Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
ANÁLISIS Y PROPUESTA DE SOLUCIÓN DE UN SISTEMA DE CORRELACIÓN
DE EVENTOS DE SEGURIDAD EN EL SERVIDOR GYE.ECUAHOSTING.NET
PARA LOS SERVICIOS DE CORREO ELECTRÓNICO Y SERVICIO WEB QUE SE
BRINDAN A LOS CLIENTES DE ECUAHOSTING ALOJADOS DENTRO DE ESTE
SERVIDOR.
PROYECTO DE TITULACIÓN
Previa a la obtención del Título de:
INGENIERO EN NETWORKING Y TELECOMUNICACIONES
AUTORES:
YESICA EMPERATRIZ AUCANCELA ESCOBAR
CRISTHIAN GEOVANNY VELASQUEZ VASQUEZ
TUTOR:
ING. JORGE CHICALA ARROYAVE, M.Sc
GUAYAQUIL – ECUADOR
2018
II
REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS
TÍTULO:
ANÁLISIS Y PROPUESTA DE SOLUCIÓN DE UN SISTEMA DE CORRELACIÓN DE EVENTOS DE SEGURIDAD EN EL SERVIDOR GYE.ECUAHOSTING.NET PARA LOS SERVICIOS DE CORREO ELECTRÓNICO Y SERVICIO WEB QUE SE BRINDAN A LOS CLIENTES DE ECUAHOSTING ALOJADOS DENTRO DE ESTE SERVIDOR
AUTORES:
YESICA EMPERATRIZ AUCANCELA ESCOBAR
CRISTHIAN GEOVANNY VELASQUEZ VASQUEZ
REVISOR(ES)/TUTOR(ES):
ING. JORGE CHICALA ARROYAVE
INSTITUCIÓN: UNIVERSIDAD DE GUAYAQUIL
UNIDAD/FACULTAD: CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA: INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
GRADO OBTENIDO: TERCER NIVEL
FECHA DE PUBLICACIÓN: 2018 No. DE PÁGINAS: 113
ÁREAS TEMÁTICAS: SEGURIDAD
PALABRAS CLAVES/KEYWORDS:
Correlación de eventos, SIEM, políticas de acceso, seguridades, servidor
RESUMEN/ABSTRACT:
ADJUNTO PDF: SI NO
CONTACTO CON AUTOR/ES:
Teléfono: 0958846031 E-mail: [email protected] [email protected]
CONTACTO CON LA INSTITUCIÓN:
Nombre: Ab. Juan Chávez Atocha
Teléfono: 2307729
E-mail: [email protected]
X
III
APROBACIÓN DEL TUTOR
En mi calidad de Tutor del trabajo de titulación, “ANÁLISIS Y PROPUESTA DE
SOLUCIÓN DE UN SISTEMA DE CORRELACIÓN DE EVENTOS DE
SEGURIDAD EN EL SERVIDOR GYE.ECUAHOSTING.NET PARA LOS
SERVICIOS DE CORREO ELECTRÓNICO Y SERVICIO WEB QUE SE BRINDAN
A LOS CLIENTES DE ECUAHOSTING ALOJADOS DENTRO DE ESTE
SERVIDOR.”, elaborado por la Srta. YESICA EMPERATRIZ AUCANCELA
ESCOBAR y el Sr. CRISTHIAN GEOVANNY VELASQUEZ VASQUEZ, alumnos
no titulados de la Carrera de Ingeniería en Networking y Telecomunicaciones de
la Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil,
previo a la obtención del Título de Ingeniero en Networking y Telecomunicaciones,
me permito declarar que luego de haber orientado, estudiado y revisado, la
Apruebo en todas sus partes.
Atentamente,
_________________________
ING. JORGE CHICALA A. M.Sc
TUTOR
IV
DEDICATORIA
Dedicado con amor a mi madre y
hermanos por estar conmigo
siempre. Por y para ellos.
Yésica
Dedico la culminación de esta tesis
a mi hermano José Luis nos
encontraremos en la eternidad.
Cristhian.
V
AGRADECIMIENTO
A nuestro tutor Ing. Jorge Chicala
por la paciencia y guía en el
desarrollo de este trabajo de
titulación. A mis maestros
quienes estuvieron y formaron
parte en la culminación de esta
etapa.
Atentamente,
Yesica Aucancela Escobar
VI
TRIBUNAL PROYECTO DE TITULACIÓN
Ab. Juan Chávez Atocha, Esp.
SECRETARIO TITULAR
Ing. Jorge Chicala, M.Sc
PROFESOR TUTOR DEL PROYECTO
DE TITULACIÓN
Ing. Harry Luna Aveiga, M.Sc.
DIRECTOR DE LA CARRERA
INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
Ing. Eduardo Santos Baquerizo, M.Sc.
DECANO DE LA FACULTAD
CIENCIAS MATEMÁTICAS Y FÍSICAS
Ing. Roberto Crespo, M.Sc
PROFESOR REVISOR DEL ÁREA
TRIBUNAL
Ing. Francisco Álvarez, M.sc
PROFESOR REVISOR DEL ÁREA
TRIBUNAL
VII
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de este
Proyecto de Titulación, me corresponden
exclusivamente; y el patrimonio
intelectual de la misma a la
UNIVERSIDAD DE GUAYAQUIL”
Autores:
Yesica Emperatriz Aucancela Escobar
Cristhian Geovanny Velásquez Vásquez
VIII
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
ANÁLISIS Y PROPUESTA DE SOLUCIÓN DE UN SISTEMA DE CORRELACIÓN
DE EVENTOS DE SEGURIDAD EN EL SERVIDOR GYE.ECUAHOSTING.NET
PARA LOS SERVICIOS DE CORREO ELECTRÓNICO Y SERVICIO WEB QUE SE
BRINDAN A LOS CLIENTES DE ECUAHOSTING ALOJADOS DENTRO DE ESTE
SERVIDOR.
Proyecto de Titulación que se presenta como requisito para optar por el título
de INGENIERO EN NETWORKING Y TELECOMUNICACIONES
Autores:
Yesica Emperatriz Aucancela Escobar
C.I.: 0924199110
Cristhian Geovanny Velásquez Vásquez
C.I.: 0926557992
Tutor: Ing. Jorge Chicala A, M.Sc
Guayaquil, septiembre del 2018
IX
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo Directivo
de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil.
CERTIFICO:
Que he analizado el Proyecto de Titulación presentado por los estudiantes
YÉSICA EMPERATRIZ AUCANCELA ESCOBAR y CRISTHIAN GEOVANNY
VELÁSQUEZ VÁSQUEZ, como requisito previo para optar por el título de Ingeniero
en Networking y Telecomunicaciones cuyo nombre es:
“ANÁLISIS Y PROPUESTA DE SOLUCIÓN DE UN SISTEMA DE CORRELACIÓN
DE EVENTOS DE SEGURIDAD EN EL SERVIDOR GYE.ECUAHOSTING.NET PARA
LOS SERVICIOS DE CORREO ELECTRÓNICO Y SERVICIO WEB QUE SE
BRINDAN A LOS CLIENTES DE ECUAHOSTING ALOJADOS DENTRO DE ESTE
SERVIDOR”
Considero aprobado el trabajo en su totalidad.
Presentado por:
Yesica Emperatriz Aucancela Escobar C.I.: 0924199110
Cristhian Geovanny Velásquez Vásquez C.I. 0926557992
Tutor: Ing. Jorge Chicala, M.Sc
Guayaquil, septiembre de 2018
X
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
PUBLICACIÓN
AUTORIZACIÓN PARA PUBLICACIÓN DE PROYECTO DE
TITULACIÓN EN FORMATO DIGITAL
1. Identificación del Proyecto de Titulación
Nombre Alumno: Yésica Emperatriz Aucancela Escobar
Dirección: Guayaquil, Cdla Los Esteros
Teléfono: 0983377272 E-mail: [email protected]
Facultad: CIENCIAS MATEMÁTICAS Y FÍSICA
Carrera: INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
Proyecto de titulación al que opta: INGENIERO EN NETWORKING Y TELECOMUNICACIONES
Profesor guía: ING. JORGE CHICALA A, MGs.
Nombre Alumno: Cristhian Geovanny Velásquez Vásquez
Dirección: Durán, Cdla El Recreo
Teléfono: 0996441930 E-mail: [email protected]
Tema del Proyecto de Titulación: Correlación de eventos, gestión de alertas,
herramientas de monitoreo, prevención de ataques, sistema de gestión
TÍTULO DEL PROYECTO DE TITULACIÓN: ANÁLISIS Y PROPUESTA DE
SOLUCIÓN DE UN SISTEMA DE CORRELACIÓN DE EVENTOS DE SEGURIDAD
EN EL SERVIDOR GYE.ECUAHOSTING.NET PARA LOS SERVICIOS DE
CORREO ELECTRÓNICO Y SERVICIO WEB QUE SE BRINDAN A LOS
CLIENTES DE ECUAHOSTING ALOJADOS DENTRO DE ESTE SERVIDOR.
XI
2. Autorización de Publicación de Versión Electrónica del Proyecto de
Titulación
A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a la
facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de este
Proyecto de titulación.
Publicación electrónica
Inmediata x Después de 1 año
Yesica Emperatriz Aucancela Escobar Cristhian Geovanny Velásquez Vásquez
C.I.: 0924199110 C.I.: 0926557992
3. Forma de envío:
El texto del proyecto de titulación debe ser enviado en formato Word, como archivo .Doc. O .RTF y. Puf para PC. Las imágenes que la acompañen pueden ser: .gif, .jpg o .TIFF.
DVDROM CDROM
X
XII
INDICE GENERAL
APROBACIÓN DEL TUTOR .................................................................................... III
DEDICATORIA ......................................................................................................... IV
AGRADECIMIENTO .................................................................................................. V
TRIBUNAL PROYECTO DE TITULACIÓN ............................................................... VI
DECLARACIÓN EXPRESA ..................................................................................... VII
CERTIFICADO DE ACEPTACIÓN DEL TUTOR ...................................................... IX
AUTORIZACIÓN PARA PUBLICACIÓN DE PROYECTO DE TITULACIÓN EN
FORMATO DIGITAL ................................................................................................. X
INDICE GENERAL .................................................................................................. XII
ABREVIATURAS .................................................................................................... XV
INDICE DE TABLAS .............................................................................................. XVI
INDICE DE ILUSTRACIONES .............................................................................. XVII
RESUMEN ........................................................................................................... XVIII
ABSTRACT ............................................................................................................ XIX
INTRODUCCIÓN ...................................................................................................... 1
CAPITULO I .............................................................................................................. 3
EL PROBLEMA ..................................................................................................... 3
PLANTEAMIENTO DEL PROBLEMA .................................................................... 3
UBICACIÓN DEL PROBLEMA EN UN CONTEXTO .......................................... 3
SITUACIÓN CONFLICTO NUDOS CRÍTICOS ................................................... 5
CAUSAS Y CONSECUENCIAS DEL PROBLEMA ............................................. 5
DELIMITACIÓN DEL PROBLEMA ..................................................................... 6
FORMULACIÓN DEL PROBLEMA .................................................................... 6
OBJETIVOS DE LA INVESTIGACION ................................................................... 7
OBJETIVO GENERAL ....................................................................................... 7
OBJETIVOS ESPECÍFICOS .............................................................................. 7
XIII
ALCANCES DEL PROBLEMA ............................................................................... 8
JUSTIFICACION E IMPORTANCIA ....................................................................... 8
JUSTIFICACIÓN ................................................................................................ 8
METODOLOGIA DEL PROYECTO ..................................................................... 10
PROCESAMIENTO Y ANÁLISIS ..................................................................... 10
SUPUESTOS Y RESTRICCIONES .................................................................. 16
SUPUESTOS ................................................................................................... 16
RESTRICCIONES ............................................................................................ 17
PLAN DE CALIDAD ......................................................................................... 17
CAPITULO II ........................................................................................................... 18
MARCO TEORICO .............................................................................................. 18
ANTECEDENTES DEL ESTUDIO ....................................................................... 18
FUNDAMENTACION TEORICA .......................................................................... 20
SEGURIDAD DE LA INFORMACIÓN .............................................................. 20
PRINCIPALES ACTIVIDADES DE LOS PIRATAS INFORMÁTICOS ............... 24
CASOS DE ESTUDIO ...................................................................................... 25
FASES EN UN ATAQUE INFORMÁTICO. ....................................................... 29
IMPORTANCIA DE UNA HERRAMIENTA SIEM .............................................. 29
FUNDAMENTACIÓN LEGAL............................................................................... 30
PREGUNTA CIENTIFICA A CONTESTARSE ..................................................... 35
DEFINICIONES CONCEPTUALES. .................................................................... 35
CAPITULO III .......................................................................................................... 39
PROPUESTA TECNOLÓGICA ............................................................................ 39
ANÁLISIS DE FACTIBILIDAD .......................................................................... 39
FACTIBILIDAD OPERACIONAL ...................................................................... 40
FACTIBILIDAD TÉCNICA ................................................................................ 40
FACTIBILIDAD LEGAL .................................................................................... 41
FACTIBILIDAD ECONÓMICA .......................................................................... 41
ETAPAS DE LA METODOLOGIA DEL PROYECTO ........................................ 42
XIV
ENTREGABLES DEL PROYECTO .................................................................. 66
CRITERIOS DE VALIDACION DE LA PROPUESTA ....................................... 66
CAPITULO IV .......................................................................................................... 68
CRITERIOS DE ACEPTACION DEL PRODUCTO O SERVICIO ......................... 68
CONCLUSIONES ................................................................................................ 69
RECOMENDACIONES ........................................................................................ 70
Bibliografía .............................................................................................................. 71
ANEXOS ............................................................................................................. 73
ANEXO 1. CARTA DE AUTORIZACION DE LA EMPRESA REINEC C. LTDA Y
SU MARCA COMERCIAL ECUAHOSTING ......................................................... 74
ANEXO 2. INFORMACIÓN DE SERVIDOR UTILIZADO PARA ESTUDIO .......... 75
ANEXO 3. ENCUESTA REALIZADA ................................................................... 77
ANEXO 4. ESPECIFICACIONES DE HERRAMIENTAS SIEM EN EL MERCADO
............................................................................................................................ 78
ANEXO 5. Manual de Instalación del ALienVault ................................................. 81
ANEXO 6. ENCUESTA DE VALIDACION DE LA PROPUESTA .......................... 89
ANEXO 7. CRITERIO DE VALIDACION DE PRODUCTO ................................... 92
ANEXO 8. INFORME DE ANÁLISIS DE LOS SERVICIOS DE ESTUDIO DEL
SERVIDOR .......................................................................................................... 93
ANEXO 9. Plan de acción y mejora para la implementación de un sistema de
gestión de eventos en servidores ........................................................................ 94
ANEXO 10. COTIZACION DE SERVIDOR .......................................................... 96
ANEXO 11. Manual de configuración de AlienVault ............................................. 97
XV
ABREVIATURAS
DC Data Center
DDOS Ataque de Denegación de servicio
CPU Unidad Central de Proceso
SIEM Security Information and Event Management
OTX Open Threat Exchange
IP Protocolo de internet
XVI
INDICE DE TABLAS
Tabla 1. Causas y consecuencias del problema ............................................................... 5
Tabla 2. Población del estudio ........................................................................................... 10
Tabla 3. Pregunta 1 .............................................................................................................. 11
Tabla 4. Pregunta 2 .............................................................................................................. 12
Tabla 5. Pregunta 3 .............................................................................................................. 13
Tabla 6. Pregunta 4 .............................................................................................................. 14
Tabla 7. Pregunta 5 .............................................................................................................. 15
Tabla 8. Costo de implementación del Proyecto ............................................................. 41
Tabla 9. Criterios de Validación de propuesta ................................................................. 67
Tabla 10. Criterios de Aceptación del producto ............................................................... 68
XVII
INDICE DE ILUSTRACIONES
Ilustración 1. Forma general de un ataque DDoS .................................................... 28
Ilustración 16. Representación de pregunta 1 ......................................................... 11
Ilustración 17. Representación de datos de la pregunta 2 ....................................... 12
Ilustración 18. Representación de datos de la pregunta 3 ....................................... 13
Ilustración 19. Representación de datos de la pregunta 4 ....................................... 14
Ilustración 20. Representación de datos de la pregunta 5 ....................................... 15
Ilustración 2. Representación gráfica de los datos obtenidos en el análisis. ............ 44
Ilustración 3. Representación gráfica de los datos obtenidos del Firewall ............... 48
Ilustración 4. Representación gráfica de los registros obtenidos en el servidor de
correos .................................................................................................................... 51
Ilustración 5. Representación gráfica de los registros obtenidos por login ............... 53
Ilustración 6. representación gráfica de los datos obtenidos por servicio web ......... 56
Ilustración 7. Esquema del diseño de red ................................................................ 59
Ilustración 8. Cuadro comparativo de herramientas SIEM ....................................... 58
Ilustración 9. Autenticación en el siem .................................................................... 60
Ilustración 10. Visualización de alarmas .................................................................. 61
Ilustración 11. Datos Generales de los servicios ..................................................... 62
Ilustración 12. Datos generales de los servicios ...................................................... 62
Ilustración 13. Estados de los recursos ................................................................... 63
Ilustración 14. Exportación mediante CSV -1 .......................................................... 64
Ilustración 15. exportación mediante csv -2 ............................................................. 64
XVIII
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
“ANÁLISIS Y PROPUESTA DE SOLUCIÓN DE UN SISTEMA DE CORRELACIÓN
DE EVENTOS DE SEGURIDAD EN EL SERVIDOR GYE.ECUAHOSTING.NET
PARA LOS SERVICIOS DE CORREO ELECTRÓNICO Y SERVICIO WEB QUE SE
BRINDAN A LOS CLIENTES DE ECUAHOSTING ALOJADOS DENTRO DE ESTE
SERVIDOR”
Autores: Yésica Emperatriz Aucancela Escobar
Cristhian Geovanny Velásquez Vásquez
Tutor: Ing. Jorge Chicala A. M.Sc
RESUMEN
El tiempo de resolución sobre las incidencias generadas dentro de cualquier servicio
es esencial. El presente proyecto muestra los procedimientos de la empresa REINEC
- Ecuahosting por parte del encargado de seguridad al momento de la recolección de
información, el análisis y las medidas a tomar frente a una supuesta intrusión. La
información recabada por el estudio realizado al servidor gye.ecuahosting.net, nos
brindará una pauta para proponer una herramienta que ayude con la gestión de
eventos de seguridad acorde a las especificaciones que se requiere para brindar una
respuesta efectiva a diferentes incidentes que se producen en un servidor.
XIX
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
ANALYSIS AND PROPOSAL FOR THE SOLUTION OF A SECURITY EVENT
CORRELATION SYSTEM IN THE SERVER GYE.ECUAHOSTING.NET FOR THE
EMAIL AND WEB SERVICE THAT ARE PROVIDED TO THE ECUAHOSTING
CLIENTS ACCOMPANIED WITHIN THIS SERVER
Author: Yésica Emperatriz Aucancela Escobar
Cristhian Geovanny Velásquez Vásquez
Advisor: Ing. Jorge Chicala A. M.Sc
ABSTRACT
The resolution time on the incidents generated within any service is essential. The
present project shows the procedures of the company REINEC - Ecuahosting on the
part of the security manager at the moment of the collection of information, the analysis
and the measures to be taken against an alleged intrusion. The information collected
by the study conducted at the gye.ecuahosting.net server, will provide us with a
guideline to propose a tool that will help with the management of security events
according to the specifications required to provide an effective response to different
incidents that occur on a server
1
INTRODUCCIÓN
Los ataques informáticos constituyen una gran amenaza para las empresas que
brindan servicios. Día a día son atacados cientos de sistemas y servidores en
distintas partes del mundo, provocando pérdidas en los servicios o en la
información que estos manejan. Es por esto que las medidas de seguridad son
parte fundamental en las empresas, especialmente las que utilizan el Internet para
sus operaciones.
La aparición de nuevos métodos de infiltración y encubrimiento por parte de los
atacantes es cada vez mayor, lo cual aumenta el riesgo para las empresas que
proveen servicios.
En el año 2017 fueron detectados más de 120.000 incidentes de seguridad
provocados por ciberataques. En mayo de ese año, varios ciberdelincuentes
realizaron un ataque de phishing hacia los usuarios de Gmail, logrando una
intrusión al menos a 1 millón de cuentas de correos electrónicos. El ataque fue
realizado de una forma muy sofisticada mediante un método conocido como
Ingeniería Social, el cual solicita a la víctima información y/o privilegios haciéndose
pasar por una entidad de confianza.
Para los expertos en seguridad, es una ardua tarea la de mantener protegidos los
equipos en los cuales se ejecutan los servicios. No basta solo con implementar
reglas de accesos, instalar antivirus, firewall o dispositivos de control, sino también
una constante revisión y análisis de los eventos generados.
Para lograr cubrir la brecha de seguridad que puede estar presente en el sistema,
se utiliza una de estas herramientas que gestione los eventos de seguridad y
registren cualquier tipo de actividad sospechosa. Sin embargo, es difícil contar
con una visión precisa de los ataques o la relación que puede haber entre ellos.
En este trabajo de titulación, se presenta la problemática de la Empresa REINEC
C. LTDA – Ecuahosting la cual realiza procesos de gestión de eventos de
seguridad de forma manual, generando scripts posterior a su revisión y derivando
el caso según su nivel de incidencia para tomar las correcciones debidas, esto
2
hace que el tiempo de respuesta sea mayor y las revisiones sean constantes en
cualquier horario por el personal técnico.
Debido a estas circunstancias se tomó inicio al desarrollo del presente trabajo,
cuyo contenido se fundamenta en el análisis y recolección de datos para luego
relacionarlos y ejecutar la debida acción para el inconveniente suscitado, de esta
forma mejora la seguridad, calidad y confianza de los servicios que se ofrecen.
Posteriormente, luego de correlacionar cada uno de estos registros, con una
adecuada herramienta de Gestión de Eventos SIEM, se puede gestionar los
eventos y brindar una solución rápida y eficaz contra la intrusión manifestada.
Por otro lado, el encargado de seguridad puede ahorrar tiempo en la solución de
problemas y evitar un cese del servicio, el cual puede provocar molestias a los
usuarios e innumerables pérdidas económicas.
El proyecto está dividido en cuatro capítulos, en el Capítulo uno es donde se
plantea la problemática del estudio así como las causas que pueden generar un
problema y las consecuencias que pueden acarrear. Así mismo, se define el
alcance y la importancia de implementar un sistema de gestión de eventos en los
procesos de la Organización.
En el Capítulo dos se define el marco teórico y los antecedentes que dieron inicio
al desarrollo de este trabajo, así como los términos y los temas más relevantes en
el desarrollo de este proyecto, también se describe la fundamentación tanto
teórica como legal los cuales fortalecen los puntos que se tratarán en este estudio.
En el Capítulo tres se desarrolla la metodología de la investigación, aquí se detalla
el proceso que se lleva a cabo para validar el proyecto. Se detalla y analiza la
información mostrándose en gráficos y tablas estadísticas para brindar una mayor
veracidad de los resultados que fueron recolectados usando las técnicas
adecuadas.
En el Capítulo cuatro obtendremos los resultados, las conclusiones y
recomendaciones posterior a las pruebas realizadas sobre el uso de un sistema
de gestión de eventos en un servidor de la Empresa Ecuahosting.
3
CAPITULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
UBICACIÓN DEL PROBLEMA EN UN CONTEXTO
La denegación de servicios por ataques maliciosos externos es muy alta, debido
a esto mantener reglas, software y políticas de control ayudan a prevenir y actuar
de una forma más eficiente en caso de que la seguridad de los activos sea
vulnerada.
Es primordial mantener un sistema que almacene, correlacione y regule todos los
eventos de seguridad que se presentan en el servidor, para luego ejecutar una
acción predeterminada dependiendo de la gravedad del caso.
Existe infinidad de tipos de ciberataques realizados diariamente a distintos
servidores alrededor del mundo, intentando tomar el control, desestabilizar o
dañar el sistema, logrando así la negación total o parcial del servicio que estos
brindan.
En la actualidad, todos estos ataques son tan comunes y sofisticados, que las
empresas se ven en la obligación de invertir grandes cantidades de dinero en
software, hardware y especialistas en el área para mantener la confiabilidad,
integridad y disponibilidad de sus sistemas o servicios.
No es ninguna novedad que Internet sea la herramienta más utilizada por las
personas, que estén dentro de empresas privadas, públicas, colegios,
universidades y entidades gubernamentales alrededor del mundo.
Este medio ofrece muchos beneficios para las personas, pero también guarda
usuarios malintencionados los cuales tienen como único propósito, atacar redes y
servidores dejando así inutilizable los servicios e invadiendo la privacidad de los
usuarios.
Solo en el año 2017 se realizaron numerosos ataques alrededor del mundo, lo
cual afectó a distintas empresas en varios países como EEUU, Brasil, Filipinas,
Hong Kong por nombrar algunos; para poner un ejemplo Wannacry fue un tipo de
4
ataque denominado Ransomware que afecto a millones de equipos como a los de
Telefónica en Madrid, al servicio de salud británico, entre otros; dejando vulnerable
la seguridad y apropiándose de los datos e información personal de los usuarios.
Debido a que la gran mayoría de empresas poseen su información y sus servicios
en la nube, los proveedores que brindan este tipo de servicios son un objetivo
deseable para los atacantes informáticos que pretenden causar interrupciones en
el servicio.
Varias firmas importantes de seguridad informática como Symantec, Cisco y
Fortinet están innovando en nuevas tecnologías, que permitan evitar las brechas
de seguridad y ofrecer protección contra presentes y futuras amenazas que
puedan desarrollarse.
Las empresas, como Reinec – Ecuahosting que proveen servicios en la nube se
ven en la necesidad de poseer una buena infraestructura de seguridad, por lo cual
detectar un ataque informático o algún proceso inusual que se esté ejecutando,
es de gran utilidad para evitar denegaciones en el servicio y aumentar la
protección en diferentes puntos dentro de la infraestructura.
Es de suma importancia dar un seguimiento constante a los registros y archivos
de bitácoras que se generan en los servidores, para poder detectar los eventos
sospechosos que se han ejecutado y actuar de forma eficaz contra una posible
intrusión.
Mantener una investigación de los datos que se genera dentro del servidor o los
dispositivos es una tarea titánica, debido a que estos generan cientos y hasta miles
de alertas diariamente y no todas estas son ataques malintencionados del exterior
o procesos sospechosos generados por los usuarios que estén alojados en el
servidor.
Hoy en día existen herramientas que pueden ayudar a la gestión y la correlación
de los eventos, permitiendo así combinar eventos individuales y dar una mejor
perspectiva de lo que ha sucedido dentro del entorno operacional.
5
SITUACIÓN CONFLICTO NUDOS CRÍTICOS
Los proveedores de servicios en la nube son grandes blancos para los atacantes
cibernéticos, cada día varios servidores son vulnerados o expuestos a algún
ataque, provocando una denegación en los servicios.
Cientos de clientes alrededor del mundo que poseen sus servicios en la nube, en
algún momento son víctimas de un fallo en el servicio, provocando que paren sus
actividades y ocasionando pérdidas monetarias considerables o, importantes
contratos de trabajos que no pueden ser postergados.
Gracias a los registros de seguridad del servidor conjuntamente a la correlación
de eventos se proveerá una mejor visión, ayudando a encontrar que usuario
dentro del servidor realizó algún tipo de proceso inusual o de cual lugar se provocó
un ataque hacia el servidor.
CAUSAS Y CONSECUENCIAS DEL PROBLEMA
Detallamos a continuación varias causas y las consecuencias que pueden
acarrear.
Tabla 1. Causas y consecuencias del problema
Causas Consecuencias o proyecciones
Procesos de algún usuario con elevado
consumo de recursos en RAM o CPU.
Sobrecarga en el servidor.
Accesos no autorizados. Alteración de archivos o información del
usuario.
Ataques directo al servidor hacia los
servicios web o de correo electrónico.
Denegación total o parcial de los
servicios.
Descuido en la revisión de los eventos
de seguridad.
No lograr establecer respuestas hacia los
ataques dirigidos al servidor.
Reglas de seguridad muy permisivas. Permitir al atacante violentar la seguridad
con facilidad.
Fuente: Datos de la investigación
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
6
DELIMITACIÓN DEL PROBLEMA
Campo: Telecomunicaciones y Redes
Área: Servicio de correo electrónico y servicio web.
Aspecto: Herramienta que permita capturar y analizar los eventos de seguridad
y correlacionar cada evento individualmente para brindar una visión global del
problema o suceso producido.
Tema: Análisis y propuesta de solución de un sistema de correlación de eventos
de seguridad en el servidor gye.ecuahosting.net para los servicios de correo
electrónico y servicio web que se brindan a los clientes de Ecuahosting alojados
dentro de este servidor.
FORMULACIÓN DEL PROBLEMA
¿La propuesta de una herramienta SIEM mejorará la solución de los casos en los
eventos de correos electrónicos y páginas web de usuarios alojados en un
servidor?
EVALUACIÓN DEL PROBLEMA
Los aspectos generales para la evaluación son:
Delimitado
El proyecto planteado está basado en el análisis de datos para resolver de forma
eficiente los problemas más comunes de correo electrónico y servicio web
utilizando la herramienta de gestión de eventos SIEM.
Claro
Evaluar diferentes scripts y/o herramientas que ayuden a simplificar los casos de
ataques o vulnerabilidades.
7
Evidente
Se analizará las estadísticas de eventos reales que se muestran en el servidor.
Factible
Con los logs generados es posible realizar un análisis a los servicios de correos
electrónicos y web de un servidor.
Identifica los productos esperados
Se estima seleccionar el mejor sistema de correlación de eventos de acuerdo
con el análisis planteado en el proyecto.
OBJETIVOS DE LA INVESTIGACION
OBJETIVO GENERAL
Mejorar el proceso individual de gestión de eventos de seguridad actual, mediante
la propuesta de un Sistema de Gestión de Información y Eventos de Seguridad
centralizado, que permita realizar correlación de eventos con la finalidad de
identificar presunción de ataques de seguridad y agilizar los tiempos de respuesta
y/o solución de posibles ataques.
OBJETIVOS ESPECÍFICOS
• Analizar los diferentes tipos de eventos de seguridad que se generan
en el servidor para identificar ataques que afectan la disponibilidad del
servicio proporcionado al cliente.
• Determinar políticas de filtrado de la información de seguridad del
servidor recabado en los servicios, para clasificarlas según su nivel
crítico.
• Analizar herramientas que permitan la identificación de eventos de
seguridad para proveer un plan de acción con los procedimientos a
seguir dependiendo de la gravedad del suceso de seguridad.
• Elaborar el plan de mejora para la implementación de un Sistemas de
Gestión de Información y Eventos de Seguridad como recomendación
de implementación para asegurar la continuidad del servicio.
8
ALCANCES DEL PROBLEMA
Debido a los eventos que se generen en el servidor gye.ecuahosting.net, por los
procesos de usuarios alojados en él, tendremos como consecuencia un análisis
objetivo que ayudará a agilizar las posibles soluciones a casos comunes de
vulnerabilidad.
El proyecto permitirá recopilar esta información del servidor, analizarla y
clasificarla según su nivel de prioridad.
Mediante este proceso se propondrá mejorar la correlación de eventos a través
de un sistema de gestión de información y eventos de seguridad, permitiendo un
mejor control de los eventos garantizando la disponibilidad del servicio brindado.
Identificando los factores, por los cuales el servicio de correo electrónico o servicio
web pueden quedar inhabilitados, se podrá relacionar dos eventos de seguridad
permitiendo obtener el resultado de estas acciones al no tomar las medidas
respectivas.
Con el sistema de gestión de información, no solo se administrará los eventos,
también se tomarán las acciones pertinentes dependiendo de la prioridad y nivel
de incidencia.
JUSTIFICACION E IMPORTANCIA
JUSTIFICACIÓN
Los fallos de seguridad pueden poner en riesgo la calidad de servicio que se brinda
a los usuarios, el estudio del proyecto ayudará a catalogar los eventos de
seguridad registrados. De esta forma tomar la acción apropiada, y no solo prevenir
una denegación de servicio, sino también fortalecer la seguridad en los servidores
de la Empresa.
Al conocer los fallos de seguridad se pueden implementar mejores reglas de
control, de igual forma al poseer conocimiento de los eventos y mantener un
monitoreo constante sobre ellos, se podrán asociar las acciones a tomar para
solucionar el inconveniente de una manera rápida y eficiente.
9
IMPORTANCIA
Este proyecto favorece a la Empresa en la medida que sea aplicado a otros
servidores operativos actualmente, permitiendo correlacionar y gestionar los
eventos, para disminuir considerablemente los falsos positivos que puedan
generarse. Así también optimizando los procesos y brindando un mayor
performance al servicio que se brinda.
Los servicios de correo electrónico y servicio web que ofrece el servidor a los
clientes deben mantener una alta disponibilidad.
Es necesario revisar las bitácoras de seguridad que el servidor ofrece como son:
• Alertas de seguridad cuando un usuario esté realizando un proceso que
sobrepase los límites de recursos asignados al plan
• Cese del servicio
• Cola de correos saturada
• Intrusión al servicio del usuario por medio de un fallo de seguridad en el
website.
• Modificación o alteración de los archivos webs del usuario
• Envíos masivos de correos electrónicos
• Ataques de diccionario de datos a las cuentas de correos
• Ataques de phishing
• Ataques de Sql injection
• Entre otros.
Contando con toda esta información se puede relacionar los eventos de seguridad
entre sí, para luego poder tomar la acción más adecuada y solventar el problema,
de esta forma no vuelva a ejecutarse a futuro.
Con la utilización de la herramienta SIEM lograremos detectar y analizar
actividades sospechosas que se ejecuten dentro de nuestra red y que amenacen
nuestros sistemas o servicios, así podremos garantizar la seguridad de la red y la
disponibilidad del sistema o servicio que la empresa brinde.
10
METODOLOGIA DEL PROYECTO
METODOLOGÍA DE CASCADA
La metodología de cascada se basa en un modelo lineal enfocado en ordenar los
procesos secuencialmente de tal forma que las etapas puedan ejecutarse una tras
otra.
Debido al enfoque del tema del proyecto se optó por la utilización de este método,
que permite un desarrollo consecutivo sobre los procesos que se ejecutarán en
las diferentes fases del proyecto que son:
Análisis
Se realiza primero una encuesta (Anexo 3), al personal de área técnica que labora
en la empresa, para levantar información importante que ayude a conocer que
necesidades se presentan en el estudio actual, posterior se elabora el análisis e
interpretación de los datos recolectados. Así también, se analiza los registros de
eventos recolectados del servidor gye.ecuahosting.net.
PROCESAMIENTO Y ANÁLISIS
POBLACION Y MUESTRA
Para el estudio y análisis de los casos, se seleccionó como población al personal
que labora en la Empresa Reinec en sus oficinas de Guayaquil y Quito, que
manejan y resuelven los eventos que se producen en los servidores.
Tabla 2. Población del estudio
INVOLUCRADOS POBLACION PORCENTAJE
Personal de la empresa
Reinec 15 100 %
Total 15 100 %
Fuente: Dpto. Talento Humano de la Empresa Reinec
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
11
MUESTRA
La muestra tomada es la poblacional, en vista de que la población es pequeña,
resultó accesible en su totalidad para conseguir mayor fiabilidad en la propuesta.
ENCUESTA ELABORADA
Pregunta 1: ¿Conoce usted lo que es un SIEM y cuál es su utilidad?
Tabla 3. Pregunta 1
Fuente: Encuestas realizadas al personal de la Empresa Reinec
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Ilustración 1. Representación de pregunta 1
Fuente: Encuestas realizadas al personal de la Empresa Reinec
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
100%
0%0%
SI
NO
POCO
Opciones Cantidad Porcentajes
SI 15 100%
NO 0 0%
POCO 0 0%
TOTAL 15 100%
12
Análisis e interpretación
Del personal que realiza tareas de soporte técnico en la Empresa REINEC -
Ecuahosting, el 100% indica que conoce lo que es un SIEM y su beneficio al ser
utilizado dentro de las tareas diarias que originan los procesos o eventos que se
generan en los servidores.
Pregunta 2: ¿Con que frecuencia se detectan eventos de seguridad dentro de los
servidores que brindan el servicio de alojamiento?
Tabla 4. Pregunta 2
Opciones Cantidad Porcentajes
POCO 0 0%
SIEMPRE 15 100%
NUNCA 0 0%
TOTAL 15 100%
Fuente: Encuestas realizadas al personal de la Empresa Reinec
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Ilustración 2. Representación de datos de la pregunta 2
Fuente: Encuestas realizadas al personal de la Empresa Reinec
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
0%
100%
0%
POCO
SIEMPRE
NUNCA
13
20%
80%
SERVICIO WEB
BASE DE DATOS
CORREOS ELECTRONICOS
Ilustración 3. Representación de datos de la pregunta 3
Análisis e interpretación
El 100% del personal que realiza tareas de soporte técnico en la Empresa REINEC
(Ecuahosting), indica que siempre manejan eventos de los servidores en los que
se encuentran, de esta forma se cumple como política de la empresa la revisión
del estado y funcionamiento de todos los servicios en los servidores.
Pregunta 3: ¿En su opinión que servicios generan la mayor cantidad de eventos
de seguridad en un servidor?
Tabla 5. Pregunta 3
Opciones Cantidad Porcentajes
SERVICIO WEB 3 20%
BASE DE DATOS 0 0%
CORREOS ELECTRONICOS
12 80%
TOTAL 15 100%
Fuente: Encuestas realizadas al personal de la Empresa Reinec
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Fuente: Encuestas realizadas al personal de la Empresa Reinec
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
14
93%
7%
SI
NO
TALVEZ
Ilustración 4. Representación de datos de la pregunta 4
Análisis e interpretación
El resultado de las encuestas indica que el 80% del personal opina que los logs o
eventos generados en los servidores se dan mayormente a nivel de correos
electrónicos, siguiéndole en un 20% los servicios web y de base de datos en
menos recurrencia. Esto nos muestra que el servicio de correos es el más utilizado
por los usuarios y por consecuencia toma más tiempo en los eventos atendidos a
nivel de soporte.
Pregunta 4: ¿Cree usted que es necesario utilizar un SIEM en la Empresa
REINEC?
Tabla 6. Pregunta 4
Opciones Cantidad Porcentajes
SI 14 93%
NO 0 0%
TALVEZ 1 7%
TOTAL 15 100%
Fuente: Encuestas realizadas al personal de la Empresa Reinec
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Fuente: Encuestas realizadas al personal de la Empresa Reinec
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
15
Análisis e interpretación
El 93% opina que si es necesario la utilización de un SIEM en la empresa para la
resolución de problemas comunes en los servidores, un 7% manifiesta que puede
ser una opción la implementación de éste sistema, es decir la mayoría de sus
colaboradores consideran que el uso de este software ayudaría significativamente
a controlar problemas comunes que se susciten entre los usuarios de los servicios
que se ofrecen, brindando así mayor atención a otros eventos importantes que
requieren atención personalizada.
Pregunta 5: ¿De acuerdo a los eventos diarios del servidor, que tipo de eventos
solucionaría en un 99% el SIEM implementado?
Tabla 7. Pregunta 5
Opciones Cantidad Porcentajes
SERVICIO WEB 3 20%
BASE DE DATOS 0 0%
CORREOS ELECTRONICOS
12 80%
TOTAL 15 100%
Fuente: Encuestas realizadas al personal de la Empresa Reinec
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Fuente: Encuestas realizadas al personal de la Empresa Reinec
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Ilustración 5. Representación de datos de la pregunta 5
20%
80%
SERVICIO WEB
BASE DE DATOS
CORREOSELECTRONICOS
16
Análisis e interpretación
El 80% de los encuestados opinan que el SIEM implementado puede solucionar
mayormente los problemas recurrentes de Correos electrónicos, y en menor
proporción los servicios web y de base de datos, esto demuestra que es necesario
implementar este sistema para ayudar en gran medida a resolver eventos en el
menor tiempo posible.
Diseño
Se identificará los requerimientos y requisitos solicitados por la herramienta que
se elegirá para el desarrollo del proyecto.
Prueba
Mediante pruebas de configuración se verificará las funcionalidades de la
herramienta los cuales validarán la propuesta a emplearse.
Propuesta.
Una vez concluido el análisis, identificada la herramienta y realizada las pruebas
de configuración se generará un informe y una propuesta de solución para la
empresa.
SUPUESTOS Y RESTRICCIONES
SUPUESTOS
• El personal técnico sería parte de los interesados en la implementación de
un correlacionador de eventos.
• Los usuarios a los que se presta el servicio obtendrían un nivel de
respuesta casi inmediata a los eventos sucedidos, garantizando la
operatividad y disponibilidad del servicio.
• La correlación de los eventos generados por el SIEM, reducirían la tarea
del personal técnico en la evaluación de cada incidencia.
• El tiempo de respuesta en relación con una amenaza se reduciría
considerablemente, sosteniendo la fiabilidad del servicio.
17
RESTRICCIONES
• No es posible realizar virtualizaciones en el servidor estudiado, por
políticas de seguridad de acceso al DC.
• El software usado para el desarrollo de las pruebas es de licencia free y
posee ciertas restricciones.
• Falta de equipos físicos con las especificaciones técnicas requeridas para
el desarrollo de pruebas.
PLAN DE CALIDAD
Para la propuesta del sistema correlacionador de eventos, se realizarán las
pruebas con respecto al uso del software y las ventajas de éste. Estas pruebas,
están contenidas en el siguiente listado:
• Virtualización del ambiente servidor – aplicativo
• Configuración del equipo en el que se realizarán las pruebas.
• Configuración de políticas de seguridad.
• Uso de la herramienta para el escaneo de Activo.
• Revisión de informes de estadísticas de los eventos mediante entorno
gráfico.
18
CAPITULO II
MARCO TEORICO
ANTECEDENTES DEL ESTUDIO
En la actualidad, con el uso de las redes informáticas, es cada vez mayor el
crecimiento de intrusiones o ataques a los sistemas que manejan las empresas
de cualquier tamaño en todo el mundo. Por ello, las organizaciones
continuamente desean mejorar el nivel de seguridad de sus sistemas protegiendo
sus datos ante posibles accesos no autorizados. Ante esto, refiere (Clavijo,
2016):
“El ofrecer productos o servicios a través de Internet sin tomar en cuenta la
seguridad informática no sólo denota negligencia, sino que constituye una
invitación para que ocurran incidentes de seguridad que podrían dañar
severamente la reputación y afectar los ciclos del negocio.”
Con el crecimiento en la demanda de proveedores de hosting, las organizaciones
buscan en los servicios de almacenamiento en la nube, servidores web, respaldos,
correos electrónicos, la fiabilidad y las medidas de seguridad que hagan posible
el monitoreo y la protección de su información de los posibles ataques que puedan
surgir.
Los proveedores de servicios de hosting en Internet, utilizan sistemas de
monitorización que les permite recoger información y tratarlos para determinar si
existe un problema o no en sus redes.
Este proyecto se realiza con el propósito de mejorar el proceso de correlación de
eventos de seguridad que utilizan los servidores de la Empresa Reinec C. Ltda,
los cuales prestan servicios de hosting a cientos de usuarios.
Generalmente todos los eventos de seguridad que surgen en el servidor son
revisados manualmente dependiendo de la gravedad en que éste sea catalogado,
el servidor posee varios sistemas de seguridad integrado como:
• Reglas de control, acceso y bloqueo.
19
• Sistema de control de recursos sobre el uso del CPU y memoria de cada
servicio.
• Sistema de control de recursos sobre el uso del CPU y memoria de cada
usuario.
• Reglas de control en el servicio web.
• Control y regulación de SPAM.
• Gestión de relay de envíos por cada cuenta dentro del servidor.
• Control y prevención de Mail Stoofing y SPAM.
• Scritps personalizados de control.
Cada uno de estos sistemas proveen registros o logs de cada actividad
sospechosa encontrada o proceso generado fuera de lo normal, tomando como
referencia la configuración previa de las reglas dentro del servidor. El Súper
Administrador en conjunto con los Administradores Juniors revisan y catalogan
cada suceso manualmente dependiendo de la gravedad de la alerta, también se
debe revisar si dicha alerta generada es un falso positivo por ejemplo:
La cuenta de un usuario posee configurado un relay de envíos máximos de 40
mails por hora, el sistema ha generado una alerta del usuario el cual indica que su
cuenta ha generado alrededor de 60 mails en menos de 1 hora, sobrepasando por
mucho la capacidad asignada, no necesariamente la cuenta de correo se
encuentra comprometida y este usuario está generando SPAM o la aplicación de
correo que utiliza presenta vulnerabilidad por virus. En este caso deben ser
verificados:
• Los envíos realizados, tanto el correo remitente como los destinatarios.
• El asunto con el cual están saliendo los correos debido a que pueden estar
utilizando un software de facturación electrónica.
• Si está enviando algún comunicado para sus clientes o el personal interno
de la empresa lo que incurrió en la falta cometida.
Con la finalidad de poder tomar la acción correspondiente sin afectar el flujo de
envíos del usuario, todos y cada uno de estos eventos son revisados de forma
manual y se ejecutan scripts que permiten tomar acción respecto al evento que se
genera en ese momento. Sin embargo, en otros casos se derivan estos
20
escenarios para que sean resueltos por el personal de soporte dependiendo del
nivel de emergencia.
La revisión constante de los logs y el análisis de esta información resulta una tarea
compleja, exhaustiva y poco eficaz cuando se generan varios logs diariamente y
crece aún más con la cantidad de servidores que se administra.
Se ha propuesto mejorar la calidad y disponibilidad del servicio, así como el
tiempo asignado al control y revisión de los eventos de seguridad y las acciones a
tomar a través de la propuesta de un SIEM.
FUNDAMENTACION TEORICA
SEGURIDAD DE LA INFORMACIÓN
“Uno de los asuntos sobre los que se ha venido incidiendo recientemente es la
eficiencia en la extracción de datos. Tanto si el proceso se realiza manualmente
como si se hace de forma automática.” (Enrique Rando González, 2015 )
La seguridad de la información se basa en la protección de la confidencialidad,
integridad y la disponibilidad de la información de una organización. Por tanto, el
gerente de la empresa toma en cuenta al personal que dispone la tarea,
verificando antes las aptitudes y el conocimiento que poseen.
Todavía existen muchos gerentes que consideran innecesaria la implementación
de un área de sistemas o más grave aún, integran un área con un personal poco
calificado para que la administre. Esto puede provocar una catástrofe en un
futuro debido a que la información no está segura y el conocimiento para prevenir
o actuar ante posibles intrusiones son escasas.
Cuando esta información no se asegura adecuadamente, se corre el riesgo de que
sea usada por personas no autorizadas lo que conlleva a graves consecuencias.
Por esta razón, la seguridad es un campo en el que se está trabajando
continuamente. Convirtiendo en una necesidad vital proteger la información
valiosa de las empresas. Esto se puede lograr con mecanismos y herramientas
de prevención o detección de intrusos y con un personal debidamente calificado.
21
“Los fallos web son el origen de puertas de entrada bastante frecuentes en los
sistemas. En efecto muchos sitios presentan problemas de seguridad que están
en los formularios, especialmente en los formularios de envío que están mal
protegidos y permiten enviar archivos al servidor o dando acceso a información de
la base de datos”. (ACISSI, 2015)
Para un proveedor de servicio web es primordial que los usuarios aseguren
correctamente los sitios que publican en línea. Lamentablemente la realidad es
otra, para minimizar costos realizan los sitios web con personas que no poseen
un conocimiento suficiente en esta área y en ocasiones la realizan ellos mismos.
Por desconocimiento en temas de seguridad web, provoca que el sitio no posea
la seguridad debida ni el monitoreo necesario para prevenir incidentes de hackeo,
dejando brechas de seguridad que un atacante puede aprovechar.
Los formularios o cajas de comentarios abiertos son las falencias más comunes
que un atacante explota. Utilizando este medio origina lo que comúnmente se
conoce como web spammer. Lo cual es la práctica de enviar SPAM mediante la
web.
Este es un riesgo muy grande para el servidor debido a que las entidades que
regulan y controlan el SPAM a nivel mundial, puede listar no solo el correo o
dominio de origen, también la IP del cual proviene los envíos, añadiendo una mala
reputación a la misma.
El administrador del servicio se ve en la necesidad de implementar estrategias que
le ayuden en la detección de estas anomalías. Mediante herramientas sean éstas
de hardware o software se logra incrementar en gran medida la seguridad sobre
amenazas potenciales.
Analizar los eventos y registros del sistema permitirá tener un mejor panorama de
lo que sucede en el servidor y que el usuario puede provocar el inconveniente.
El servicio web no es el único medio que se utiliza para la interacción digital, hoy
en día la mayor parte de información que manejamos y compartimos la realizamos
a través de nuestro correo electrónico. Esto ocasiona que los usuarios
malintencionados obtengan otro blanco al cual atacar.
22
La empresa GlobalSign experta en soluciones de seguridad digital comenta. “El
correo electrónico es una herramienta de la cual dependemos diariamente. A su
vez es muy fácil enviar información confidencial a otra persona, poniendo en riesgo
que esta información caiga en las manos equivocadas”. (GLOBALSIGN, 2016)
Esto implica que la utilización del correo electrónico mediante Internet u otras
redes privadas conlleven un alto grado de riesgo en la seguridad de la información
que se transmite. Por lo cual es imperativo para los usuarios garantizar la
integridad de la comunicación.
Debido a que el correo electrónico, para llegar a su destino debe viajar a través
de numerosos dispositivos y sistemas, se corre el riesgo que dicha información
confidencial pueda ser interceptada por otra persona. Es por eso que el
administrador debe emplear políticas de seguridad que ayuden a proteger la
confidencialidad del mensaje.
“Los hackers son cada vez más hábiles en hacerse pasar por otras
organizaciones. Incluso personas con altos conocimientos en seguridad pueden
ser engañados por un correo electrónico bien elaborado que contiene phishing”.
(GLOBALSIGN, 2016)
La pérdida parcial o total de la información puede llegar a costar miles de dólares.
Estas incidencias también afectan gravemente a la reputación de la empresa sin
mencionar las repercusiones legales que pueden presentarse. La confidencialidad
de la información no es el único riesgo latente. Otros riesgos que se pueden
presentar es el SPAM o también llamado correo basura.
Este tipo de ataque es el más común, en donde el atacante envía una cantidad
descomunal de correos de tipo comercial, no solicitado por el usuario destinatario.
Un tipo de ataque de denegación de servicio denominado inundación es uno de
los más perjudiciales, consiste en generar una sobrecarga en el servidor mediante
el envío de múltiples correos electrónicos saturando el servicio.
Por lo cual es de suma importancia analizar los eventos originados dentro del
servidor, Jean-François comenta que, “Un evento puede indicar que algo no
funciona correctamente, llevándonos al registro de un incidente. El evento también
puede indicar, durante la actividad normal, la necesidad de una intervención
ordinaria”. (Francois, 2016)
23
Cuando se origina un evento en el servidor puede indicar una alerta de advertencia
para el administrador del servicio. Esto no implica que cada evento generado
sugiera un fallo en el sistema o servicio, pero si da hincapié para que este sea
revisado.
Si el administrador ignora los eventos del servidor o no realiza el respectivo
análisis del suceso, puede producirse un fallo en el servicio provocando en el peor
de los casos un cese total del mismo.
El personal encargado de la seguridad en la empresa no solo debe monitorear los
eventos. Es vital que los eventos detectados sean gestionados de manera
correcta.
Frecuentemente deben ser revisados los servicios y componentes del sistema,
Jean-François comenta lo siguiente: “La gestión de eventos genera y detecta las
notificaciones, mientras que la supervisión verifica el estado de los componentes
aun cuando no exista evento alguno.” (Francois, 2016)
Por tanto, la supervisión continua del servicio aun cuando no se haya originado
algún evento es primordial para prevenir cualquier fallo del sistema. Gracias a esto
nos podemos dar cuenta si funciona el servicio como es debido, de esta forma se
podrá tratar cualquier suceso o anomalía con tiempo antes de que pueda
convertirse en un problema mayor.
“La gestión de los incidentes de seguridad es un aspecto muy importante para
lograr el mejoramiento continuo de la seguridad de la información de cualquier
compañía, el principal inconveniente es que muchas organizaciones no lo utilizan
adecuadamente.” (Gutiérrez, 2013)
Todos los sistemas deben mantener un registro de los eventos de seguridad, cada
evento indica alguna entrada o proceso sospechoso que ha sucedido en el
sistema o servicio, aquí es donde entra la gestión de todos estos eventos
generados. Gracias a esto, se podrá tomar la acción más adecuada para la
solución del problema y para mejorar la seguridad del servicio.
Para el personal de seguridad debe ser primordial contar con una herramienta de
gestión, para poder registrar toda la información recolectada en el servidor que
mantenga relación con las incidencias y eventos generados.
24
En la actualidad existen millones de amenazas provocadas por expertos
informáticos denominados hackers, también conocidos como piratas informáticos.
Estos individuos poseen un alto conocimiento tecnológico que utilizan para
actividades ilegales en su propio beneficio.
“La ingeniería social es un tema al que todavía no se le da tanta importancia en el
interior de las organizaciones. Las consecuencias de ser víctima de este tipo de
ataques pueden ser muy grandes. El atacante o hacker puede utilizar diferentes
mecanismos de persuasión.” (OWASP, 2016)
Los ataques generados por este grupo de personas se encuentran en aumento,
logrando explotar la más mínima vulnerabilidad del sistema para acceder y realizar
operaciones delictivas. Esto es un gran problema para los encargados de
seguridad en las empresas, los cuales deben mantener la confiabilidad e
integridad de los datos que se intercambian mediante la red.
PRINCIPALES ACTIVIDADES DE LOS PIRATAS INFORMÁTICOS
Desfiguramiento de los sitios web: Esto ocurre cuando se entra al servidor web
y se altera o reemplaza la página principal. Los desfiguramientos de los sitios web
es una práctica común, pues se lleva a cabo descargando de internet un programa
que está diseñado para aprovecharse de las vulnerabilidades de los sistemas.
Hurto de la información de las tarjetas de crédito: La información de la tarjeta
de crédito puede ser hurtada por medio de las mismas herramientas de ataque
que están tras los desfiguramientos de los sitios web.
Una vez los piratas informáticos tienen acceso a la red, pueden analizar las bases
de datos en busca de archivos que puedan tener información valiosa, como
archivos de clientes. Todo archivo que sea interesante para el intruso puede ser
descargado a su computadora.
Ataque a los programas instructores del servidor: Los programas instructores
del servidor permiten las comunicaciones bidireccionales entre los servidores y
usuarios web.
Las instrucciones del servidor también es un objetivo común de intrusos y lo
hacen ejecutando comandos, leyendo los archivos del sistema o modificando
los mismos.
25
Ataques de negación de servicio: La negación de servicio se produce cuando
alguien o algo impide que se realice una tarea u operación deseada. Los intrusos
o piratas logran esto principalmente con el consumo del ancho debanda,
inundando la red con datos, agotando los recursos del sistema, fallas de
programación, etc.
Los piratas de la red operan en distintos niveles realizando todo tipo de actividades
ilícitas y propinando ataques a usuarios o empresas con la única finalidad de
desestabilizar el sistema.
Entre los ataques más comunes tenemos alteración, modificación y denegación
de un sitio web, robo de información personal como datos de cuentas bancarias o
información privada, ataques a servidores y denegaciones de servicios, este
último es el más usado por los ciber atacantes; cada día incontables sistemas o
servicios son dados de baja por algún tipo de intrusión en todo el mundo.
CASOS DE ESTUDIO
Ataque al gestor de contraseñas LastPass
El popular gestor de contraseñas LastPass advirtió a los usuarios actualizar las
contraseñas de sus cuentas maestras, después de que su red de almacenamiento
de claves online sufriera un ataque.
La compañía ha escrito una entrada de blog para notificar primero a los clientes,
antes de enviar mensajes de correo electrónico directamente a los usuarios. El
ataque fue descubierto el pasado viernes, cuando notaron la intrusión: Nuestro
equipo descubrió y bloqueó actividad sospechosa en nuestra red, dijo Joe Siegrist
director ejecutivo de LastPass.
Una investigación descubrió que mientras que los atacantes no habían
comprometido los datos cifrados de los usuarios, direcciones de correo electrónico,
recordatorios de contraseñas y hashes de autenticación se vieron comprometidos.
Además, mencionaron como componente afectado a la sal utilizada para cada
usuario, es decir, el conjunto de datos que se le añade a las contraseñas durante
el cifrado para que sean más difíciles de robar.
26
En un correo electrónico de seguimiento directo a los clientes, la compañía declaró
que confía en que los algoritmos de cifrado que utiliza protegerán suficientemente
a los usuarios, pero dijo que se están implementando medidas adicionales para
remediar el inconveniente. Para garantizar aún más la seguridad, estamos
requiriendo verificación por correo electrónico al iniciar sesión desde un nuevo
dispositivo o dirección IP, señalo Siegrist.
Sin embargo, de parte del gestor de contraseñas LastPass han señalado que los
datos comprometidos no fueron utilizables en forma inmediata para los atacantes:
LastPass fortalece el hash de autenticación con una sal aleatoria y 100.000 rondas
de funciones PBKDF2-SHA256 del lado del servidor, además de las rondas
realizadas del lado del cliente. Este fortalecimiento adicional hace que sea difícil
de atacar a los hashes robados con cualquier velocidad significativa.
The Guardian informa que la empresa pidió a los usuarios actualizar su contraseña
maestra después del ataque. No está de más recordar cómo construir una
contraseña fuerte y segura.
Algunos usuarios de LastPass han respondido a la noticia solicitando más
información sobre la naturaleza del ataque, y detalles sobre cómo la compañía
planea prevenir otros similares en el futuro. Sin embargo, varios que publicaron
en el blog de la compañía destacaron la pronta divulgación del ataque, y halagaron
a LastPass por su postura en materia de seguridad.
Tenemos confianza en que nuestras medidas de encriptación son suficientes para
proteger a la vasta mayoría de usuarios, dijo en un blog el director ejecutivo Joe
Siegrist, quien se disculpó con los usuarios por la inconveniencia de cambiar sus
contraseñas.
Este último ataque a las contraseñas destaca la importancia de seguir siempre las
mejores prácticas de seguridad, mientras que la industria continúa desarrollando
alternativas nuevas y radicales que podrían reemplazarlas.
La empresa aconsejó a los usuarios que cambien sus contraseñas maestras de
LastPass, las cuales son utilizados para recuperar las contraseñas individuales
encriptadas para otros servicios en línea y cuentas de los usuarios; pero indicó
que no necesitan cambiar las contraseñas individuales.
(Carlos Pagni, 2015)
27
Caso Ronnie IRC Hispano (Ataque DDoS)
Dos años de prisión y 1,4 millones de euros de indemnización al autor del mayor
ataque de denegación de servicio en España
Sisco Sapena, presidente de IRC-Hispano: “esta sentencia es muy importante y
sienta un precedente para la persecución de este tipo de delitos, que por desgracia
han sido impunes hasta ahora”
Lleida, 7 de febrero de 2006. Hoy se ha celebrado en Lleida el juicio contra
Santiago Garrido, autor del mayor ataque DDoS en España y que llegó a afectar
en algunos momentos al 30% de los internautas españoles, unos 3 millones de
usuarios según la Unidad de Delitos Telemáticos de la Guardia Civil.
En el juicio, Santiago Garrido ha reconocido todos los hechos y los daños
causados. Finalmente, la sentencia es firme por haberse aceptado por ambas
partes y en el plazo de una semana el juez publicará dicha sentencia.
Este internauta, apodado en la red bajo los nicksde `Ronnie´ y `Mike 25´ ha sido
condenado a dos años de prisión por delitos de daños continuados, valorados en
1.332.500 euros de responsabilidad civil, desglosados en:
474.500 € en daños a LLEIDA.NET
570.716 € en daños a WANADOO
120.000 € en daños a ONO
218.000 € en daños a IRC-HISPANO
Además, Santiago Garrido deberá pagar 18 meses de multa con una cuota diaria
de 6€. Este es el primer caso de sentencia por ataque de denegación de servicio
en España, y posiblemente el de mayor cuantía en una sentencia en temas
informáticos.
IRC-Hispano, la mayor red de habla hispana con 16 millones de usuarios al mes,
fue una de las organizaciones más afectadas por este ataque que, gracias a la
Unidad de Delitos Informáticos de la Guardia Civil, en una operación que contó
con la colaboración de la empresa antivirus Panda Software, concluyó con su
detención a finales de julio de 2003, y esta mañana el caso `Ronnie´ ha finalizado
en una sentencia condenatoria.
28
Para Sisco Sapena, presidente de IRC-Hispano, “esta sentencia es muy
importante y sienta un precedente para la persecución de este tipo de delitos que
por desgracia han sido impunes hasta ahora.
A raíz de esta sentencia, empresas, asociaciones y usuarios en general estamos
más protegidos frente a los delitos informáticos, y frente a todo tipo de acciones
ilegales que se producen en la red y que causan grandes pérdidas económicas y
graves perjuicios para los usuarios de Internet”, resaltó Sisco Sapena.
En este caso se observa como un ataque desde varios puntos pudo desestabilizar
un servidor llegando a afectar la operatividad del servicio, este atacante mediante
un gusano conocido como Deloder infectó a varios ordenadores en Europa y Asia
que estaban vulnerables, convirtiéndolos en ordenadores zombies, desde los
cuales orquestó el ataque DDoS. Cabe mencionar que un ataque desde un solo
ordenador podría colisionar un servidor, pero al coordinar varios ataques desde
diferentes ordenadores hacia un mismo objetivo puede afectar el servicio y los
tiempos de respuesta del servidor atacado.
Fuente: Datos de la investigación
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Ilustración 6. Forma general de un ataque DDoS
29
FASES EN UN ATAQUE INFORMÁTICO.
Un ataque informático consta de una serie de etapas antes de que el ciber
delincuente comience con la intrusión:
• Preparación: Un atacante profesional comienza identificando el objetivo,
una vez seleccionado realiza una investigación para poder recolectar los
datos necesarios que le ayudarán a vulnerar la seguridad.
• Acceso: En este punto empieza el atacante hacer uso de las armas a su
disposición, realizando un escaneo a los puertos, explorando las
vulnerabilidades e infectando a la víctima; una vez infectado el ordenador
contaminado está a la espera de instrucciones por parte del hacker.
• Ejecución: El intruso empieza con los ataques hacia la víctima,
capturando los paquetes, recolectando información, alterando y/o
denegando el funcionamiento de las aplicaciones.
• Cubriendo huellas: En esta última fase el atacante elimina cualquier
evidencia de su intrusión, así como los rastros de la operación que ha
realizado, de esta forma mantiene el acceso al sistema u ordenador
comprometido; al eliminar sus huellas el atacante logra no ser detectado y
el encargado de seguridad no obtendrá evidencias o pistas claras de lo
sucedido.
IMPORTANCIA DE UNA HERRAMIENTA SIEM
Los sistemas SIEM es una tecnología implementada para la gestión de eventos
de seguridad, se centra en la recopilación de información con múltiples fines,
desde la administración de las bitácoras de los eventos de seguridad, respuestas
a incidencias suscitadas, hasta la resolución de problemas que pueden generarse
en el sistema.
En primera instancia las herramientas SIEM fueron desarrolladas para reducir el
número de falsos positivos generados por los sistemas de detección de intrusos y
los sistemas de prevención de intrusos conocidos como IDS e IPS
respectivamente, dichas herramientas se utilizan para mejorar el grado de
seguridad de los sistemas dentro de las empresas especialmente en las grandes
compañías.
Las funciones de una herramienta SIEM pueden detallarse de la siguiente manera:
30
• Obtención de datos y registros. - Recolecta toda la información de los
eventos y los resultados del análisis de vulnerabilidades realizado.
• Clasificación. - Convierte los registros recopilados a un formato que la
herramienta SIEM pueda manipular y los clasifica dependiendo de la
configuración que se le ingrese.
• Correlación. - Como lo indica su nombre realiza una correlación basada
en las reglas sean estas estadísticas o algorítmicas, así como los métodos
de relación de eventos entre sí; la correlación puede llevarse en tiempo
real o también con base en los datos históricos.
• Alertas. - Envía las notificaciones de los sucesos al operador estos pueden
ser mediante mensaje de texto, protocolo simple de administración de red
o correo electrónico.
• Niveles de prioridad. - Ayuda a conocer los eventos de mayor
importancia, así como los de un nivel medio o inferior
• Visualización de registros en tiempo real. - Muestra la información
detallada de los eventos en tiempo real aquí también se puede visualizar
los eventos pasados.
• Informes. - Presenta toda la información histórica que se ha recopilado.
FUNDAMENTACIÓN LEGAL
En las últimas décadas, el Ecuador ha sufrido profundas transformaciones
económicas, sociales y políticas. La Constitución del 2008, aprobada en las urnas,
impone obligaciones inaplazables y urgentes como la revisión del sistema jurídico
para cumplir con el imperativo de justicia y certidumbre (Zambrano-Mendieta,
2016).
Páez Rivadeneira en el 2010 planteó que el Código Penal Ecuatoriano en materia
de Delitos Informáticos siempre ha presentado deficiencias graves y aunque el
uso de la tecnología en nuestro país es nuevo (lo que podría entenderse como
excusa), la prevención en este tema no ha sido la adecuada.
El delito informático está tipificado en el artículo 190 del Código Orgánico Integral
Penal de acuerdo con lo que se establece como delito:
31
El uso de un sistema informático o redes electrónicas y de telecomunicaciones
para facilitar la apropiación de un bien ajeno o que procure la transferencia no
consentida de bienes, valores o derechos en perjuicio de esta o de una tercera,
en beneficio suyo o de otra persona alterando, manipulando o modificando el
funcionamiento de redes electrónicas, programas, sistemas informáticos,
telemáticos y equipos terminales de telecomunicaciones, será sancionada con
pena privativa de libertad de uno a tres años.
El delito informático en la ley penal ecuatoriana
En el Ecuador en el año 2009 se empieza a hablar de delitos informáticos
registrándose hasta el 2013 un total de 3,143 casos, esto a pesar de que se
conoce que el 80% de los delitos informáticos no son reportados, en cuanto al
índice delictivo. Ecuador ocupa el tercer lugar después de México con el 92 % y
Bolivia con el 85 %, lo que a criterio de la ONU se produce como consecuencia de
la falta de una cultura de denuncia.
El delito informático está tipificado en el Código Orgánico Penal Integral del
Ecuador aprobado en el año 2014, en el artículo 190, que señala, la apropiación
fraudulenta por medios electrónicos, los elementos que componen este delito son
los siguientes:
De los Delitos contra la inviolabilidad del secreto.
Art. 202 inciso 1.- Violación de claves o sistemas de seguridad, para acceder u
obtener información protegida contenida en sistemas de información.
Prisión
Pena específica 6 meses a 1 año; multa de 500 a 1000 dólares.
Art. 202.2 Cesión, publicación, utilización o transferencia de datos personales sin
autorización.
Prisión
Pena específica de 2 meses a 2 años; multa de 1000 a 2000 dólares.
Este artículo nos habla sobre la confidencialidad de la información y la necesidad
de que los datos guarden reserva absoluta. En caso de violar este derecho y
divulgar su contenido mediante medios electrónicos o afines se penalizará con
32
prisión y multa. Si la información vulnerada trata de Seguridad Nacional la sanción
aumenta; de igual manera si los datos pertenecen al sector comercial.
De la violación de los Deberes de los Funcionarios Públicos, de la
Usurpación de Atribuciones y de los Abusos de Autoridad.
Art. 262.- Destrucción o supresión de documentos o información por empleado
público depositario de la misma.
Reclusión menor ordinaria
Pena específica de 3 a 6 años.
Este artículo trata sobre la responsabilidad de Funcionarios Públicos de
precautelar la seguridad de la información a ellos encomendada. Hace énfasis en
la intencionalidad (fraudulenta y maliciosa) para destruir archivos, programas o
mensajes que involucren intervención electrónica, así como medios físicos para
su desaparición.
De la Falsificación de Documentos en general
Art. 353. 1 falsificación electrónica.
Varias
Pena específica
Depende del tipo de falsificación de acuerdo con los artículos 337 al 353
Este artículo detalla la falsificación electrónica y nos expone que aquella persona
o personas que alteren o modifiquen datos serán sometidas a lo que dispone la
ley, mencionando como puntos estratégicos la alteración, la simulación y la
distorsión de mensajes de datos.
Del incendio y otras Destrucciones, de los deterioros y Daños.
Art. 415.1 Destrucción, alteración o supresión de contenidos de sistema
informático o red electrónica.
Prisión
Pena específica de 6 meses a 3 años; multa de 60 a 150 dólares
33
Art. 415.2 Destrucción de infraestructuras físicas necesarias para la transmisión,
recepción o procesamiento de mensajes de datos.
Prisión
Pena específica de 8 meses a 4 años; multa de 200 a 600 dólares
El artículo señala una pena y multa a quien destruya de cualquier modo la
información existente en equipos electrónicos, actuando con voluntad,
provocando pérdida total o definitivamente de los datos almacenados por esa
entidad. Si la información es de servicio público su sanción aumentara, sin
embargo, si el daño es menor se acusará de un atenuante.
Del Robo
Art. 553.2 Los que utilizaren fraudulentamente sistemas de información o redes
electrónicas, para facilitar la apropiación de un bien ajeno, o los que procuren la
transferencia no consentida de bienes, valores o derechos de una persona, en
perjuicio de esta o de un tercero, en beneficio suyo o de otra persona alterando,
manipulando o modificando el funcionamiento de redes electrónicas, programas
informáticos, sistemas informáticos, telemáticos o mensajes de datos.
Pena específica de 6 meses a 5 años; multa de 500 a 1000 dólares; los autores
podrán ser colocados bajo la vigilancia especial de la autoridad por 2 años a lo
menos y 5 a lo más.
Circunstancias modificatorias no constitutivas
Numeral 2. Descubrimiento o descifrado de claves secretas o encriptados
Numeral 5. Violación de seguridades electrónicas, informáticas u otras semejantes
Este artículo hace referencia a quienes usen fraudulentamente sistemas de
información para el robo o apropiación de bien ajeno, manipulando o alterando
éstos para el cometido del delito. Asimismo, la sanción aumenta para quienes
hayan inutilizado sistemas de alarma, descifrado de claves secretas, uso de
tarjetas magnéticas, uso de instrumentos de apertura teledirigidos y toda violación
de seguridades electrónicas.
34
De las Estafas y otras defraudaciones
Art. 563 Circunstancias modificatorias no constitutivas
Inciso 2. Quien cometiere este delito utilizando medios electrónicos o telemáticos.
El Código Orgánico Integral Penal en el artículo 103 sanciona la pornografía
infantil como una medida para tipificar este delito que muchos casos quedaron sin
ser sancionado por falta de tipificación que: La persona que fotografíe, filme,
grabe, produzca, transmita o edite materiales visuales, audiovisuales,
informáticos, electrónicos o de cualquier otro soporte físico o formato que
contenga la representación visual de desnudos o semidesnudos reales o
simulados de niñas, niños o adolescentes en actitud sexual; será sancionada con
pena privativa de libertad de trece a dieciséis años.
La Ley Penal en el artículo 104 tipifica el delito de comercialización de material
pornográfico de la siguiente manera:
Quien publicite, compre, posea, porte, transmita, descargue, almacene, importe,
exporte o venda.
Haciendo uso de cualquier medio.
Con finalidad de uso personal.
Para intercambio pornografía de niños, niñas y adolescentes.
Sanción de diez a trece años.
La ley penal señala los delitos contra el derecho a la intimidad personal y familiar,
identificando la violación a la intimidad personal en el artículo 178 del Código
Orgánico Integral Penal cuyas características son:
Acto realizado sin consentimiento o la autorización legal.
Consiste en acceder, interceptar, examinar, retener, grabar, reproducir, difundir o
publicar.
Datos personales, mensajes de datos, voz, audio y vídeo, objetos postales,
información contenida en soportes informáticos, comunicaciones privadas o
reservadas.
35
De otra persona por cualquier medio.
Sanción con pena privativa de libertad de uno a tres años.
El delito informático se diferencia de los delitos ordinarios en dos aspectos
esenciales:
Quien comete el acto ilícito no tiene necesidad de estar presente en el lugar del
delito para perpetrarlo.
No existen frontera alguna, cualquier equipo puede ser víctima de un fraude
informático.
PREGUNTA CIENTIFICA A CONTESTARSE
¿Cómo impactará en la Organización el proceso de gestión de seguridad al
implementar una herramienta correlacionadora de eventos en el servidor
gye.ecuahosting.net?
DEFINICIONES CONCEPTUALES.
LinkedIn: Es una red social dirigida a las corporaciones. Fundada el 14 de
diciembre de 2002, se utiliza principalmente para redes de carácter profesional.
Desde el 2015, la mayor parte de los ingresos del sitio provenían de la venta del
acceso a la información sobre sus usuarios a los reclutadores y profesionales de
ventas.
Ingeniería social: Es la práctica de obtener información confidencial a través de
la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas
personas, tales como investigadores privados, criminales, o delincuentes
informáticos, para obtener información, acceso o privilegios en sistemas de
información que les permitan realizar algún acto que perjudique o exponga la
persona u organismo comprometido a riesgo o abusos.
Script: Se conoce como script a un conjunto de instrucciones realizadas mediante
programación, que ejecuta una o más acciones dentro de un sistema.
Falso positivo: Se define como falso positivo cuando un hecho que se presume
verdadero o cierto, resulta ser lo contrario.
36
Hacker: Se denomina hacker a la persona con grandes conocimientos de
informática que se dedica a infiltrase y manipular ilegalmente los sistemas
informáticos ajenos. El término hacker proviene del vocablo “hack” que significa
“cortar” o “alterar” cualquier tipo de objeto de forma irregular.
Foro: Consiste en una página web dinámica, en donde se generan discusiones
relativas a una serie de temas.
Blog: Es un sitio web con formato de bitácora o diario personal. Los contenidos
suelen actualizarse de manera frecuente y exhibirse en orden cronológico (de más
a menos reciente). Se puede afirmar que el blog es la evolución de un diario
personal en papel.
Phishing: Es un método que los ciberdelincuentes utilizan para engañar y
conseguir que una persona revele información personal, como contraseñas o
datos de tarjetas de crédito y de la seguridad social y números de cuentas
bancarias. Lo hacen mediante el envío de correos electrónicos fraudulentos o
dirigiéndole a un sitio web falso.
Mail Spoofing: Es la suplantación de la dirección de correo electrónico de otras
personas o entidades. Esta técnica es usada con frecuencia para el envío de
mensajes de correo electrónico como suplemento perfecto para el uso de
suplantación de identidad y para "spam".
IRC Hispano: Es una red social basada en IRC en español. Está operativa desde
el año 1996.
Ataque DoS: Un ataque DDoS es cuando un grupo de personas o un grupo de
ordenadores atacan a un servidor o dispositivo desde muchos equipos a la vez.
Este flujo masivo de datos hace que los recursos del servidor acaben no siendo
suficientes, lo que provoca que colapse y deje de funcionar. Esto hace que, si se
trata de un equipo que mantiene una web, servicio o comunidad, caiga junto al
servidor.
Ordenador zombie: Es la denominación asignada a computadores personales
que, tras haber sido infectados por algún tipo de malware, pueden ser usados por
una tercera persona para ejecutar actividades hostiles. Este uso se produce sin la
autorización o el conocimiento del usuario del equipo. El nombre procede de los
37
zombis o muertos vivientes esclavizados, figuras legendarias surgidas de los
cultos.
SIEM: Gestión de Eventos e Información de seguridad o Security Information and
Event Management por sus siglas en ingles. Esta herramienta busca proporcionar
un panorama global sobre la seguridad de la tecnología de información dentro de
una organización, la herramienta SIEM se centra en la seguridad de la
información, la seguridad de las redes y la seguridad de los datos, abarca la
recolección de registros relevantes, así como la normalización, adición, retención
y análisis de datos con la correlación y el establecimiento de los niveles de
prioridad, incluye también la presentación y visualización de los informes y todo el
flujo de trabajo que se relacione con el contenido de la seguridad.
IDS: El Sistema de Detección de Intrusos agrega a la red un mayor grado de
seguridad de tipo preventivo frente a una posible actividad sospechosa y envía
alertas sobre los eventos los cuales son dirigidos al encargado de seguridad.
IPS: El Sistema de Prevención de Intrusos es una herramienta la cual ejerce un
control de acceso a una red, para protegerlo de cualquier tipo de ataque o abuso
que pueda generarse. Su función es la de analizar los datos del ataque para luego
poder tomar una acción en respuesta a la incidencia, a fin de detenerlo antes de
que tenga logre penetrar la seguridad.
Firewall: También llamado cortafuegos su funcionalidad es la de bloquear el
acceso no autorizado, al sistema o servicio que se requiere proteger.
Relay: Servidor SMTP usado para envíos de correos.
SQL Injection: Es un tipo de ataque a una base de datos en el cual, por una débil
seguridad en las variables, se puede inyectar un código creado por un atacante al
código original de la base de datos.
Cross site scripting: Es un agujero de seguridad típico de las aplicaciones web,
el cual permite a un atacante insertar código malicioso en ellas.
Web spammer: Se denomina web spammer al proceso de envíos de correos
electrónicos no solicitados mediante la web, aprovechando una vulnerabilidad
dentro de los formularios o cajas de comentarios dentro de la página.
38
Código malicioso: Es un tipo de código informático o script web dañino diseñado
para crear vulnerabilidades en el sistema que permiten la generación de puertas
traseras, brechas de seguridad, robo de información y datos, así como otros
perjuicios potenciales en archivos y sistemas informáticos.
39
CAPITULO III
PROPUESTA TECNOLÓGICA
En la Empresa Reinec C. Ltda el modelo de su negocio se enfoca a brindar
servicios de internet como alojamiento web, correos electrónicos y registros de
dominios. Una de sus principales prioridades es la de otorgar un soporte técnico
de calidad a sus usuarios, manteniendo la disponibilidad de los servicios
ofreciendo a sus clientes seguridad e integridad en su información.
Actualmente no cuentan con un sistema que correlacione todos los eventos del
servidor y actúe de forma automática con la operación adecuada, debido a que
estos son analizados de forma manual aun por los técnicos y realizar la operación
adecuada a través de scripts ejecutados en el servidor.
Este proyecto analiza y formula una solución de un sistema de correlación de
eventos de seguridad en el servidor gye.ecuahosting.net para los servicios de
correo electrónico y servicio web que se brindan a los clientes de Ecuahosting.
Mediante un estudio de los eventos que se generaron en el servidor entre el 21 de
mayo del 2018 al 26 de mayo del 2018 y el 02 de junio del 2018 hasta el 08 de
junio del 2018 se podrá elaborar un análisis más aproximado de los sucesos
diarios y de la relación que puede existir entre ellos.
Se planea obtener esta información y analizar la herramienta o sistema más
adecuado, de acuerdo a los resultados obtenidos garantizando la mejora de los
servicios, el tiempo de respuesta al evento y las seguridades físicas y lógicas que
deben ser consideradas.
ANÁLISIS DE FACTIBILIDAD
Este análisis es importante, porque permite conocer la aceptación de la propuesta
por parte de los interesados quienes harán uso de la implementación del sistema.
A continuación, se realiza un análisis a nivel técnico, operacional, legal y
económico que permitirá establecer que la propuesta es viable para su
implementación en la Empresa Reinec C. Ltda.
40
FACTIBILIDAD OPERACIONAL
Este análisis es importante, porque permite conocer la aceptación de la propuesta
por parte de los interesados de la implementación del sistema de gestión de
eventos. Se dispone de una carta de autorización para el levantamiento de
información por parte de la Empresa. (Anexo 1)
Para el presente proyecto se realizará el previo análisis lo que no afectará la
operación de la Empresa por las siguientes razones:
• La información que se obtiene para análisis está permitida por la Empresa
en cualquier horario, esto no afecta la disponibilidad del servicio.
• Permite la recolección de información en estado operativo del servidor por
cuanto gran parte de estos datos, llegan a una dirección de correo
destinado para el monitoreo de los eventos.
• Los registros de logs pueden ser obtenidos directamente del servidor por
cuanto se mantienen acceso directo.
• Se cuenta con personal capacitado para la realización de este proyecto
dentro de la Empresa.
FACTIBILIDAD TÉCNICA
Fueron analizadas varias herramientas para la propuesta de implementación del
software, y se consideraron los siguientes puntos importantes:
• El Data Center de Ecuador posee una excelente infraestructura para la
operatividad de los dispositivos y cumple con los requisitos legales y
técnicos para manejar estos equipos (anexo 2).
• Poseen permiso de ingreso a las instalaciones del DC en Ecuador de las
ciudades Guayaquil y Quito, para la revisión o manejo de los equipos que
se encuentran operativos.
• Al intentar obtener un nuevo servidor para su operación, no será un
problema su instalación o configuración en la colocación de destino.
• Las pruebas de configuración se realizarán en un servidor virtual.
41
• El software que se utilizará se puede implementar tanto en servidores
Windows como en Linux por lo que su instalación es viable en cualquiera
de los casos.
FACTIBILIDAD LEGAL
El proyecto no infringe o viola cualquier artículo de propiedad intelectual, ya que
el software puede ser adquirido desde la página del autor y/o fabricante que
provee el sistema, por la remuneración que aplique al momento de su adquisición.
La información de los usuarios contenido en el servidor no es violentada en ningún
aspecto por parte de los administradores, basándose en el artículo 202 inciso 1
del Código Orgánico Penal Integral.
Cabe mencionar que el proyecto se realiza aplicando los artículos aplicados en el
marco legal de la Constitución del Ecuador.
FACTIBILIDAD ECONÓMICA
La inversión que la Empresa debe asumir se debe al costo de implementación por
parte del personal calificado para ello, el licenciamiento de la herramienta y la
adquisición del servidor físico para su instalación.
Se incluye en la propuesta la adquisición de un servidor de acuerdo con las
especificaciones del fabricante. (Anexo 10)
A continuación, se detalla los costos que genera al realizar este proyecto:
Tabla 8. Costo de implementación del Proyecto
RUBRO CANTIDAD VALOR TOTAL
Recurso Humano 1 $800 $800
Hardware (servidor)
1 $3000 $3000
Software- licencia mensual
1 $1695 $1695
TOTAL $5495 $5495
Fuente: Datos de la investigación
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
42
FACTIBILIDAD DEL PROYECTO
De acuerdo con el análisis de las factibilidades operacional, técnica, legal y
económica, se puede afirmar que el proyecto es viable en todos sus aspectos.
Existe interés por parte del personal técnico y operativo de la empresa, en resolver
incidencias recurrentes a través de una herramienta de gestión.
Este software puede ser aplicado para varios servidores, así como sus parámetros
y políticas de seguridad de servidores de la Empresa. Legalmente, el proyecto
no presenta ninguna restricción y económicamente es factible debido al tamaño
de empresa y que se encuentra en la optimización de procesos actuales.
ETAPAS DE LA METODOLOGIA DEL PROYECTO
El proyecto se realiza utilizando la Metodología en Cascada, que se basa en
establecer un diseño secuencial dentro de la organización.
ANÁLISIS
Se realiza el estudio de la estructura actual de la empresa, analizando la forma en
que se obtiene la información de eventos generados por los servicios alojados en
el servidor, su procesamiento y como se catalogan dependiendo del nivel de alerta.
Se observa, que el tiempo de análisis de registros y respuestas por parte del
personal técnico a incidencias recurrentes es un poco alta, cuando es posible
minimizarlos atendiendo a casos similares de forma automática.
En la propuesta sugerida hacia la empresa, existe un nivel de aceptación elevado,
para que sea implementado un sistema de correlación de eventos para los
servidores que manejan.
Se toma un tiempo estimado para realizar la recolección y luego el análisis de la
información clasificándola en diversos grupos, en los resultados se detallará los
diferentes sucesos, la cantidad de alertas y/o ataques encontrados, así como los
servicios afectados.
43
Se mostrará parte de los eventos recolectados y se incluirá gráficamente el
análisis del contenido para entender los resultados de una forma visual, las alertas,
la gravedad y la acción ejecutada.
El estudio de los registros fue desde el 21 de mayo del 2018 al 26 de Mayo del
2018 y el 02 de junio del 2018 hasta el 08 de junio del 2018 de acuerdo al análisis
se encontraron los siguientes detalles:
Alertas de Advertencia 17
Alerta de estado del servicio 20
Alertas ignoradas 5
Servicio inactivo 4
Servicio restablecido 4
Carga elevada del servicio 15
De las 20 alertas detectadas sobre el estado de los servicios, en 4 ocasiones hubo
una falla el cual provocó que este se detenga.
Revisando los registros, en una ocasión el cese del servicio se produjo en el correo
electrónico. Específicamente en el servicio dovecot el cual es el encargado de las
conexiones IMAP o POP3 realizadas hacia el servidor. Se demoró
aproximadamente 5 minutos en quedar operacional nuevamente.
Para el servicio web no hubo novedad alguna. También se detectó que 15 eventos
indicaban una carga elevada en los servicios dentro del servidor, el análisis reveló
que ninguno de estos registros correspondía al servidor de correo o al servidor
web.
44
Fuente: Datos de la investigación
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Detallamos parte de los registros obtenidos que fueron usados para nuestro
análisis.
- The application “lvemanager” has registered with AppConfig for the service:
whostmgr
Name:lvemanager
Service: whostmgr
Server: gye.ecuahosting.net
ACLs required: any
System User: root
URL: /....../addon_lvemanager.cgi
Display Name: LVE Manager
Ilustración 7. Representación gráfica de los datos obtenidos en el análisis.
45
Entry URL: addon_lvemanager.cgi
- New Security Advisor notifications with High importance
Processes
Detected 39 processes that are running outdated executables: 2105706 2105707
4023631 2105705 2105703 40054 40052 40050 2105709 4023659 1877 174495
334413 334411 4023636 581730 4047 1982 1257374 2304 1 2405 1256963
581958 40048 40044 40046 3669 3487 1256951 1257519 41413 572172 2951
2105708 3685 808 2257 1256975
- The chkservd process has become non-responsive.
The chkservd subprocess with PID “1404576” ran for “5 minutes and 7 seconds”.
The system terminated this sub-process when it exceeded the time allowed
between checks, which is “5 minutes”. To determine why, check the “
/../chkservd.log ”
- The service “mysql” appears to be down.
Server gye.ecuahosting.net
Service Name mysql
Service Status failed
Notification The service “mysql” appears to be down.
Service Check Method
The system’s command to check or to restart this service failed.
Number of Restart Attempts 2
Service Check Raw Output
Exception::Timeout/(XID ms5558) The system failed to lock the file
“/.../restartsrv_mysql” after 197 seconds.
at /........./CORE.pm
46
Exception::create("Timeout", "The system failed to lock the file
\x{e2}\x{80}\x{9c}[_1]\x{e2}\x{80}\x{9d} after [quant,_2"..., ARRAY(0x174b3b0))
called at /......../Exception.pm
Exception::__ANON__(__CPANEL_HIDDEN__, __CPANEL_HIDDEN__...,
ARRAY(0x174b3b0)) called at /........l/SafeFile.pm line 729
- The chkservd process has become non-responsive.
- The service “mysql” is now operational.
Server gye.ecuahosting.net
Service Name mysql
Service Status recovered
Notification The service “mysql” is now operational.
- The service “cpanel-dovecot-solr” appears to be down.
Server gye.ecuahosting.net
Service Name cpanel-dovecot-solr
Service Status failed
Notification The service “cpanel-dovecot-solr” appears to be down.
Service Check Method
The system’s command to check or to restart this service failed.
- The chkservd process has become non-responsive.
The chkservd subprocess with PID “496380” ran for “5 minutes and 1 second”. The
system terminated this sub-process when it exceeded the time allowed between
checks, which is “5 minutes”. To determine why, check the “ /......../chkservd.log ”
- New Security Advisor notifications with High importance
Processes
47
Detected 25 processes that are running outdated executables: 2105706 2105707
2105705 2105703 40054 40052 40050 2105709 1877 334413 334411 4047 2304
1 2405 40048 40044 40046 3669 3487 2105708 2951 3685 808 2257
Registros del Firewall
Los siguientes datos fueron recolectados del firewall. El estudio de los registros
fue desde el 21 de mayo del 2018 al 26 de Mayo del 2018 y el 02 de junio del 2018
hasta el 08 de junio del 2018 de acuerdo al análisis se encontraron los siguientes
detalles:
Ataques detectados alrededor de 10000
Ataques bloqueados alrededor de 8500
Ataques ignorados alrededor de 1500
Del análisis realizado se pudo determinar que alrededor de 8500 ataques fueron
bloqueados. El 20% de ellos fueron hacia los sitios web alojados dentro del
servidor, se pudo determinar que el mayor tipo de ataque fue de SQL Injection.
También se generaron alertas de Cros site scripting dentro de los sitios de varios
usuarios. Lo cual implica que los sitios web de varios clientes poseen una
vulnerabilidad muy grande, que no ha sido analizada por el desarrollador del sitio.
Como medida, el personal de soporte se ha contactado con estos usuarios
poniendo a su conocimiento las vulnerabilidades encontradas para que puedan
corregir dichos fallos de seguridad.
El 50% de ataques bloqueados fue en el servidor de correos por intento fallido de
login. Se logró determinar que la mayoría de los intentos de acceso se originaron
desde varias IPs ubicadas en China.
Se concluyó que el mayor índice de ataque fue dirigido hacia el servidor de correos
tratando de acceder a los correos posiblemente utilizando algún tipo de ataque de
diccionario de datos. Una de las medidas precautelares es indicar a los usuarios
el uso de contraseñas seguras para prevenir la intrusión.
48
Fuente: Datos de la investigación
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Detallamos parte de los registros obtenidos que fueron usados para nuestro
análisis.
gye lfd[1641811]: /var/log/messages rotated. Reopening log file
gye lfd[1641811]: Watching /var/log/messages...
gye lfd[1641811]: /var/log/maillog rotated. Reopening log file
gye lfd[1641811]: Watching /var/log/maillog...
gye lfd[1641811]: /var/log/secure rotated. Reopening log file
gye lfd[1641811]: Watching /var/log/secure...
gye lfd[1716020]: Global DynDNS - update IP addresses
Ilustración 8. Representación gráfica de los datos obtenidos del Firewall
49
gye lfd[1641811]: Failed SMTP AUTH login from 181.39.23.130 - ignored
gye lfd[1641811]: Failed SMTP AUTH login from 181.39.23.130 - ignored
gye lfd[1641811]: Failed POP3 login from 190.152.51.247 - ignored
gye lfd[1641811]: Failed IMAP login from 181.175.189.89 - ignored
gye lfd[1755264]: (mod_security) mod_security (id:1234123460) triggered by
2.229.17.86 (IT/Italy/s86.gazzerro.com): 5 in the last 300 secs - *Blocked in csf*
port=80 [LF_MODSEC]
gye lfd[1755264]: (mod_security) mod_security (id:1234123460) triggered by
2.229.17.86 (IT/Italy/s86.gazzerro.com): 5 in the last 300 secs - *Blocked in csf*
port=443 [LF_MODSEC]
on account [dangbingshun] in the last 300 secs - *Blocked in csf* port=110
[LF_DISTATTACK]
(CN/China/252.7.90.117.broad.zj.js.dynamic.163data.com.cn), 10 distributed
pop3d attacks on account [dangbingshun] in the last 300 secs - *Blocked in csf*
port=995 [LF_DISTATTACK]
gye lfd[1641811]: Failed IMAP login from 181.175.189.89 - ignored
gye lfd[1641811]: Failed POP3 login from 200.63.105.23 - ignored
gye lfd[1641811]: Failed POP3 login from 190.214.218.246 - ignored
gye lfd[1768658]: 180.106.91.123 (CN/China/-), 10 distributed pop3d attacks on
account [chenyuan] in the last 300 secs - *Blocked in csf* port=110
[LF_DISTATTACK]
gye lfd[1768658]: 180.106.91.123 (CN/China/-), 10 distributed pop3d attacks on
account [chenyuan] in the last 300 secs - *Blocked in csf* port=995
[LF_DISTATTACK]
gye lfd[1768658]: 121.239.58.178 (CN/China/-), 10 distributed pop3d attacks on
account [chenyuan] in the last 300 secs - *Blocked in csf* port=110
[LF_DISTATTACK]
50
gye lfd[1768658]: 121.239.58.178 (CN/China/-), 10 distributed pop3d attacks on
account [chenyuan] in the last 300 secs - *Blocked in csf* port=995
[LF_DISTATTACK]
gye lfd[1769764]: (pop3d) Failed POP3 login from 180.114.151.214 (CN/China/-):
10 in the last 300 secs - *Blocked in csf* port=110 [LF_POP3D]
gye lfd[1769764]: (pop3d) Failed POP3 login from 180.114.151.214 (CN/China/-):
10 in the last 300 secs - *Blocked in csf* port=995 [LF_POP3D]
gye lfd[1641811]: Failed POP3 login from 190.152.200.89 - ignored
gye lfd[1641811]: Failed SMTP AUTH login from 181.39.23.130 - ignored
gye lfd[1641811]: Failed IMAP login from 181.188.201.25 - ignored
gye lfd[1641811]: Failed IMAP login from 181.198.177.49 - ignored
Registros del Servidor de correos.
Los siguientes datos fueron recolectados del servidor de correos. El estudio de los
registros fue desde el 21 de mayo del 2018 al 26 de mayo del 2018 y el 02 de junio
del 2018 hasta el 08 de junio del 2018 de acuerdo al análisis se encontraron los
siguientes detalles:
Login correctos más de 70000
Login fallidos más de 30000
Bloqueos por login incorrectos más de 15000
Alertas de cuentas de correos generando SPAM 100
Falsos positivos detectados 20
Reportes enviados a los clientes 80
De la información recolectada se estableció el registro de una cantidad
considerable de ingresos fallidos. Varios de ellos fueron ataques, los cuales fueron
bloqueados por el firewall.
51
Se detectó también que varias cuentas de correos estaban generando SPAM.
Un estudio más minucioso sobre los eventos en las cuentas de correos reveló que
20 de estos eventos fueron falsos positivos debido a que dichos correos fueron
generados por facturación electrónica y no por algún tipo de virus o atacante
externo que estaba utilizando la cuenta para fines malintencionados.
De los eventos que se corroboró que estaban generando SPAM el personal de
soporte técnico contactó con los usuarios, para poner a conocimiento del usuario
la incidencia suscitada y puedan solucionar el problema.
Durante el tiempo de análisis, varias cuentas de correos reiteraron el problema por
lo que, como medida de precaución fueron suspendidas temporalmente hasta que
el usuario pueda dar una solución definitiva.
Fuente: Datos de la investigación
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Detallamos parte de los registros obtenidos que fueron usados para nuestro
análisis.
Ilustración 9. Representación gráfica de los registros obtenidos en el servidor de correos
52
gye dovecot: pop3-login: Login: user=<[email protected]>,
method=PLAIN, rip=190.57.170.8, lip=10.252.221.55, mpid=1715871,
session=<lMG7uEVusO2+OaoI>
gye dovecot: pop3([email protected]): Disconnected: Logged out
top=0/0, retr=0/0, del=0/33, size=671295, bytes=12/825
gye dovecot: pop3-login: Login: user=<[email protected]>,
method=PLAIN, rip=190.57.170.8, lip=10.252.221.55, mpid=1715879,
session=<q57LuEVuse2+OaoI>
gye dovecot: pop3([email protected]): Disconnected: Logged out
top=0/0, retr=0/0, del=0/33, size=671295, bytes=12/825
gye dovecot: pop3-login: Login: user=<[email protected]>,
method=PLAIN, rip=190.57.170.8, lip=10.252.221.55, mpid=1715883,
session=<Tr/auEVusu2+OaoI>
gye dovecot: pop3([email protected]): Disconnected: Logged out
top=0/0, retr=0/0, del=0/33, size=671295, bytes=12/825
gye dovecot: pop3-login: Login: user=<[email protected]>,
method=PLAIN, rip=190.57.170.8, lip=10.252.221.55, mpid=1715905,
session=<LKTpuEVus+2+OaoI>
gye dovecot: pop3([email protected]): Disconnected: Logged out
top=0/0, retr=0/0, del=0/33, size=671295, bytes=12/825
gye dovecot: pop3-login: Login: user=<[email protected]>,
method=PLAIN, rip=190.57.170.8, lip=10.252.221.55, mpid=1715911,
session=<sTb5uEVutO2+OaoI>
Registros por LOGIN
Los siguientes datos fueron recolectados del servidor los cuales muestran los
accesos realizados por los usuarios. El estudio de los registros fue desde el
21 de mayo del 2018 al 26 de mayo del 2018 y el 02 de junio del 2018 hasta el 08
de junio del 2018 de acuerdo al análisis se encontraron los siguientes detalles:
Inicio de sesión mediante FTP 25000
53
Inicio de sesión al administrador del usuario 75000
Inicio de sesión satisfactorias 80000
Inicio de sesión incorrectas 20000
Bloqueos por inicio de sesión incorrecta 12500
El análisis de los registros detalló que hubo varios intentos de logins
incorrectos hacia el servidor por parte de los usuarios al servidor de correo
mediante la interfaz web.
Fuente: Datos de la investigación
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Detallamos parte de los registros obtenidos que fueron usados para nuestro
análisis.
gye pure-ftpd: ([email protected]) [INFO] New connection from 127.0.0.1
gye pure-ftpd: ([email protected]) [INFO] Logout.
Ilustración 10. Representación gráfica de los registros obtenidos por login
54
gye systemd: Started Session c66063 of user root.
gye systemd: Starting Session c66063 of user root.
gye pure-ftpd: ([email protected]) [INFO] New connection from 127.0.0.1
gye pure-ftpd: ([email protected]) [INFO] Logout.
gye systemd-logind: Removed session c65759.
gye pure-ftpd: ([email protected]) [INFO] New connection from 127.0.0.1
gye pure-ftpd: ([email protected]) [INFO]
gye pure-ftpd: ([email protected]) [INFO] New connection from 127.0.0.1
gye pure-ftpd: ([email protected]) [INFO] Logout.
gye pure-ftpd: ([email protected]) [INFO] New connection from 94.102.55.27
gye systemd: Started Session c66152 of user root.
gye pure-ftpd: ([email protected]) [INFO] New connection from 127.0.0.1
gye pure-ftpd: ([email protected]) [INFO] Logout.
proxy:http://127.0.0.1:2095/403.shtml,referer:
https://webmail.pco.com.ec/cpsess5733444613/3rdparty/roundcube/?_task=mail
&_caps=pdf%3D1%2Cflash%3D0%2Ctiff%3D0%2Cwebp%3D0&_uid=3736&_m
box=INBOX&_action=show
proxy:http://127.0.0.1:2095/cpsess8267001751/3rdparty/roundcube/, referer:
https://webmail.aditec-
ec.com/cpsess8267001751/3rdparty/roundcube/?_task=mail&_caps=pdf%3D1%
2Cflash%3D0%2Ctiff%3D0%2Cwebp%3D0&_uid=82&_mbox=INBOX&_action=s
how
proxy:http://127.0.0.1:2095/403.shtml, referer:
https://webmail.zamora-
chinchipe.gob.ec/cpsess8267001751/3rdparty/roundcube/?_task=mail&_caps=p
df%3D1%2Cflash%3D0%2Ctiff%3D0%2Cwebp%3D0&_uid=82&_mbox=INBOX&
_action= show
55
Registros del servidor Web
Los siguientes datos fueron recolectados del servidor los cuales muestran
los accesos realizados por los usuarios. El estudio de los registros fue desde el 21
de mayo del 2018 al 26 de mayo del 2018 y el 02 de junio del 2018 hasta el 08 de
junio del 2018 de acuerdo al análisis se encontraron los siguientes detalles:
Alertas generadas alrededor de 10000
Ataques bloqueados alrededor de 2000
Sitios comprometidos detectados 50
Cuentas generando SPAM desde la web 17
Cuentas con archivos maliciosos detectados 33
El análisis de los registros detallo alrededor de 2000 ataques generados hacia los
sitios web que fueron bloqueados por el firewall del servidor. Se detectó que 50
de estos sitios web estaban inseguros lo cual permitió que un atacante se infiltre
por esas brechas de seguridad.
En estas incidencias se encontró que 17 páginas web debido a formularios y/o
cajas de comentarios abiertos y sin ninguna seguridad, fueron explotados
ocasionando SPAM desde la web o también denominado webspammer.
Estos usuarios fueron contactados por el personal de soporte técnico e
inhabilitaron el formulario y el ingreso de información a la base de datos mediante
el sitio web. Las otras cuentas de servicios web o páginas web vulneradas
poseían archivos dañinos o código malicioso insertado dentro de la programación
del sitio. A estos usuarios se les inhabilitó el acceso web para que el atacante
no logre ingresar y continuar haciendo de las suyas.
Una vez realizado este proceso se contactó a los usuarios respectivos y se
indicaron los archivos maliciosos encontrados para revisar y reestructurar el sitio
juntamente con el desarrollador web.
56
Fuente: Datos de la investigación
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Detallamos parte de los registros obtenidos que fueron usados para nuestro
análisis.
[hostinglimits:notice] [pid 10137:tid 140026188064896] mod_hostinglimits: use
Min UID 1000
[hostinglimits:notice] [pid 10137:tid 140026188064896] mod_hostinglimits: version
1.0-36. LVE mechanism enabled
[hostinglimits:notice] [pid 10137:tid 140026188064896] mod_hostinglimits: found
apr extention version 3
[hostinglimits:notice] [pid 10137:tid 140026188064896] mod_hostinglimits:
apr_lve_environment_init_group_minuid check ok
Ilustración 11. representación gráfica de los datos obtenidos por servicio web
57
[ssl:warn] [pid 10137:tid 140026188064896] AH01909: proxy-subdomains-ssl-
default-vhost.localhost:443:0 server certificate does NOT include an ID which
matches the server name
[ssl:warn] [pid 10137:tid 140026188064896] AH01909:
lavapromo.dominio.com:443:0 server certificate does NOT include an ID which
matches the server name
[ssl:warn] [pid 10137:tid 140026188064896] AH01909:
rewards.dominio.com:443:0 server certificate does NOT include an ID which
matches the server name
ssl:warn] [pid 10137:tid 140026188064896] AH01909:
loyalpromo.dominio.com:443:0 server certificate does NOT include an ID which
matches the server name
[ssl:warn] [pid 10137:tid 140026188064896] AH01909:
misterteenuniverse.dominio.com:443:0 server certificate does NOT include an ID
which matches the server name
DISEÑO
El análisis previo mostró considerables registros de eventos emitidos por el
servidor. Se pudo corroborar que las mayores incidencias fueron detectadas en el
servicio de correo electrónico y el servicio web. Al gestionar los eventos mediante
el SIEM, el administrador del servidor obtendrá un menor tiempo en la resolución
de las incidencias.
Para la elección del componente a utilizar, se realizó un estudio con otros
productos similares, las características, requerimientos, costos, entre otros. Las
herramientas analizadas con sus especificaciones se encuentran en el anexo 2.
58
Ilustración 12. Cuadro comparativo de herramientas SIEM
Producto Fuente de información Observaciones Fabricante
Qradar SIEM https://www.ibm.com/e
s-es/marketplace/ibm-
qradar-siem
Posee una versión de
prueba de 30 días,
para un informe de
precios es necesario
contactar al fabricante.
IBM
ArcSight https://software.microf
ocus.com/en-
us/products/siem-
security-information-
event-
management/overview
De acuerdo a la
información del
fabricante posee una
versión de prueba que
puede ser descargada
desde el sitio, para un
informe de precios se
debe contactar con el
fabricante.
HP
AlienVault https://www.alienvault.
com/solutions/siem-
log-management
Posee una versión de
prueba de 14 días, los
precios los pueden
visualizar dentro del
sitio del fabricante
AT&T
Fuente: Datos de la investigación
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Existen varias opciones al elegir un SIEM, los cuales permiten gestionar distintas
tareas haciendo más rápido la resolución de eventos en el servidor.
Para este caso se ha escogido el SIEM ALIENVAULT la información acerca de las
ventajas, uso y costos se encuentran claramente en la página del fabricante
(anexo 2), además brinda servicios adicionales de soporte para el buen manejo
de la herramienta.
59
Entre sus opciones importantes están las alarmas en tiempo real y la gestión de
eventos para minimizar los falsos positivos, además de la automatización en la
resolución de eventos, factor primordial en la empresa porque contribuye en sus
procesos de automatización actual. Se ha diseñado un esquema de la red de
manera que la herramienta a utilizar pueda recolectar la información necesaria.
En la Ilustración 12, se presenta el diseño de red propuesto para realizar la
instalación y configuración del sistema de correlación de eventos en el servidor.
Fuente: Datos de la investigación
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Ilustración 13. Esquema del diseño de red
60
PRUEBAS
Para las pruebas de configuración de la herramienta se verificó las funcionalidades
del software a utilizar.
Levantamos un equipo con características similares al servidor de estudio y los
requerimientos técnicos que indica el fabricante de la herramienta.
Se ha realizado la instalación respectiva en un ambiente de prueba, las cuales
podrán visualizarlas en los anexos posteriores a este documento. (anexo 5)
Se realizó la configuración de la herramienta la información puede ser revisada en
el anexo respectivo al final del documento. (anexo 11)
Mediante un reporte generado se observa las alamas, alertas y demás información
relevante lo cual ayudará a tomar las acciones correspondientes.
A continuación, se detalla los resultados obtenidos de la herramienta SIEM.
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Al abrir el dashboard visualizamos en tablas los diferentes eventos donde se
obtienen los datos de una forma detallada. Es posible configurar esta sección de
manera que los gráficos de los eventos más relevantes se muestren en cierta
posición de esta forma sea más fácil de identificar para la persona que
administrará el sistema.
Ilustración 14. Autenticación en el Siem
61
Visualizaremos las alertas diarias, semanales y mensuales que se generan por la
recolección de datos del sistema.
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Aquí se visualiza de forma general los servicios que han sido atacados con mayor
frecuencia, todos los eventos recabados y el servicio respectivo se mostrará en el
gráfico respectivo.
Con esta información se obtiene un panorama global de las incidencias que
afectan a su red y/o servicio y las acciones a tomar frente a un eventual ataque
informático, con estos datos se podrá tomar medidas de seguridad y control frente
a ellos.
Ilustración 15. Visualización de alarmas
62
Ilustración 16. Datos Generales de los eventos
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Ilustración 17. Datos generales de los servicios
63
Es posible monitorear el estado de los recursos del servidor. Gracias a ello, se
obtiene información valiosa en caso de presentar algún fallo, consumo excesivo o
límite del recurso dentro del servidor como memoria, disco duro y estado del CPU.
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Toda esta información obtenida por el SIEM también es posible exportarla en CSV
de esta forma poder analizarla más detalladamente mediante un Excel.
Ilustración 18. Estados de los recursos
64
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Ilustración 20. Exportación mediante CSV -2
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Ilustración 19. Exportación mediante CSV -1
65
La recolección de información mediante la herramienta SIEM se obtiene de forma
visiblemente más atractiva, además de realizar la clasificación automáticamente
siguiendo los parámetros establecidos desde su inicio.
Esta herramienta reducirá significativamente el tiempo de respuesta sobre
ataques que se pudieran suscitar dentro del servidor. El administrador también
tendrá acceso a los logs, registros, alarmas y acciones ejecutadas por el SIEM.
En contraste con la forma actual en la que se maneja la recolección de datos,
análisis, interpretación y ejecución de tareas para un determinado evento,
podemos observar que mediante el SIEM la gestión de la información, la
identificación de ataques y el tiempo de respuesta para la solución de presuntas
intrusiones mejoraría notablemente.
Se provee al administrador un panorama global de lo que está sucediendo en el
servidor y/o los servicios que este maneje, mostrando no solo las alarmas también
un detalle del suceso ocurrido.
PROPUESTA
En el análisis previo realizado a los registros de eventos que provee el servidor,
se observa la tarea de gestionar las incidencias que afectan a los servicios. El
tiempo que ocupa en analizar esta información es alta, provocando que las
acciones a tomar para la resolución del problema también lo sean. Terminada la
fase de pruebas se logró recolectar la información que se origina del servidor de
una manera más sencilla y detallada por parte de la herramienta SIEM.
Por lo cual dado al estudio realizado y las pruebas respectivas se propone a la
empresa la implementación del SIEM ALIENVAULT. Las características de esta
herramienta cumplen con los requerimientos respectivos para la gestión y
correlación de los eventos generados.
El monitoreo continuo de la herramienta es primordial, por lo tanto, se debe
mantener como mínimo una persona con los conocimientos adecuados que
administre, monitoree y simplifique de esta forma el tiempo en la recolección de la
información por parte del personal técnico, logrando respuestas rápidas en la
detección de anomalías.
66
ENTREGABLES DEL PROYECTO
A continuación, se establece los entregables del presente proyecto como
resultado de las pruebas realizadas:
• Manual de Instalación del sistema SIEM. (Anexo 5)
• Manual de configuración de la herramienta. (Anexo 11)
• Informe de análisis de los servicios de estudio del servidor. (Anexo 8)
• Plan de acción y mejora para la implementación de un sistema de gestión
de eventos en servidores. (Anexo 9)
CRITERIOS DE VALIDACION DE LA PROPUESTA
Para este proyecto se realiza un informe de análisis de los casos de eventos
estudiados en las pruebas, en el que se resume los eventos en los registros, las
acciones tomadas y la información recolectada, se muestra la mejoría con el uso
de la herramienta de gestión de eventos.
Se utilizó la viabilidad operacional y técnica de la propuesta como validación del
proyecto, que permite establecer que existe la disposición del personal y de la
infraestructura para hacerlo.
Se realiza además una encuesta de satisfacción para la herramienta propuesta en
la solución de eventos. Este procedimiento se aplicó al Gerente de la Empresa, el
administrador TI y el Super Administrador de la red responsables en la toma de
decisiones sobre nuevas tecnologías a implementar en la Empresa. (anexo 6)
ANALISIS DE LOS DATOS
En la encuesta realizada (anexo 6) se demuestra aceptación por parte del
personal de la Empresa en el uso de la herramienta propuesta para la correlación
de eventos del servidor operativo de la Empresa.
A continuación, se muestra los datos tabulados de la encuesta:
67
Tabla 9. Criterios de Validación de propuesta
Criterios Excelente Muy Bueno
Bueno Regular
Como califica el uso de la herramienta para el análisis de los logs del servidor.
3
Como califica el uso de estadísticas para el control de los informes técnicos requeridos.
1 2
Cómo califica la respuesta de la herramienta a los eventos causados por correos electrónicos
2 1
Cómo califica la respuesta de la herramienta a los eventos causados por servicio web.
2 1
Cómo califica el tiempo de respuesta a los eventos generados en el servidor.
1 2
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Los datos tabulados pertenecen al personal responsable de los procesos en la
Empresa Reinec, quienes han brindado su calificación referente al sistema
propuesto para el control diario de registros de su servidor ubicado en el Data
center de Guayaquil.
68
CAPITULO IV
CRITERIOS DE ACEPTACION DEL PRODUCTO O SERVICIO
Los criterios que determinan la validación de nuestra propuesta de solución en la
herramienta para el sistema de correlación de eventos de seguridad enfocados en
los servicios de correo electrónico y servicio web de una forma integrada son
detallados a continuación:
Tabla 10. Criterios de Aceptación del producto
Fuente: Realizadas de la Investigación
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
La información es respaldada según el anexo 7 adjuntado en el presente
proyecto.
Requerimiento Validación
Validación sobre la detección de amenazas que pueden afectar la disponibilidad del servicio proporcionado al usuario final.
SI CUMPLE
Validación del sistema de recolección de información y la manera de gestionar los eventos clasificándolos por el nivel de amenaza.
SI CUMPLE
Validación sobre las acciones generadas en respuesta a la posible intrusión hacia el sistema.
SI CUMPLE
Validación de los reportes y estadísticas generadas para una mejor comprensión visual por parte del administrador del servicio.
SI CUMPLE
Validación de la manera en la que se correlaciona cada uno de los eventos adicionados al sistema para desplegar las alarmas de advertencia.
SI CUMPLE
69
CONCLUSIONES
• Una vez realizado el análisis de la situación actual de los procesos de la
Empresa Reinec - Ecuahosting, se encontraron varios eventos generados
por problemas de webspammer, accesos incorrectos de usuarios,
bloqueos de IP, envíos de spam, los cuales enviaron alertas, fue tomada
la acción y derivado según su nivel de incidencia al personal encargado.
• Se identificó las políticas actuales que mantiene la empresa Reinec según
el nivel de incidencia, de acuerdo con su modelo de servicio y el soporte
técnico asistido. De esta forma se plantea la solución de los casos
generados en el servidor.
• Posterior al análisis de la información y pruebas de configuración
realizadas de la herramienta, se provee un plan de acción para los eventos
generados por los usuarios que servirán como referencia para su
aplicación en otros servidores de la empresa.
• De acuerdo con las políticas actuales de la Empresa se realiza un plan de
mejora para los procesos actuales en la solución de incidencias que se
generen en él o los servidores en que sea aplicado.
70
RECOMENDACIONES
• Adquisición de un equipo dedicado con las especificaciones técnicas
mínimas requeridas para un mejor desempeño en el desarrollo e
implementación del SIEM.
• Mantener un administrador responsable del sistema para el monitoreo de
las alertas y estadísticas generadas por el SIEM.
• Actualizar constantemente las configuraciones y reglas implementadas en
para un mejor control de amenazas y evitar falsos positivos.
• Revisiones constantes de las actualizaciones de amenazas generados en
los Labs del AlienVault mediante OTX.
• Análisis General de las estadísticas de eventos, para la mejora de los
servicios brindados por la Empresa, que ayudará en su objetivo de brindar
la mejor atención a sus usuarios.
71
Bibliografía
ACISSI. (2015). SEGURIDAD INFORMATICA. BARCELONA: EDICIONES ENI.
AlienVault, I. (2018). https://www.alienvault.com/products/ossim.
Asamblea Constituyente de la República del Ecuador. (2008). Editorial Registro
Oficial 449.
Catrián. (2010). http://www.catrian.com/gestservlogs.html. Obtenido de Delitos
informáticos tipificados en el código penal ecuatoriano.
Chris. (2015). Cisco Systems The BSD Syslog Protocol. Obtenido de
http://www.ietf.org/rfc/rfc3164.txt.
Clavijo, C. A. (2016). Políticas de seguridad informática. redalyc.org, 86-92.
Francois, J. (2016). La seguridad informatica en la PYME. ENI.
GLOBALSIGN. (2016). Seguridad de Correo Electrónico. Globalsign.
Gutiérrez, C. (2013). Importancia de la gestión de incidentes para la seguridad
de la información.
Inza, J. (2006). El Caso Ronnie (Ataque DoS:Denegación de Servicio) .
Iturralde, M. (. (2017). Minería de datos en redes sociales por medio de un
correlacionador de datos. Quito.
Jorge Burgos Salazar, Pedro G. Campos. (2008). Modelo Para Seguridad de la
Información en TIC . 236-256.
Jorge, D. C. (2015). Seguridad Informática Personal y Corporativa (Segunda
parte).
Kevin D. Mitnick y William L. Simón. (2007). El arte de la intrusion: la verdadera
historia de las hazañas de hackers, intrusos e impostores.
Leopoldo Venegas, F. E. (2017). Evaluación y Auditoria de Sistemas
Tecnologicos. Alicante: Area de Innovacion.
O’Horo, R. (2012). Pen testing.
Rascagneres, P. (2016). Seguridad Informatica y Malwares. Barcelona: Eni.
72
RIVADENEIRA, P. (2010). Derecho. Concepciones Generales. Código penal.
Ecuatoriano delito Informático.
Urbina, G. B. (2016). Seguridad Informática. MEXICO: GRUPO EDITORIAL
PATRIA.
Zambrano-Mendieta, A. J. (2016). Delito Informático. Procedimiento Penal en
Ecuador.
75
ANEXO 2. INFORMACIÓN DE SERVIDOR UTILIZADO PARA ESTUDIO
A continuación, se detalla características del servidor GYE.ECUAHOSTING.NET y la
información de su ubicación en DATA CENTER de Ecuador que fue objeto de estudio.
77
ANEXO 3. ENCUESTA REALIZADA
Encuesta para proponer la implementación de herramienta SIEM en la
Empresa REINEC
1. ¿Conoce usted lo que es un SIEM y cuál es su utilidad?
• SI
• NO
• POCO
2. ¿Con que frecuencia se detectan eventos de seguridad dentro de los
servidores que brindan el servicio de alojamiento?
• POCO
• SIEMPRE
• NUNCA
3. ¿En su opinión que servicios generan la mayor cantidad de eventos de
seguridad?
• SERVICIO WEB
• BASE DE DATOS
• CORREOS ELECTRONICOS
4. ¿Cree usted que es necesario utilizar un SIEM en la Empresa
REINEC?
• SI
• NO
• TALVEZ
5. ¿De acuerdo a los eventos diarios del servidor, que tipo de eventos
solucionaría en un 99% el SIEM implementado?
• SERVICIO WEB
• BASES DE DATOS
• CORREOS ELECTRONICOS
78
ANEXO 4. ESPECIFICACIONES DE HERRAMIENTAS SIEM EN EL MERCADO
QRadar SIEM
Es una herramienta que ayuda a la detección de anomalías, posee incorporado una
tecnología denominada Sense Analytics que ayuda a correlacionar los datos y los
ataques de seguridad. Un adicional que se le puede incorporar es el IBM X-Force
Threat Intelligence el cual suministra una lista de Ips,potencialmente maliciosos.
Características Principales
Detecte fraudes y amenazas internas y avanzadas.
Lleve a cabo actividades de correlación y normalización inmediata.
Identifique, realice el seguimiento y vincule amenazas e incidentes importantes.
Despliegue QRadar SIEM en local o en entornos cloud.
Añada más almacenamiento y procesamiento de forma rápida y económica.
Aplique la ejecución de políticas de privacidad de datos.
Incorpore la experiencia en inteligencia de amenazas de IBM X-Force.
Habilite la gestión y la colaboración en la prevención de amenazas.
Realice la integración con cientos de productos de IBM y terceros.
Requerimientos técnicos.
Requisitos de software
Java SDK: IBM Runtime Environment Java Technology edición 7.0.8 Gestión de
seguridad: Tivoli Directory Integrator 7.1.7 Requisitos del navegador:
Google Chrome 43.
Microsoft Internet Explorer 10.
Mozilla Firefox ESR 38.
Requisitos de hardware
No se encontró una página específica de requisitos de hardware que se requiera para
el uso de este producto.
79
Especificaciones técnicas S.O.
QRadar SIEM requiere Red Hat Enterprise Linux (RHEL) Server 6.
ArcSight
Es un potente, escalable y eficiente software de seguridad SIEM, esta
herramienta permite personalizar reglas, tableros y otros contenidos analizando y
presentando los informes de todos los eventos de seguridad de la empresa.
Características Principales
Correlación distribuida.
Vista de clúster.
Datos enriquecidos de eventos de seguridad.
Compatibilidad con ArcSight Data Platform y ArcSight Investigate.
Requerimientos técnicos
Los requerimientos del servidor dependerán en gran medida del flujo de datos a
analizar. De acuerdo al sistema a implementar se debe gestionar el servidor y la
licencia de los cuales tenemos los modelos:
EE7600-250
EE7600-1000
EE7600-2500
Especificaciones técnicas S.O.
El sistema Operativo recomendado es Red Hat Enterprise Linux 7.1 64-bit
Requisitos de hardware
Procesador 2 x Intel Xeon E5-2680v3, 2.5GHz, 12-core Processor
Dimensiones 3.44 x 17.54 x 28.75
Memoria 6 x 32 GB, 2133 MHz RAM
Disco 8 x 600 GB
80
AlienVault
Dentro de su capacidad de seguridad que ofrece este software está el uso de Aws y
Azure Logs Analytics, que son plataformas especializadas en servicios de Cloud que
permiten realizar detección de intrusos, anomalías en la red, pruebas de penetración
y prevención de ataques por DDos. Puede automatizar la correlación de eventos y el
análisis de seguridad con AlienVault Threat Intelligence.
Características principales.
Descubrimiento automatizado de activos
Detección y respuesta de punto final
Detección de intrusiones
Evaluación de Vulnerabilidad
Monitoreo de Integridad de Archivos
Supervisión de la actividad del usuario
Dark Web Monitoring
Gestión de registro
Medicina forense y respuesta
Orquestación de seguridad
Informes de cumplimiento
Especificaciones Técnicas
Los requisitos dependen del uso que se le vaya a brindar a la herramienta. Los
requerimientos mínimos son un procesador de 4 núcleos i7 o XEON (mínimo de 2,
con 1+ 1 por cada NIC Promiscuo hasta 6), 16 GB de RAM y al menos 500 GB de
disco duro.
81
ANEXO 5. Manual de Instalación del ALienVault
PASO 1. Inicio de instalación
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
PASO 2. Selección de idioma de la herramienta
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
82
PASO 3. Selección de ubicación
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
PASO 4. Configuración del teclado
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
83
PASO 5. Inicio de la instalación de los componentes
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
PASO 6. Configuración de la IP de red
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
84
PASO 6.1. Configuración de la máscara de red
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
PASO 6.2. Configuración del Gateway de la red
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
85
PASO 6.3. Configuración de los DNS de la red
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
PASO 6.4. Actualizando los parámetros de la red
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
86
PASO 7. Configuración del usuario principal
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
PASO 8. Configuración del reloj
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
87
PASO 9. Instalación del sistema
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
PASO 10. Instalación de aplicaciones
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
88
PASO 11. Culminación de la instalación
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
93
ANEXO 8. INFORME DE ANÁLISIS DE LOS SERVICIOS DE ESTUDIO DEL
SERVIDOR
Se recabó la información generada por el servidor y las acciones a tomar por parte del
personal técnico en lo cual se detalla los siguientes puntos:
Recolección y análisis de los eventos
La manera de recolección de información es manual, se analiza a detalle los eventos
que el sistema genera. El técnico revisa los logs del suceso y determina luego de un
profundo análisis y determinado tiempo el inconveniente.
Se pudo constatar que varios de los eventos son enviados a un correo donde el
personal técnico mantiene acceso y puede revisar las distintas incidencias suscitadas.
Varios eventos críticos son enviados al correo que monitorea el personal técnico. Gran
parte de esta información no es revisada pasando por alto las incidencias como un
cese del servicio o algún usuario consumiendo altos recursos en el servidor.
Se observó en varias ocasiones que los usuarios contactan con el personal técnico
por algún inconveniente en sus cuentas. Debido a que estos no han sido notificados
del problema generado.
El tiempo en la obtención del log, la revisión, el análisis y la medida de acción es alta.
Políticas de filtrado
No existe una política de filtrado por parte del sistema. La información es filtrada por
parte del Super Administrador, este regula y analiza constantemente los eventos del
servidor realizando la corrección respectiva en los eventos más críticos.
Los eventos con menor prioridad catalogados por el Super Administrador, los envía al
Administrador Junior, quien se encarga de revisarlos y darles solución, cualquier
incidencia menor es enviada al personal técnico que se encargará de examinarla y
contactar con el usuario de ser el caso.
94
ANEXO 9. Plan de acción y mejora para la implementación de un sistema de
gestión de eventos en servidores
Considerando el uso de la herramienta para la solución de casos de eventos en el
servicio de correo electrónico y el servicio web, proponemos considerar los siguientes
puntos:
Sitio web hackeado, al encontrar archivos maliciosos por parte de un atacante los
archivos afectados deben renombrarse o deshabilitar temporalmente el acceso
web. Inmediatamente realizar la notificación respectiva, de esta manera el usuario
podrá tener conocimiento de los archivos afectados y con más prioridad en su
revisión. Elaborar y enviar el reporte para que el usuario pueda revisarlo.
Web spammer, al encontrar un sitio web generando SPAM inhabilitarlo
temporalmente. Inmediatamente realizar la notificación respectiva señalando el
formulario o caja de comentarios sin protección para que lo pueda revisar y añadir
las seguridades respectivas. Elaborar y enviar el reporte para que el usuario
pueda revisarlo.
Phishing en la web, inhabilitar el acceso al sitio web. Contactar al usuario, enviar
un reporte señalando el link que está incurriendo en la falta para que lo pueda
revisar y eliminar.
Correo comprometido, analizar los envíos realizados por la cuenta y generar un
informe al cliente. En caso de continuar sin solucionarlo, cambiar la contraseña
de la cuenta de correo y notificar al usuario los pasos a seguir para solventar el
problema.
Correo comprometido recurrente, generar un informe al cliente y suspender la
cuenta de correo.
Envíos de SPAM, suspender el correo del cual se origina los envíos. Generar un
informe y contactar al cliente para su revisión.
Estas acciones permitirán mantener un mejor control frente a las incidencias en la
Empresa, a través de la implementación de un sistema de gestión de eventos se
obtendrá:
Mejora significativa en gestión y análisis de la información, el tiempo que se
ocupaba para el análisis de los datos será reducido, debido a que la herramienta
catalogaría estos eventos y los mostrará al administrador de forma gráfica y
seccionada.
95
Tiempos de respuesta cortos para los incidentes suscitados, una vez detecte un
incidente generará una alarma con la cual el administrador del sistema podrá
visualizarla y ejecutar la acción respectiva. También podrá determinar si el SIEM
realiza la acción automáticamente.
Políticas que el administrador podrá implementar en los eventos originados, con
esta herramienta el administrador podrá enviar las alertas menos críticas al
administrador junior o al personal técnico dependiendo del caso.
Procedimientos actualizables a medida que el SIEM recolecte y catalogue la
información, la herramienta SIEM contiene un histórico de todos los incidentes y
muestra el contenido en tiempo real, de acuerdo como vaya recibiendo la
información. Esto le permitirá al administrador actualizar de forma constante los
procedimientos ejecutados por el sistema o por el personal técnico.
Exportación de los datos en un archivo CSV para los reportes deseados en los
casos de análisis. Si el administrador desea revisar de una forma lineal los datos
obtenidos y gestionados por el SIEM, los podrá descargar en un formato legible.
Con estos datos podrá determinar si las reglas de control deben estar más
permisivas o ser más estrictas al momento de la gestión de la información.
Para el administrador es un gran ahorro de energía y tiempo, para el usuario
aumentará en gran medida el control de amenazas, brindando mayor seguridad e
integridad a la información que este maneja. La empresa ganará una mayor
confiabilidad en los servicios que brinda aumentando el número de clientes.
97
ANEXO 11. Manual de configuración de AlienVault
Ilustración 1. Inicio de configuración de AlienVault
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Ilustración 2. Configurando el sistema
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
98
Ilustración 3. Configurando la red
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
99
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
100
Ilustración 4. Configurando hostname
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Ilustración 5. Seleccionando la interfaz
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
101
Ilustración 6. Activando Firewall
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Ilustración 7. Activando los complementos
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
102
Ilustración 8. Aplicando cambios
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
103
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
104
Ilustración 9. Creación de cuenta
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Ilustración 10 Ingreso al Panel
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
105
Ilustración 11. Inicio de Configuración
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Ilustración 12. configuración de interfaces
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
106
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Ilustración 13. Agregando las IPS de los activos a escanear
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
107
Ilustración 14. implementar HIDS a los servidores
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Ilustración 15. Aplicación de HIDS en los dispositivos seleccionados
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
108
Ilustración 16. Finalización - HIDS en dispositivos
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Ilustración 17. Integrar OTX (Open Threat Exhange)
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
109
Ilustración 18. finalizacion de configuración
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Ilustración 19. empezando con el panel de administracion
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
112
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez
Ilustración 21. Visualización Grafica de los eventos registrados
Fuente: Datos de la herramienta SIEM
Elaborado por: Yésica Emperatriz Aucancela Escobar y Cristhian Geovanny
Velásquez Vásquez