y

las medidas adecuadas que reducen impacto y riesgo a valores

aceptables (Pág. 48)

Metodología 52

Un valor residual es sólo un número de las vulnerabilidades que

presente un servidor dedicado. Para tomar una decisión hay que conocer

los riesgos soportados por el servidor como: Uso indebido de los recursos

del servidor, aplicaciones web obsoletas y vulnerables que son las más

comunes que causan reportes diariamente.

Las zonas de riesgo son:

Zona 1. Riesgos muy probables y de muy alto impacto.

Zona 2. Riesgos de probabilidad relativa e impacto medio.

Zona 3. Riesgos improbables y de bajo impacto.

Zona 4. Riesgos improbables pero de muy alto impacto; suponen un

reto de decisión pues su improbabilidad no justifica que se tomen

medidas preventivas, pero su elevado impacto exige que tengamos

algo previsto para reaccionar; es decir, poner el énfasis en medidas de

reacción para limitar el daño y de recuperación del desastre si

ocurriera.

GRÁFICO No. 6

ZONAS DE RIESGO

Fuente: Tomado de Magerit versión 3 libro I de método pág. 49

3.3.5. Gestión la seguridad de la información

La norma ISO/IEC 27001:2013 especifica:

(ISO, (2013), Los requisitos para establecer,

implementar, mantener y mejorar continuamente un

Metodología 53

sistema de gestión de seguridad de la información en

el contexto de la organización. También incluye

requisitos para la evaluación y el tratamiento de los

riesgos de seguridad de información adaptados a las

necesidades de la organización. Los requisitos

establecidos en la norma ISO / IEC 27001: 2013 son

genéricos y se pretende que sean aplicables a todas

las organizaciones, sin importar su tipo, tamaño o

naturaleza.

3.3.5.1 ¿Cómo funciona la ISO 27001?

La norma ISO 27001 tiene objetivo proteger la confidencialidad,

integridad y disponibilidad de la información en una empresa, basándose

en la gestión de riesgo para investigar donde están y tratarlos

sistemáticamente. Los controles que se van a implementar se presentan

políticas, procedimientos e implementación técnica en software y equipos

aunque la empresa posea todo, pero lo utilizan de una forma incorrecta.

La gestión de riesgo no sólo se basa en seguridad por cortafuego y

anti-virus en tecnologías de la información, sino que además ve la gestión

de proceso, recursos humanos, protección jurídica y física entre otras.

3.3.5.2. Política seguridad de la información

El propósito de las políticas de seguridad de la información es

proteger la información y los activos de datos de la empresa. Las políticas

son guías para asegurar la protección y la integridad de los datos dentro

de los sistemas de aplicación, redes, instalaciones de cómputo y

procedimientos manuales.

3.3.5.2.1. Organización de la seguridad

En esta política se definen los roles y responsabilidades a lo largo

de la organización con respecto a la protección de recursos de

Metodología 54

información. Esta política se aplica a todos los empleados y distribuidores

con la empresa, cada uno de los cuales cumple un rol en la

administración de la seguridad de la información. Todos los empleados

son responsables de mantener un ambiente seguro, en tanto que el área

de seguridad informática debe monitorear el cumplimiento de la política de

seguridad definida y realizar las actualizaciones que sean necesarias.

3.3.5.2.2. Acceso por parte de terceros

El Reinec debe establecer para terceros al menos las mismas

restricciones de acceso a la información que a un usuario interno.

Además, el acceso a la información debe limitarse a lo mínimo

indispensable para cumplir con el trabajo asignado. Las excepciones

deben ser analizadas y aprobadas por el área de seguridad informática.

Esto incluye tanto acceso físico como lógico a los recursos de

información. Todo acceso por parte de personal externo debe ser

autorizado por un responsable interno, quien asume la responsabilidad

por las acciones que pueda realizar el mismo. El personal externo debe

firmar un acuerdo de no-divulgación antes de obtener acceso a

información de la empresa.

Los distribuidores que requieran acceso a los sistemas de

información de Reinec deben tener acceso únicamente cuando sea

necesario. Todas las conexiones que se originan desde redes o equipos

externos, deben limitarse únicamente al acceso al CPanel y aplicaciones

necesarias. Los contratos relacionados a servicios de tecnologías deben

ser aprobados por el área de control de la empresa, y en el caso de que

afecten la seguridad o las redes de la organización deben ser analizadas

por el área de seguridad informática bajo determinadas condiciones.

3.3.5.2.3. Protección de las instalaciones de los centros de datos

Un centro de procesamiento de datos o de cómputo es definido

como cualquier edificio o ambiente dentro de un edificio que contenga

Metodología 55

equipos de almacenamiento, proceso o transmisión de información. Estos

incluyen pero no se limitan a los siguientes:

Mainframe, servidores, computadoras personales y periféricos

Consolas de administración

Equipos de telecomunicaciones

Centrales telefónicas, PBX

Armarios de alambrado eléctrico o cables

Los controles deben de ser evaluados anualmente para compensar

cualquier cambio con relación a los riesgos físicos. Los gerentes que

estén planeando o revisando cualquier ambiente automatizado,

incluyendo el uso de las computadoras personales, deben contactarse

con el personal encargado de la administración de la seguridad de la

información para asistencia en el diseño de los controles físicos de

seguridad.

3.3.5.2.4. Protección contra virus

El área de seguridad informática debe realizar esfuerzos para

determinar el origen de la infección por virus informático, para evitar la

reinfección de los equipos de la empresa. La posesión de virus o

cualquier programa malicioso está prohibida a todos los usuarios. Se

tomarán medidas disciplinarias en caso se encuentren dichos programas

en computadoras.

El programa antivirus debe encontrarse habilitado en todos las

computadora y debe ser actualizado periódicamente. En caso de detectar

fallas en el funcionamiento de dichos programas éstas deben ser

comunicadas al área de soporte técnico.

3.3.5.2.5. Copias de respaldo

El web master debe definir un cronograma para la retención y

rotación de las copias de respaldo, basado en los requerimientos

establecidos. Los web master son también responsables de asegurar que

Metodología 56

se generen copias de respaldo en el servidor como la base de datos de

las páginas web de la empresa y del sistema de facturación y que las

políticas de manipulación de información se ejercen para las copias de

respaldo trasladadas o almacenadas en los diferentes datas center,

donde se hospedan los servidores.

Objetivos de una política de seguridad:

Reducir los riesgos a un nivel aceptable.

Garantizar la confidencialidad, integridad, disponibilidad, privacidad de

la información.

Cumplir con las Leyes y Reglamentaciones vigentes.

3.3.5.3. Evaluación y el tratamiento de riesgos

3.3.5.3.1. Análisis técnico del funcionamiento

Para realizar el siguiente análisis de la red de comunicación de la

empresa se tomó en cuenta los servicios de telecomunicaciones, la

actualización de nuevas tecnologías en la aplicaciones, el software que

actualmente utiliza, la seguridad que tiene en cada uno de sus

DataCenter debido a que son basadas generalmente en redes con

protocolos IP, el servicio al cliente que tiene cada uno de los

departamento, la calidad de servicio que se ofrece y los planes servicio

que ofrece.

A continuación el análisis para el tratamiento del riesgo realizado:

1. Análisis de la red de DataCenter que tiene la empresa

El personal de redes y comunicaciones debe estar capacitado para

proteger los equipos y datos de datos contra virus existentes.

Se deben proteger todos los equipos y datos críticos de robo o

pérdida.

Metodología 57

Deben existir procedimientos a realizar el momento que se active

la alarma de seguridad.

Los servidores, rack, aire acondicionado, cableado estructurado,

cámaras ip, tableros de distribución, UPS, PDU y sistemas contra

incendios deben estar protegidos físicamente contra posibles

accesos no autorizados.

Para una correcta administración se debe garantizar un suministro

de energía ininterrumpido, con el fin de controlar los servicios,

aplicaciones y las comunicaciones.

2. Análisis del servicio de DNS

La propagación puede tardar 24 a 72 horas (normalmente es

mucho menos).

El intercambio de mapeo puede ocasionar problemas, esto se

corregirá automáticamente cuando el cambio se “propague” hasta

los servidores DNS de dicho proveedor de acceso a internet, lo

cual por el tamaño de internet puede tardar varias horas.

3. Análisis del servicio de hosting

Los servidores de hosting (alojamiento web) muchas veces se están

sobrecargando, esto se debe porque los usuarios sobrepasan el límite

de espacio.

El personal encargado de activar las cuentas de alojamiento web a

veces se olvida de direccionar los dominios a los dns del servidor.

Se requiere una excelente conexión a Internet para poder activar el

servicio.

4. Análisis de los servidores vps

Debe realizarse una revisión periódica de los equipos que sean

susceptibles a intrusos o virus malintencionados.

Deben existir políticas de seguridad.

Metodología 58

3.3.5.3.2. Importancia de los activos

Relación activos:

Departamento de Producción y Facturación se relaciona con:

Base de datos: registro, accesos y Plataforma registro

dominios

Servicio brindado. Software de facturación

Software de facturación

Data Center:

Servidores: computadoras y redes de comunicaciones.

Departamento de desarrollo Web:

Páginas web: Mantenimiento de Datos usuarios, precios,

sistema de facturación

Departamento de Soporte Técnico “soporte feliz”:

Servicio técnico: Acceso WHM Cpanel, DNS

Departamento de Control de personal:

Contestación tickets: pagos, recepción de documentos,

cerrar el requerimiento

Activación de servicios: Servidores dedicados y vps, registro

de dominios, activación del hosting, configuración MX y SSL.

3.3.5.4. Aplicación de controles de auditoría

Las actividades y requerimientos de auditoría involucran chequeos

de los sistemas operacionales que deberían ser planeados y acordados

Metodología 59

cuidadosamente para minimizar el riesgo de interrupciones en los

procesos. La prueba de penetración y la evaluación de vulnerabilidades

proporcionan una imagen de un sistema en un estado específico en un

momento específico que se limita a esas partes del sistema probadas

durante el intento de penetración. La prueba de penetración y las

evaluaciones de vulnerabilidades no son un sustituto de la evaluación del

riesgo.

Los controles afectan a los siguientes aspectos:

Seguridad física y del entorno

Seguridad ligada a los RRHH

Seguridad de comunicaciones y operaciones

Control de accesos

Seguridad en la fase de diseño y desarrollo

Gestión de incidentes en la Seguridad de la Información

Procedimientos de emergencia.

La auditoría debe comprender no sólo la evaluación de los

servidores o un sistema o procedimiento específico, sino que además

habrá de evaluar los sistemas de información en general desde sus

entradas, procedimientos, controles, archivos, seguridad y obtención de

información.

Metodología 60

3.3.5.4.1. Realización del Análisis y Evaluación

TABLA No. 5

ANÁLISIS Y EVALUACIÓN

Activos

Tasación

Amenazas POSIBILIDAD DE

OCURRENCIA VULNERABILIDAD

POSIBLE EXPLOTACIÓN DE VULNERABILIDAD

VALOR ACTIVO POSIBLE

OCURRENCIA TOTAL

CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD TOTAL

1.BASE DE DATOS

A A B A *FALSIFICACIÓN

*PLAGIO B C

*ACCESO NO AUTORIZADO *ROBO DE INFORMACIÓN

B M

A M A

2. SERVIDORES

A A A A *AMENAZAS DE VIRUS

*DAÑOS EN DATA CENTER

A M

* ATAQUES DDoS *FALTA DE CAPACITACIÓN

B M

A B B

3. SOFTWARE DE FACTURACIÓN

A A A A *AMENAZAS DE VIRUS

*DAÑOS DE SOFTWARE.

M B

*SISTEMA LENTO *ACCESO NO AUTORIZADO

M M

A B B

4.PÁGINAS WEB A B A A *FILTROS

*VULNERABILIDAD *DAÑOS EN LA BASE

B M

*ERRORES EN LA CARGA DE LAS PAGINAS

* FILTROS SIN SEGURIDAD

B B

B M M

5. SERVICIO TÉCNICO

A A A A *PLAGIO

*FALLAS TECNICAS M M

*INGRESO INCORRECTO DE CONTRASEÑA

*PERSONAL NO CALIFICADO

M M

A M A

6.CONTESTACIÓN DE TICKETS

B A A A *SPAM

*PAGOS SIN PASE DE FRAUDE

M M

* CORREOS BASURA *DATOS INCOMPLETOS

A B

A M M

Fuente: Investigación directa Elaborador por: Cedeño Castro Leydy Alejandra

Metodología 61

3.3.5.4.2. Enunciado de aplicabilidad

TABLA No. 6

APLICACIÓN DE CONTROLES DE AUDITORÍA

ACTIVO DE INFORMACIÓN

OBJETIVO DE CALIDAD

CONTROL JUSTIFICACIÓN

BASE DE DATOS

A.5.1 A.5.1.2 SE DEBE ASEGURAR EL RESGUARDO

PROTECCIÓN DE LOS DATOS

A.6.1

A.6.1.1 LA ACTUALIZACIÓN DEL SISTEMAS DE SEGURIDAD

A.6.1.2 DISPONIBILIDAD PERMANENTE DE SUPER ADMIN

A.6.1.3 ACCESO SOLO PERSONAL AUTORIZADO

A.6.1.5 CONFIDENCIALIDAD CON LAS CLAVES DE ACCESO

A.6.1.8 AUMENTAR LOS CONTROLES Y POLITICAS DE SEGURIDAD

A.6.2 A.6.2.1 LOS ACCESO SOLO AL PERSONAL DE DESARROLLO WEB

A.7.2 A.7.2.1 LA CONFIDENCIALIDAD DEBE ETICA Y RESPONSABLE

A.8.1

A.8.1.1 DAR A CONOCER LAS POLITICAS DE SEGURIDAD

A.8.1.2 REALIZAR PRUEBA DE CONOCIMIENTO Y ACTITUD

A.8.1.3 ASIGNAR RESPONSABILIDADES Y RESTRINCIONES

A.8.2 A.8.2.1 CUMPLIMIENTO DE LOS ROLES ESTABLECIDOS POR LA ORGANIZACIÓN

A.8.2.2 CAPACITACIÓN DEL PERSONAL CADA VEZ QUE HAY ACTULIZACIONES

A.8.3 A.8.3.1 DAR UN INFORME DE LA TERMINACIÓN DEL CONTRATO

A.8.3.3 QUITAR ACCESOS Y PERMISOS

A.9 A.9.1.3 AREA DE TRABAJO ACONDICIONADA Y PROTEGIDA CONTRA FACTIORES AMBIENTALES

Metodología 62


OBJETIVO DE CALIDAD CONTROL JUSTIFICACIÓN

SERVIDORES

A.5.1 A.5.1.2 SE DEBE ASEGURAR EL RESGUARDO

PROTECCIÓN DE ANTE ATAQUES Y VULNERABILIDADES

A.6.1

A.6.1.1 LA ACTUALIZACIÓN DE FIREWALL Y SOFWARES

A.6.1.2 DISPONIBILIDAD PERMANENTE DE SUPER ADMIN

A.6.1.3 ACCESO SOLO PERSONAL AUTORIZADO

A.6.1.5 CONFIDENCIALIDAD CON LAS CLAVES DE ACCESO AL WHM

A.6.1.8 AUMENTAR LOS CONTROLES Y POLITICAS DE SEGURIDAD

A.6.2 A.6.2.1 LOS ACCESO SOLO AL PERSONAL DE SOPORTE Y SUPER ADMIN

A.7.2 A.7.2.1 LA CONFIDENCIALIDAD ETICA Y RESPONSABLE

A.8.1 A.8.1.1 DAR A CONOCER LAS RESTRINCIONES Y LIMITES DE CAPACIDAD DEL SERVIDOR


A.8.2.2 CAPACITACIÓN DEL PERSONAL ATAQUES Ddos



A.9.1 A.9.1.3 AREA DE TRABAJO ACONDICIONADA Y PROTEGIDA CONTRA FACTIORES AMBIENTALES

A.9.2

A.9.2.1 EL DATA CENTER DEBE ESTAR ACONDICIONADO ANTE AMANAZAS, ATAQUES Y DAÑOS DE FIBRA OPTICA

A.9.2.2 CONTAR CON UNA PLANTA DE ENERGIA PARA EMERGENCIA DE ESCASES DEL MISMO

A.9.2.3 MANTENIMIENTO CONTINUA DEL CABLEADO, CIRCUITOS Y HARDWARE

A.9.2.6 EL SERVIDOR DE TENER SUFICIENTE CAPACIDAD DE ALMACENAMIENTO EVITANDO SOBRECARGA AL SERVIDOR

A.9.2.7 PRECAUCIÓN Y PROTECCIÓN EN EL TRASLADO O UBICACIÓN DE SERVIDORES A OTRO DATA CENTER

A.10.1 A.9.1.1

LOS USUARIOS SIEMPRE DEBEN TENER TRANSFERENCIA DE INFORMACIÓN DEL SERVICIO QUE POSEEN

A.9.1.3 EL USUARIO DEBE MANTENER SIEMPRE RENOVADO EL SERVICIO

Metodología 63



SOFWARE DE FACTURACIÓN

A.6.1


A.6.1.2 DISPONIBILIDAD PERMANENTE DEL WEB MASTER

A.6.1.3 ACCESO SOLO PERSONAL DEL AREA DE CONTROL


A.8.1 A.8.1.1 DAR A CONOCER EL MANEJO DEL SISTEMA DE FACTURACIÓN





A.9.2

A.9.2.2 LAS COMPUTADORES DEBEN TENER UPC PARA EVITAR VOLTAJES ALTOS DE ENERGIA

A.9.2.3 MANTENIMIENTO CONTINUA HARDWARE Y SOFWARE

A.9.2.6 EL SERVIDOR DEL SISTEMA DE FACTURACIÓN DEBE TENER SUFICIENTE CAPACIDAD DE ALMACENAMIENTO

A.10.1

A.10.1.1 LOS AVISOS DE VENCIMIENTOS SIEMPRE DEBEN ENVIAR AL CORREO DE CONTACTO

A.10.1.3 EL USURIO DEBE MANTENER SIEMPRE RENOVADO EL SERVICIO PARA EVITAR LA SUSPENCIÓN DEL MISMO

A.10.8 A.10.8.1

CUANDO EL CLIENTE PAGUE EL SERVICIO SE LE ENVIARA EL RECIBO DE PAGO AL CORREO DE CONTACTO AUTOMATICAMENTE

A.10.8.4 LOS ACCESO SOLO SERÁN ENVIADOS AL CORREO DE CONTACTO DEL ADMINISTRATIVO DEL SERVICIO

A.10.9 A.10.9.2 LAS FACTURAS ELECTRONICAS DEBEN ESTAR SIN ERRORES DE DATOS PERSONALES, COSTOS,FECHAS Y DESCRIPCIÓN DEL PRODUCTO

A.10.10 A.10.10.4 AL FINALIZAR EL PROCESO DE CONTROL DE ACTIVACIÓN DEL SE DEBE REALIZAR UN RESPALDO DEL CONTROL DEL DÍA

A.10.10.6 EL PROCESO DE ACTIVACIÓN O DE PRODUCCIÓN DEL DÍA DEBE DURAR MÁXIMO 3 HORAS

Metodología 64



PAGINAS WEB

A.6.1


A.6.1.2 DISPONIBILIDAD PERMANENTE DEL WEB MASTER

A.6.1.3 ACCESO SOLO PERSONAL DEL AREA DE DESARROLLO


A.8.1 A.8.1.1 DAR A CONOCER EL MANEJO DE LAS PLATAFORMAS





A.9.2 A.9.2.2 LAS COMPUTADORES DEBEN TENER UPC PARA EVITAR VOLTAJES ALTOS DE ENERGIA

A.9.2.3 MANTENIMIENTO CONTINUA SOFTWARE, BASE DE DATOS

A.10.1 A.10.1.1

EL WEB MASTER DEBE MANTENER LA OPERATIVIDAD, PROGRAMACIÓN Y MANTENIMIENTO DE LA DISPONIBILIDAD DE SITIO WEB

A.10.8 A.10.8.1

DESDE EL BILLING DE LAS PLATAFORMAS SE LE ENVIARA NOTIFICACIONES DE AVISO DE VENCIMIENTO AL CORREO DE CONTACTO AUTOMATICAMENTE

A.10.8.3 EL USUARIO PADRA INGRESAR A SU CUENTA SOLO CON EL CORREO DE CONTACTO Y CONTRASEÑA

A.10.9 A.10.9.2 LAS FACTURAS ELECTRONICAS DEBEN ESTAR SIN ERRORES DE DATOS PERSONALES, COSTOS,FECHAS Y DESCRIPCIÓN DEL PRODUCTO

A.10.10 A.10.10.4 AL FINALIZAR EL PROCESO DE CONTROL DE ACTIVACIÓN DEL SE DEBE REALIZAR UN RESPALDO DEL CONTROL DEL DÍA

A.10.10.6 EL PROCESO DE ACTIVACIÓN O DE PRODUCCIÓN DEL DÍA DEBE DURAR MÁXIMO 3 HORAS

A.12.5 A.12.5.4 PONER FIRLTROS DE SEGURIDAD COMO CERTIFICACION SSL LA URL DE LAS PÁGINAS

Metodología 65



SERVICIO TÉCNICO

A.7.2 A.7.2.1 LA CONFIDENCIALIDAD ETICA

A.8.1 A.8.1.1 DAR A CONOCER EL MANEJO DEL WHM/CPANEL /CONFIGURACION CORREO





A.9.2 A.9.2.2 LAS COMPUTADORES DEBEN TENER UPC PARA EVITAR VOLTAJES ALTOS DE ENERGIA

A.9.2.3 MANTENIMIENTO CONTINUO SOFWARE

A.10.1 A.10.1.1 EL TÉCNICO DEBE DAR UN BUEN SOPORTE SEGÚN EL REQUERIMIENTO DEL CLIENTE

A.10.9 A.10.9.2 LOS DATOS TÉCNICOS SOLO SERAN ENVIADOS AL CORREO DE CONTACTO

A.10.10

A.10.10.2 REALIZAR REPORTES CUANDO UN CLIENTE ESTE ENVIANDO SPAMS

A.10.10.5 CUANDO SE BLOQUE LA IP PUBLICA DEL CLIENTE SE LE DEBE REALIZAR EN EL FIREWALL UN REMOVE

A.11.2.

A.11.2.3 SOLO SE LA DARÁ LA CLEVE AL CLIENTE CUANDO ENVIE UN CORREO A [email protected] Y EL SEA EL ADMINISTRADOR DE LA CUENTA

A.11.2.4 LOS USUARIOS TIENE DERECHO A UNA CUENTA DE ADMINISTRACIÓN DEL SERVICIO Y SOPORTE 24/7

A.11.3 A.11.3.1 EL USUARIO DEBE RECORDAR SU CLAVE SI CAMBIA LA CLAVE ORIGINAL DE SU CPANEL Y LUEGO LA PIERDE SE LE ENVIARAN LOS ACCESOS DE NUEVO

A.11.5 A.11.5.5 DESPUES DE 15 DIAS SI EL CLIENTE NO RENOVO EL SERVICIO SE ELIMINARA EL HOSTING DEL SERVIDOR

Metodología 66



CONTESTACIÓN DE TICKETS

A.7.2 A.7.2.1 LA CONFIDENCIALIDAD ETICA




A.10.1 A.10.1.1 LA CONSTETACIÓN DEBE SER PROFESIONALMENTE EVITANDO MULETILLAS

A.10.9 A.10.9.1 LA RECEPCIÓN Y VERIFICACIÓN DE LOS DOCUMENTO PERSONALES SE DEBE COMPROBAR QUE SEAN ORIGINALES Y ESTEN FIRMADOS

A.10.9.2 CUANDO LLEGA UNA ORDEN DE COMPRA A LA PLATAFORMA SE DEBE VERIFICAR QUE NO SEA FALSA

A.10.10 A.10.10.2 LOS TICKETS SON CONTROLADOS POR EL DPTO DE CONTROL QUE ANALIZA LA CONTESTACIÓN, TICKET CERRADO Y ESTADO DE PRIORIDAD

A.10.10.5 CUANDO SE DEBE UN CONTESTACIÓN ERRONEA SE DEBE CORREGIR EL ERROR APROPIADAMENTE

A.11.7 A.11.7.2 EN LAS HORAS DE LA MADRUGADA HAY PERSONAL TRABAJANDO REMOTAMENTE DESDE SUS HOGARES


Metodología 67

3.3.6. Protocolo de seguridad DNSSEC

Como hemos visto la seguridad depende de muchas causas, se ha

elegido el protocolo DNSSEC para dar a conocer que no solo la seguridad

en un servidor dedicado para web depende de la seguridad en el

software y hardware, sino del sistema de nombres de dominio (DNS) que

se ha visto afectado por vulnerabilidades que permiten que un atacante

tome control de la sesión por ejemplo: enviar al usuario al propio sitio web

fraudulento del atacante con el fin de obtener los datos de la cuenta y la

contraseña del acceso al panel administrador que le proporciona un

proveedor de servicio hospedaje web.

3.3.6.1. ¿Qué es DNSSEC?

Es una tecnología que se ha desarrollado, entre otras cosas, para

brindar protección contra este tipo de ataques mediante la firma digital de

los datos a fin de tener la seguridad de que son válidos. Sin embargo,

para eliminar esta vulnerabilidad de Internet, esta tecnología se debe

implementar en cada uno de los pasos del proceso de búsqueda, desde la

zona raíz hasta el nombre de dominio final.

3.3.6.2. Beneficios en su implementación

La implementación integral de la DNSSEC permitirá asegurar que

el usuario final se conecte al sitio web real o a otro servicio que

corresponda a un nombre de dominio en particular.

Este protocolo es la solución al Phishing y principalmente el

Pharming algunos de los reporte diarios se da sobre ataques y

vulnerabilidades se da por este tipo, el DNSSEC ofrece una ruta de

validación para los registros. No cifra ni modifica la administración de los

datos, y es compatible con versiones anteriores del DNS y las

aplicaciones actuales. En otras palabras, no modifica los protocolos

Metodología 68

actuales sobre los que se basa el sistema de direcciones de Internet.

Incorpora una cadena de firmas digitales en la jerarquía del DNS, donde

cada nivel posee su propia firma para generar.

GRAFICO No. 7

COMO ACTÚA DNSSEC


CAPÍTULO IV

CONCLUSIONES Y RECOMENDACIONES

4.1. Conclusiones

Al desarrollar la presente de tesis de investigación sobre análisis de

la gestión de seguridad informática en servidores dedicados y vps de la

empresa Reinec C. Ltda, se lo aplico a la empresa donde laboro porque

veo la importancia de la disponibilidad al cien por ciento que deben tener

los servidores dedicados para web que hospedan a casi el 65% la

mayoría de los usuario que poseen un sitio web o utilizan correos

corporativos, se realizó un análisis completo sobre la seguridad que

maneja, las vulnerabilidades y ataques que se presenta a diario, donde

muchas veces es por causa del cliente que utiliza aplicaciones web para

la creación de páginas y se olvidan de que deben mantenerlas

actualizadas a la versiones, darle mantenimiento, se exceden del límite de

espacio que se da a su plan contratado, entre otros.

Existe una mala reflexión sobre la seguridad, basándose

únicamente que con la compra de firewalls y antivirus es suficiente para

garantizar una protección fiable, para una correcta seguridad de la

información se necesita más bien una planificación estructurada,

investigar metodologías o normas que puedan ayudar a reducir el riego de

un ataque, así como llevar un control de las diferentes medidas de

seguridad que existen.

Al realizarse el respectivo análisis de seguridad informática de la

información, se encontraron varios problemas que se señalan a

continuación:

Conclusiones y Recomendaciones 70

La empresa no cuenta con un manual de política de seguridad de la

información para cuando se presente un problema en los servidores y

sistemas.

Algunos usuarios de páginas web desarrolladas no saben que deben

actualizar y dar mantenimiento cada cierto tiempo, provocando riesgos

al servicio.

El sistema de control y producción no posee un servidor solo de

aplicaciones, lo comparte con otros archivos, provocando lentitud en la

petición de proceso.

La administración de la red física: no hay seguridad en el cableado

telefónico, no posee cajas que eviten el contacto con otros cables.

Solo hay un nivel de red o capa de red, los niveles de red

proporcionan conectividad y selección de rutas entre dos sistemas de

hosts que pueden estar ubicados en redes geográficamente distintas.

Hace falta un cuarto de enfriamiento para los servidores físicos.

También se dio a conocer las características y configuración de

servidores la cual se la realiza mediante el Acceso Virtual al Panel de

Control CPanel, sitio donde se configuran las cuentas de Hosting

(alojamiento en la web), Emailing y el Servicio de Streaming (radio online)

contratados por proveedores y clientes de la empresa. El sistema de

seguridad en los servidores es CSF Firewall: Firewall compatible con

Cpanel para mantener lejos a los intrusos o virus malicioso.

Además se conocieron a conocer conceptos como: firewalls,

sistema defensa para la detección y prevención de intrusos, la

importancia de tener respaldos de la información (Backups), los riegos,

reportes de abuso, los tipos de activos que posee la empresa, etc.

4.2. Recomendaciones

La empresa debe aplicar una metodología o la norma ISO / IEC

27001 que permita conocer los riesgo que existen para sus activos y con

Conclusiones y Recomendaciones 71

la norma conocer el sistema de gestión y las medidas (controles)

necesarias, que deben considerarse en cualquier caso.

El personal de la empresa debe implementar capacitaciones a los

distribuidores, mejorando así el servicio que brinda. Sería recomendable

que se envié tutoriales a los usuarios sobren como actualizar el software

de las aplicaciones que usen, las medidas de seguridad que existen y que

en su Cpanel tiene recurso para aumentar la seguridad de su cuenta.

Incrementar la seguridad en los servidores ante un ataque,

vulnerabilidades, en entre ello el más común en servidores es ataque de

denegación de servicios, sea por causa de un usuario que sobrepasa los

recurso causando el aumento de carga o por ataques. Esto causa que un

servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente

provoca la pérdida de la conectividad de la red por el consumo del ancho

de banda de la red de la víctima o sobrecarga de los recursos del sistema.

Lo recomendable para evitar ataques por medio del nombre de

dominio seria implementar el protocolo DNSSEC que tiene la función

mediante la firma digital de los registros de búsqueda de DNS usando

criptografía de clave pública permitiendo la validación de los registro de

búsqueda. Es protocolo permitirá dar solución al Phishing y

principalmente el Pharming que se dan en reportes sobre ataques de este

tipo.

Implementar un cuarto de enfriamiento sólo para los servidores

físicos que se encuentran en la empresa y darles mantenimiento cada

cierto tiempo, evitando así daños en la información que se guarda y al

sistema de producción y control.

GLOSARIO DE TÉRMINOS

Backups rsync.- rsync es un protocolo integrado para sistemas

Unix que proporciona increíble versatilidad para realizar copias de

seguridad y sincronizar los datos. Puede ser utilizado localmente para

realizar copias de seguridad de archivos a diferentes directorios o se

puede configurar para sincronizar a través de Internet a otros hosts.

Backups tar.- El programa de copia de seguridad de alquitrán es

un programa de archivado diseñado para almacenar y extraer archivos de

un archivo conocido como fichero tar. Un fichero tar se puede hacer en

una unidad de cinta; Sin embargo, también es común para escribir un

archivo tar a un archivo normal.

CMS.- Son las siglas de Content Management System, en español

Sistema de gestión de contenidos es un programa informático que permite

crear una estructura de soporte (framework) para la creación y

administración de contenidos, principalmente en páginas web, por parte

de los administradores, editores, participantes y demás usuarios.

DataCenter.

DdoS.- Son las siglas de Distributed Denial of Service, en español

ataque distribuido denegación de servicio, es un intento de hacer un

servicio en línea disponible por abrumadora con el tráfico de múltiples

fuentes.

DMZ.- Zona desmilitarizada, es un diseño conceptual de red donde

los servidores de acceso público se colocan en un segmento separado,

aislado de la red. La intención de DMZ es asegurar que los servidores de

acceso público no puedan comunicarse con otros segmentos de la red

interna, en el caso de que un servidor se encuentre comprometido.

Glosario de Términos 73

DNS.-Son las siglas de Domain Name System, en español Sistema

de Nombres de Dominio, es una base de datos distribuida, con

información que se usa para traducir los nombres de dominio, fáciles de

recordar y usar por las personas, en números de protocolo de Internet (IP)

que es la forma en la que las máquinas pueden encontrarse en Internet.

Hardening.- En español endurecimiento en seguridad informática

es el proceso de asegurar un sistema mediante la reducción de

vulnerabilidades en el mismo, esto se logra eliminando software,

servicios, usuarios, etc.

ICMP.- Protocolo de mensajes de control de Internet, es un

protocolo que permite administrar información relacionada con errores de

los equipos en red. Si se tienen en cuenta los escasos controles que lleva

a cabo el protocolo IP, ICMP no permite corregir los errores sino que los

notifica a los protocolos de capas cercanas.

Kayako.- Es un Software o plataforma de servicio al cliente basado

en la nube y en las instalaciones de mesa de ayuda y soporte al cliente de

software.

Malware.- es la abreviatura de Malicious software en español

software malicioso, es un programa o código informático malicioso cuya

función es dañar un sistema o causar un mal funcionamiento.

MX.- Son las siglas de Mail Exchange record, en español, registro

de intercambio de correo es un tipo de registro, un recurso DNS que

especifica cómo debe ser encaminado un correo electrónico en internet.

Los registros MX apuntan a los servidores a los cuales envían un correo

electrónico.

Nameservers. En español servidores de nombre es un servidor

que controla el DNS de un dominio.


PBX.- Son las siglas Private Branch Exchange, es un equipo

privado que permite gestionar llamadas telefónicas internas en una

empresa, y compartir las líneas de acceso a la red pública entre varios

usuarios, para permitir que estos realicen y reciban llamadas desde y

hacia el exterior.

PDU.- Es unidades de datos de protocolo se utilizan para el

intercambio de datos entre unidades disparejas.

Pishing.- Es un tipo de abuso informático utilizado para referirse a

uno de los métodos más utilizados por delincuentes cibernéticos para

estafar y obtener información confidencial de forma fraudulenta como

puede ser una contraseña o información detallada sobre tarjetas de

crédito u otra información bancaria de la víctima.

Protocolo HTTP.- El Protocolo de Transferencia de HiperTexto

(Hypertext Transfer Protocol) es un sencillo protocolo cliente-servidor que

articula los intercambios de información entre los clientes Web y los

servidores HTTP.

SMB.- Son las siglas de Server Message Block, es un protocolo de

uso compartido de archivos de red que permite a las aplicaciones en un

ordenador para leer y escribir a los archivos y solicitar los servicios de

programas de servidor en una red informática. El protocolo SMB se puede

utilizar en la parte superior de su protocolo TCP / IP u otros protocolos de

red.

Spam.- Es correo basura a los mensajes no solicitados, no

deseados o de remitente desconocido y que son sumamente molestosos.

Spyware.- Es un programa que espía nuestra actividad en internet

para abrir ventanas de manera automática que intentan vender

determinados productos y servicios, basados en la información que fue

adquirida por esos programas.


SSH.- (Secure Shell) es un protocolo que facilita las

comunicaciones seguras entre dos sistemas usando una arquitectura

cliente/servidor y que permite a los usuarios conectarse a un host

remotamente. A diferencia de otros protocolos de comunicación remota

tales como FTP o Telnet, SSH encripta la sesión de conexión, haciendo

imposible que alguien pueda obtener contraseñas no encriptadas.

SSL.- Son las siglas de Secure Sockets Layer, en español capa de

conexión segura, es un protocolo criptográfico (un conjunto de reglas a

seguir relacionadas a seguridad, aplicando criptografía) empleado para

realizar conexiones seguras entre un cliente (como lo es un navegador de

Internet) y un servidor (como lo son las computadoras con páginas web).

SYN Flood.- Este tipo de ataque es posible debido a la forma en la

que funcionan las conexiones TCP. Cuando un extremo desea iniciar una

conexión contra otro equipo, inicia la conversación con un 'SYN', el otro

extremo ve el SYN y responde con un SYN+ACK, finalmente el extremo

que empezó la conexión contesta con un ACK y ya pueden empezar a

transmitir datos. Un ataque de tipo Syn Flood lo que hace es empezar un

numero especialmente alto de inicios de conexión que nunca son

finalizados, dejando al servidor a la espera del ack final, y por tanto

consumiendo recursos de forma desproporcionada.

Tmp.- Permiten almacenar archivos temporales, pero su uso es

ligeramente diferente. Cuando un programa escribe archivos temporales

en /tmp, no habrá seguridad de que éste los encuentre la próxima vez que

se ejecute. Esta carpeta puede ser purgada en cualquier momento. En la

mayoría de distribuciones, esta carpeta es vaciada cada vez que se

reinicia el sistema.

VoIP.- Es Voz sobre Protocolo de Internet se refiere a la

transmisión del tráfico de voz sobre redes basadas en Internet en lugar de

las redes telefónicas tradicionales PSTN (red telefónica pública

conmutada).


Webspammers.- Es la práctica de la manipulación de páginas web

con el único objetivo de obtener tráfico ilícito mediante diversas técnicas,

con la intención de obtener algún tipo de beneficio.

WHM/Cpanel.- Es un paquete de software de CPanel y WHM es

un panel fácil de usar control que da anfitriones del interne y los

propietarios de sitios web que sirven para gestionar de forma rápida y

fácilmente sus servidores y sitios web.

ANEXOS

Anexos 78

ANEXO 1

Primer reporte sobre software obsoleto y vulnerable 01-14-2015 08:30 – SUPPORT DEPT (for user)

The following account has been hacked because it is running outdated

and vulnerable software(s):

Server: Tulcán

Username: expoindustriabm

The files added or modified since 2 days have been moved to /root/bad/ and POST has been disabled by default for this account: [02:28:25] root@tulcán [~]# cleanacct –u expoindustriabm –d 2 –m –p

« /home/expoindustriabm/public_html/components/com_foxcontact/lib/captcha-

drawer.php » -> « /root/bad/expoindustriabm/captcha-drawer.php »

« /home/expoindustriabm/public_html/components/com_foxcontact/lib/captcha-

drawer.php » supprimé

« /home/expoindustriabm/public_html/components/com_foxcontact/foxcontact.ph

p » -> « /root/bad/expoindustriabm/foxcontact.php »

« /home/expoindustriabm/public_html/components/com_foxcontact/foxcontact.ph

p » supprimé

« /home/expoindustriabm/public_html/components/com_oziogallery3/views/list/t

mpl/include.php » -> « /root/bad/expoindustriabm/include.php »

« /home/expoindustriabm/public_html/components/com_oziogallery3/views/list/t

mpl/include.php » supprimé

« /home/expoindustriabm/public_html/components/com_oziogallery3/oziogallery

3.php » -> « /root/bad/expoindustriabm/oziogallery3.php »

« /home/expoindustriabm/public_html/components/com_oziogallery3/oziogallery

3.php » supprimé

« /home/expoindustriabm/public_html/components/com_finder/helpers/html/quer

y.php » -> « /root/bad/expoindustriabm/query.php »

« /home/expoindustriabm/public_html/components/com_finder/helpers/html/quer

y.php » supprimé

« /home/expoindustriabm/public_html/components/com_finder/views/search/tmpl

/general.php » -> « /root/bad/expoindustriabm/general.php »

« /home/expoindustriabm/public_html/components/com_finder/views/search/tmpl

/general.php » supprimé

« /home/expoindustriabm/public_html/components/com_finder/finder.php » ->

« /root/bad/expoindustriabm/finder.php »

« /home/expoindustriabm/public_html/components/com_finder/finder.php »

supprimé

« /home/expoindustriabm/public_html/components/com_users/config.php » ->

Anexos 79

« /root/bad/expoindustriabm/config.php »

« /home/expoindustriabm/public_html/components/com_users/config.php »

supprimé

« /home/expoindustriabm/public_html/components/com_mailto/views/sent/view.h

tml.php » -> « /root/bad/expoindustriabm/view.html.php »

« /home/expoindustriabm/public_html/components/com_mailto/views/sent/view.h

tml.php » supprimé

« /home/expoindustriabm/public_html/components/com_newsfeeds/views/categor

ies/tmpl/sql.php » -> « /root/bad/expoindustriabm/sql.php »

« /home/expoindustriabm/public_html/components/com_newsfeeds/views/categor

ies/tmpl/sql.php » supprimé

« /home/expoindustriabm/public_html/components/com_newsfeeds/views/newsfe

ed/ajax.php » -> « /root/bad/expoindustriabm/ajax.php »

« /home/expoindustriabm/public_html/components/com_newsfeeds/views/newsfe

ed/ajax.php » supprimé

« /home/expoindustriabm/public_html/logs/error.php » ->

« /root/bad/expoindustriabm/error.php »

« /home/expoindustriabm/public_html/logs/error.php » supprimé

« /home/expoindustriabm/public_html/media/media/db.php » ->

« /root/bad/expoindustriabm/db.php »

« /home/expoindustriabm/public_html/media/media/db.php » supprimé

« /home/expoindustriabm/public_html/media/editors/codemirror/view.php » ->

« /root/bad/expoindustriabm/view.php »

« /home/expoindustriabm/public_html/media/editors/codemirror/view.php »

supprimé

« /home/expoindustriabm/public_html/media/editors/tinymce/jscripts/tiny_mce/pl

ugins/advimage/error.php » -> « /root/bad/expoindustriabm/error.php » (archive

« /root/bad/expoindustriabm/error.php.~1~ »)


ugins/advimage/error.php » supprimé


ugins/fullpage/langs/model.php » -> « /root/bad/expoindustriabm/model.php »


ugins/fullpage/langs/model.php » supprimé

« /home/expoindustriabm/public_html/media/editors/tinymce/jscripts/tiny_mce/th

emes/simple/img/info.php » -> « /root/bad/expoindustriabm/info.php »

« /home/expoindustriabm/public_html/media/editors/tinymce/jscripts/tiny_mce/th

emes/simple/img/info.php » supprimé

« /home/expoindustriabm/public_html/includes/router.php » ->

« /root/bad/expoindustriabm/router.php »

« /home/expoindustriabm/public_html/includes/router.php » supprimé

« /home/expoindustriabm/public_html/libraries/79Joomla/base/node.php » ->

« /root/bad/expoindustriabm/node.php »

« /home/expoindustriabm/public_html/libraries/79Joomla/base/node.php »

supprimé

« /home/expoindustriabm/public_html/libraries/79Joomla/log/loggers/model.php

» -> « /root/bad/expoindustriabm/model.php » (archive

« /root/bad/expoindustriabm/model.php.~1~ »)

Anexos 80

« /home/expoindustriabm/public_html/libraries/80Joomla/html/toolbar/button/hea

der.php » -> « /root/bad/expoindustriabm/header.php »

« /home/expoindustriabm/public_html/libraries/80Joomla/html/toolbar/button/hea

der.php » supprimé

« /home/expoindustriabm/public_html/libraries/80Joomla/error/profiler.php » ->

« /root/bad/expoindustriabm/version.php »

« /home/expoindustriabm/public_html/libraries/cms/version/version.php »

supprimé

« /home/expoindustriabm/public_html/libraries/phputf8/stristr.php » supprimé

« /home/expoindustriabm/public_html/modules/mod_araticlhess/mod_araticlhess.

php » -> « /root/bad/expoindustriabm/mod_araticlhess.php »


php » supprimé


xml » -> « /root/bad/expoindustriabm/mod_araticlhess.xml »


xml » supprimé

« /home/expoindustriabm/public_html/modules/mod_articles_category/inc.php » -

> « /root/bad/expoindustriabm/inc.php »

Anexos 81

ANEXO 2

egundo reporte de estilodinte .com enviando y hackeada Date: Thu, 20 Nov 2014 15:13:47 -0700

Subject: Email Feedback Report for IP 108.170.57.131 [AB-C6457W]

Message:

Boundary-1138-29572-2659438-18292

Content-Type: text/plain; charset=”US-ASCII”

Content-Transfer-Encoding: 7bit

This is an email abuse report for an email message with the message-id of

[email protected] received from IP address

108.170.57.131 on Thu, 20 Nov 2014 16:00:29 -0500 (EST)

For information, please review the top portion of the following page:

http://postmaster.aol.com/Postmaster.FeedbackLoop.php

For information about AOL E-mail guidelines, please see

http://postmaster.aol.com/Postmaster.Guidelines.php

If you would like to cancel or change the configuration for your FBL please use

the tool located at:http://postmaster.aol.com/SupportRequest.FBL.php

Boundary-1138-29572-2659438-18292

Content-Disposition: inline

Content-Type: message/feedback-report

Feedback-Type: abuse

User-Agent: AOL Scomp

Version: 0.1

Received-Date: Thu, 20 Nov 2014 16:00:29 -0500 (EST)

Source-IP: 108.170.57.131

Reported-Domain: galapagos2.ecuahosting.net

Anexos 82

Redacted-Address: redacted

Redacted-Address: redacted@

--boundary-1138-29572-2659438-18292

Content-Type: message/rfc822

Content-Disposition: inline

Return-Path: <[email protected]>

Received: from galapagos2.ecuahosting.net (galapagos2.ecuahosting.net

[108.170.57.131]) (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256

bits)) (No client certificate requested) by mtaig-aal01.mx.aol.com (Internet

Inbound) with ESMTPS id C4CAB7000009A for <[email protected]>; Thu,

20 Nov 2014 16:00:29 -0500 (EST) DKIM-Signature: v=1; a=rsa-sha256;

q=dns/txt; c=relaxed/relaxed; d=estilodintex.com; s=default; h=Content-Transfer-

Encoding:Content-Type:MIME-Version:Subject:To:Message-ID:From:Date;

bh=2IfwMMeRwhpax/7bhR4gLauyU+K96XXpnmpZIMIVNRY=;b=EQ1ahopo

HBLLBeBzsvxRmfQIYTXv5PpHo46Pd1Qp8DwpV5LAEnwzQ4DunVOgLvJkt

SgdXsytgAdN8myKwAzbEtPnNTxZrCqXibkmmcZd01Fc2n+Cnb+5UTCmixZU

cs82MyEf1WJwLtTc1+LFkARZNKA7pZrdqapKi6k/5uNzKMw=;

Received: from [202.162.78.30] (port=57629 helo=estilodintex.com)

By galapagos2.ecuahosting.net with esmtpa (Exim 4.84) (envelope-from

<[email protected]>) id 1XrYq3-0003l2-6b for [email protected]; Thu,

20 Nov 2014 16:00:27 -0500

Date: Thu, 20 Nov 2014 13:00:23 -0800

From: Hambrick <[email protected]>

Organization: sqooogxykble

X-Priority: 3 (Normal)

Message-ID: <[email protected]>

To: <[email protected]>

Subject: Refill with coupon \”ReWinter\”

MIME-Version: 1.0

Content-Type: text/html; charset=”us-ascii”

Content-Transfer-Encoding: 8bit

X-AntiAbuse: This header was added to track abuse, please include it with any

abuse report

Anexos 83

X-AntiAbuse: Primary Hostname – galapagos2.ecuahosting.net

X-AntiAbuse: Original Domain – aol.com

X-AntiAbuse: Originator/Caller UID/GID – [47 12] / [47 12]

X-AntiAbuse: Sender Address Domain – estilodintex.com

X-Get-Message-Sender-Via: galapagos2.ecuahosting.net:

authenticated_id: [email protected]

X-Source:

X-Source-Args:

X-Source-Dir:

X-aol-global-disposition: G

X-AOL-SCOLL-AUTHENTICATION: mtaig-aal01.mx.aol.com; domain:

estilodintex.com DKIM: pass

Authentication-Results: mx.aol.com; spf=temperror (aol.com: while processing

the SPF record for estilodintex.com we encountered a temporary error.)

smtp.mailfrom=estilodintex.com; dkim=pass (aol.com: email passed verification

from the domain estilodintex.com.) header.d=estilodintex.com; x-aol-sid:

3039ac1b14c1546e566c1b03

X-AOL-IP: 108.170.57.131

X-AOL-SPF: domain: estilodintex.com SPF: temperror

<html><head><title>Refill with coupon \”ReWinter\”</title>

<META http-equiv=Content-Type content=”text/html; charset=us-ascii”>

</head>

<body>Dear, ReOrder with coupon “ReWinter” <a

href=”http://bkioaaign.resellrightsnetwork.com/axlsbtp.html”>Click

here</a> or Copy Private-Safe-Redirect link to your browser

http://bkioaaign.resellrightsnetwork.com/axlsbtp.html be e-mail

and a</body>

Anexos 84

ANEXO 3

Ley de comercio electrónico, firmas electrónicas y mensajes de datos

(Ley No. 2002-67)

Esta Ley regula los mensajes de datos, la firma electrónica, los

servicios de certificación, la contratación electrónica y telemática, la

prestación de servicios electrónicos, a través de redes de información,

incluido el comercio electrónico y la protección a los usuarios de estos

sistemas. Los mensajes de datos tendrán igual valor jurídico que los

documentos escritos. Su eficacia, valoración y efectos se someterá al

cumplimiento de lo establecido en esta Ley y su reglamento.

Se reconoce validez jurídica a la información no contenida

directamente en un mensaje de datos, siempre que figure en el mismo, en

forma de remisión o de anexo accesible mediante un enlace electrónico

directo y su contenido sea conocido y aceptado expresamente por las

partes. Los mensajes de datos estarán sometidos a las leyes,

reglamentos y acuerdos internacionales relativos a la propiedad

intelectual.

Considerando: Que el uso de sistemas de información y de redes

electrónicas, incluida la Internet ha adquirido importancia para el

desarrollo del comercio y la producción, permitiendo la realización y

concreción de múltiples negocios de trascendental importancia, tanto para

el sector público como para el sector privado que es necesario impulsar el

acceso de la población a los servicios electrónicos que se generan por y a

través de diferentes medios electrónicos; que se debe generalizar la

utilización de servicios de redes de información e Internet.

Anexos 85

Que a través del servicio de redes electrónicas, incluida la Internet

se establecen relaciones económicas y de comercio, y se realizan actos y

contratos de carácter civil y mercantil que es necesario normarlos,

regularlos y controlarlos, mediante la expedición de una ley especializada

sobre la materia; que es indispensable que el Estado Ecuatoriano cuente

con herramientas jurídicas que le permitan el uso de los servicios

electrónicos, incluido el comercio electrónico y acceder con mayor

facilidad a la cada vez más compleja red de los negocios internacionales;

y, en uso de sus atribuciones, expide la siguiente:

Título Preliminar

Art. 1.- Objeto de la Ley

Esta Ley regula los mensajes de datos, la firma electrónica, los

servicios de certificación, la contratación electrónica y telemática, la

prestación de servicios electrónicos, a través de redes de información,

incluido el comercio electrónico y la protección a los usuarios de estos

sistemas.

Título I

DE LOS MENSAJES DE DATOS

Art. 4.- Propiedad Intelectual.- Los mensajes de datos estarán

sometidos a las leyes, reglamentos y acuerdos internacionales relativos a

la propiedad intelectual.

Art. 5.- Confidencialidad y reserva.- Se establecen los principios de

confidencialidad y reserva para los mensajes de datos, cualquiera sea su

forma, medio o intención. Toda violación a estos principios, principalmente

aquellas referidas a la intrusión electrónica, transferencia ilegal de

mensajes de datos o violación del secreto profesional, será sancionada

Anexos 86

conforme a lo dispuesto en esta Ley y demás normas que rigen la

materia.

Art. 9.- Protección de datos.- Para la elaboración, transferencia o

utilización de bases de datos, obtenidas directa o indirectamente del uso o

transmisión de mensajes de datos, se requerirá el consentimiento expreso

del titular de éstos, quien podrá seleccionar la información a compartirse

con terceros.

La recopilación y uso de datos personales responderá a los

derechos de privacidad, intimidad y confidencialidad garantizados por la

Constitución Política de la República y esta ley, los cuales podrán ser

utilizados o transferidos únicamente con autorización del titular u orden de

autoridad competente.

No será preciso el consentimiento para recopilar datos personales

de fuentes accesibles al público, cuando se recojan para el ejercicio de

las funciones propias de la administración pública, en el ámbito de su

competencia, y cuando se refieran a personas vinculadas por una relación

de negocios, laboral, administrativa o contractual y sean necesarios para

el mantenimiento de las relaciones o para el cumplimiento del contrato.

Título III

DE LOS SERVICIOS ELECTRÓNICOS, LA CONTRATACIÓN

ELECTRÓNICA Y TELEMÁTICA, LOS DERECHOS DE LOS

USUARIOS, E INSTRUMENTOS PÚBLICOS.

Capítulo I

DE LOS SERVICIOS ELECTRÓNICOS

Anexos 87

Art. 44.- Cumplimiento de formalidades.- Cualquier actividad,

transacción mercantil, financiera o de servicios, que se realice con

mensajes de datos, a través de redes electrónicas, se someterá a los

requisitos y solemnidades establecidos en la ley que las rija, en todo lo

que fuere aplicable, y tendrá el mismo valor y los mismos efectos jurídicos

que los señalados en dicha ley.

Capítulo III

DE LOS DERECHOS DE LOS USUARIOS O CONSUMIDORES DE

SERVICIOS ELECTRÓNICOS

Art. 48.- Consentimiento para aceptar mensajes de datos.-

Previamente a que el consumidor o usuario exprese su consentimiento

para aceptar registros electrónicos o mensajes de datos, debe ser

informado clara, precisa y satisfactoriamente, sobre los equipos y

programas que requiere para acceder a dichos registros o mensajes.

El usuario o consumidor, al otorgar o confirmar electrónicamente su

consentimiento, debe demostrar razonablemente que puede acceder a la

información objeto de su consentimiento.

Si con posterioridad al consentimiento del consumidor o usuario

existen cambios de cualquier tipo, incluidos cambios en equipos,

programas o procedimientos, necesarios para mantener o acceder a

registros o mensajes electrónicos, de forma que exista el riesgo de que el

consumidor o usuario no sea capaz de acceder o retener un registro

electrónico o mensaje de datos sobre los que hubiera otorgado su

consentimiento, se le deberá proporcionar de forma clara, precisa y

satisfactoria la información necesaria para realizar estos cambios, y se le

informará sobre su derecho a retirar el consentimiento previamente

Anexos 88

otorgado sin la imposición de ninguna condición, costo alguno o

consecuencias.

En el caso de que estas modificaciones afecten los derechos del

consumidor o usuario, se le deberán proporcionar los medios necesarios

para evitarle perjuicios, hasta la terminación del contrato o acuerdo que

motivó su consentimiento previo.

Título V

DE LAS INFRACCIONES INFORMÁTICAS

Art. 57.- Infracciones informáticas.- Se considerarán infracciones

informáticas, las de carácter administrativo y las que se tipifican, mediante

reformas al Código Penal, en la presente ley.

Reformas al Código Penal

Art. 58.- A continuación del Art. 202, inclúyanse los siguientes

artículos innumerados:

"Art. ....- El que empleando cualquier medio electrónico,

informático o afín, violentare claves o sistemas de seguridad, para

acceder u obtener información protegida, contenida en sistemas de

información; para vulnerar el secreto, confidencialidad y reserva, o

simplemente vulnerar la seguridad, será reprimido con prisión de seis

meses a un año y multa de quinientos a mil dólares de los Estados Unidos

de Norteamérica.

Si la información obtenida se refiere a seguridad nacional, o a

secretos comerciales o industriales, la pena será de uno a tres años de

prisión y multa de mil a mil quinientos dólares de los Estados Unidos de

Norteamérica.

Anexos 89

La divulgación o la utilización fraudulenta de la información

protegida, así como de los secretos comerciales o industriales, será

sancionada con pena de reclusión menor ordinaria de tres a seis años y

multa de dos mil a diez mil dólares de los Estados Unidos de

Norteamérica.

Si la divulgación o la utilización fraudulenta se realizan por parte de

la persona o personas encargadas de la custodia o utilización legítima de

la información, éstas serán sancionadas con pena de reclusión menor de

seis a nueve años y multa de dos mil a diez mil dólares de los Estados

Unidos de Norteamérica.

Art. ....- Obtención y utilización no autorizada de información.- La

persona o personas que obtuvieren información sobre datos personales

para después cederla, publicarla, utilizarla o transferirla a cualquier título,

sin la autorización de su titular o titulares, serán sancionadas con pena de

prisión de dos meses a dos años y multa de mil a dos mil dólares de los

Estados Unidos de Norteamérica.".

Art. 61.- A continuación del Art. 415 del Código Penal, inclúyanse

los siguientes artículos innumerados:

"Art. ....- Daños informáticos.- El que dolosamente, de cualquier

modo o utilizando cualquier método, destruya, altere, inutilice, suprima o

dañe, de forma temporal o definitiva, los programas, datos, bases de

datos, información o cualquier mensaje de datos contenido en un sistema

de información o red electrónica, será reprimido con prisión de seis meses

a tres años y multa de sesenta a ciento cincuenta dólares de los Estados

Unidos de Norteamérica.

La pena de prisión será de tres a cinco años y multa de doscientos

a seis cientos dólares de los Estados Unidos de Norteamérica, cuando se

Anexos 90

trate de programas, datos, bases de datos, información o cualquier

mensaje de datos contenido en un sistema de información o red

electrónica, destinada a prestar un servicio público o vinculado con la

defensa nacional.

BIBLIOGRAFÍA

Reinec C. Ltda. Recuperado el 8 de noviembre de 2014, de EcuaWeb y

EcuaHosting:

http://ecuaweb.com/ y http://ecuahosting.net/

Los tipos de delitos informáticos reconocidos por Naciones Unidas, autor

Andrés Hall, Recuperado el 08 de enero de 2015, de:

http://www.forodeseguridad.com/artic/discipl/disc_4016.htm

Seguridad informática, autor Sergio Ochoa Ovalle recuperado el 12 de

enero de 2015, disponible en:

http://www.eumed.net/rev/cccss/21/oocs.html

Ley de comercio electrónico, firmas electrónicas y mensajes de datos

Ley No. 2002-67, Disponible en:

http://www.arcotel.gob.ec/wp-content/uploads/downloads/2015/04/LEY-

COMERCIO-ELECTRONICO-FIRMAS-ELECTRONICAS-Y-MENSAJE-

DE-DATOS.pdf

Servidores dedicados por medina, Wilmer Recuperado el 17 de

noviembre de 2014, disponible en:

http://www.webtralia.com/alojamiento-servidores-dedicados/

Obtención de contraseña administrativa en cisco WebEx Meetings server,

Autor Antonio Ropero, recuperado el 12 de enero de 2015, disponible en:

http://unaaldia.hispasec.com/2014/01/obtencion-de-contrasena-

administrativa.html

Normas APA 2014 para la presentación de trabajos escritos, ensayos y

tesis disponible en: http://normasapa.com/

Bibliografía 92

Diseño de un servidor de seguridad perimetral, disponible

en:http://www.microsoft.com/spain/technet/recursos/articulos/secmod156.

mspx#EEB

Magerit v.3: Metodología de Análisis y Gestión de Riesgos de los

Sistemas de Información.

Este manual está tomado de internet, está disponible en formato:

http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/p

ae_Metodolog/pae_Magerit.html#.VO2_RPmG9fQ

ISO / IEC 27001: 2013: Tecnología de la información, técnicas de

seguridad, sistemas de gestión de seguridad de la información y

requisitos.

Este manual está tomado de:

http://www.iso.org/iso/catalogue_detail?csnumber=54534

Ataques DDoS

Recuperado el 25 de febrero de 2015, disponible en:

http://www.digitalattackmap.com/understanding-ddos/

Gestión de alojamiento web


http://cpanel.net/

DNS


http://www.desarrolloweb.com/faq/50.php

SSL


Bibliografía 93

https://www.digicert.com/es/ssl.htm

DMZ


http://www.tp-link.es/article/?faqid=28

ICMP


http://es.kioskea.net/contents/265-el-protocolo-icmp

Server Message Block


https://technet.microsoft.com/en-us/library/hh831795.aspx

Hardening


http://blog.smartekh.com/%C2%BFque-es-hardening/

Spyware y malware


https://www.infospyware.com/articulos/que-son-los-malwares/

Spam


http://www.seguridadpc.net/spam.htm

VoIP


http://www.3cx.es/voip-sip/voz-sobre-ip/

SYN Flood

Recuperado el 24 de mayo 2015, disponible en:

Bibliografía 94

http://www.securitybydefault.com/2010/02/syn-flood-que-es-y-como-

mitigarlo.html

Rsync


http://www.howtogeek.com/135533/how-to-use-rsync-to-backup-your-

data-on-linux/

Tar


http://www.tldp.org/LDP/solrhe/Securing-Optimizing-Linux-RH-Edition-

v1.3/chap29sec305.html

Kayako


http://www.kayako.com/home/

Protocolo HTTP


http://neo.lcc.uma.es/evirtual/cdd/tutorial/aplicacion/http.html

Protocolo SSH


http://www.gb.nrao.edu/pubcomputing/redhatELWS4/RH-DOCS/rhel-rg-

es-4/ch-ssh.html

Tmp


http://es.kioskea.net/faq/4410-linux-diferencia-entre-las-carpetas-tmp-y-

var-tmp

UNIVERSIDAD DE GUAYAQUIL FACULTAD DE INGENIERÍA...

Documents

Transcript of UNIVERSIDAD DE GUAYAQUIL FACULTAD DE INGENIERÍA...