Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Informe Seguridad Fase1!!!

    Cargado por

    Hans
    12 vistas16 páginas
    Especialización Seguridad En Redes De Computadores!!!

    Título original

    Informe Seguridad fase1!!!

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    RTF, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Especialización Seguridad En Redes De Computadores!!!

    Copyright:

    © All Rights Reserved
    Descargue como RTF, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    12 vistas16 páginas

    Informe Seguridad Fase1!!!

    Cargado por

    Hans
    Especialización Seguridad En Redes De Computadores!!!

    Copyright:

    © All Rights Reserved
    Descargue como RTF, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 16

    Informe Ejecutivo.

    Especialización en Seguridad de Redes de Datos.


    Fase 1

    Por:
    Hans Felipe Puerta González.
    Joham Camilo Monsalve.
    Eloy Adolfo Usma.

    Profesor:
    Fernando Eliecer Ávila Berrio Ingeniero En
    Telecomunicaciones
    Nathaly Arenas Parra Ingeniera en
    Electrónica

    SENA
    Centro de la Tecnología y la Manofctura Avanzada
    Medellín - 2018
    Introducción.
    La tecnología está inmersa en los contextos de la vida humana "Familiar,
    Social, Académico, Laboral y Empresarial", razón por la cual surge la
    necesidad de conocer los riesgos e impactos en el manejo de la información,
    mas aun cuando se hace uso de una herramienta tan importante como lo es
    el INTERNET.

    Conforme evoluciona y crece dicha herramienta al mismo tiempo lo hacen las


    amenazas.

    Es de vital importancia "Fundamentarnos" en "Seguridad De Redes De Datos


    - Informática" para lograr obtener los suficientes conocimientos que nos
    ayuden a diagnosticar cada una de estas amenazas, las diferentes formas en
    las cuales la "Seguridad Física y Lógica" de un sistema puede ser
    "Vulnerada" y así mejorar el nivel de protección de datos e información
    confidencial de cada uno de los usuarios de la RED. Solo así podremos darle
    un funcionamiento más que "Optimo" al sistema que será administrado.
    Objetivo General
    Nosotros como estudiantes del campo de la Teleinformática y en especial
    "Seguridad en Redes de Datos - Informática", tenemos como objetivo, el
    estudio, interacción, ejecución e implementación de un "Sistema de Gestión
    de la Seguridad de la Información" o como bien es conocido por sus siglas
    "SGSI".

    El SGSI nos brinda la gran posibilidad de realizar lo que llamamos "Un


    Análisis De Riesgo". desacuerdo a esto podremos darnos cuenta que en
    dicho análisis, tendremos la habilidad para identificar los riesgos de la
    seguridad sobre los procesos y Activos de una entidad, ya sea esta
    comercialmente constituida o en algunos casos en las que debe ser simulada.

    también aquí incluiremos, las metodologías con estándares internacionales


    vigentes. todas estas lograran que cada uno de nosotros obtengamos el
    conocimiento necesario, para administrar programas de ejecución directa e
    indirecta, utilizar herramientas de "TESTEO, MAPEADO de PUERTOS y
    EXPLOTACION de VULNERABILIDADES" sin dejar a un lado el valor del
    IMPACTO que un ataque causaría sobre todo el sistema administrado,
    claramente aprovechándose de dichas VULNERABILIDADES.
    Objetivos Específicos

     Implementación de un SGSI - "Sistema de Gestión De La Seguridad De


    La Información".

     Identificación de cada uno de los activos de la empresa y su valor en


    cuanto a VULNERABILIDAD, RIESGO e IMPACTO, refiriéndonos a ellos por
    clasificación: APLICACIONES, DATOS de INFORMACION, EQUIPOS de
    COMPUTO,INFRAESTRUTURA FISICA, COMUNICACIONES -
    INTERCONEXCION, PERSONAL y por ultimo SERVICIOS.

     Como realizar adecuadamente el "PROCESO DE ANALISIS DE RIESGO".

     Aprender sobre las metodologías para la ejecución de "AUDITORIAS


    DE SEGURIDAD", como lo son "OSSTMM y OWASP".

     Implementar los diferentes programas para llevar a cabo un buen


    "TEST DE INTRUSION", en este caso tenemos "NMAP, NESSUS, WHOIS y
    NSLOOKUP".
    Contexto
    Después de recibir todas las clases necesarias para realizar la aplicación
    correcta de un SGSI, aplicamos este conocimiento para llevar a cabo el
    levantamiento de ACTIVOS. par esto utilizamos de base un "check list" que
    conocemos generalmente como "Matriz de Activos".

    En esta encontraremos la segmentación de cada uno de estos, tanto por


    importancia en las jerarquías internas de empresa - "Área administrativa,
    área de personal general y área especializada de soporte técnico" como la
    clasificación por normas internacionales, aquí nos referimos a "datos,
    aplicaciones, tecnología, servicios, personal etc.".

    La definición base que podemos encontrar en los Activos de Información,


    puede generalizarse, como aquellos elementos que contienen información
    vital de la empresa y estos sistemáticamente contienen un valor corporativo
    por ende deben protegerse bajo un esquema o en su defecto un sistema de
    protección.

    tenemos claro que la base de esta especialización "Seguridad En Redes de


    Datos" es el análisis del riesgo de la información, que vulnerabilidades,
    amenazas y riesgos de ataques externos e internos pueden ocurrir, tanto en
    un entorno laboral - empresarial, como familiar - personal.

    Acá podemos tener un análisis completo, sobre el riesgo que puede tener
    dichas vulnerabilidades logrando entonces identificar la gran magnitud en el
    alcance que tendría una materialización de un ataque, así sabremos que
    contramedidas utilizaríamos para detenerlo y/o combatirlo.
    Estas son algunas imágenes que representan la matriz realizada por el grupo
    de trabajo. Se pueden identificar, la clasificación de Activos de Información,
    Aéreas a las cuales pertenecen, valor de dicho activo, como calificación en
    cuanto al riesgo que estos pueden representar, en confidencialidad,
    disponibilidad e integridad.
    Auditorias de Seguridad
    Tenemos claro entonces que la parte de las auditorias debe comenzar por las
    aéreas "Administrativas" y después seguir con el entorno de aplicaciones,
    evaluando todos los elementos relacionados con cada uno de los sistemas
    implementados en las empresas.

    No podemos dejar de lado cada uno de los análisis relacionados con el


    personal, compra de equipos, la planeación y el control que hace parte de las
    entrañas de dichas compañías.

    También es importante evaluar todo a lo que seguridad informática se refiere


    y estar al día con el conocimiento de las diferentes formas en la cuales la
    seguridad tanto "Física como Lógica" de un sistema, puede ser, vulnerada
    llegando incluso en el peor de los casos materializar una gran amenaza.

     Después de realizar participaciones en las clases suministradas,


    encontramos el conocimiento, de cómo se pueden implementar las
    diferentes metodologías en auditorias de "Seguridad". ente ellas
    tenemos "OSSTMM".

     Vimos como aplican a nivel interno auditorias por medio del concepto
    "Caja Blanca", partiendo de esquemas y/o topologías de red

     Test de Penetración, por medio de "Caja Negra", partiendo del


    concepto de acceso externo

     Utilizamos herramientas como "ZenMap, Nessus, Metasploit"


    Con la ayuda de los ambientes de aprendizaje, logramos introducirnos un
    poco en la parte de aplicación de los programas antes mencionados. Nos
    sirvió bastante el empezar a familiarizarnos con sus interfaces y/o en su
    defecto, con escaneos que encuentran vulnerabilidades, que pueden ser
    explotadas por medio de ataques inminentes.

    Estas son algunas imágenes que evidencian el primer laboratorio realizado en


    la especialización en "Seguridad de Redes de Datos"

     Exploración con NESSUS


     Testeo con ZenMap
     Imágenes ejecutando la "CVE" con Metasploit.
    Conclusiones
     Tuvimos la capacidad de priorizar las acciones de la Seguridad de la
    Información

     Encontramos la capacidad de realizar el riesgo basado en la


    identificación de los "Activos de Información"

     Identificamos el valor de cada uno de los activos con base en los


    parámetros establecidos en normas internacionales

     diagnosticamos los tipos de riesgos que pueden llegar a materializarse,


    según sus vulnerabilidades

     Aprendimos básicamente, cuales son las metodologías vigentes, para


    llevar a cabo una correcta auditoria en seguridad

     Aplicamos en algunas exposiciones el conocimiento sobre el concepto


    de "Caja Blanca"

     llevamos acabo la aplicación de "Software", para hacer un testeo de


    puertos y así verificar vulnerabilidades
     Después de encontrar algunas vulnerabilidades el programa "Nessus"
    quisimos materializar un ataque explotando algunas "CVE", por medio
    del programa "Metasploit"

     En general, solo pudimos avanzar hasta cierto punto, con respecto al


    ataque, pero se impidió, por algunos problemas con la consola de
    "Metasploit" y también por que realmente el fin del laboratorio era
    empezar a conocer como corren cada uno de estos programas y a
    medida que vayamos avanzando en esta excelente Especialización,
    seremos capaz de manejarlos y si encontramos algunos problemas
    como el antes ya descrito, tener la capacidad de solucionarlos, pero
    como lo informo el profesor Fernando que estaba al frente de esta
    práctica, a diferencia de otros grupos, nunca nos dimos por vencidos,
    que es lo mas importante en estos casos.

    También podría gustarte