AUDITORIA DE REDES INFORMATICAS.pdf

AUDITORIA DE REDES INFORMATICAS.pdf - AUDITORÍA A LA...

This preview shows page 1 out of 307 pages.

Unformatted text preview: AUDITORÍA A LA SEGURIDAD DE LA RED DE DATOS DE LA EMPRESA PANAVIAS S.A. JESUS GERMAN CORTES CAMACHO UNIVERSIDAD NACIONAL ABIERTA Y DISTANCIA “UNAD” FACULTAD DE CIENCIAS BÁSICAS E INGENIERÍA ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA SAN JUAN DE PASTO, COLOMBIA 2016 AUDITORÍA A LA SEGURIDAD DE LA RED DE DATOS DE LA EMPRESA PANAVIAS S.A. JESUS GERMAN CORTES CAMACHO Proyecto de Grado para optar al título de: Especialista en Seguridad Informática UNIVERSIDAD NACIONAL ABIERTA Y DISTANCIA “UNAD” FACULTAD DE CIENCIAS BÁSICAS E INGENIERÍA ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA SAN JUAN DE PASTO, COLOMBIA 2016 Nota de Aceptación Presidente del Jurado Jurado Jurado San Juan de Pasto, Diciembre de 2016 Dedico este trabajo a mis padres Jesús Cortés y Luz Betty Camacho, quienes gracias a su apoyo incondicional, consejos, paciencia y comprensión, alcanzo uno de los logros más importante en mi vida profesional y también a mi novia Daissy Ordoñez quien gracias a ella me inspiro para realizar este posgrado y fomentar más aun mi vida académica. Jesús Germán Cortés Camacho AGRADECIMIENTOS Como autor, expreso mis más profundos agradecimientos, en primer lugar al ingeniero Francisco Nicolás Solarte, docente de la UNAD, por brindar la atención y ayuda para el desarrollo del presente trabajo, a mis compañeros de posgrado, Javier Mesías y Diego Solarte, que contribuyeron con su apoyo y aportes en la culminación de este trabajo. A los funcionarios de la empresa Panavias S.A. quienes colaboraron de manera desinteresada con el desarrollo de la presente auditoria y a todos los compañeros y amigos que contribuyeron de alguna forma en la elaboración del presente trabajo de grado, gracias a todos por su apoyo. TABLA DE CONTENIDO Pag. INTRODUCCIÓN ----------------------------------------------------------------------------------- 20 1. PLANTEAMIENTO DEL PROBLEMA---------------------------------------------------- 21 1.2. FORMULACIÓN DEL PROBLEMA ---------------------------------------------------- 22 2. JUSTIFICACIÓN ------------------------------------------------------------------------------- 23 3. OBJETIVOS------------------------------------------------------------------------------------- 24 3.1. OBJETIVO GENERAL ----------------------------------------------------------------------- 24 3.2. OBJETIVOS ESPECÍFICOS --------------------------------------------------------------- 24 4. ALCANCE Y DELIMITACIÓN DEL PROYECTO ------------------------------------- 25 5. MARCOS DE REFERENCIA --------------------------------------------------------------- 26 5.1. ANTECEDENTES ---------------------------------------------------------------------------- 26 5.2. MARCO CONTEXTUAL -------------------------------------------------------------------- 27 5.2.1. Nombre de la Empresa ------------------------------------------------------------------- 27 5.2.2. Misión ------------------------------------------------------------------------------------------ 27 5.2.3. Visión ------------------------------------------------------------------------------------------ 27 5.2.4. Organización --------------------------------------------------------------------------------- 27 5.3. MARCO TEORICO --------------------------------------------------------------------------- 28 5.3.1. Auditoria -------------------------------------------------------------------------------------- 28 5.3.2. Clasificación de la Auditoria ------------------------------------------------------------- 28 5.3.3. Auditoria Informática ----------------------------------------------------------------------- 29 5.3.4. Auditoria Informática de Comunicaciones y Redes ------------------------------- 30 5.3.5. Auditoria de Seguridad Informática ---------------------------------------------------- 30 5.3.6. ISO/IEC 27001:2013----------------------------------------------------------------------- 31 5.3.7. ISO/IEC 27002:2013----------------------------------------------------------------------- 31 5.3.8. Metodología de Análisis y Gestión de Riesgos ------------------------------------- 38 5.3.9. Sistema de Gestión de Seguridad de la Información (SGSI) ------------------- 40 5.4. MARCO CONCEPTUAL -------------------------------------------------------------------- 40 5.5. MARCO LEGAL ------------------------------------------------------------------------------- 41 5.5.1. Ley 1273 de 2009 - „De la Protección de la Información y los Datos‟ -------- 41 5.5.2. Ley 1581 de 2012 - Protección de Datos Personales ---------------------------- 43 6. MARCO METODOLÓGICO ---------------------------------------------------------------- 44 6.1. METODOLOGÍA DE INVESTIGACIÓN ------------------------------------------------- 44 6.2. UNIVERSO Y MUESTRA ------------------------------------------------------------------- 44 6.2.1 Fuentes de Recolección de la Información ------------------------------------------- 44 6.2.2 Técnicas e Instrumentos ------------------------------------------------------------------ 45 6.3. METODOLOGÍA DE DESARROLLO ---------------------------------------------------- 45 7. DESARROLLO DEL PROYECTO -------------------------------------------------------- 47 7.1. ARCHIVO PERMANENTE --------------------------------------------------------------- 47 7.1.1. Entorno Organizacional ------------------------------------------------------------------- 48 7.1.2. Oficina Asesora de Comunicaciones y Sistemas ---------------------------------- 48 7.1.3. Visitas Técnicas----------------------------------------------------------------------------- 50 7.1.3.1. Primera Visita Técnica ------------------------------------------------------------------ 50 7.1.3.2. Segunda Visita Técnica ---------------------------------------------------------------- 51 7.1.4. Red de datos de la empresa Panavias S.A.----------------------------------------- 58 7.1.5. Helysa-GW Software Administrativo y de Gestión -------------------------------- 59 7.2. ARCHIVO CORRIENTE------------------------------------------------------------------- 61 7.2.1. Plan de Auditoria ------------------------------------------------------------------------- 61 7.2.2. Programa de Auditoria ------------------------------------------------------------------ 67 7.2.3. Plan de Pruebas de Penetración ----------------------------------------------------- 69 7.2.4. Aspectos de la Seguridad Física y Lógica de la red de la empresa Panavias S.A. ---------------------------------------------------------------------------------------- 70 7.2.5. Diseño de Instrumentos----------------------------------------------------------------- 71 7.2.5.1. Formatos para Entrevistas ---------------------------------------------------------- 72 7.2.5.2. Formatos para Listas de chequeo ------------------------------------------------- 74 7.2.5.3. Formatos para Cuestionarios ------------------------------------------------------- 76 7.2.5.4. Formatos para Hallazgos ------------------------------------------------------------ 78 7.3. EJECUCIÓN DE PRUEBAS DE PENETRACIÓN --------------------------------- 80 7.3.1. Recolección de Información ----------------------------------------------------------- 80 7.3.1.1. Recolección de información con CentralOps.net ------------------------------ 81 7.3.2. Identificación de Vulnerabilidades --------------------------------------------------- 86 7.3.2.1. Identificación de vulnerabilidades con Nmap ----------------------------------- 87 7.3.2.2. Identificación de vulnerabilidades con Zenmap -------------------------------- 96 7.3.3. Análisis de Vulnerabilidades ----------------------------------------------------------103 7.3.3.1. Análisis de vulnerabilidades con OWASP-ZAP -------------------------------103 7.3.3.2. Análisis de vulnerabilidades con UpGuard -------------------------------------109 7.3.3.3. Análisis de vulnerabilidades con Nessus ---------------------------------------113 7.3.3.4. Prueba a redes inalámbricas con JumpStart ----------------------------------118 7.4. APLICACION DE INSTRUMENTOS DE RECOLECCION DE INFORMACION ------------------------------------------------------------------------------------122 7.4.1. Ejecución de Entrevistas --------------------------------------------------------------122 7.4.2. Evaluación de dominios directamente relacionados ---------------------------125 7.4.2.1. Evaluación del Dominio A9. Control de Acceso ------------------------------125 7.4.2.1.1. Ejecución de listas de chequeo del dominio A9. Control de Acceso -125 7.4.2.1.2. Ejecución de cuestionarios de control del dominio A9. Control de Acceso--------------------- ---------------------------------------------------------------------------126 7.4.2.1.3. Análisis de riesgos del dominio A9. Control de Acceso ------------------129 7.4.2.2. Evaluación del dominio A13. Seguridad en las Telecomunicaciones ---132 7.4.2.2.1. Ejecución de listas de chequeo del dominio A13. Seguridad en las Telecomunicaciones ------------------------------------------------------------------------------132 7.4.2.2.2. Ejecución de cuestionarios de control del dominio A13. Seguridad en las Telecomunicaciones--------------------------------------------------------------------------134 7.4.2.2.3. Análisis de riesgos del dominio A13. Seguridad en las Telecomunicaciones ------------------------------------------------------------------------------137 7.4.3. Evaluación de dominios indirectamente relacionados -------------------------142 7.4.3.2. Evaluación del Dominio A5. Políticas de Seguridad de la Información -142 7.4.3.2.1. Ejecución de listas de chequeo del dominio A5. Políticas de Seguridad de la Información -----------------------------------------------------------------------------------142 7.4.3.2.2. Ejecución de cuestionarios de control del dominio A5. Políticas de Seguridad de la Información --------------------------------------------------------------------143 7.4.3.2.3. Análisis de riesgos del dominio A5. Políticas de Seguridad de la Información ------------------------------------------------------------------------------------------143 7.4.3.3. Evaluación del Dominio A6. Organización de la Seguridad de la Información ------------------------------------------------------------------------------------------144 7.4.3.3.1. Ejecución de listas de chequeo del dominio A6. Organización de la Seguridad de la Información --------------------------------------------------------------------144 7.4.3.3.2. Ejecución de cuestionarios de control del dominio A6. Organización de la Seguridad de la Información -----------------------------------------------------------------145 7.4.3.3.3. Análisis de riesgos del dominio A6. Organización de la Seguridad de la Información ------------------------------------------------------------------------------------------145 7.4.3.4. Evaluación del Dominio A11. Seguridad Física y del Entorno ------------145 7.4.3.4.1. Ejecución de listas de chequeo del dominio A11. Seguridad Física y del Entorno--------------------- --------------------------------------------------------------------------146 7.4.3.4.2. Ejecución de cuestionarios del dominio A11. Seguridad Física y del Entorno------------------ -----------------------------------------------------------------------------147 7.4.3.4.3. Análisis de riesgos del dominio A11. Seguridad Física y del Entorno149 7.5. RESULTADOS DE LA AUDITORIA---------------------------------------------------154 7.5.1. Dictamen de Auditoria y Guías de Hallazgo -----------------------------------154 7.5.1.1. Hallazgos del dominio A9. Control de Acceso ----------------------------------154 7.5.1.2. Hallazgos del dominio A13. Seguridad en las Telecomunicaciones ------159 7.5.1.3. Hallazgos del dominio A11. Seguridad Física y del Entorno ----------------169 7.5.2. Análisis de Brecha y Niveles de Madurez ----------------------------------------174 7.5.3. Declaración de Aplicabilidad ---------------------------------------------------------177 8. DIVULGACIÓN --------------------------------------------------------------------------------178 9. CONCLUSIONES ----------------------------------------------------------------------------179 10. RECOMENDACIONES--------------------------------------------------------------------180 BIBLIOGRAFÍA -------------------------------------------------------------------------------------182 LISTA DE TABLAS Pag. Tabla 1. Valoración del riesgo................................................................................ 39 Tabla 2. Funciones del encargado de la oficina Asesora de Comunicaciones y Sistemas ................................................................................................................ 49 Tabla 3. Presupuesto – Plan de Auditoria .............................................................. 65 Tabla 4. Cronograma de Actividades – Plan de Auditoria...................................... 66 Tabla 5. Plan de Pruebas ...................................................................................... 69 Tabla 6. Formato para entrevistas ......................................................................... 73 Tabla 7. Formato para listas de chequeo ............................................................... 75 Tabla 8. Formato para cuestionarios de control ..................................................... 77 Tabla 9. Formato para guía de hallazgos .............................................................. 79 Tabla 10. Directorios y direcciones ocultas .......................................................... 105 Tabla 11. Descripción de vulnerabilidad por CSS Reflejado ................................ 107 Tabla 12. Resultados del cuestionario en el dominio A9. Control de Acceso ..... 127 Tabla 13. Listado de vulnerabilidades del dominio A9. Control de Acceso .......... 130 Tabla 14. Calculo de análisis de riesgo del dominio A9. Control de Acceso ........ 130 Tabla 15. Matriz de riesgos del dominio A9. Control de Acceso .......................... 131 Tabla 16. Resultados del cuestionario en el dominio A13. Seguridad en las Telecomunicaciones ............................................................................................ 134 Tabla 17. Listado de vulnerabilidades del dominio A13. Seguridad en las Telecomunicaciones ............................................................................................ 138 Tabla 18. Calculo de análisis de riesgo del dominio A13. Seguridad en las Telecomunicaciones ............................................................................................ 139 Tabla 19. Matriz de riesgos del dominio A13. Seguridad en las Telecomunicaciones ............................................................................................ 141 Tabla 20. Resultados del cuestionario en el dominio A11. Seguridad Física y del Entorno ................................................................................................................ 147 Tabla 21. Listado de vulnerabilidades del dominio A11. Seguridad Física y del Entorno ................................................................................................................ 150 Tabla 22. Calculo de análisis de riesgo del dominio A11. Seguridad Física y del Entorno ................................................................................................................ 151 Tabla 23. Matriz de riesgos del dominio A11. Seguridad Física y del Entorno .... 152 Tabla 24. Guía de hallazgos para el riesgo R004 ................................................ 154 Tabla 25. Guía de hallazgos para el riesgo R005 ................................................ 157 Tabla 26. Guías de Hallazgo para el dominio A9. Control de Acceso .................. 159 Tabla 27. Guía de hallazgos para el riesgo R006 ................................................ 159 Tabla 28. Guía de hallazgos para el riesgo R007 ................................................ 161 Tabla 29. Guía de hallazgos para el riesgo R009 ................................................ 163 Tabla 30. Guía de hallazgos para el riesgo R018 ................................................ 165 Tabla 31. Guías de Hallazgo para el dominio A13. Seguridad en las Telecomunicaciones ............................................................................................ 167 Tabla 32. Guía de hallazgos para el riesgo R019 ................................................ 169 Tabla 33. Guía de hallazgos para el riesgo R022 ................................................ 171 Tabla 34. Guías de Hallazgo para el dominio A11. Seguridad Física y del Entorno ............................................................................................................................. 173 Tabla 35. Tabla de escala para ISO/IEC 27001:2013 .......................................... 174 Tabla 36. Análisis de brecha a los dominios auditados ....................................... 175 LISTA DE FIGURAS Pag. Figura 1. Organigrama de la empresa Panavias S.A. ............................................ 48 Figura 2. Servidor de la empresa Panavias S.A. ................................................... 51 Figura 3. Acceso al Servidor de la empresa Panavias S.A. ................................... 52 Figura 4. Panorámica del servidor con oficina financiera y comercial.................... 53 Figura 5. Acceso a la oficina de comunicaciones y sistemas ................................ 54 Figura 6. Rack de Comunicaciones ....................................................................... 55 Figura 7. Router de la oficina de comunicaciones y sistemas ............................... 56 Figura 8. Router de conexión inalámbrica (WiFi) ................................................... 57 Figura 9. Diagrama de red ..................................................................................... 58 Figura 10. Escaneo de la Red Local en CentralOps.net ........................................ 81 Figura 11. Escaneo del host en CentralOps.net .................................................... 83 Figura 12. Servidores DNS del host....................................................................... 86 Figura 13. Escaneo de subred ............................................................................... 90 Figura 14. Calculadora IP ...................................................................................... 91 Figura 15. Escaneo a la dirección 186.116.250.12 ................................................ 92 Figura 16. Escaneo de direcciones para verificar puerto 445 ................................ 93 Figura 17. Escaneo del host en Zenmap ............................................................... 97 Figura 18. Topología de enrutamiento para el host ............................................. 102 Figura 19. Topología de enrutamiento para la red local....................................... 103 Figura 20. Inicio del análisis en OWASP-ZAP ..................................................... 104 Figura 21. Ejecución de Spider en OWASP-ZAP................................................. 104 Figura 22. Ingreso al panel de administración de la página web de Panavias S.A. ............................................................................................................................. 106 Figura 23. Escaneo Activo de amenazas de OWASP-ZAP ................................. 106 Figura 24. Listado de Alertas de OWASP-ZAP .................................................... 107 Figura 25. Escaneo de vulnerabilidades en UpGuard.......................................... 109 Figura 26. Gráfica del Escaneo en UpGuard ....................................................... 110 Figura 27. Ítems evaluados en el primer test ....................................................... 111 Figura 28. Ítems evaluados en el segundo test.................................................... 112 Figura 29. Opción Basic Network Scan de Nessus.............................................. 113 Figura 30. Configuración...
View Full Document

  • Fall '19
  • Router, España, Comunicación, Riesgo, Red inalámbrica

{[ snackBarMessage ]}

Get FREE access by uploading your study materials

Upload your study materials now and get free access to over 25 million documents.

Upload now for FREE access Or pay now for instant access
Christopher Reinemann
"Before using Course Hero my grade was at 78%. By the end of the semester my grade was at 90%. I could not have done it without all the class material I found."
— Christopher R., University of Rhode Island '15, Course Hero Intern

Ask a question for free

What students are saying

  • Left Quote Icon

    As a current student on this bumpy collegiate pathway, I stumbled upon Course Hero, where I can find study resources for nearly all my courses, get online help from tutors 24/7, and even share my old projects, papers, and lecture notes with other students.

    Student Picture

    Kiran Temple University Fox School of Business ‘17, Course Hero Intern

  • Left Quote Icon

    I cannot even describe how much Course Hero helped me this summer. It’s truly become something I can always rely on and help me. In the end, I was not only able to survive summer classes, but I was able to thrive thanks to Course Hero.

    Student Picture

    Dana University of Pennsylvania ‘17, Course Hero Intern

  • Left Quote Icon

    The ability to access any university’s resources through Course Hero proved invaluable in my case. I was behind on Tulane coursework and actually used UCLA’s materials to help me move forward and get everything together on time.

    Student Picture

    Jill Tulane University ‘16, Course Hero Intern