AUDITORIA EN SEGURIDAD INFORMTICA DE SERVIDOR UBUNTU 14.04 PARA CONTROLAR VULNERABILIDADES EN CONFIGURACIN POR DEFECTO

JEISON SNEIDER CABEZA SEGURA UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA ESPECIALIZACIN EN SEGURIDAD INFORMTICA CEAD CUCUTA 2016AUDITORIA EN SEGURIDAD INFORMTICA DE SERVIDOR UBUNTU 14.04 PARA CONTROLAR VULNERABILIDADES EN CONFIGURACIN POR DEFECTO

JEISON SNEIDER CABEZA SEGURA

Director: ARMANDO AREVALO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA ESPECIALIZACIN EN SEGURIDAD INFORMTICA CEAD CUCUTA 2016 RESUMEN

Este trabajo presenta una serie de lineamientos a tener en cuenta en una auditoria a un sistema el cual contenga un servidor Ubuntu 14.04 en cuanto a sus configuraciones por defecto que presenten una vulnerabilidad para el mismo, en sntesis, se trata de un hardening a al servidor mencionado, el cual presenta de una forma clara los aspectos a tener en cuenta cuando se realicen auditoras internas y se encuentre presente un Ubuntu Server 14.04. Antes de iniciar el anlisis de riesgos se presenta una conceptualizacin terica sobre los aspectos de mayor relevancia en los cuales tiene su fundamento este proyecto.

El primer captulo expone un estado del arte, en el cual se muestran algunos trabajos, los cuales de alguna manera se relacionan con este proyecto. Seguidamente se encuentra un marco referencial, donde se revela la teora necesaria para comprender lo desarrollado en el proyecto y termina planteando el desarrollo metodolgico, sobre el cual se ha desarrollado el proyecto.

El segundo captulo muestra la instalacin bsica de un servidor Ubuntu 14.04 junto con algunos servicios bsicos (Apache, MySQL, PHP).

El captulo tres contiene prcticamente el desarrollo de los objetivos planteados, en este apartado se muestra el proceso de gestin de riesgos adaptado a la metodologa Magerit, inicia con la identificacin y clasificacin de los riesgos, posteriormente se documentan algunos ataques sobre las amenazas identificadas en el primer paso y posteriormente se establecen los controles necesarios para mitigar los riesgos encontrados en las configuraciones por defecto del servidor en mencin.

Posteriormente se presentan los resultados obtenidos y como principal anexo se puede encontrar los principales lineamientos a tener en cuenta al momento de realizar una auditoria en un servidor Ubuntu 14.04. Teniendo en cuenta que la norma ISO 27000 ya establece las aspectos y procedimientos para la ejecucin de una auditora, los lineamientos establecidos son recomendaciones sobre las vulnerabilidades controladas en este proyecto.

Palabras claves: Hardening, Ubuntu Server, Vulnerabilidades, Auditora.

ABSTRACT

This paper presents a set of guidelines to consider in an audit of a system which contains an Ubuntu 14.04 server in their default configurations that present a vulnerability to it, in short it is a hardening to the server mentioned, which presents a clear aspects to consider when internal audits are conducted and is present an Ubuntu Server 14.04,. Before starting the risk analysis, a theoretical conceptualization of the most important aspects in which it has its foundation this project is presented.

The first chapter presents a state of the art, which some studies show, which somehow relate to this project. Next it is a framework where theory necessary to understand what developed in the project and ends up raising the methodological development, which has developed the project unfolds.

The second chapter shows the basic installation of Ubuntu 14.04 server along with some basic services (Apache, MySQL, PHP).Chapter three contains virtually the development of the objectives in this apartadose shows the process of risk management adapted to the Magerit methodology begins with the identification and classification of risks, then some attacks on identified threats are documented in the first step and then the necessary controls are in place to mitigate the risks found in the default settings of the server in question.

Subsequently the results are presented and main annex can be found the main guidelines to consider when performing an audit on an Ubuntu 14.04 server. Given that the ISO 27000 standard and establishes the aspects and procedures for the execution of an audit, the guidelines established recommendations vulnerabilities are controlled in this project.Keywords: Hardening, Ubuntu Server, Vulnerabilities, Audit.CONTENIDO PLANTEAMIENTO DEL PROBLEMA12JUSTIFICACIN13OBJETIVO GENERAL14OBJETIVOS ESPECFICOS141.MARCO REFERENCIAL151.1ESTADO DEL ARTE151.2MARCO TERICO161.2.1.PORQUE SERVIDOR UBUNTU?161.2.2.AUDITORIA EN SEGURIDAD INFORMTICA181.2.2.1.Consideraciones generales de la auditoria181.2.3.MAGERIT211.3DESARROLLO DISEO METODOLGICO251.3.1.Planear261.3.2.Hacer271.3.3.Verificar271.3.4.Actuar272.INSTALACION BSICA DE UBUNTU SERVER 14.04282.1INSTALACIN SOFTWARE BSICO352.1.1.Instalacin Apache352.1.2.Instalacin Mysql362.1.3.Instalacin PHP383.AUDITORIA A CONFIGURACIN DE SERVIDOR UBUNTU 14.04393.1ESCANEO LYNIS393.1.1.Vulnerabilidades detectadas por Linys513.2VULNERABILIDADES DE UBUNTU SERVER 14.04533.2.1.1.Kernel533.2.1.2.Usuarios, grupos y autenticacin533.3ANLISIS DE RIESGO MAGERIT543.3.1.Determinacin del contexto543.3.2.Anlisis de riesgo553.3.2.1.Escalamiento de privilegios573.3.2.2.Cabeceras HTML603.3.3.Tratamiento de riesgos623.3.3.1.Actualizacin del sistema633.3.3.2.Desactivacin de registros globales y expose_php653.3.3.3.Activacin del firewall653.3.3.4.Instalacin de Rkhunter673.4ANALISIS DE RESULTADOS67CONCLUSIONES71OBSERVACIONES Y RECOMENDACIONES73BIBLIOGRAFA74ANEXOS77ANEXO A. LINEAMIENTOS A TENER EN CUENTA EN AUDITORIAS A UN SERVIDOR UBUNTU 14.0478ANEXO B. DIVULGACIN79ANEXO C. RAE80

LISTA DE FIGURAS

Figura 1. Metodologa PHVA19Figura 2. Instalar Ubuntu Server 14.0428Figura 3. Seleccin de idioma de instalacin29Figura 4. Ubicacin del Sistema29Figura 5. Nombre de la mquina30Figura 6. Nombre real del usuario30Figura 7. Nombre de usuario para la cuenta31Figura 8. Contrasea de usuario31Figura 9. Cifrar carpeta personal32Figura 10. Mtodo de particionado33Figura 11. Uso de Proxy33Figura 12. Administracin de actualizaciones34Figura 13. Cargador de arranque34Figura 14. Servidor instalado35Figura 15. Instalar apache36Figura 16. Instalacin Mysql36Figura 17. Contrasea root Mysql37Figura 18. Ingreso Mysql38Figura 19. Instalacin PHP38Figura 20. Instalar Lynis39Figura 21. Actualizar Lynis40Figura 22. Ejecucin de Lynis40Figura 23. Escaneo Lynis: Herramientas del sistema41Figura 24. Escaneo Lynis: Gestor de arranque y Kernel42Figura 25. Escaneo Lynis: Usuarios, grupos y autenticacin42Figura 26. Scaneo Lynis: Shells, sistema de archivos, almacenamiento43Figura 27. Escaneo Lynis: NFS, Software: nombre de servicios43Figura 28. Escaneo Lynis: Puertos y Paquetes44Figura 29. Escaneo Lynis: Networking, Printers and Spools44Figura 30. Escaneo Lynis: e-mail, firewalls45Figura 31. Escaneo Lynis: Web server45Figura 32. Escaneo Lynis: SSH, SMP, Bases de datos, LDAP services46Figura 33. Escaneo Lynis: PHP46Figura 34. Escaneo Lynis: Squid, Logging and files47Figura 35. Servicios Inseguros, Banners e identificacin47Figura 36. Escaneo Lynis: Scheduled tasks, Accounting, Tiempo de sincronizacin48Figura 37. Escaneo Lynis: Criptografa, virtualizacin, frameworks48Figura 38. Escaneo Lynis: File Integrity, Malware Scanners49Figura 39. Escaner Linyx: System tool, Home directories49Figura 40. Escaneo Lynis: Kernel Hardening50Figura 41. Hardening50Figura 42. Fin auditoria Lynis50Figura 43. Principales problemas de seguridad del servidor51Figura 44. Sugerencias de seguridad Lynis52Figura 45. Identificacin versin del Kernel57Figura 46. Usuario Actual58Figura 47. Exploit58Figura 48. Compilacin del exploit59Figura 49. Ejecucin del Exploit59Figura 50. Escalamiento de Privilegios60Figura 51. IP del Servidor61Figura 52. Cabecera HTML61Figura 53. update64Figura 54. Upgrade64Figura 55. Desactivacin de registros globales y expose_php65Figura 56. Activacin del firewall66Figura 57. Denegacin de conexiones entrantes por defecto66Figura 58. Instalacin de Rkhunter67Figura 59. Resultados controles aplicados70

LISTA DE TABLAS

Tabla 1. Magerit: Impacto23Tabla 2. Magerit: Probabilidad24Tabla 3. Magerit: Nivel de Riesgo24Tabla 4. Magerit: Matriz de Riesgo25Tabla 5. Anlisis de riesgo metodologa Magerit a configuraciones por defecto de Servidor Ubuntu 14.0455Tabla 6. Anlisis de riesgo cuantitativo56Tabla 7. Establecimiento de controles62Tabla 8. Riesgo residual68Tabla 9. Resultados controles aplicados69

PLANTEAMIENTO DEL PROBLEMA

Las configuraciones por defecto de un sistema operativo contienen vulnerabilidades conocidas por los delincuentes informticos las cuales proporcionan un punto de partida para establecer posibles vctimas de determinados delitos. Es de gran importancia tener claridad en las vulnerabilidades de estos sistemas y los controles que se deben tomar, para al momento de realizar una auditoria en seguridad informtica se puedan establecer concretamente los lineamientos a seguir segn el servidor que se maneje. Si bien se sabe que el sistema operativo Linux proporciona un grado mayor de seguridad informtica, esto no es suficiente para estar a salvo de algn ataque malintencionado, concretamente Ubuntu ha tenido un crecimiento en su aceptacin y uso como servidor, por tal razn se necesita otorgar un nivel de confianza alto que no se puede brindar con las configuraciones por defecto, ya que sus vulnerabilidades son reveladas poco a poco.

JUSTIFICACIN Teniendo en cuenta la proyeccin de los servidores Ubuntu en cuanto a su uso es necesario conocer sus vulnerabilidades en cuanto a su configuracin por defecto, para as determinar controles a implementar y esto permitir tener un sistema robusto y con riesgos controlados en cuanto a sus configuraciones. Muchas de las variables de seguridad que se ejecutan en un servidor son aplicadas sin tener el conocimiento necesario de los riesgos a los que se puede estar expuesto. Por lo anterior se requiere una sntesis terica sobre las caractersticas adicionales a tener en cuenta al momento de realizar una auditora a estos servidores (siguiendo los lineamientos generales ya conocidos de una auditoria), para lograr establecer controles adecuados que proporcionen un sistema con el menor ndice de riesgo posible frente a ataques de los que pueden ser vctimas.

OBJETIVO GENERAL Establecer lineamientos necesarios al realizar una auditoria en seguridad informtica de servidor Ubuntu 14.04 para controlar vulnerabilidades en configuracin por defecto

OBJETIVOS ESPECFICOS Determinar las vulnerabilidades en configuraciones por defecto presentes en los servidores GNU/LINUX, distribucin Ubuntu versin 14.04 para la posterior aplicacin de controles pertinentes.

Documentar pruebas realizadas sobre ataques al servidor Ubuntu 14.04 en su configuracin por defecto.

Documentar procedimientos a aplicar en las auditorias de servidores Ubuntu 14.04 estableciendo lineamientos de vulnerabilidades y controles a tener en cuenta en estos sistemas.

MARCO REFERENCIAL ESTADO DEL ARTE Para desarrollar este proyecto de investigacin se realiza una indagacin sobre proyectos similares que hayan sido desarrollados sobre el tema, buscando contextualizar este trabajo en el mbito propuesto. Como resultado de la exploracin se han encontrado investigaciones que se asemejan en cuanto al anlisis de riesgo que realizan a sistemas informticos completos, en los cuales la seguridad en servidores Linux (Ubuntu) solo hace parte de una mencin de aspectos a tener en cuenta, este es el caso de una evaluacin de riesgos y vulnerabilidades presentes en la infraestructura de red de la editorial Don Bosco de Ecuador, realizado por Cristina Jaramillo y Juan Riofro.[footnoteRef:1] [1: JARAMILLO CASTILLO C.M && RIOFRIO HERRERA J.C (2015) Metodologa para realizar la evaluacin, deteccin de riesgos, vulnerabilidades y contramedidas en el diseo e implementacin de la infraestructura de la red de la editorial Don Bosco, mediante un test de intrusin de caja blanca. Universidad Politcnica Salesiana Sede Cuenca. Cuenca Ecuador. 2015. Disponible en: http://dspace.ups.edu.ec/handle/123456789/7910 ]

Otro de los resultados que se puede asemejar en ciertos aspectos es un anlisis del crecimiento y los cambios del sistema operativo Ubuntu[footnoteRef:2], que, aunque si bien no proporciona mayor informacin en cuanto a las vulnerabilidades de estos servidores permite familiarizarse con las mejoras que ha tenido el servidor Ubuntu versin 14.04 con respecto a las anteriores versiones. [2: TABASSUM, M. (2014) Anlisis de la evolucin del software de Linux OS (Ubuntu). Ciencias de la Computacin y Tecnologa (ICCST). Editorial: IEEE. 28 Agosto del 2014. Kota KinabaluMalasia. Disponible en: http://ieeexplore.ieee.org/xpl/articleDetails.jsp?arnumber=7045194]

Los proyectos que en cierta medida se relacionan con la investigacin propuesta pertenecen desde tesis de pregrado hasta tesis de maestra.

A nivel nacional no se han elaborado investigaciones en cuanto a los servidores Ubuntu aplicado a sus vulnerabilidades, por lo cual se puede decir que el proyecto planteado no ha sido desarrollado a nivel nacional.

MARCO TERICO

Un servidor se define generalmente como un equipo o dispositivo que hace una red y se encarga de proveer distintos servicios a otros equipos de la misma.

PORQUE SERVIDOR UBUNTU?

Los sistemas operativos GNU/Linux tienen como principal caracterstica que son basados en software libre, es decir, que el usuario tiene libertad de manipular el cdigo del software y esto lleva inherente grandes ventajas como mejora y personalizacin del mismo.

Al contar con tantos usuarios trabajando en un mismo objetivo (cdigo) se obtiene un sistema con caractersticas de funcionalidad como: Escalabilidad Disponibilidad Rendimiento Seguridad Administrabilidad dedicadas a configuraciones centralizadas y automatizadas. Facilidad de Uso Adaptabilidad Asequible

Ubuntu server hace parte de una de las distribuciones de Linux basada en Debian. Es un sistema operativo de cdigo abierto, su demanda ha ido aumentando exponencialmente gracias a que cada vez es ms amigable e intuitivo para usuarios medios. Gradualmente ha sido utilizada en mayor nmero en servidores llegando en la actualidad a estar entre los ms usados en el mundo con una proyeccin de estar en los primeros lugares. [1]

Aspectos relevantes por los cuales conviene elegir un servidor Ubuntu [2]:

El padre de distribucin Linux de Ubuntu es Debian. Debian, tambin conocida como Debian GNU / Linux, tiene un pblico fiel gracias a su estabilidad, su sistema de apt-get de envases y su compromiso con el software libre segn la definicin de la Free Software Foundation. Ubuntu tiene una dedicacin fuerte de desarrollo detrs de l y una comunidad mundial de colaboradores que trabajan juntos para actualizar y mantener sus actualizaciones de cdigo y de seguridad. Esto aporta confianza ante bugs, fallos de seguridad y mejoras vendrn rpidamente y con regularidad para proteger sus sistemas y los datos que recogen y almacenan. Ubuntu cuenta con soporte 24x7 en caso de fallos o errores que requieren su ayuda gracias a la empresa Canonical ltd quien se encarga de estos procesos. Se puede confiar en la experiencia y respuesta rpida para aquellas cargas de trabajo de impacto crtica cuando ms lo necesita. Ubuntu es fcil de instalar, mantener y actualizar. Puede completar la instalacin en 25 minutos o menos en el hardware de clase servidor. Linux es estable y requiere poco mantenimiento o mantenimiento diario. Reiniciar el sistema rara vez es necesario, por lo que es la plataforma perfecta para aquellas aplicaciones y servicios de tiempo de inactividad cero. Ubuntu actualiza fcilmente desde la lnea de comandos a travs de un comando de actualizacin de la distribucin

AUDITORIA EN SEGURIDAD INFORMTICA

Una auditora de seguridad es una evaluacin sistemtica de la seguridad del sistema de informacin determinado mediante la medicin de lo bien que se ajusta a una serie de criterios establecidos. Una auditora exhaustiva normalmente evala la seguridad de la configuracin del sistema fsico y el medio ambiente, el software, los procesos de manejo de la informacin, y las prcticas de los usuarios.

Las auditoras de seguridad no tienen lugar en el vaco; son parte del proceso de definir y mantener polticas de seguridad eficaces, establece procedimientos para todos los que usan los recursos informticos en la organizacin de tal manera que su uso no representa un aumento en el riesgo. Cabe resaltar que en las auditorias de seguridad informtica se analizan solamente los procesos concernientes a la seguridad fsica y lgica con nfasis en proteger la informacin, la anterior aclaracin es la principal diferencia entre auditoria de seguridad informtica y auditoria de sistemas, ya que la ltima est ms enfocada a parmetros ms administrativos. [3]

Consideraciones generales de la auditoria Uno de los aspectos ms importante de la auditoria en seguridad informtica y en general en cualquier auditoria es la organizacin, para esto es fundamental adoptar una metodologa que proporcione un consecutivo de procesos a realizar para llevar a buen trmino la auditora y garantizar que todos los aspectos requeridos se tuvieron en cuenta a cabalidad.

La metodologa PHVA proporciona una consecucin de procesos claros a implementar para desarrollar de una manera correcta, ordenada y eficiente un trabajo (auditora), se compone de cuatro fases (figura 1). [4]Figura 1. Metodologa PHVA

Fuente: http://sinergiasong.org/cajasdeherramientas/prenatal/mejoramiento.html

Planear: Es en realidad un proceso de dos pasos. La primera etapa consiste en identificar y definir un problema existente dentro de un proceso. El segundo paso implica el anlisis de este problema. Durante estos dos procesos, muchas herramientas y pasos tendrn que llevarse a cabo, incluyendo: La determinacin de la causa raz del problema. La determinacin de las intervenciones necesarias para corregir el problema. Determinar cules son los resultados esperados La programacin de los pasos de la correccin. La planificacin de los recursos. Justificar la necesidad de la mejora. La determinacin de las mtricas para la mejora. Hacer: Una vez que el plan ha sido creado, el enunciado del alcance del proyecto firmado en, y el calendario de hecho, es el momento de ejecutar el plan. Durante esta fase, una solucin ser: Implementar a modo de prueba. Comprobarlo continuamente. Implementado de forma permanente (si la prueba tiene xito). Medido por el rendimiento.

Verificar: Una vez que se ha iniciado la implementacin de la solucin, utilizando la metodologa de mejora PHVA, tendr que hacer un seguimiento del rendimiento de esta solucin con el tiempo. Tmese el tiempo para comparar la calidad del producto o servicio antes y despus de la implementacin. Responde las siguientes preguntas: La implementacin de un cambio alcanza los resultados deseados? Qu pasa con la aplicacin o el cambio funcion bien? Que no funcion? En el caso de no obtener los resultados deseados se requiere regresar a la primera fase y revisar el anlisis de la causa raz.

Actuar: Luego de verificar los resultados (y despus de algunos intentos de ajustar su proceso), entonces es el momento de normalizar la mejora de procesos y colocarlo en prctica en el sistema. Durante esta fase final del ciclo PDCA, tendr que: Identificar las necesidades de capacitacin para la plena aplicacin de la mejora. Adoptar completamente la solucin para la mejora de procesos. Continuar monitoreando su solucin. Observar si no se puede mejorar la solucin a travs de nuevas implementaciones Encuentra oportunidades de mejora.

La metodologa de mejora PHVA, como gestin de calidad total, es un mtodo continuo. Eso significa que no se deja de trabajar a travs del ciclo PHVA.

MAGERIT

Magerit tiene su origen en el consejo superior de la administracin electrnica, como un resultado de la dependencia de las tecnologas de informacin actual, se trata de una metodologa de anlisis y gestin de riesgo diseada para ser mejor aplicable a las TI.

Magerit es una metodologa de inters para quienes que trabajan con los sistemas de informacin e informticos digitales. Si esta la informacin o los servicios a travs de estos sistemas son valiosos, magerit permite conocer cunto valor est en juego y ayudar a protegerlo, el riesgo al que estn sometidos los elementos del trabajo son esenciales para su gestin, magerit impulsa un enfoque metdico que no deja lugar para improvisar

Esta metodologa se fundamenta en el impacto que pueda tener la violacin de la seguridad en una entidad, con esto busca detectar posibles amenazas que pudiesen afectar la organizacin, para as establecer medidas de correccin y prevencin pertinentes y efectivas.

Una caracterstica importante de esta metodologa es su muy completa gua que expone paso a paso la manera de implementar el anlisis de riesgo. Magerit se compone de tres libros: El primero contiene todo lo concerniente al mtodo, expone la estructura del modelo de gestin de riesgos (se ajusta al modelo propuesto por ISO en cuanto a gestin de riesgos).

El segundo libro bsicamente es un catlogo de elementos en el cual se incluye una estructuracin y categorizacin de activos a considerar, que aspectos tener en cuenta para valorarlos y adicionalmente ofrece una lista de amenazas y controles.

El tercer libro se exponen las diversas tcnicas que usualmente son usadas en el anlisis de riesgo.

Algunos conceptos importantes que aplica esta metodologa son:

Activos: Un activo se refiere a todo lo que represente un valor para la entidad. Magerit categoriza los activos en: El soporte (o entorno) del Sistema de Informacin, se refiere a activos fsicos, tangibles como por ejemplo personal, edificaciones.

El sistema de informacin propio del Dominio (hardware, redes, software, aplicaciones)

La informacin que requiere, soporta o produce el sistema de informacin (datos, claves, cdigos).

Las funciones que justifican la existencia del sistema de informacin, incluye tanto objetivos de organizacin o sistema como personal.

Otros Activos, hace referencia a diversos activos con diferentes naturalezas, como imagen de la empresa o sistema, confiabilidad del mismo.

Riesgos: El riesgo se define como la probabilidad de que una amenaza se materialice.

Amenazas: Una amenaza es un evento que puede ser causante de un incidente con consecuencias que se pueden reflejar en daos materiales o inmateriales. Estas amenazas pueden ser: [N] Desastres naturales [I] De origen industrial [E] Errores y fallos no intencionados [A] Ataques intencionados

La metodologa Magerit categoriza y califica la probabilidad de ocurrencia, el impacto y el nivel de riesgo de los posibles incidentes para establecer medidas para controlar los riesgos o asumirlos. Esa clasificacin se puede observar en las tablas 1,2 y 3.

Tabla 1. Magerit: ImpactoCALIFICACION NUMERICAGRAVEDAD (IMPACTO)

5Muy grave

4Importante

3Moderado

2Leve

1Marginal

Fuente: Autor

Tabla 2. Magerit: ProbabilidadCALIFICACION NUMERICAPROBABILIDAD

5Muy frecuente

4Frecuente

3Normal

2Poco frecuente

1Muy poco frecuente

Fuente: Autor

El establecimiento del nivel de riesgo se realizar de forma cuantitativa, realizando una multiplicacin entre los valores numricos de probabilidad e impacto, se clasificarn en rangos y se les asignar un nivel de riesgo de la siguiente forma:

Tabla 3. Magerit: Nivel de RiesgoRANGOCALIFICACION DE RIESGO

21-25CATASTRFICO

16-20MAYOR

10-15MODERADO

5-9MENOR

1-4INSIGNIFICANTE

Fuente: Autor

Segn lo anterior la calificacin del riesgo en una matriz quedara de la siguiente manera:

Tabla 4. Magerit: Matriz de RiesgoPROBABILIDAD5510152025

448121620

33691215

2246810

112345

12345

IMPACTO

Fuente: Autor

DESARROLLO DISEO METODOLGICO Se establecen dos reas, una general y otra especfica las cuales son Gestin de la seguridad informtica y Auditora en seguridad informtica respectivamente. Es un proyecto de investigacin, no se ejecutar en ninguna organizacin, pero se realizarn y documentarn las pruebas necesarias para la realizacin la misma. El proyecto de auditoria en seguridad informtica de servidor Ubuntu 14.04 para controlar vulnerabilidades en configuracin por defecto, es una investigacin descriptiva ya que se analizarn y se establecern controles necesarios para satisfacer los niveles de seguridad de un servidor robusto.

Para desarrollar este proyecto se ha optado por la hacer referenciarse del ciclo PHVA (Planear, Hacer, Verificar, Actuar), ya que permite de una manera clara y consecuente establecer los procesos y actividades a llevar a cabo para lograr dar cumplimiento a los objetivos establecidos en este trabajo de grado, y del mismo modo definir indicadores que corroboren que cada uno de ellos se alcanz a cabalidad para posteriormente llevar a la prctica cada proceso y actividad panificadas, luego se ha de verificar si se han cumplido los objetivos, para en ltima instancia realizar las correcciones o adecuaciones necesarias.

Es importante aclarar que lo que se busca realizar es una auditoria en seguridad informtica aplicada especficamente a las configuraciones del servidor, es decir, que el anlisis de riesgo y los procesos siempre se centrarn en configuraciones.

PlanearConociendo que el objetivo del proyecto es brindar una serie de recomendaciones en cuanto a las vulnerabilidades y los controles necesarios para establecer un nivel de riesgo aceptable en un servidor Ubuntu 14.04, se har uso de software especializado en auditar los parmetros de configuracin del servidor para as lograr establecer que parmetros del mismo representan una vulnerabilidad y adems de esto se indagar en portales reconocidos de soporte al sistema Ubuntu, para mejorar la deteccin e identificacin de vulnerabilidades presentes en dicho servidor.

Conociendo las vulnerabilidades a las que est expuesto el servidor Ubuntu 14.04 en sus configuraciones por defecto se han de establecer controles que permitan una reduccin significativa del riesgo que se tiene, para posteriormente verificar que los procedimientos de fortalecimiento de la seguridad han sido eficientes.

HacerEsta etapa consiste en la ejecucin de la etapa 1, se utilizar el software Lynis para detectar vulnerabilidades y acatar algunas recomendaciones que Lynis realiza para mejorar el nivel de seguridad, al finalizar la ejecucin del software se revisarn los resultados arrojados por el escaneo realizado y se realizarn algunas pruebas donde se puede verificar el riesgo al que se est expuesto en las configuraciones por defecto del servidor, adicionalmente sern de gran apoyo los foros dedicados a exponer las diversas vulnerabilidades de este sistema operativo, as como los controles a tomar.

VerificarSe busca valorar la veracidad de las vulnerabilidades encontradas y la efectividad de los controles aplicados para reducir el nivel de exposicin a las posibles amenazas, para ello se analizarn los resultados del software utilizado para auditar el servidor y el nivel de seguridad que brindan los controles aplicados.

ActuarYa establecidos los resultados obtenidos en cada proceso se efectuarn mejoras y se crear un documento que proporcione los lineamientos necesarios a tener en cuenta al momento de realizar una auditora a un servidor Ubuntu 14.04 de tal manera que se tengan en cuenta configuraciones necesarias, vulnerabilidades y controles indicados para reducir el nivel de riesgo mnimo.

INSTALACION BSICA DE UBUNTU SERVER 14.04

Lo primero que se realiza es la instalacin bsica del servidor Ubuntu 14.04 con el objetivo de contar con un sistema de fbrica. Para ello se realizaros los siguientes pasos: Seleccionar la opcin Instalar Ubuntu Server (Figura 2)

Figura 2. Instalar Ubuntu Server 14.04

Fuente. Autor

Luego se debe seleccionar el idioma de instalacin del servidor (figura 3)Figura 3. Seleccin de idioma de instalacin

Fuente: Autor Posteriormente se debe elegir la ubicacin (pas) donde se est instalando el servidor (figura 4).

Figura 4. Ubicacin del Sistema

Fuente: Autor

El siguiente paso es elegir el nombre de la mquina (figura 5), nombre real del usuario (figura 6) y nombre de usuario para la cuenta (figura 7)Figura 5. Nombre de la mquina

Fuente: Autor

El nombre de la maquina seleccionado fue Server.

El nombre real del usuario es Auditoria servidor.

Figura 6. Nombre real del usuario

Fuente: Autor

Figura 7. Nombre de usuario para la cuenta

Fuente: Autor

El nombre de usuario para la cuenta es auditoria.

Luego de asignar los respectivos nombres o identidades se procede a establecer una clave de usuario (figura 8). Figura 8. Contrasea de usuario

Fuente: Autor

La prxima opcin que aparece es cifrar la carpeta personal (figura 9), teniendo en cuenta que se busca una configuracin bsica y por defecto, no se elegir esta opcin.

Figura 9. Cifrar carpeta personal

Fuente: Autor

Se debe elegir un mtodo de particionado para la instalacin del servidor (figura 10), el mtodo ms bsico es Guiado, utilizar todo el disco y por ende es el mtodo seleccionado.

Figura 10. Mtodo de particionado

Fuente: Autor

El siguiente paso que es escribir la informacin del proxy (figura 11), por defecto no se usa ninguno, as que se deja en blanco.Figura 11. Uso de Proxy

Fuente: Autor

La siguiente opcin es determinar cmo se administrarn las actualizaciones, en este caso se elegir la opcin sin actualizaciones automticas. (Figura 12)Figura 12. Administracin de actualizaciones

Fuente: Autor

En la figura 13 se puede observar el siguiente paso, que consiste en la instalacin del cargador de arranque GRUB, el cual permite arranque dos o ms sistemas operativos que hayan sido instalados en el equipo.

Figura 13. Cargador de arranque

Fuente: Autor

A continuacin (figura 14) se puede observar el servidor Ubuntu 14.04 instalado.

Figura 14. Servidor instalado

Fuente: Autor

INSTALACIN SOFTWARE BSICOComo software bsico de un servidor se instalan programas que permiten alojar aplicaciones y sitios web en el mismo, en este caso se instalar Apache, Mysql y PHP.

Instalacin Apache

Para la instalacin de Apache desde el gestor de paquetes de Ubuntu, utilizando el cdigo (Figura 15):sudo apt -get install apache2

Figura 15. Instalar apache

Fuente. Autor

Instalacin MysqlPara la instalacin de Mysql se utiliza el siguiente cdigo (figura 16):sudo apt-get install mysql-server mysql-client

Figura 16. Instalacin Mysql

Fuente. Autor

Posteriormente se requerir definir una contrasea para el usuario root mysql (figura 17).Figura 17. Contrasea root Mysql

Fuente. Autor

Luego de los anteriores pasos quedar Mysql instalado, para ingresar es necesario el cdigo:mysql uroot pY escribir la contrasea de usuario root cuando sea solicitada (figura 18)Figura 18. Ingreso Mysql

Fuente. Autor

Instalacin PHPPara la Instalacin de PHP se utiliza el cdigo:Sudo apt-get install PHP5Figura 19. Instalacin PHP

Fuente. AutorAUDITORIA A CONFIGURACIN DE SERVIDOR UBUNTU 14.04

Para realizar la auditoria de seguridad informtica enfocada a las configuraciones por defecto del servidor Ubuntu 14.04 se utilizar la herramienta de seguridad Lynis la cual se caracteriza por realizar auditoras completas a sistemas Linux, analizando el software instalado en cada sistema para lograr identificar inconvenientes de seguridad, mostrar los peligros o principales fallos de seguridad y tambin mostrar sugerencias para reducir el riesgo. Esta herramienta mostrar las configuraciones que se tienen en el servidor, posteriormente conociendo las configuraciones por defecto se establecer una matriz de riesgo utilizando el mtodo magerit para identificar los principales problemas en seguridad y proceder a determinar controles aplicables para mitigar los riesgos identificados.

ESCANEO LYNIS Para realizar la instalacin de la herramienta Lynis se utiliza el siguiente comando (figura):Sudo apt-get install lynis

Figura 20. Instalar Lynis

Fuente. AutorLuego de instalar es necesario actualizar lynis con el comando (figura 21):sudo lynis --check-updateFigura 21. Actualizar Lynis

Fuente: Autor Despus de tener actualizada la herramienta Lynis se puede ejecutar un cdigo para iniciar el anlisis del servidor Ubuntu 14.04 instalado mediante el cdigo:sudo lynis c

Figura 22. Ejecucin de Lynis

Fuente: Autor

Como se puede observar en la anterior figura (22), el programa inicia mostrando las caractersticas principales del sistema que se va a analizar.

Figura 23. Escaneo Lynis: Herramientas del sistema

Fuente: Autor

El primer anlisis que se realiza muestra las herramientas del sistema que estn instaladas (figura 25).

El paso siguiente es analizar el gestor de arranque que se detecta en el sistema, los servicios que se inician y el kernel (figura 24)Figura 24. Escaneo Lynis: Gestor de arranque y Kernel

Fuente: Autor

El siguiente aspecto a analizar es todo lo relacionado con usuarios, grupos y autenticacin (figura 25).Figura 25. Escaneo Lynis: Usuarios, grupos y autenticacin

Fuente: AutorPosteriormente se escanea el escudo del sistema, el sistema de archivos y el soporte para almacenamiento masivo.

Figura 26. Scaneo Lynis: Shells, sistema de archivos, almacenamiento

Fuente: AutorEl siguiente anlisis es el sistema de archivos de red y el servicio de nombres de servicios.

Figura 27. Escaneo Lynis: NFS, Software: nombre de servicios

Fuente: AutorEl siguiente anlisis corresponde al gestor de paquetes de distribucin (figura 28).

Figura 28. Escaneo Lynis: Puertos y Paquetes

Fuente: Autor

Seguidamente se analizarn las redes (figura 29)

Figura 29. Escaneo Lynis: Networking, Printers and Spools Fuente: Autor

Se analizar el servidor de correo y el firewall (figura 30).

Figura 30. Escaneo Lynis: e-mail, firewalls

Fuente: AutorSeguidamente se analizar el servidor Web (figura 33).

Figura 31. Escaneo Lynis: Web server

Fuente: AutorContinua el anlisis de los servicios SSH, SMP, Bases de Datos, LDAP (figura 32), PHP (Figura 33).

Figura 32. Escaneo Lynis: SSH, SMP, Bases de datos, LDAP services

Fuente: Autor

Figura 33. Escaneo Lynis: PHP

Fuente: Autor

Seguidamente se analiza el servidor Squid y logs del sistema (figura 34), posteriormente se continua con los servicios inseguros, Banners e identificacin (Figura 35).

Figura 34. Escaneo Lynis: Squid, Logging and files

Fuente: Autor

Figura 35. Servicios Inseguros, Banners e identificacin

Fuente: Autor

A continuacin, se analizan las tareas programadas, la informacin de nuestra cuenta, el estado del servidor de hora y sincronizacin (Figura 36). Prosigue el anlisis de la criptografa del sistema y los aspectos relacionados con la virtualizacin y seguridad de frameworks (figura 37).

Figura 36. Escaneo Lynis: Scheduled tasks, Accounting, Tiempo de sincronizacin

Fuente: Autor

Figura 37. Escaneo Lynis: Criptografa, virtualizacin, frameworks

Fuente: AutorEl anlisis contina con la integridad de archivos y el escner de malware (si est instalado) (Figura 38), posteriormente las herramientas del sistema y los directorios tambin son escaneados (Figura 39).

Figura 38. Escaneo Lynis: File Integrity, Malware Scanners

Fuente: Autor

Figura 39. Escaner Linyx: System tool, Home directories

Fuente: Autor

Finalmente se realiza un escner del kernel, en el cual se verifica que existan herramientas o configuraciones que permitan mayor seguridad en el mismo (Figura 40) y programas o procesos adicionales de hardening (Figura 41). Por ltimo, se presenta un resumen de las vulnerabilidades encontradas, y se muestra la ubicacin de los reportes generados (Figura 42).Figura 40. Escaneo Lynis: Kernel Hardening

Fuente: AutorFigura 41. Hardening Fuente: AutorFigura 42. Fin auditoria Lynis

Fuente: AutorVulnerabilidades detectadas por Linys

Teniendo los resultados de la auditora realizada a la configuracin del servidor Ubuntu 14.04, se procede a establecer una matriz de riesgo basada en la metodologa Magerit, ya conociendo las configuraciones por defecto presentes en el servidor, cabe resaltar que el objetivo de este proyecto son las configuraciones del servidor, por lo cual el anlisis de riesgo solamente se realizar en base a sus configuraciones que representan alguna vulnerabilidad.

Para visualizar las principales fallas de seguridad halladas por linys se usa el siguiente cdigo (Figura 43):Sudo grep Warning /var/log/lynis.log

Figura 43. Principales problemas de seguridad del servidor

Fuente: Autor

Los dos principales problemas de seguridad identificados son: Opcin global opcin de registro activada, que puede ser un riesgo para el valor variable de sobreescritura. Opcin expose_PHP esta activada, puede revelar informacin til para los atacantes.

Para visualizar las recomendaciones de seguridad que proporciona lynis se usa el siguiente cdigo (Figura 44): Sudo grep Suggestion /var/log/lynis.log

Figura 44. Sugerencias de seguridad Lynis

Fuente: Autor

Teniendo en cuenta que el objetivo del proyecto es identificar las principales vulnerabilidades del servidor Ubuntu 14.04 no se ahondar en las sugerencias de seguridad, ya que si bien son un aspecto que puede tomar importancia para mejorar el nivel de seguridad, no todas las sugerencias se realizan por causa de una vulnerabilidad, algunas solo buscan fortalecer an ms la seguridad. Por lo anterior solo se han tenido en cuenta las recomendaciones que traducen la ausencia de alguna herramienta de seguridad como lo son: Firewall desactivado No presencia de antimalwareVULNERABILIDADES DE UBUNTU SERVER 14.04

En este apartado se ha consultado en las principales pginas y/o foros donde se informan las distintas que tienen las versiones de los sistemas Ubuntu, esto con el objetivo de complementar la deteccin de vulnerabilidades en las configuraciones por defecto del servidor Ubuntu, ya que segn los resultados encontrados algunas vulnerabilidades vienen inmersas como un error de configuracin del sistema y no como una debilidad.

Las configuraciones por defecto que representan algn riesgo en la seguridad del servidor Ubuntu debido principalmente a errores presenten en el servidor son:KernelEl kernel del servidor no limita el espacio que puede ocupar el archivo en el cual se guardan los registros, por lo cual se puede se est expuesto a una denegacin de servicio.

Usuarios, grupos y autenticacinDebido a un error en el controlador multisistema, un usuario local puede llegar a tener acceso a informacin privada escalando privilegios.

Adems de los problemas de seguridad por defecto anteriormente mencionados, se han encontrado algunos otros errores, los cuales se solucionan solamente actualizando el sistema con los cdigos: sudo apt-get-update sudo apt-get upgrade

ANLISIS DE RIESGO MAGERIT

Conociendo las vulnerabilidades presentes en las configuraciones por defecto del servidor Ubuntu 14.04 se procede a realizar una matriz de riesgo para analizar los riesgos a los que se est expuesto, cabe reiterar que este proyecto est enfocado solamente en las configuraciones por defecto del servidor, por lo cual solamente se tendr en cuenta esto para realizar la matriz. Posteriormente con el anlisis de los resultados se establecern los controles pertinentes, los cuales hacen parte del producto a entregar, es decir, los controles se documentarn y se identificarn como los lineamientos adicionales a tener en cuenta al momento de auditar un servidor de esta distribucin y versin.

Se utilizar como referencia la metodologa de anlisis de riesgo Magerit en cuanto sea pertinente, teniendo en cuenta que el proceso va desde el anlisis hasta el tratamiento (controles a ejecutar) de los riesgos. Como punto de partida es necesario establecer el contexto del anlisis.

Determinacin del contextoEs algo difcil especificar un contexto en este caso debido al objeto del proyecto, lo que se busca es identificar y controlar los riesgos de la configuracin por defecto de un servidor, por lo cual es algo muy general ya que cambiar dependiendo del sistema en el cual se encuentre implementado, para nuestro caso el contexto es un servidor que no tiene mayores servicios instalados, solamente los servicios elementales (Apache, Mysql, PHP) en sus configuraciones por defecto, el cual requiere que su configuracin bsica ofrezca un nivel de riesgo bajo.

Anlisis de riesgoAntes de realizar la matriz de riesgo es necesario establecer los parmetros o los niveles asignados a la probabilidad, impacto y riesgo, para este caso se tomarn como referencia los datos asignados en las tablas 1,2,3.

Tabla 5. Anlisis de riesgo metodologa Magerit a configuraciones por defecto de Servidor Ubuntu 14.04ITEMACTIVOCLASE DE ACTIVOAMENAZAPROBABILIDADIMPACTORIESGO

1KernelSoftwareAtaques de denegacin de servicioFRECUENTEIMPORTANTEMAYOR

2Usuarios, grupos y autenticacinSistema de archivosSoftwareAcceso a informacin confidencialNORMALIMPORTANTEMODERADO

Ejecucin de Procesos no autorizadosNORMALMUY GRAVEMODERADO

3PHP (variables globales)SoftwareEjecucin remota de cdigoFRECUENTEMUY GRAVEMAYOR

4PHP (expose_PHP)SoftwareAcceso a informacin sobre la versin de PHP (facilita un ataque)MUY FRECUENTEMODERADOMODERADO

5Firewall (Desactivado)SoftwareAcceso de intrusos a la redNORMALIMPORTANTEMODERADO

6Inexistencia de MalwareSoftwarePresencia de programas malintencionadosPOCO FRECUENTEMODERADOMENOR

Fuente: Autor

En la siguiente tabla se puede observar el anlisis de riesgo, con calificaciones cuantitativas:

Tabla 6. Anlisis de riesgo cuantitativoITEMACTIVOCLASE DE ACTIVOAMENAZAPROBABILIDADIMPACTORIESGO

1KernelSoftwareAtaques de denegacin de servicio4416

2Usuarios, grupos y autenticacinSistema de archivosSoftwareAcceso a informacin confidencial3412

Ejecucin de Procesos no autorizados3515

3PHP (variables globales)SoftwareEjecucin remota de cdigo4520

4PHP (expose_PHP)SoftwareAcceso a informacin sobre la versin de PHP (facilita un ataque)5312

5Firewall (Desactivado)SoftwareAcceso de intrusos a la red3412

6Inexistencia de MalwareSoftwarePresencia de programas malintencionados236

Fuente: Autor

Antes de establecer los controles pertinentes ante cada riesgo, se documentarn pruebas que corroboren algunas de las vulnerabilidades detectadas.

Escalamiento de privilegiosSe ha comprobado la veracidad de esta vulnerabilidad, trata de un error en la comprobacin de permisos, por lo cual un usuario local puede escalar privilegios.

Primer paso (figura 45) es comprobar la versin del kernel, para ello se usa el cdigo:Uname a

Figura 45. Identificacin versin del Kernel

Fuente: https://www.youtube.com/watch?v=LcdgzeXmJz4

Ahora se verifica el usuario actual (figura 46), en este caso es un usuario distinto al root.

Figura 46. Usuario Actual

Fuente: https://www.youtube.com/watch?v=LcdgzeXmJz4

Posteriormente se crea un exploit para realizar el ataque (Figura 47), en este caso llamado ofc.c

Figura 47. Exploit

Fuente: https://www.youtube.com/watch?v=LcdgzeXmJz4

Habiendo guardado el exploit creado, se compila el mismo (figura 48), utilizando el cdigo:Gcc ofc.c o ofc

Figura 48. Compilacin del exploit

Fuente: https://www.youtube.com/watch?v=LcdgzeXmJz4

El siguiente paso consiste en ejecutar el programa compilado (figura 49).

Figura 49. Ejecucin del Exploit

Fuente: https://www.youtube.com/watch?v=LcdgzeXmJz4

Por ltimo, se vuelve a verificar el usuario actual, y se puede observar que ahora el usuario es root (figura 50).

Figura 50. Escalamiento de Privilegios

Fuente: https://www.youtube.com/watch?v=LcdgzeXmJz4 Cabeceras HTML

Esta vulnerabilidad consiste en que la opcin expose_PHP se encuentra por defecto activada, lo cual permitir para cualquier persona ver la versin del servidor web, solo es necesario tener la direccin IP del mismo.

El primer paso es verificar la IP del servidor, para ello en Ubuntu Server 14.04 digitamos:IfconfigFigura 51. IP del Servidor

Fuente: autor

Conociendo la direccin IP del servidor, procedemos en otro sistema a visualizar la cabecera HTML con el cdigo:curl I 192.168.0.31

Figura 52. Cabecera HTML

Fuente: autorSe puede observar en la figura anterior la versin del servidor, esto puede representar una ventaja para el atacante para estudiar las vulnerabilidades de las versiones y sistemas operativos.

Tratamiento de riesgos

Teniendo en cuenta la matriz de riesgos realizada se han de determinar controles pertinentes segn lo amerite el nivel en el que se ubique cada riesgo, en nuestro caso todos los riesgos se mitigarn, ninguno se va a aceptar, ya que no representan costo alguno, por lo cual es poco probable que alguna entidad prefiera asumir el riesgo conociendo que los controles pertinentes se pueden implementar con una serie de configuraciones y/o software libre.

Tomando como base la matriz de riesgos elaborada, se complementar con el control necesario para mitigar el riesgo tratado.

Tabla 7. Establecimiento de controlesITEMACTIVOAMENAZARIESGOCONTROL

1KernelAtaques de denegacin de servicioMAYORActualizar el sistema para que se instale el parche que corrige esta vulnerabilidad, el paquete es inux-image-3.13.0-65 PowerPC-e500 3.13.0-65.106

2Usuarios, grupos y autenticacinSistema de archivosAcceso a informacin confidencialMODERADO

Ejecucin de Procesos no autorizadosMODERADO

3PHP (variables globales)Ejecucin remota de cdigoMAYORDesactivar la opcin de variables globales

4PHP (expose_PHP)Acceso a informacin sobre la versin de PHP (facilita un ataque)MODERADODesactivarla opcin expose_PHP

5Firewall (Desactivado)Acceso de intrusos a la redMODERADOActivar firewall

6Inexistencia de MalwarePresencia de programas malintencionadosMENORInstalacin de Rkhunter

Fuente: autor

Actualizacin del sistema

Actualizando el sistema se resuelven los problemas del kernel del servidor y con ello el problema de autenticacin que permita escalamiento de privilegios. Adems de esto se debe configurar el servidor para que se actualice automticamente.

Para realizar la actualizacin del sistema se usan los siguientes cdigos: Sudo apt-get update Sudo apt-get upgradeFigura 53. update

Fuente: autor

Figura 54. Upgrade

Fuente: autorDesactivacin de registros globales y expose_php

Para desactivar estas opciones basta con ingresar al archivo php.ini y modificar sus estados de on a off. Para ingresar al archivo se escribe el siguiente cdigo:

Sudo nano /etc/php5/apache2/php.ini

Figura 55. Desactivacin de registros globales y expose_php

Fuente: autor

Es de aclarar que, para realizar la desactivacin de registro globales en caso de no tener acceso a esta opcin, es necesario realizar la solicitud de esta configuracin al administrador del hosting.

Activacin del firewallPara habilitar el firewall se usa el siguiente cdigo:Sudo ufw enable

Figura 56. Activacin del firewall

Fuente: autor

Una ventaja del servidor Ubuntu es que por defecto los puertos se encuentran cerrados, por lo cual no es necesarios como en la mayora de servidores comenzar a verificar puertos que no se estn utilizando para cerrarlos.

Luego de tener activo el firewall se considera como una buena prctica denegar todas las conexiones entrantes por defecto, para ello utilizamos el cdigo:sudo ufw default deny

Figura 57. Denegacin de conexiones entrantes por defecto

Fuente: autor

Posteriormente se deben habilitar los puertos que se requieran, es recomendable no utilizar los puertos que por defecto se utilizan con los principales servicios. Para habilitar un puerto se utiliza el siguiente cdigo:

sudo ufw allow

Solo es cuestin de agregar el nmero de puerto requerido.

Instalacin de RkhunterPara instalar este antimalware se usa el cdigo:Sudo apt-get install rkhunter

Figura 58. Instalacin de Rkhunter Fuente: autor

ANALISIS DE RESULTADOS

Estableciendo los controles descritos anteriormente se lograron corregir vulnerabilidades presentes en el servidor Ubuntu 14.04, lo cual permite un aporte significativo al momento de realizar auditoras internas en un sistema que contenga este tipo de servidor, ya que adems de las consideraciones que se han de tener normalmente en las auditorias, se han lograron establecer los puntos importantes en materia de seguridad de la informacin.A continuacin, se presenta el resultado de los controles implementados en el servidor (riesgos residuales):

Tabla 8. Riesgo residualITEMACTIVOCLASE DE ACTIVOAMENAZAPROBABILIDADIMPACTORIESGO

1KernelSoftwareAtaques de denegacin de servicioMUY POCO FRECUENTEMODERADOINSIGNIFICANTE

2Usuarios, grupos y autenticacinSistema de archivosSoftwareAcceso a informacin confidencialMUY POCO FRECUENTEMODERADOINSIGNIFICANTE

Ejecucin de Procesos no autorizadosMUY POCO FRECUENTEIMPORTANTEINSIGNIFICANTE

3PHP (variables globales)SoftwareEjecucin remota de cdigoMUY POCO FRECUENTEMUY GRAVEMENOR

4PHP (expose_PHP)SoftwareAcceso a informacin sobre la versin de PHP (facilita un ataque)MUY POCO FRECUENTEMODERADOINSIGNIFICANTE

5Firewall (Desactivado)SoftwareAcceso de intrusos a la redMUY POCO FRECUENTEIMPORTANTEMENOR

6Inexistencia de MalwareSoftwarePresencia de programas malintencionadosMUY POCO FRECUENTEMODERADOINSIGNIFICANTE

Fuente: autor

Como se puede observar en la tabla anterior, los riesgos se han minimizado considerablemente, en base a ella podemos deducir que los controles en riesgos por configuraciones tienen un nivel de eficiencia bastante alto.

En la siguiente tabla se puede observar el resultado de los controles establecidos para tratar los riesgos en las configuraciones por defecto del servidor Ubuntu 14.04.

Tabla 9. Resultados controles aplicadosITEMACTIVORIESGO SIN CONTROLRIESGO CON CONTROL

1Kernel163

2Usuarios, grupos y autenticacin123

Sistema de archivos154

3PHP (variables globales)205

4PHP (expose_PHP)123

5Firewall (Desactivado)128

6Inexistencia de Malware63

Fuente: autor

La siguiente figura muestra de manera grfica los resultados de los controles aplicados.

Figura 59. Resultados controles aplicados

Fuente: autor

Los controles establecidos lograron mitigar los riesgos en las configuraciones por defecto del servidor Ubuntu 14.04. Si bien existen otras acciones que se pueden implementar para reducir an ms el nivel de riesgo, lo que busca este proyecto es complementar una auditora general, y estas traen consigo las recomendaciones a las que se hacen mencin, por lo cual no es necesario redundar en el tema.

El riesgo presente en las configuraciones por defecto que fueron detectadas y controladas en este proyecto representan en general un impacto considerable, a tener en cuenta, y deben ser tratados de una manera prioritaria.

CONCLUSIONES

Una correcta gestin de riesgos conlleva un arduo trabajo, en cuanto se debe ser minucioso con cada uno de los activos evaluados para lograr los resultados esperados, cabe resaltar que la metodologa magerit proporciona una metodologa muy completa para una eficiente gestin de riesgos.

Se realiz una gestin de riesgos alineada a la metodologa magerit, cumpliendo con cuatro principales procesos como lo son la contextualizacin, la identificacin de vulnerabilidades, la determinacin del nivel de riesgo y la ejecucin de controles pertinentes.

La cuantificacin del impacto y de la probabilidad es algo subjetiva, pues depende del mbito de la entidad, de las consideraciones humanas de los mismos, de los recursos con los que cuente la organizacin y el nivel de riesgo que se est dispuesto a soportar.

Se pudieron comprobar los riesgos determinados en el proyecto, muchas personas son conscientes de las vulnerabilidades de estos sistemas, por parte del soporte es algo muy bueno, ya que al ser un cdigo libre permite rpidamente desarrollar controles para mitigar los errores del sistema, pero a la vez si no se est actualizado en los foros de Ubuntu somos susceptibles a ser vctimas de ataques malintencionados ya que no todos los que entran a indagar sobre estos inconvenientes de seguridad lo hacen con buenas intenciones.

Los servidores Ubuntu en general tiene una buena reputacin en cuanto a seguridad y facilidad de uso y/o configuracin, esto se ha podido constatar a lo largo del proyecto, ya que si bien fueron posee vulnerabilidades que representan un riesgo alto, se pueden controlar y no son muchas.

Teniendo en cuenta los resultados obtenidos se ha detectado que la efectividad de los controles es bastante alta cuando se trata de errores de configuracin.

OBSERVACIONES Y RECOMENDACIONES

El proyecto desarrollado no cubre una auditoria completa de un sistema, ya que sera algo muy subjetivo, debido a que solamente se est evaluando un servidor en configuraciones por defecto, no contiene configuraciones avanzadas para la prestacin de un servicio especializado, por lo cual es de gran importancia tener como base principal la normativa para auditoria en seguridad de la informacin ISO 27001:2013, y apoyarse en este proyecto para solucionar ciertos aspectos que algunas veces pueden pasarse desapercibido en una auditoria interna.

Se recomienda estar siempre actualizadas en los foros que ofrece la comunidad canonical de Ubuntu, en la cual se desarrollan permanentemente soluciones a los problemas de seguridad encontrados en las distintas distribuciones.

BIBLIOGRAFA Avisos de seguridad Ubuntu. Ubuntu. Disponible en: http://www.ubuntu.com/usn/ GOMEZ LABRADOR, Ramn M. Administracin de servidores Linux (Ubuntu/Fedora/Centos). Universidad de Sevilla. Sevilla-Espaa. 2014. Disponible en: https://www.informatica.us.es/~ramon/articulos/AdminServidoresLinux.pdf INSTITUTO COLOMBIANO DE NORMAS TECNICAS Y CERTIFICACION ICONTEC. Presentacin de tesis, trabajos de grado y otros trabajos de investigacin. Colombia. 2008. Disponible en: http://66.165.175.235/campus18_20151/file.php/85/entorno_de_conocimiento/NTC 14862008.pdf [1]METALBYTE. Debian sigue siendo la nmero uno en servidores. MuyLinux. 2013. Disponible en: http://www.muylinux.com/2013/10/25/debian-sigue-numero-uno-en-servidores [2] HESS KENETH. (2010). Ubuntu Server: The Linux Server Operating Systems Dark Horse. [en linea]. Disponible en: http://www.serverwatch.com/trends/article.php/3870141/Ubuntu-Server-The-Linux-Server-Operating-Systems-Dark-Horse.htm

[3] MARTINEZ J.E, GIRALDO C.A. Auditoria de seguridad informtica. Password S.A [en linea]. Disponible en: http://artemisa.unicauca.edu.co/~ecaldon/docs/audit/ponencia_PASSWORD_siti2004.pdf

[4] BOWEN RONDA. (2013). Qu es el plan PHVA?. 13 de Julio del 2013. [en linea]. Disponible en: http://www.brighthubpm.com/methods-strategies/73268-what-is-plan-do-check-act/

VELASCO RUBEN. (2015). Nuevas vulnerabilidades crticas en el Kernel de Linux.26 de Marzo del 2015. [en linea]. Disponible en: http://www.redeszone.net/2015/03/26/nuevas-vulnerabilidades-criticas-en-el-kernel-de-linux/

RIERGO Y CONTROL INFORMTICO. Estndar Magerit para Anlisis de Riesgos Informtico. Universidad Nacional Abierta y a Distancia. [en linea]. Disponible en: http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_8_estndar_magerit_para_anlisis_de_riesgos_informticos.html

NIXCRAFT. Qu es Umask y Cmo configurar por defecto umask con Linux?. [en linea]. Disponible en: http://www.cyberciti.biz/tips/understanding-linux-unix-umask-value-usage.html

AZPE. Detectadas nuevas vulnerabilidades en Ubuntu. Linuxadictos. 30 de Septiembre del 2015. [en linea]. Disponible en: http://www.linuxadictos.com/detectadas-nuevas-vulnerabilidades-en-ubuntu.html

ALBERT M.C. (2011) Enabling Process Accounting on Linux HOWTO.[en linea]. Disponible en: http://www.tldp.org/HOWTO/text/Process-Accounting

CANONICAL. USN-2761-1: la vulnerabilidad del ncleo de Linux. 5 DE Octubre del 2015 [en lnea]. Ubuntu. Disponible en: http://www.ubuntu.com/usn/usn-2761-1/

VELASCO Ruben. Canonical parchea una vulnerabilidad grave en Ubuntu. 6 de octubre del 2016. [En lnea]. Redes Zone. Disponible en: http://www.redeszone.net/2015/10/06/canonical-parchea-una-vulnerabilidad-grave-en-ubuntu/

SAYS Alex. Lynis: auditora, hardening y seguridad de sistemas. 2 de Noviembre del 2014. [En Lnea]. Disponible en: http://rm-rf.es/lynis-auditoria-hardening-seguridad-sistemas/

INCIBE. Vulnerabilidad en la configuracin por defecto para cURL y libcurl (CVE-2015-3153). 21 DE Enero del 2016. Espaa. [En Lnea]. Gobierno de Espaa. Disponible en: https://www.incibe.es/vulnDetail/CERT/Alerta_Temprana/Actualidad_Vulnerabilidades/detalle_vulnerabilidad/CVE-2015-3153

ANEXOS

ANEXO A. LINEAMIENTOS A TENER EN CUENTA EN AUDITORIAS A UN SERVIDOR UBUNTU 14.04

Los sistemas Ubuntu a modo general representan un nivel de confiabilidad bueno, no se pueden encontrar muchas vulnerabilidades en sus configuraciones por defecto, lo cual indica que hay que prestar mayor atencin a los aspectos generales establecidos por las normas legisladores de las auditorias en seguridad de la informacin (ISO 27001:2013).

El principal aspecto a tener en cuenta adems de sus actualizaciones constantes son las configuraciones de PHP, ya que esto puede representar un nivel de riesgo considerable, teniendo en cuenta que algunas personas por ejemplo consideran conveniente habilitar las variables globales y se sienten cmodos con ellas, pero es un aspecto que representa un nivel de riesgo que es mejor mitigar.

Otro aspecto importante a tener en cuenta es la gestin de riesgo, si bien la norma establece de una manera muy completa las tcnicas de identificar, evaluar y tratar los riesgos, se hace nfasis en esta parte porque es la columna vertebral de una auditora, una minuciosa gestin de riesgo garantiza una excelente base para los dems puntos.

Las vulnerabilidades en configuraciones por defecto en el servidor Ubuntu 14.04 corregidas, no tienen mayor riesgo, ya que la eficiencia de los controles es bastante alta.

ANEXO B. DIVULGACIN

Teniendo en cuenta que no es un proyecto aplicado directamente en una organizacin, la divulgacin se ha decidido realizar la pgina slideshare, y adems de esto se deja este trabajo a disposicin de la Universidad Nacional Abierta y a Distancia como un aporte al conocimiento.

ANEXO C. RAE

TITULO DEL PROYECTOAUDITORIA EN SEGURIDAD INFORMTICA DE SERVIDOR UBUNTU 14.04 PARA CONTROLAR VULNERABILIDADES EN CONFIGURACIN POR DEFECTO

AUTORCABEZA SEGURA, JEISON SNEIDER

REFERENCIA APARIERGO Y CONTROL INFORMTICO. Estndar Magerit para Anlisis de Riesgos Informtico. Universidad Nacional Abierta y a Distancia. [en linea]. Disponible en: http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_8_estndar_magerit_para_anlisis_de_riesgos_informticos.html

CANONICAL. USN-2761-1: la vulnerabilidad del ncleo de Linux. 5 DE Octubre del 2015 [en lnea]. Ubuntu. Disponible en: http://www.ubuntu.com/usn/usn-2761-1/

VELASCO Ruben. Canonical parchea una vulnerabilidad grave en Ubuntu. 6 de octubre del 2016. [En lnea]. Redes Zone. Disponible en: http://www.redeszone.net/2015/10/06/canonical-parchea-una-vulnerabilidad-grave-en-ubuntu/

SAYS Alex. Lynis: auditora, hardening y seguridad de sistemas. 2 de Noviembre del 2014. [En Lnea]. Disponible en: http://rm-rf.es/lynis-auditoria-hardening-seguridad-sistemas/

INCIBE. Vulnerabilidad en la configuracin por defecto para cURL y libcurl (CVE-2015-3153). 21 DE Enero del 2016. Espaa. [En Lnea]. Gobierno de Espaa. Disponible en: https://www.incibe.es/vulnDetail/CERT/Alerta_Temprana/Actualidad_Vulnerabilidades/detalle_vulnerabilidad/CVE-2015-3153

PALABRAS CLAVESHardening, Ubuntu Server, Vulnerabilidades, Auditora., Gestin de riesgos

TEMA CENTRALGestin de riesgos de seguridad informtica

PROBLEMAS Y PREGUNTAS QUE ABORDA EL TEXTOVulnerabilidades en configuraciones por defecto en servidor Ubuntu 14.04. Controles necesarios para mitigar los riesgos encontrados. Principales aspectos a tener en cuenta en una auditora a estos servidores.

RESUMEN DE CONTENIDOSEl proyecto cuenta con un fundamento terico para establecer los conceptos base para llevar a cabo el mismo. Posteriormente se realiza la gestin de los riesgos presente en las vulnerabilidades presentes en las configuraciones por defecto de un servidor Ubuntu 14.04. Luego de esto se muestran ejemplos de ataques realizados para finalizar esta apartado con los controles necesarios para mitigar los riesgos identificados. El proyecto culmina con el anlisis de los resultados, observaciones y recomendaciones en cuanto a los lineamientos a tener en cuenta al momento de realizar una auditora a estos servidores.

PRINCIPALES REFERENTES TERICOS Y CONCEPTUALESServidor Ubuntu 14.04, sus caractersticas y configuraciones por defecto. Gestin y tratamiento de riesgos

METODOLOGA DE LA INVESTIGACINSe estableci el ciclo PHVA para la ejecucin del proyecto, y para la gestin de riesgos se referencia la metodologa Magerit

RESULTADOS Y CONCLUSIONESSe ha encontrado que el servidor Ubuntu 14.04 no presenta muchas configuraciones que representen riesgos inherentes a ellas, las vulnerabilidades detectadas representan riesgos considerables, con un impacto importante en un sistema. Se han establecido los lineamientos teniendo en cuenta que la norma ISO 27000 abarca prcticamente todo el tema de auditoria en seguridad de la informacin, por lo cual se han dado recomendaciones de acuerdo a los riesgos tratados en el proyecto.

COMENTARIOSLos resultados encontrados corroboran la confiabilidad y la mayor demanda que ha tenido Ubuntu en los ltimos aos

ELABORADO PORCABEZA SEGURA, JEISON SNEIDER

FECHA DE ELABORACINMAYO DE 2016

1 1 2