Seguridad de la informacion

 

Trabajo Final de Benjamín Muñiz 

Auditando y fortificando un servidor 

 

Título del Trabajo Final:  
Analizadores de Vulnerabilidades. Auditando y fortificando un servidor. 
Unidad Temática donde se inscribe el Trabajo Final: 

19. 

Unidad  3 / 

Analizadores de vulnerabilidades. 

Resumen del Trabajo Final y Conclusiones: 
Se  trata  de  ejecutar  diversas aplicaciones  analizadoras  de  vulnerabilidades,  para  chequear  la  seguridad  de  un 
host  objetivo  que  ofrece  servicios  FTP  y  WEB.  Los  chequeos  de  seguridad  se  realizarán  tanto  en  el  host,  como 
la intranet usando IPs privadas, como desde internet usando el dominio dinámico chanchi.is‐a‐geek.com.  
Como  herramienta  de  análisis  de  vulnerabilidades  basada  en  host,  usamos MBSA  2.1  para  equipos  Windows. 
Para  los  análisis  de  red  empleamos  CFI  LANguard  9  y  Nessus  4.2.  Para  asegurar  el  servicio  web  NIKTO  2.1  y  de 
nuevo Nessus 2.1, mientras que para analizar la seguridad las aplicaciones web se empleó Acunetix 6.5. 
Al  ejecutar  los  test  se  encontraron  vulnerabilidades  o  bugs  de  seguridad,  que  en  la  medida  de  lo  posible intentaron  corregirse.  La  mayoría  de  acciones  tomadas  para  corregir  vulnerabilidades,  se  corresponden  con 
tener  el  software  actualizado  y  bien  configurado,  tanto  el  sistema  operativo  Windows,  como  las  aplicaciones 
servidoras WEB y FTP. 
Durante  los  diferentes  análisis  de  red,  se  decidió  no  dar  servicio  FTP  (21)  y  si  usar  protocolos  FTP  seguros  con métodos criptográficos como FTPS (990) con SSL (versión > 2.0) y SFTP (22). En FTPS se uso un certificado auto‐
firmado por el servidor FTP y con SFTP (SSH) claves criptográficas pública y privada. 
Otro  punto  importante  es  la  seguridad  de  los  CGI  o  scripts  que  corren  en  el  servidor  web,  siendo  importante 
filtrar  y  validar los  parámetros  GET  y  POST  de  entrada  a  la aplicación,  también  usar  sentencias  parametrizadas 
para  consultar  a  la  base  de  datos,  evitando  que  el  atacante  manipulando  los  parámetros  de  entrada  de  la 
aplicación pueda comprometer nuestras bases de datos o contenidos alojados en el servidor web. 
Los  análisis  de  vulnerabilidades  son  necesarios,  teniendo  un  efecto  preventivo,  para  corregir  fallos  de seguridad antes de que nuestra red sufra un ataque. 
Otro punto a tener en cuenta es la importancia de tener la base de datos de vulnerabilidades de la herramienta de 
análisis actualizada para estar seguros frente a las últimas vulnerabilidades  de seguridad descubiertas. 
• Tiempo utilizado: 80 horas 
• Bibliografía:  Díaz, Gabriel. “Seguridad en las comunicaciones y en la información”, UNED, 2004. 
González Gómez, Diego. “Sistemas de Detección de Intrusiones” Versión PDF 1.01 
Nessus 4.2 Users Guide 
•

Direcciones URL WWW: 

 

Trabajo Final 1 
SEGURIDAD EN SISTEMAS Y REDES DE INFORMACIÓN 
 

UNED ‐ Enseñanza Abierta 
 

 

Trabajo Final de Benjamín Muñiz 

Auditando y fortificando un servidor 

 

Objetivo “Mostrar la importancia de prevenir ataques. Actuar  antes de que el sistema se vea comprometido”. 
El  objetivo  de  este  trabajo  es  servirnos  de  analizadores  de  vulnerabilidades  que  escanean  hosts  objetivo  y  buscan 
fallos de seguridad, para subsanarlos y lograr así fortificar nuestro servidor ante posibles ataques. 
Así  conseguimos  estar  mucho  más  seguros,  previniendo,  antes  de  sufrir  algún  ataque  cuya  vulnerabilidad  fuese reportada por una herramienta de análisis empleada. 
Entre  las  herramientas  de  seguridad  a  emplear  están  MBSA  2.1,  LANguard  9.0  y  Nessus  4.2.  Haciendo  especial 
hincapié  en  la  seguridad  de  nuestro  servidor  web,  realizando  chequeos  de  vulnerabilidades  con  Nikto  2.1,  Nessus  y 
haciendo  seguros  los  script  JSP  que  corren  en  el  servidor, ...