UNAD - Hardening
UNAD - Hardening
UNAD - Hardening
Director
HERNANDO JOSE PEÑA HIDALGO
Ingeniero de Sistemas
_________________________________
_________________________________
_________________________________
_________________________________
_________________________________
_________________________________
_________________________________
_________________________________
Firma del jurado
_________________________________
3
DEDICATORIA
4
CONTENIDO
Pág.
TITULO .................................................................................................................. 13
INTRODUCCION ................................................................................................... 14
1. DEFINICIÓN DEL PROBLEMA.......................................................................... 15
1.1. DESCRIPCIÓN DEL PROBLEMA .................................................................. 15
1.2. FORMULACIÓN DEL PROBLEMA ................................................................. 15
2. OBJETIVOS ....................................................................................................... 16
2.1. OBJETIVO GENERAL .................................................................................... 16
2.2. OBJETIVOS ESPECÍFICOS ........................................................................... 16
3. JUSTIFICACIÓN ................................................................................................ 17
4. ALCANCE Y DELIMITACIÓN DEL PROYECTO ............................................... 18
5. MARCO REFERENCIAL .................................................................................... 19
5.1. ANTECEDENTES ........................................................................................... 19
5.2. MARCO TEÓRICO.......................................................................................... 20
5.2.1. Educación para el trabajo y el desarrollo humano. ...................................... 20
5.2.2. Amenaza informática. .................................................................................. 21
5.2.2.1. Tipos de amenazas lógicas en informática. .............................................. 21
5.2.2.2. Amenazas del personal interno ................................................................. 23
5.2.3. Conceptos de Hardening ............................................................................. 23
5.2.4. Bastionado de un sistema informático ......................................................... 24
5.2.5. Hardening en software ................................................................................. 25
5.2.5.1. Hardening en Windows. ............................................................................ 26
5.2.5.2. Hardening en Linux. .................................................................................. 27
5.2.6. Hardening en cuanto a hardware. ................................................................ 28
5.2.6.1. IDS – Sistema de detección de intrusos ................................................... 29
5.2.6.2. Dispositivos firewalls. ................................................................................ 29
5.3. MARCO CONTEXTUAL .................................................................................. 30
5.3.1. Reseña histórica COTEL-TUNJA................................................................. 30
5
5.3.2. Organigrama organizacional COTEL-TUNJA .............................................. 31
5.3.3. Sistemas de gestión de calidad en COTEL-TUNJA. .................................... 31
5.3.4. Activos informáticos de COTEL-TUNJA....................................................... 33
5.4. MARCO CONCEPTUAL ................................................................................. 35
5.5. MARCO LEGAL .............................................................................................. 38
5.5.1. Ley 599 de 2000. Código Penal de Colombia. ............................................. 38
5.5.2. Ley 603 de 2000. Derechos de autor. .......................................................... 40
5.5.3. Ley 1273 de 2009. Derechos de autor. ........................................................ 40
6. MARCO METODOLÓGICO ............................................................................... 41
6.1. TIPO DE INVESTIGACION ............................................................................. 41
6.2. DISEÑO METODOLÓGICO ............................................................................ 41
6.3. FUENTES DE INFORMACIÓN ....................................................................... 41
6.3.1. Fuentes primarias. ....................................................................................... 41
6.4. POBLACIÓN ................................................................................................... 42
6.5. METODOLOGÍA DE DESARROLLO .............................................................. 42
7. HARDENING. ESTRATEGIAS Y DEFENSA EN PROFUNIDAD .................... 44
7.1. ESTRATEGIAS DE HARDENING ................................................................... 44
7.2. DEFENSA EN PROFUNDIDAD ...................................................................... 44
7.2.1. Modelo de defensa en profundidad Microsoft. ............................................. 45
7.2.2. Capas del modelo de defensa en profundidad Microsoft ............................. 47
7.2.2.1. Datos......................................................................................................... 47
7.2.2.2. Aplicación.................................................................................................. 47
7.2.2.3. Host........................................................................................................... 48
7.2.2.4. Red interna. .............................................................................................. 48
7.2.2.5. Perímetro. ................................................................................................. 48
7.2.2.6. Seguridad física. ....................................................................................... 48
7.2.2.7. Políticas, Procedimientos y concientización .............................................. 49
8. HARDENING EN WINDOWS............................................................................. 50
8.1. WINAUDIT ...................................................................................................... 50
8.2. USO DE SNORT COMO IDS EN WINDOWS ................................................. 52
6
8.3. SOFTWARE REBOOT RESTORE ................................................................. 54
8.4. BLOQUEO DE SITIOS WEB A TRAVÉS DE ARCHIVO HOSTS EN
WINDOWS ............................................................................................................. 57
8.5. USO Y APLICACIÓN DE GPO Y GPL EN WINDOWS Y WINDOWS
SERVER ................................................................................................................ 58
9. HARDENING EN LINUX .................................................................................... 61
9.1. HARDENING EN LINUX UBUNTU ................................................................. 61
9.1.1. Lynis............................................................................................................. 63
9.1.2. OpenVAS ..................................................................................................... 65
9.1.3. Snort. ........................................................................................................... 66
9.1.4. Inicio de sesión con verificación de dos pasos. ........................................... 68
10. ANÁLISIS PRELIMINAR DE VULNERABILIDADES DE COTEL-TUNJA ....... 71
10.1. DATOS .......................................................................................................... 71
10.2. APLICACIÓN ................................................................................................ 71
10.3. HOST ............................................................................................................ 72
10.4. RED INTERNA .............................................................................................. 73
10.4.1. Análisis de puertos abiertos con Nmap ...................................................... 74
10.5. FÍSICA........................................................................................................... 76
10.5.1. Evidencia fotográfica cableado de red ....................................................... 77
10.6. PERÍMETRO ................................................................................................. 78
10.6.1. Análisis de vulnerabilidad red Wi-Fi (wlan) de Cotel con Kali Linux. .......... 79
10.6.2. Comprobación de usuarios ajenos conectados a red Wi-Fi (wlan) de
COTEL. .................................................................................................................. 81
10.7. DIRECTIVAS, PROCEDIMIENTOS Y CONCIENCIACIÓN .......................... 82
11. PROPUESTA OPCIONES Y RECOMENDACIONES DE HARDENING PARA
COTEL-TUNJA ...................................................................................................... 84
11.1. DATOS .......................................................................................................... 84
11.2. APLICACIÓN ................................................................................................ 85
11.3. HOST ............................................................................................................ 86
11.4. RED INTERNA .............................................................................................. 86
7
11.5. FÍSICA........................................................................................................... 88
11.6. PERIMETRO ................................................................................................. 88
11.7. DIRECTIVAS, PROCEDIMIENTOS Y CONCIENCIACIÓN .......................... 89
12. COSTOS DE IMPLEMENTACIÓN DE LAS OPCIONES DE HARDENING
PARA EL INSTITUTO COTEL-TUNJA .................................................................. 91
RESULTADOS....................................................................................................... 92
CONCLUSIONES .................................................................................................. 94
DIVULGACION ...................................................................................................... 96
BIBLIOGRAFIA ...................................................................................................... 97
8
LISTA DE FIGURAS
Pág.
9
Figura 33. Comprobación usuarios conectados a red Wi-Fi COTEL.tunja con Fing
............................................................................................................................... 82
Figura 34. Diagrama red interna COTEL – Tunja con soluciones .......................... 87
Figura 30. Auditoria lynis en Linux - 1 .................................................................. 104
Figura 31. Auditoria lynis en Linux - 2 .................................................................. 105
Figura 32. Auditoria lynis en Linux - 3 .................................................................. 105
Figura 33. Auditoria lynis en Linux - 4 .................................................................. 106
Figura 34. Auditoria lynis en Linux - 5 .................................................................. 106
Figura 35. Auditoria lynis en Linux - 6 .................................................................. 107
Figura 36. Auditoria lynis en Linux - 7 .................................................................. 107
Figura 37. Auditoria lynis en Linux - 8 .................................................................. 108
Figura 38. Auditoria lynis en Linux - 9 .................................................................. 109
Figura 39. Auditoria lynis en Linux - 10 ................................................................ 109
Figura 40. Auditoria lynis en Linux - 11 ................................................................ 110
Figura 41. Auditoria lynis en Linux - 12 ................................................................ 111
Figura 42. Auditoria lynis en Linux - 13 ................................................................ 111
10
LISTA DE TABLAS
Pág.
11
LISTA DE ANEXOS
12
TITULO
13
INTRODUCCION
Así pues, el hardening se presenta como una de las medidas más importantes de
seguridad a implementar en toda organización, ya que permite establecer distintas
barreras de protección frente a los posibles atacantes, ya sean tanto a nivel externo
(amenazas desde las redes e internet), así como atacantes internos, (personas que
hacen uso del sistema internamente), señalando que algunos de ellos pueden ser
simplemente personas que ocasionan daños sin intención o por indebida
manipulación de los equipos informáticos.
14
1. DEFINICIÓN DEL PROBLEMA
15
2. OBJETIVOS
16
3. JUSTIFICACIÓN
17
4. ALCANCE Y DELIMITACIÓN DEL PROYECTO
Es por ello que dichas acciones se realizarán en las instalaciones del instituto
COTEL de la ciudad de Tunja, municipio del departamento de Boyacá y la población
beneficiada serán los estudiantes y trabajadores administrativos del mismo
señalando como tiempo de desarrollo de este proyecto periodo de 4 meses durante
el año 2016.
18
5. MARCO REFERENCIAL
5.1. ANTECEDENTES
1 SANCHEZ, O. (2011). Desarrollo de una guía para selección y endurecimiento (hardening) de sistemas
operativos para un centro de datos. 2016, de IPN –México. Disponible en:
http://tesis.ipn.mx/jspui/handle/123456789/8466
2 ROBAYO, J. (2015-01-04). Aseguramiento de los sistemas computacionales de la empresa Sitiosdima.net.
19
La tesis “Diseño e implementación de un esquema de seguridad perimetral. Para
redes de datos caso práctico: dirección general del colegio ciencias y
humanidades”3 presentado por José Baltazar y Juan Campuzano. Este trabajo en
su “capítulo 4. Buenas prácticas de seguridad”, menciona el por qué invertir en la
seguridad de un sistema informático, señalando la importancia de hacer uso
correcto de los medios informáticos así como de las redes que los interconectan, de
igual manera señala una serie de medidas en cuanto a políticas de seguridad para
robustecer un sistema informático, indicando buenas prácticas de administración de
seguridad con base en estándares, seguridad en redes, backups, y protección frente
a dispositivos removibles y pentesting. Igualmente es de resaltar el aparte respecto
de hardening en sistemas operativos Microsoft y Unix-Linux en el que hace
profundidad acerca de la disponibilidad de herramientas y técnicas para robustecer
la seguridad informática resaltando el factor de la concientización de los usuarios
finales para que hagan parte del esquema de seguridad.
3BALTAZAR, J. (2011). Diseño e implementación de un esquema de seguridad perimetral. Para redes de datos
caso práctico: dirección general del colegio ciencias y humanidades. 2016, de UNAM - México Disponible en:
http://132.248.9.195/ptb2011/mayo/0669103/0669103_A1.pdf
4 COLOMBIA. MINEDUCACION (2016). Disponible en: http://www.mineducacion.gov.co/1759/w3-article-
234968.html
20
Teniendo como referencia lo anterior, dentro de la Educación para el Trabajo y el
Desarrollo Humano se distinguen 2 clases de Programas de Formación:
5MINEDUCACION - COLOMBIA. (2016). Educación para el Trabajo y el Desarrollo Humano - Definicion. 2016,
de MINISTERIO DE EDUCACION DE COLOMBIA Disponible en: http://www.mineducacion.gov.co/1759/w3-
article-234968.html
21
Ingeniería social: consiste en la manipulación de las personas para que
revelen sus datos legítimos a través de técnicas informáticas o de persuasión.
Shoulder Surfing: significa espiar por encima del hombro a una persona. Es
decir, espiar lo que una persona está haciendo en un computador sin que se dé
cuenta.
Bombas lógicas: son programas que tienen un código listo para ejecutarse
al momento en que se cumpla una fecha o condición, tras lo cual empiezan
implementar los códigos y acciones para los que han sido diseñados sea robo de
información o daño de un sistema informático.
22
Técnicas salami: consiste en el robo de pequeñas cantidades de cuentas
de dinero bancarias haciéndolo de forma sistematizada, generalmente los atacantes
que realizan esta labor son empleados de las mismas entidades bancarias.
5.2.2.2. Amenazas del personal interno. Como lo señala A. Gómez Vieites “se
debe tener en cuenta el papel desempeñado por algunos empleados en muchos de
los ataques e incidentes de seguridad informática, ya sea de forma voluntaria o
involuntaria. Así se llega a considerar el papel de los empleados que actúan como
“fisgones” en la red informática de su organización, los usuarios incautos o
despistados, o los empleados descontentos o desleales que pretenden causar algún
daño a la organización. Por este motivo, conviene reforzar la seguridad tanto en
relación con el personal interno (“insiders”) como con los usuarios externos del
sistema informático (“outsiders”)”7. Teniendo como referencia lo anterior se puede
apreciar como la seguridad no sólo implica la protección del perímetro de un sistema
informático en una organización sino también se debe garantizar y vigilar la
operación del mismo frente a los usuarios internos ya que ellos son un principal foco
de generación de problemas de seguridad.
7 A. Gómez Vieites. (2014). La lucha contra el ciberterrorismo y los ataques informáticos. 2016, de edisa.com
Disponible en: http://www.edisa.com/wp-
content/uploads/2014/08/La_lucha_contra_el_ciberterrorismo_y_los_ataques_informaticos.pdf
8 Wikipedia. (2016). Bastion host. 2016, de Wikipedia Disponible en: https://es.wikipedia.org/wiki/Bastion_host
23
De esta manera, el bastionado de sistemas o hardening, tal como lo define la
empresa Tarlogic, “es la protección de un sistema o conjunto de sistemas
informáticos mediante la aplicación de configuraciones de seguridad específicas
para prevenir ataques informáticos, contener la elevación de privilegios, mitigar el
robo de información, y obtener la trazabilidad necesaria para analizar un ataque en
el caso de que haya sucedido”9. Como es de aclarar, el bastionamiento puede
abarcar desde medidas en software dependiendo del sistema operativo que
manejen las estaciones de trabajo (entre ellas destacarían antivirus, políticas de
grupo, permisos de cuentas, etc) así como también medidas en hardware que
ayudan a proteger la periferia del sistema y su red en términos físicos (como ejemplo
se tendrían firewalls, implementación de DMZ, IDS, honeynets, routers, UPS, entre
otros).
Otra palabra muy utilizada y que tampoco aparece en la RAE, pero que es de uso
extendido para hardening es "securizar”, incluso alguna veces se usa la palabra
"hardenizar" que deriva claramente del inglés”10.
A. Gómez Vieites identifica aquellos perjuicios a los que se enfrente una empresa
en caso de un ataque informático como son:
en: http://www.securitybydefault.com/2009/11/nos-expresamos-correctamente.html
11 MARTÍNEZ, Lorenzo (2015). La importancia del bastionado de sistemas. Disponible en:
https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/importancia_bastionado_si
stemas
24
➢ Pérdidas ocasionadas por la indisponibilidad de diversas aplicaciones y servicios
informáticos: coste de oportunidad por no poder utilizar estos recursos.
12 A. Gómez Vieites. (2014). La lucha contra el ciberterrorismo y los ataques informáticos. 2016, de edisa.com
Disponible en: http://www.edisa.com/wp-
content/uploads/2014/08/La_lucha_contra_el_ciberterrorismo_y_los_ataques_informaticos.pdf
13 Ana Rodríguez. (2014), análisis y diagnóstico de la seguridad informática de Indeportes Boyacá. 2106, de
25
Cerrando puertos innecesarios
Upgrade del firmware
Instalación segura del sistema operativo
Configuración adecuada de servicios de actualización automática
Instalación y configuración adecuada de programas de seguridad (Antivirus,
Antispyware, Antispam…)
Políticas de contraseñas robustas15
Firewall: “es un sistema que permite proteger a una computadora o una red de
computadoras de las intrusiones que provienen de una tercera red
(expresamente de Internet). El firewall es un sistema que permite filtrar los
15 Seguridad SyR. (2016). Bastionado de sistemas y servidores. 2016, de Seguridad SyR. Disponible en:
https://seguridad.syr.es/servicios-seguridad-informatica/bastionado-de-sistemas-y-servidores
26
paquetes de datos que andan por la red”16. En este caso, el firewall de Windows
hace uso de una colección de restricciones personalizables denominadas reglas
las cuales puede ser configuradas para permitir o denegar conexiones de red,
así como de programas, a la vez que también permite el cerrar puertos de
comunicaciones.
Fuente: El autor
16 Informática-hoy. (2016). Que es un Firewall y cómo funciona. 2016, de informatica-hoy. Disponible en:
http://www.informatica-hoy.com.ar/aprender-informatica/Que-es-un-Firewall-y-como-funciona.php
17 Ravi Saive. (2013). 25 Hardening Security Tips for Linux Servers. 2016, de tecmint. Disponible en:
http://www.tecmint.com/linux-server-hardening-security-tips/
27
Sistema de Seguridad Física: desactivar el arranque de dispositivos externos
en el BIOS y proteger el GRUB con contraseña para restringir el acceso al
sistema.
Verificar los puertos de escucha de red: Con ayuda del comando' netstat ' se
puede ver todos los puertos abiertos y programas que hagan uso de los mismo,
igualmente usando chkconfig se puede desactivar aquellos los servicios de red
no deseados del sistema con lo cual se reduce la superficie de ataque en caso
de vulneración a través de puertos.
Uso de Secure Shell (SSH): este protocolo de seguridad se puede usar para la
encriptación de mensajes en la consola de comandos de Linux (Shell).
18 DragoN. (2008). Que es el Hardening Linux con grsecurity. 2016, de dragonjar.org. Disponible en:
http://www.dragonjar.org/hardening-linux-con-grsecurity.xhtml
28
5.2.6.1. IDS – Sistema de detección de intrusos. Un IDS (Intrusion Detection
System) es una herramienta de seguridad, que se encarga de monitorizar los
sucesos que resultan en un sistema informático en busca de intentos de intrusión19.
Hablando en el caso de hardware, se encuentran dispositivos de detección de
intrusos de venta al público ofrecidos por la empresa Cisco y dentro de los que
destacan productos como IDS 4215 Sensor20, Catalyst 6500 (IDSM-2)21 o
FirePOWER 8000 22. Éstos dispositivos además de ofrecer las labores IDS, también
permiten contrarrestar o moderar ataques de DDOS, así como un buen manejo de
ancho de banda para trabajar más rápido en una red de comunicación informática.
19 Garzon Padilla, G. (2015). Propuesta para la implementación de un sistema de detección de intrusos (IDS)
en la Dirección General Sede Central del Instituto Nacional Penitenciario y Carcelario INPEC “pidsinpec”.
Disponible en:http://hdl.handle.net/10596/3494
20 CISCO. (2016). Cisco IDS 4215 Sensor. 2016, de CISCO. Disponible en:
http://www.cisco.com/c/en/us/support/security/ids-4215-sensor/model.html
21 CISCO. (2016). Cisco Catalyst 6500 Series Intrusion Detection System (IDSM-2) Module. 2016, de CISCO
http://www.cisco.com/c/en/us/products/security/firepower-8000-series-appliances/index.html
23 CISCO. (2016). ¿Qué es un firewall?. 2016, de CISCO. Disponible en:
http://www.cisco.com/c/es_mx/products/security/firewalls/what-is-a-firewall.html
24 Watchguard. (2016). Firewall de nueva generación (NGFW). 2016, de watchguard.com Disponible en:
http://www.watchguard.com/es/wgrd-international/products/ngfw/overview
29
5.3. MARCO CONTEXTUAL
30
VISION: ser la institución líder en procesos educativos basados en competencias
laborales con reconocimiento a nivel departamental y nacional bajo un sistema de
gestión de calidad que cumpla los estándares normativos vigentes” 25.
ISO 9001: Sistema de gestión de calidad que centra en todos los elementos de
administración de calidad con los que una empresa debe contar para tener un
25 COTEL - Tunja (2014). Manual de convivencia Acuerdo 01 del 24 de junio de 2014. (2016)
31
sistema efectivo que le permita administrar y mejorar la calidad de sus productos o
servicios26.
NTC 5581: Especifica los requisitos de calidad que deben tener los programas de
formación para el trabajo y desarrollo humano
NTC 5666: Establece los requisitos de calidad de los programas de formación para
el trabajo en el sector de sistemas informáticos
32
5.3.4. Activos informáticos de COTEL-TUNJA. El inventario de los activos del
instituto se hizo tomando como referencia la metodología Magerit 27 para este efecto
y como se detalla a continuación:
TIPOS DE DESCRIPCION
ACTIVOS
ACTIVO DE Bases de Datos manejadas en hojas de Excel en formato .xlsx,
INFORMACION archivos de registro de información de estudiantes y empleados en
archivos Word .docx, texto plano .txt y .pdf. Archivos de publicidad y
registro fotográfico en formatos de imagen .jpeg .bmp .png. Archivos
de Diseño gráfico en formatos .cdr .psd.
27UNAD. (2016). 233003 Sistema de gestión de la seguridad de la información sgsi - Inventario de Activos.
2016, de UNAD. Disponible en: http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-
online/321_paso_1_inventario_de_activos.html
33
Tabla 1. (Continuación)
HARDWARE 91 Computadores de escritorio (estaciones de trabajo)
Características estaciones de trabajo (computadores):
Mother boards: Intel g41rq - Intel dg55rq
Memoria RAM de 4,00 GB
Procesador INTEL CORE I3
34
5.4. MARCO CONCEPTUAL
DMZ: (Zona desmilitarizada) es una zona que se crea por fuera del perímetro de
una red de computadores para protegerla. Se ubica entre la red interna de una
organización y una externa (internet) con el fin de que aquellos que deseen hacer
uso de los servicios de la organización a través de Internet sólo puedan acceder a
una parte de la red (en este caso la DMZ) y no a toda la red entera. Así pues, la
DMZ puede estar compuesta de servidores web, de correo o computadores de uso
para el público en general.
http://www.pergaminovirtual.com.ar/definicion/Backdoor.html
35
Estación de trabajo: es un computador generalmente de uso personal que está
unido a una red de computadores y cuyo objetivo es maximizar el trabajo que se
realiza en estos 31.
31 Kelly Sundstrom. (2014). ¿Qué es una estación de trabajo de computadora? 2016, de ehowenespanol.com
Disponible en: http://www.ehowenespanol.com/estacion-computadora-hechos_400522/
32 Seguridadpc.net. (2016). Concepto de exploit. 2016, de seguridadpc.net. Disponible en:
http://www.seguridadpc.net/exploit.htm
33 Techopedia. (2016). Hardening. 2016, de techopedia.com. Disponible en:
https://www.techopedia.com/definition/24833/hardening
34 Limberth Torrez. (2010). ¿Qué es Honeynet?. 2016, de aiturrih.blogspot.com. Disponible en:
http://aiturrih.blogspot.com.co/2010/11/que-es-honeynet.html
36
puede ser utilizado, modificado y redistribuido libremente por cualquiera bajo los
términos de la GPL u otras serie de licencias libres35 .
Linux – distribución: una distribución Linux es una versión que está basada en el
núcleo Linux y que incorpora ciertos paquetes de software y programación enfocada
a las necesidades de un grupo específico de usuarios36.
http://www.definicionabc.com/tecnologia/seguridad-informatica.php
39 Culturacion. (2016). ¿Qué es un sniffer?. 2016, de culturacion.com. Disponible en: http://culturacion.com/que-
es-un-sniffer/
40 Auditoria de sistemas. (2012). Técnicas de auditoria asistidas por computadoras. 2016, de
http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_1_conceptos_de_vulnerabilidad_riesgo_y_ame
naza.html
37
WLAN: (Red de área local inalámbrica) es una red que utiliza las ondas de radio
para transmitir datos y permite conectar dispositivos a la misma permitiéndoles
acceso a Internet y a su red de computadores 42. Coloquialmente conocida como
señal Wi-Fi.
WPE: estándar de seguridad para redes Wi-Fi que permite cifrar la información que
se transmite.
WPA: estándar de seguridad para redes Wi-Fi mejorado a partir del WEP
incluyendo fortalezas como el TKIP (Temporal Key Integrity Protocol 43.
5.5.1. Ley 599 de 2000. Código Penal de Colombia. En lo que se refiere a código
penal se verifican los artículos que consagran la protección a los derechos de
autor44.
Artículo 270. Violación a los derechos morales de autor. [Penas aumentadas por el
artículo 14 de la ley 890 de 2004] Incurrirá en prisión de treinta y dos (32) a noventa
(90) meses y multa de veinte seis puntos sesenta y seis (26.66) a trescientos (300)
salarios mínimos legales mensuales vigentes quien:
1. Publique, total o parcialmente, sin autorización previa y expresa del titular del
derecho, una obra inédita de carácter literario, artístico, científico, cinematográfico,
audiovisual o fonograma, programa de ordenador o soporte lógico.
http://windowsespanol.about.com/od/RedesYDispositivos/a/Wep-O-Wpa-Para-Proteger-Tu-Red-Wi-Fi.htm
44 República de Colombia. (2000). Ley 599 de 2000 – Código penal. 2016, de cerlalc.org. Disponible en:
http://www.cerlalc.org/derechoenlinea/dar/leyes_reglamentos/Colombia/Ley_599.htm
38
modificado o mutilado, o mencionando falsamente el nombre del editor o productor
de una obra de carácter literario, artístico, científico, audiovisual o fonograma,
programa de ordenador o soporte lógico.
39
5.5.2. Ley 603 de 2000. Derechos de autor. Por la cual se modifica el artículo 47
de la Ley 222 de 1995, esta ley hace referencia a la protección de los derechos de
autor en Colombia. Es un conjunto de normas y principios que regulan los derechos
morales y patrimoniales que la ley concede a los autores por el solo hecho de la
creación de una obra literaria, artística o científica, tanto publicada o que todavía no
se haya publicado, dicha ley faculta a la Unidad Administrativa Especial Dirección
Nacional de Derecho Autor para ejercer el control y registro de los derechos de
autor.
Esta ley creó nuevos tipos penales relacionados con delitos informáticos y la
protección de la información y de los datos con penas de prisión de hasta 120 meses
y multas de hasta 1500 salarios mínimos legales mensuales vigentes.
Articulo 269 A: trata acerca del acceso abusivo a un sistema informático en donde
tipifica el Acceder a un equipo de forma abusiva o sistema con el fin de extraer
información.
Articulo 269 E: trata acerca de cuándo se emplea algún software con el fin de sacar
un provecho propio o generar un daño a un equipo de cómputo.
Articulo 269 G: trata acerca de la suplantación de sitios web para capturar datos
personales, en el sentido de crear una página similar a la de una entidad o enviar
correos engañosos, con el fin de obtener información personal, claves bancarias o
demás datos de importancia económica.
40
6. MARCO METODOLÓGICO
6.3.1. Fuentes primarias. Las fuentes primarias para este estudio serán aquellos
contenidos referentes al hardening que se encuentren en tesis, monografías, así
como artículos de internet.
45MENDEZ, Carlos, Metodología, Diseño y Desarrollo del Proceso de Investigación. Colombia. 2001. p.136
46MENDEZ, Carlos, Metodología, Diseño y Desarrollo del Proceso de Investigación. Colombia. 2001. p.146-
147.
41
6.4. POBLACIÓN
Para este proyecto la población estará constituida por los estudiantes, docentes y
personal administrativo del instituto COTEL- Tunja, ubicado en la ciudad de Tunja
capital de departamento de Boyacá, con dirección comercial Pasaje de Vargas 88-
16.
Con el fin de alcanzar los objetivos de este proyecto se ha establecido una serie de
actividades a desarrollar:
OBJETIVO ACTIVIDADES
Objetivo 1: Indagar en Recolección de información acerca de
diferentes fuentes de los conceptos teóricos de hardening
información acerca del proceso planteados en este objetivo.
de hardening señalando la
Identificar el uso del modelo de
aplicabilidad, ventajas, defensa en profundidad y su uso.
estrategias y técnicas del
mismo, a la vez que se Determinar la aplicabilidad del modelo
reconocerá la importancia del de defensa en profundidad de
concepto de defensa en acuerdo al modelo promovido por
profundidad respecto del Microsoft.
modelo promovido por
Microsoft, las capas que lo
componen y su modo de
aplicabilidad.
Objetivo 2: Estudiar Reconocer el uso Snort como IDS
herramientas y medidas de (sistema de detección de intrusos) en
hardening en estaciones de una plataforma Windows.
trabajo tipo Windows
Evidenciar la importancia y uso de
describiendo el uso de Snort WinAudit como software TAAC para
como IDS, WinAudit como verificar la seguridad de una estación
software TAAC, software Reboot de trabajo en Windows.
Restore , bloqueo a través del
42
Tabla 2. (Continuación)
43
7. HARDENING. ESTRATEGIAS Y DEFENSA EN PROFUNIDAD
44
en diferentes capas cada una de las cuales representará el uso de una serie de
tecnologías y procesos para hacer frente a amenazas informáticas.
Fuente: http://slideplayer.es/slide/1055305/
45
La documentación acerca de este modelo es muy variada incluso en la página
principal de Microsoft, ya que no hay artículo que lo describa en específico sino que
hay una colección amplia de ellos en donde se cita como referencia para temas de
protección a través de productos de la misma compañía, es por ello que se tomará
como referencia en primer lugar el artículo “Guía de defensa en profundidad
antivirus”47, en este se aprecia el grafico que ayuda a entender mejor el modelo.
Fuente: https://technet.microsoft.com/es-es/library/cc162791.aspx
47 Richard Harrison. (Guía de defensa en profundidad antivirus). 2004. 2016, de Microsoft.com. Disponible en:
https://technet.microsoft.com/es-es/library/cc162791.aspx
46
• Física. Los aspectos tangibles en informática: las computadoras-servidores,
discos duros, conmutadores de red, fuentes y más.
• Conocimiento de políticas y procedimientos. Los principios generales que
rigen la estrategia de seguridad de toda compañía. Sin esta capa, fallaría toda la
estrategia”48.
En ese sentido, La idea de este modelo es que todas las medidas de control
interactúen entre sí formando una solución integrada desde la capa de directivas y
políticas hasta la capa de datos, lo cual reduce las posibilidades de que exista un
único punto de vulnerabilidad en un sistema informático.
48 Jay Paloma. (2007). Windows Server 2008 en una Estrategia de defensa en profundidad de la compañía.
2016, de Microsoft.com. Disponible en:
https://www.microsoft.com/latam/technet/articulos/articulos_seguridad/2007/diciembre/sv1207.mspx
47
7.2.2.3. Host: (Servidor) esta capa busca el aseguramiento de los servidores
protegiendo los sistemas operativos de los mismos bien sea a través de
actualizaciones, autentificación de las cuentas de usuario (con el fin de evitar
intrusos locales o no autorizados), registros o logs de seguridad. En este punto se
pueda hablar nuevamente de auditorías alrededor del tema de escaneo de
vulnerabilidades lo cual se puede realizar por pentesting.
7.2.2.4. Red interna. En este caso la red interna de la organización, la cual puede
ser local, inalámbrica o WAN (red de área extensa). En ese sentido implica realizar
procesos que conlleven a la protección y el buen uso de esta red ya que de ella
hacen uso inmediato los usuarios autorizados de la misma y por tanto la información
que trasmitan en la misma es confidencial. Así pues, aplicarían medidas de
seguridad como dividir la red interna en zonas de seguridad para establecer un
perímetro alrededor de cada una de ellas, a este proceso se le conoce como
subenteo o subnetting. También se pueden implementar sistemas de detección de
intrusiones IDS, sistemas de prevención de intrusiones IPS, IPSec (Internet Protocol
Security) y Firewalls.
48
7.2.2.7. Políticas, Procedimientos y concientización. Esta capa como se observa
en el modelo de Microsoft, es la que se encarga de proteger todo el sistema por lo
tanto de ella harán parte los mismos usuarios de este de tal suerte que se conviertan
en la primera barrera de defensa, para ello es necesario capacitarlos a través de la
educación y concientización acerca de la normatividad, políticas de seguridad, así
como procedimientos establecidos para hacer frente a lo que son desastres o la
aparición de amenazas informáticas. Es de resaltar también como se debe
documentar la seguridad y la preparación de planes de contingencia.
49
8. HARDENING EN WINDOWS
El hardening en Windows es una actividad obligatoria y más aún si toda una red de
computadoras tiene presente versiones de este sistema operativo, esto debido a
que como se comentó anteriormente, es uno de los sistemas operativos más
atacados; en ese sentido la variedad de herramientas disponibles para bastionar
estaciones de trabajo bajo este sistema es amplia y la implementación sencilla.
Las medidas que a continuación se enuncian aplican para toda versión comercial
de Windows sea el caso de Windows 7, Windows 8, Windows 10, como también
para las versiones server siendo estas Windows server 2008, 2012 o 2016 (no se
mencionan las versiones anteriores XP o server 2003 por el fin de soporte de estas).
8.1. WINAUDIT
Es una aplicación de auditoria (tipo software TAAC) desarrollada por CodePlex cuya
última versión estable es la v 3.1. Es de código abierto y de licencia gratuita. Con
esta herramienta se puede auditar equipos de cómputo bajo Windows y ayuda a
detallar la composición de software y hardware que esté presente, así como también
indica las configuraciones de seguridad del sistema operativo y da una breve
descripción de los programas que están presentes en este.
Una de las partes más importantes de este software es la pestaña seguridad, la cual
brinda información acerca de los permisos que manejan los programa instalados
detallando que hace cada uno. Otra pestaña importante es security settings en
donde se da un reporte de las configuraciones de seguridad con los que operan las
cuentas manejadas en Windows, así como programas. De igual suerte se puede
obtener información del Windows firewall y los programas y puertos que tengan
permisos de conexión.
Una de las desventajas de este software es que no registra programas que tengan
la posibilidad de saltar este registro de instalación como el caso de keyloggers, un
ejemplo de ellos es Ardamax, el cual permite habilitar o es habilitar este registro y
por tanto puede o no aparecer en las opciones de desinstalación de programas y
características de Windows, lo mismo sucede en el caso de WinAudit.
50
En las siguientes figuras se puede apreciar cómo está funcionando el programa
Ardamax (keylogger) en Windows 7 sin registro de instalación y luego con registro
habilitado en los entornos mencionados.
Fuente: El autor
Fuente: El autor
51
Ventajas
A través de este programa se puede ver los permisos que tienen los
programas respecto de su ejecución en sistema operativo
Es posible ver las cuentas de usuario y sus distintos permisos, así como los
que estén a establecidos a nivel general en la estación de trabajo
Desventajas
Snort es un sniffer gratuito que sirve también como IDS en redes de tráfico
moderado clasificándose como un NIDS (NetworkIDS o IDS basado en red) el cual
detecta ataques en el segmento de una red. Se caracteriza por no implementar una
interfaz gráfica, sino que se utiliza en modo consola en Windows (CMD); para su
configuración y uso además del programa se requiere de una serie de librerías
(libcap) así como también reglas (rules) que se pueden descargar del mismo sitio
web del programa y las cuales poseen bases de datos de patrones de ataques o
ataques conocidos.
52
Figura 8. Escaneo preliminar con snort en Windows
Fuente: http://blog.muhammadattique.com/isnort-sensor-on-windows-with-remote-snort-using-winids/
Fuente: http://blog.muhammadattique.com/isnort-sensor-on-windows-with-remote-snort-using-winids/
53
Figura 10. Snort capturando tráfico interno
Fuente: https://www.joanesmarti.com/tu-propio-ids-con-snort-y-snorby-en-linux-debian-7/
Ventajas
Permite la captura del tráfico generado al interior de una red, así como
el que haya sido filtrado por el Firewall
Desventajas
Sirve para proteger el disco duro o las particiones de una estación de trabajo contra
escrituras, en ese sentido lo que se busca es que la información, estructura y
configuración del sistema operativo que está en un computador no sean
modificados, permitiendo que los datos permanezcan inalterables a los cambios, a
54
este proceso también se le conoce comúnmente como congelar un equipo y al
software como congelador. El funcionamiento de este software es bastante básico,
una vez que es instalado se escoge que particiones del disco no quieren que sean
modificadas, luego de ello cualquier dato guardado en la partición congelada será
borrado luego de que el computador se reinicie, es decir, si por ejemplo se congeló
el disco c y luego se instaló un programa en dicha partición, luego de que reinicie el
pc el programa desaparecerá, así como los registros de instalación que haya hecho.
Esto aplica para cualquier tipo de dato que se haya guardado, lo cual implica que
luego de reiniciar se eliminara todo cambio que se haya hecho al sistema o todos
los archivos que se hayan guardado de tal suerte que es una barrera excelente
frente a indebidas manipulaciones de los usuarios, parches o actualizaciones que
generen conflictos, o virus informáticos, este último por ser también un dato o
archivo se borrará también.
En principio este tipo de programa está diseñado para organizaciones que manejen
una planta de computadores extensa o de la que hagan uso varios usuarios, lo cual
aplica en mayor medida que este sea usado para instituciones educativas,
bibliotecas o cafés internet.
Fuente: El autor
55
Ventajas
Desventajas
Returnil
Wondershare Time Freeze
Windows SteadyState
Comodo Time Machine
Eax-Fix / Rollback
HDGuard
Drive Vaccine PC Restore Plus
PowerShadow
Shadow Defender
56
8.4. BLOQUEO DE SITIOS WEB A TRAVÉS DE ARCHIVO HOSTS EN
WINDOWS
Una vez dentro de la ruta, el archivo hosts debe ser abierto con un bloc de notas
tras lo cual aparecerá el contenido de este.
Fuente: El autor
Una vez dentro, todo sitio web que se desee bloquear se debe escribir en este bloc
de notas precedido de la IP 127.0.0.1 y se guardan los cambios; como se observa
en la figura anterior está bloqueado Facebook y Youtube además de otros sitios.
Esta medida implica que se debe bloquear en este archivo tantos sitios como
57
considere conveniente lo que implica hacerlo manualmente, la desventaja de esto
es que se debe hacer una lista amplia y creciente por la multitud de páginas que
existen, en ese caso lo más recomendable es bloquear los sitios que más generen
inconvenientes para la organización respecto de las costumbres nocivas de sus
usuarios por ejemplo sitios de redes sociales, de streamming, de juegos, etc.
Este método lo implementan los firewalls físicos, el problema con ellos es que hay
que pagar una licencia anual para tener en funcionamiento el firewall y que
descargue una base de datos de sitios web a bloquear, lo cual representa un coste
importante.
Ventajas
Desventajas
Al no ser una solución final, la cantidad de sitios a bloquear puede ser muy
amplia
Para el caso de Windows comerciales (Windows 7,8 y 10) se habla de gpl (Local
group policy o Directiva de Grupo Local) la cual se puede establecer a través del
editor de directivas de grupo local o de forma rápida con el comando gpedit.msc en
CMD (consola de comandos de Windows). En el siguiente ejemplo se puede
apreciar como bloquear el protector de pantalla para impedir que sea modificado.
58
Figura 13. GPL en Windows 7 - bloqueo protector de pantalla
Fuente: El autor
En este caso este procedimiento se hizo sobre una cuenta de administrador, por
tanto, para que surta efecto se requiere de la creación de una cuenta de usuario
estándar con privilegios limitados de tal suerte que los usuarios que utilicen la
estación de trabajo lo hagan siempre con esa cuenta y no con la de administrador,
así no podrán revertir la configuración hecha.
59
Figura 14. GPO Windows server 2008 - bloqueo de unidades extraíbles
Fuente: El autor
Ventajas
Desventajas
60
9. HARDENING EN LINUX
Se puede decir que Linux llega a ser uno de los bastiones en hardening, esto en
primer lugar debido que es un sistema que no permite la ejecución de programas
sin autorización (no usa ejecutables .exe o registros), igualmente presenta una
mejor configuración por defecto ya que el usuario tiene limitado sus privilegios o en
el caso de ampliarlos debe configurarse para ello. Así pues, Linux se puede convertir
es una de las barreras que se puede implementar en una defensa en profundidad,
tal es el caso de su implantación como servidor lo cual es una actividad bastante
común para proteger una red de computadores.
Ubuntu por si solo implementa algunas medidas de seguridad por defecto sin
embargo estas no garantizan su seguridad total, para solventar esto se puede
modificar la configuración predeterminada o añadir software extra.
61
La implementación de herramientas para esta distribución es amplia, así como los
repositorios, no obstante, algunas han sido descontinuadas o sus proyectos solo
funcionan en otras distribuciones Linux, tal es el caso de Bastille50, la cual fue una
herramienta de amplio uso en el hardening de Ubuntu pero que ahora está enfocada
a distribuciones, Debian, Mandriva, o sistemas MAC.
En ese sentido, entras entre las medidas que se pueden aplicar para un bastionado
en Ubuntu y herramientas para las mismas se tienen:
62
Comprobar Registros y prohibir anfitriones sospechosos - implementando
DenyHosts o Fail2Ban
SELinux - Apparmor
9.1.1. Lynis. Es una herramienta de auditoria usada en sistemas Linux, Unix and
macOS así como otros basados en UNIX. Gracias a este software se puede
determinar el estado de seguridad de un sistema a través de un proceso de
exploración el cual se compone de las siguientes fases:
51 Thefanclub (2016) How to secure an Ubuntu 16.04 LTS server - Part 1. 2016. Disponible en:
https://www.thefanclub.co.za/how-to/how-secure-ubuntu-1604-lts-server-part-1-basics
52 Cisofy. (2016). Lynis. 2016, de Cisofy . Disponible en: https://cisofy.com/lynis/
63
Esta herramienta fue creada por la compañía CISOfy de origen holandés, cuya labor
es el desarrollo de soluciones de software para asegurar sistemas basados en UNIX
(como Linux y macOS) con la finalidad de realizar auditorías de seguridad,
endurecimiento de sistemas y pruebas de cumplimiento.
Para descargarla en el caso de Ubuntu basta con instalarla a través de la Shell con
el comando “apt-get install lynis”
Fuente: El autor
64
Entre las ventajas que se mencionan frente a este software están el que Puede ser
usado en la mayoría de distribuciones Linux, así como en aquellos que estén
basados en UNIX. En contraparte, una de las desventajas sería los reportes que
genera los cuales están en inglés, esto no debería ser un problema para un
ingeniero de sistemas, no obstante, el inconveniente resulta en que al ser entregado
a una organización se debe pasar todo esto a español con su respectivo análisis
técnico.
Una vez que el software has instalado, para poder acceder a este se debe entrar a
https://localhost/login/login.html, donde se pude tener acceso a la interfaz del
programa
65
Figura 16. OpenVAS en Ubuntu
Fuente: El autor
9.1.3. Snort. Es una de las herramientas más populares para labores además de
ser un sniffer que permite ver en tiempo real todo el tráfico de paquetes que se
mueven una red además que permite guardar los archivos de los para análisis offline
sin necesidad de usar conectado a Internet), se caracteriza por ser NIDS (Network
66
Intrusion Detection System) aunque también puede realizar labores de NIPS
(Network Intrusion Prevention System).
Fuente: http://blog.muhammadattique.com/wp-content/uploads/2014/10/20-BASE-Dashboard.png
53 UPADHYAY, R. (2016). How To Install Snort NIDS In Ubuntu 15.04. Disponible en:
https://www.unixmen.com/install-snort-nids-ubuntu-15-04/
54 ATTIQUE, M. (2015). Install and Configure Snort HIDS with Barnyard2, Base & MySQL on Ubuntu. Disponible
en: http://blog.muhammadattique.com/install-configure-snort-hids-barnyard2-base-mysql-ubuntu/
67
Al igual que otros softwares Linux con licencia GPL, SNORT es multiplataforma
pudiéndose implementar no solo en Windows y Linux sino también en aquellos
basados en UNIX.
9.1.4. Inicio de sesión con verificación de dos pasos. En primer lugar, vale
aclarar que la verificación de dos pasos (en inglés Two-Factor Authentication o 2FA)
consiste en que al acceder a un servicio informático que esté conectado a internet
se requiera de un código especial y adicional la contraseña de usuario para poder
ingresar, generalmente este código es numérico como el caso de un PIN (Personal
Identification Number), el cual es enviado a un dispositivo móvil, bien sea a través
de llamada telefónica o mensaje de texto (SMS), ejemplos de este método es el de
acceso por seguridad a través de cuentas de Gmail, facebook o hotmail, entre otros.
En ese sentido frente a Ubuntu se puede utilizar este método de tal suerte que, al
estar conectado a Internet, y usando Google Authenticator, se puede solicitar un
código de acceso para entrar al login del sistema operativo y el cual es generado en
un dispositivo móvil que también va estar conectado a Internet.
68
Figura 18. Google-authenticator en Ubuntu
Fuente: El autor
69
Figura 19. Authy en Android
Fuente: http://www.elesconditefriki.com/wp-content/uploads/2016/06/Authy-1.png
Authy es una aplicación 2FA que no sólo permite autenticar códigos para google-
authenticator, sino también para otros tipos de servicios en Internet ya sea servicio
mensajería, redes sociales, nubes informáticas o aplicación comerciales.
Como se evidencia, esta medida de seguridad es bastante útil sobre todo para hacer
frente a ataques de fuerza bruta, ya que así la contraseña de acceso al sistema no
se verá comprometida, igualmente es importante mencionar que esta medida de
seguridad es susceptible de ser mejorada implementando SSH (Secure Shell) , no
obstante, la desventaja de este sistema es que se requiere de conexión a internet
para acceder al sistema, entonces en caso de que no haya internet no se podrá
loguear al sistema operativo.
70
10. ANÁLISIS PRELIMINAR DE VULNERABILIDADES DE COTEL-TUNJA
10.1. DATOS
Falta de una base de datos: el instituto carece de una base de datos para
manejar la información respecto de la planta estudiantil y docente, se ha detectado
que únicamente se maneja registros de datos a través de hojas de Excel y que los
reportes que se requieren a partir de las mismas no se dan de forma oportuna.
10.2. APLICACIÓN
55 ROS, I. (2014). Windows Defender es el peor antivirus, según AV-Test. 2016, de muycomputer.com
Disponible en: http://www.muycomputer.com/2015/03/26/windows-defender-peor-antivirus
71
instalación de Security Essentials, esto es igual en los demás computadores de la
organización.
Fuente: El autor
10.3. HOST
72
10.4. RED INTERNA
El instituto presenta 2 líneas de internet de 4mb cada una, las cuales dan
conectividad a todo el instituto, no obstante, todo el tráfico y consumo de ancho de
banda lo consumen los estudiantes o las aulas informáticas que están conectadas,
esto hace que las labores administrativas sean entorpecidas cuando hay alto
consumo de internet.
Esto se evidencia en razón a que no hay una buena segmentación de la red interna
tal como lo indica la siguiente figura en donde se representa en un diagrama la
situación de la red.
Fuente: El autor
73
Existe una serie de grupos de trabajo de algunas salas informáticas que
tienen compartición de archivos en la misma red del instituto, no obstante, estos
grupos no están bien configurados y algunos entran en conflicto con otros o por el
contrario tienen acceso a estaciones de trabajo no autorizadas desde la misma red.
Fuente: El autor
10.4.1. Análisis de puertos abiertos con Nmap. Para verificar puertos abiertos se
usó Nmap en Kali Linux 2016.256. Se escogieron 3 computadores del instituto para
dicha prueba como se muestran en las siguientes figuras.
74
Figura 23. Escaneo con Nmap computador 1
Fuente: El autor
Fuente: El autor
75
Figura 25. Escaneo con Nmap computador 3
Fuente: El autor
Respecto del análisis realizado se pudo establecer que los puertos abiertos del
computador 135 y 139 estaban abiertos debido a que carecía de antivirus, el
computador 2 tenía el firewall de Windows desactivado razón por la que tiene 9
puertos abiertos y el computador 3 a pesar de tener instalado antivirus (security
essentials) tiene 4 puertos abiertos.
10.5. FÍSICA
76
10.5.1. Evidencia fotográfica cableado de red
Fuente: El autor
Fuente: El autor
77
Figura 28. Cableado de red COTEL-TUNJA 3
Fuente: El autor
10.6. PERÍMETRO
78
de COTEL-TUNJA y sus configuraciones, también se aprecia redes de otras
organizaciones cercanas.
Fuente: El autor
10.6.1. Análisis de vulnerabilidad red Wi-Fi (wlan) de Cotel con Kali Linux.
Teniendo presente el estándar WPE que tienen configurado ambas redes del
instituto, se procederá a hacer un ataque para obtener la contraseña de acceso de
la red COTEL.tunja, esto con el fin de evidenciar la vulnerabilidad de la misma con
fines de hacking ético.
Para la realización del ataque se utilizó Kali Linux, en ese sentido entrando al Shell
se digita Wifite, esta utilidad permite realizar un ataque en búsqueda de contraseñas
de redes wifi, implementando comandos conocidos como airdump-ng, aireplay-ng,
entre otros de forma automatizada, así como también busca vulnerabilidades en
WPS. Al arrancar Wifite lo primero que hace es buscar las redes cercanas y allí se
escoge la que se quiere escanear (COTEL.tunja) como se aprecia en la siguiente
figura.
79
Figura 30. Escaneo red Wi-Fi COTEL.tunja con Kali Linux 2016.2
Fuente: autor
Una vez escogida la red empezará una serie de ataques para buscar la contraseña
en la red WI-FI, esto lo hará de acuerdo al estándar de encriptación de la red, si
tiene WPS activado o si hay algún cliente conectado, para ello busca que haya al
menos un dispositivo conectado a dicha red y trata de desconectarlo de tal suerte
que puede asumir su dirección MAC y así puede empezar a entrar al emisor de la
señal WI-FI (Router) para iniciar la búsqueda de la contraseña. Esto se evidencia
en la siguiente figura.
Figura 31. Ataque para búsqueda de contraseña de red Wi-Fi COTEL.tunja con Kali
Linux 2016.2
Fuente: autor
80
Una vez que el proceso ha culminado, se puede apreciar como la contraseña de la
red ha sido finalmente descubierta en el apartado de “key”. Esto sin duda alguna
muestra la debilidad del estándar WPE en las redes del instituto ya que dicho
proceso no tomó más de 10 minutos para arrojar el resultado del ataque.
Fuente: autor
81
los administrativos se utiliza la aplicación para Android Fing59, esta aplicación es un
scanner de red que da información detallada acerca de usuarios y equipos
conectados a una Wlan. En ese sentido se verifica que debido a que se propagó la
contraseña de la Wi-Fi del instituto hay bastantes dispositivos ajenos conectados a
la misma como lo evidencia la siguiente figura.
Figura 33. Comprobación usuarios conectados a red Wi-Fi COTEL.tunja con Fing
Fuente: el autor
82
planes de seguridad para el manejo adecuado de los recursos tecnológicas del
instituto de tal manera que mejore el rendimiento y uso de dichos recursos
83
11. PROPUESTA OPCIONES Y RECOMENDACIONES DE
HARDENING PARA COTEL-TUNJA
11.1. DATOS
60Hernández, I. (2005). Métodos y Políticas de Respaldo (backup) en Planes de Contingencia 2016. Universidad
Politécnica de Madrid. Disponible en: http://www.criptored.upm.es/guiateoria/gt_m001l.htm
84
la mayoría de motherboards son similares en los equipos y con copias de clonado
se restauran estaciones de trabajo de forma más efectiva, este proceso se puede
realizar con software gratuito como Clonezilla61.
11.2. APLICACIÓN
85
Realizar una auditoria con Winaudit para conocer la configuración de
seguridad y los programas presentes en las estaciones de trabajo tras lo cual se
podrá establecer un inventario de los programas usados y las configuraciones de
seguridad a mejorar.
11.3. HOST
Se propone Usar un servidor Ubuntu con versión 16.04 desktop, el cual se usará
para monitorizar la red usando SNORT junto con BASE, para analizar de forma más
sencilla el tráfico de red y de igual forma detectar intentos de intrusión. En este caso
se usará con versión grafica para facilitar el trabajo de análisis además que no hará
labores más allá de esta.
En el anexo A del presente trabajo, se puede observar una auditoria en Lynis a unos
de los equipos de Cotel el cual será usado como servidor de monitoreo.
De Igual manera, para verificar que sólo acceda del administrador de sistemas al
servidor se plantea el uso de un sistema de verificación de dos pasos con google-
authenticator.
86
(ACL) ayudara a mejorar estas restricciones dando o limitando permisos de acuerdo
a los tipos de usuario.
Fuente: El autor
87
11.5. FÍSICA
11.6. PERIMETRO
63 Norma de cableado 606 (2008). Rotulado de cables y espacios. 2016. Disponible en:
http://normasdecableado606.blogspot.com.co/2008/04/resumen-norma-606.html
64 Universidad de Buenos Aires. Facultad de ingeniería. (2008) cableado estructurado (2016). Disponible en:
http://materias.fi.uba.ar/6679/apuntes/CABLEADO_ESTRUC.pdf
65 Cisco ASA 5505 (2016). Disponible en: http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-
series-next-generation-firewalls/datasheet-c78-733510.html
88
Se debe Implementar el estándar de seguridad WPA2 en la red Wi-Fi que se
establezca para la institución, esto se hace a nivel de la configuración respectiva del
router D-link que la esté operando.
Debido a que se requiere que solo a la red Wi-Fi puedan acceder únicamente
los directivos del instituto, se recomienda dejar operativa sólo dicha red sobre la
línea de internet del personal administrativo y docente; sobre la misma se debe
efectuar un filtrado MAC de tal suerte que sólo admita aquellos dispositivos que ya
han sido conocidos con anterioridad y que pertenezcan al Instituto o al personal
autorizado, con ello aún si la contraseña de la señal Wi-Fi es compartida, no se dará
acceso a Internet si no se encuentra en la lista blanca del filtrado MAC. Esto se
realiza sobre la configuración de cada router, en este caso sobre el router D-link de
la línea Internet del personal administrativo y docente que se lleguen a establecer.
66 Porras, A. ¿Es más Seguro Ocultar el SSID Wifi de mi red? (2016). Disponible en:
http://www.soporteparapc.com/2014/08/ssid-wifi-oculto-es-seguro-o-no.html
89
capacitarlos en temas básicos sobre seguridad informática y buen uso de las TIC,
así como también frente a las políticas que implemente el Instituto frente a ello.
90
12. COSTOS DE IMPLEMENTACIÓN DE LAS OPCIONES DE HARDENING
PARA EL INSTITUTO COTEL-TUNJA
Total $16’500.000
Fuente: El autor
El coste total del proyecto para el instituto es de: $16’500.000 pesos m/cte
67 Compra Kaspersky Lab Endpoint Security paquete de licencias (venta por cotización) Disponible en:
https://latam.kaspersky.com/small-to-medium-business-security/how-to-buy
91
RESULTADOS
92
uso indiscriminado tanto de las estaciones de trabajo del Instituto como de un uso
desmesurado del ancho de banda de Internet y de la red de computadores
permitiendo acceso a cualquier dispositivo que se conecte a dicha red.
93
CONCLUSIONES
94
Se puso en relevancia el uso de aplicaciones móviles para el proceso de
hardenizado atendiendo a las necesidades de actualidad tecnológica y
búsqueda de nuevos métodos de seguridad.
95
DIVULGACION
La divulgación del presente proyecto se realizará por dos medios, el primero de ellos
es realizando una reunión en la institución COTEL de Tunja en la cual estarán
presentes los directivos de la misma, en ella se les expondrá los resultados de este
proyecto, como podrán implementar las medidas sugeridas y los costos de las
mismas, esta reunión será posterior a la aprobación del proyecto por los jurados
evaluadores de la especialización en seguridad informática de la UNAD, de tal
suerte que contemple las correcciones pertinentes.
96
BIBLIOGRAFIA
WIKIPEDIA. (2016). Bastion host. {En línea} {27de abril de 2016} Disponible en:
https://es.wikipedia.org/wiki/Bastion_host
97
https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios
/importancia_bastionado_sistemas
SENA, L. (2004). Introducción a riesgo informático. {En línea} {10 de mayo de 2016}
Disponible en
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
SYMANTEC. Glosario de Seguridad 101 (2016). {En línea} {15 de mayo de 2016}
Disponible en https://www.symantec.com/es/mx/theme.jsp?themeid=glosario-de-
seguridad
SAIVE, R. (2013). 25 Hardening Security Tips for Linux Servers. {En línea} {20 de
mayo de 2016}Disponible en: http://www.tecmint.com/linux-server-hardening-
security-tips/
DRAGON. (2008). Que es el Hardening Linux con grsecurity. {En línea} {21 de mayo
de 2016}Disponible en: http://www.dragonjar.org/hardening-linux-con-
grsecurity.xhtml
98
CISCO. (2016). Cisco IDS 4215 Sensor. {En línea} {25 de mayo de 2016}Disponible
en: http://www.cisco.com/c/en/us/support/security/ids-4215-sensor/model.html
CISCO. (2016). Cisco Catalyst 6500 Series Intrusion Detection System (IDSM-2)
Module. {En línea} {25 de mayo de 2016} Disponible en:
http://www.cisco.com/c/en/us/products/interfaces-modules/catalyst-6500-series-
intrusion-detection-system-idsm-2-services-module/index.html
CISCO. (2016). Cisco FirePOWER 8000 Series Appliances. {En línea} {25 de mayo
de 2016} Disponible en: http://www.cisco.com/c/en/us/products/security/firepower-
8000-series-appliances/index.html
CISCO. (2016). ¿Qué es un firewall? {En línea} {25 de mayo de 2016} Disponible
en: http://www.cisco.com/c/es_mx/products/security/firewalls/what-is-a-firewall.html
NORMAS9000. (2016). ¿Qué es ISO 9001:2008? {En línea} {27 de mayo de 2016}
Disponible en: http://www.normas9000.com/que-es-iso-9000.html
ROS, I. (2014). Windows Defender es el peor antivirus, según AV-Test. {En línea}
{28 de mayo de 2016} Disponible en:
http://www.muycomputer.com/2015/03/26/windows-defender-peor-antivirus
99
SUNDSTROM, K. (2014). ¿Qué es una estación de trabajo de computadora? {En
línea} {30 de mayo de 2016} Disponible en:
http://www.ehowenespanol.com/estacion-computadora-hechos_400522/
TECHOPEDIA. (2016). Hardening. {En línea} {30 de mayo de 2016} Disponible en:
https://www.techopedia.com/definition/24833/hardening
QUEES. (2016). ¿Qué es parchear?. {En línea} {30 de mayo de 2016} Disponible
en: http://quees.la/parchear/
CISCO. (2016). WLAN. {En línea} {30 de mayo de 2016} Disponible en:
http://www.cisco.com/c/es_es/solutions/mobility/WLAN.html
GUTIERREZ, A. (2015). WEP o WPA para proteger tu red Wi-Fi. {En línea} {30 de
mayo de 2016} Disponible en:
http://windowsespanol.about.com/od/RedesYDispositivos/a/Wep-O-Wpa-Para-
Proteger-Tu-Red-Wi-Fi.htm
100
COLOMBIA. CONGRESO DE LA REPUBLICA. Ley 599 de 2000 (2000). Por la cual
se expide el Código Penal. {En línea} {30 de mayo de 2016} Disponible
enhttp://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=6388
JOAN. (2015). Tu propio IDS con Snort y Snorby en Linux Debian 7. {En línea} {10de
noviembre} Disponible en: https://www.joanesmarti.com/tu-propio-ids-con-snort-y-
snorby-en-linux-debian-7/
CISOFY. (2016). Lynis. {En línea} {14 de noviembre de 2016} Disponible en:
https://cisofy.com/lynis/
101
UPADHYAY, R. (2016). How to Install Snort NIDS in Ubuntu 15.04? {En línea} {18
de noviembre de 2016} Disponible en: https://www.unixmen.com/install-snort-nids-
ubuntu-15-04/
ATTIQUE, M. (2015). Install and Configure Snort HIDS with Barnyard2, Base &
MySQL on Ubuntu. {En línea} {18 de noviembre de 2016} Disponible en:
http://blog.muhammadattique.com/install-configure-snort-hids-barnyard2-base-
mysql-ubuntu/
102
ANEXO A. AUDITORIA LYNIS
En este caso se hará auditoria del computador destinado a monitorizar la red del
instituto COTEL-TUNJA, con el sistema operativo Ubuntu, dicho computador ha sido
recién instalado, por tanto, carece de instalación de paquetes completos (ya sea el
caso de apache2, mysql, u otros), la idea de ello es mostrar que a pesar de que es
un sistema operativo Linux, igual presenta una serie de vulnerabilidades que pueden
ser aprovechadas más aún si él configuraciones por defecto. En ese sentido lo
primero que se hará es instalar Lynis para verificar el estado actual en cuanto a
seguridad.
Para entender mejor el análisis que arroja este programa es necesario tener en
cuenta las descripciones que nos brinda de tal suerte que nos indicará a través de
una serie de advertencias del estado de determinado elemento del sistema de la
siguiente manera:
Color amarillo: elemento que se sugiere reconfigurar o reinstalar, o por otro lado
puede ser desconocida su procedencia; no obstante, esto no afecta de forma
importante la seguridad sistema (Suggestion, Unkown)
103
Herramienta de auditoria: Lynis
Equipo: cotel-m1
Descripción:
Fuente: el autor
Una vez que el programa ha sido instalado para poder utilizarlo se ejecuta el
comando
lynis –c
104
Figura 36. Auditoria lynis en Linux - 2
Fuente: el autor
Fuente: el autor
Una vez que es ejecutado empieza a obtener los primeros resultados de cada
análisis, en este caso caso se observa que falta la instalación de los siguientes
complementos: módulos de autentificación (authentication), Sistema de verificación
de archivos (file check system) y software (referente a listas de cambios y errores
de otros)
105
Figura 38. Auditoria lynis en Linux - 4
Fuente: el autor
Fuente: el autor
106
Figura 40. Auditoria lynis en Linux - 6
Fuente: el autor
Fuente: el autor
107
En la sección de archivos del sistema, se marcan como sugerencia los puntos de
montaje de los directorios (home, tmp y var) esto ya que es una recomendación de
seguridad habitual en Linux el separar por particiones el directorio home, tmp y var
así como también el de usr, tal como se hace con la partición swap.
Fuente: el autor
108
Figura 43. Auditoria lynis en Linux - 9
Fuente: el autor
Fuente: el autor
109
En la siguiente pestaña se puede apreciar que hay una serie de no conformidades
respecto de las configuraciones del núcleo del sistema como tal como también
algunas que apuntan a la configuración del protocolo IPV4 e IPV6, lo recomendado
en esta situación es actualizar el núcleo del sistema y desactivar el uso de IPV6.
Fuente: el autor
110
Figura 46. Auditoria lynis en Linux - 12
Fuente: el autor
En este caso se usó el editor de texto leafpad para abrir el reporte que se ha
generado
Fuente: el auto
111
ANEXO B. RAE
RAE
112
SEGURIDAD SyR. (2016). Bastionado de sistemas y servidores. Disponible en:
https://seguridad.syr.es/servicios-seguridad-informatica/bastionado-de-sistemas-
y-servidores
Así entonces, con el presente trabajo se pretende dar a conocer en detalle lo que
es el hardening su aplicabilidad, ventajas, estrategias y técnicas del mismo, a la
vez que se reconocerá la importancia del modelo defensa en profundidad
promovido por Microsoft y se describirán las capas que lo componen de tal suerte
que a partir de las mismas se puedan identificar las falencias en seguridad
informática que presenta el Instituto COTEL de Tunja y proponer soluciones
respecto de los estas.
113
Metodología:
114