Evaluación de sitios Internet en el sector de educación de Colombia a través de la herramienta Nessus

Vista sencilla de ítem
dc.contributor.advisorGuerrero, Cesar D.
dc.contributor.apolounabGuerrero, Cesar D. [cesar-dario-guerrero-santander]spa
dc.contributor.authorGarcía Palomino, Maribel
dc.contributor.cvlacGuerrero, Cesar D. [0000809357]spa
dc.contributor.googlescholarGuerrero, Cesar D. [en&user=_YgBOOcAAAAJ]spa
dc.contributor.linkedinGuerrero, Cesar D. [cesar-dario-guerrero-santander]spa
dc.coverage.campusUNAB Campus Bucaramangaspa
dc.coverage.spatialBucaramanga (Santander, Colombia)spa
dc.date.accessioned2024-08-30T12:21:12Z
dc.date.available2024-08-30T12:21:12Z
dc.date.issued2003-06-27
dc.degree.nameIngeniero de Sistemasspa
dc.description.abstractEl objetivo de realizar esta evaluación de seguridad en los sitios de internet del sector educación, es conocer su estado actual por medio de los reportes arrojados por la herramienta de escaneo de puertos Nessus y además proporcionar un manual para futuras evaluaciones, logrando hacer la evaluación a ocho servidores de este sector. Para lograr un mayor entendimiento, este documento se presenta un estado del arte, que es de gran relevancia para el desarrollo de este tipo de investigaciones. También presenta la fundamentación teórica necesaria para resolver inquietudes sobre el proceso realizado. Este estado del arte, plantea la preocupación por el tema de segundad de los sitios internet y la forma como los scanner han contribuido para detectar esta inseguridad. Hay que tener en cuenta la importancia de CERT, el sitio web donde se reportan los problemas de seguridad en internet, estos sitios web son de gran ayuda a la hora de indagar mas sobre este tema.spa
dc.description.abstractenglishThe objective of carrying out this security assessment on websites in the education sector is to understand their current status through reports from the Nessus port scanning tool and also to provide a manual for future assessments, managing to carry out the assessment on eight servers in this sector. To achieve a better understanding, this document presents a state of the art, which is of great relevance for the development of this type of research. It also presents the theoretical foundation necessary to resolve concerns about the process carried out. This state of the art raises concerns about the issue of security of websites and the way in which scanners have contributed to detecting this insecurity. It is important to take into account the importance of CERT, the website where security problems on the Internet are reported; these websites are of great help when it comes to investigating more about this issue.spa
dc.description.degreelevelPregradospa
dc.description.learningmodalityModalidad Presencialspa
dc.description.tableofcontentsIntroducción............................................................................................................................................................................................17 1. Estado del arte................................................................................................................................................................................... 18 1.1 evaluación de seguridad de sitios internet Utilizando los scanners santan e iss.............................................18 1.2 cert ....................................................................................................................................................................................21 1.3 estudio sobre el estado de la seguridad Informática en México..........................................................................................21 1.4 vulnerabilidades presentadas en servidores web:................................................................................................................... 22 Estudio de la realidad chilena............................................................................................................................................................. 1.3.1 introducción.................................................................................................................................................................................... 22 1.3.2 organización ....................................................................................................................................................................................22 1.3.3 resultados.................................................................................................................................................................................... 22 1.3.4 conclusiones.................................................................................................................................................................................... 25 1.5 revista acis(asociación colombiana de ingenieros de Sistemas)..........................................................................................27 1.6. Evaluación de la seguridad intranet en la Universidad autónoma de Bucaramanga.............................................34 1-7, detección de intrusos en una red lan....................................................................................................................................... 34 18- implementación de la política de seguridad de la unab ......................................................................................................34 2. Nessus.................................................................................................................................................................................... 35 2.1 descripción.................................................................................................................................................................................... 35 2.2 características ....................................................................................................................................................................................35 2.3 plugins.................................................................................................................................................................................... 36 2.3.1 backdoors..................................................................................................................................................................................... 36 2.3.2 cgi abuses ....................................................................................................................................................................................36 2.3.3 denial of services ...................................................................................................................................................................36 2.3.4 finger abuses.................................................................................................................................................................................... 37 2.3.5 firewalls.................................................................................................................................................................................... 37 2.3.6 ftp.................................................................................................................................................................................... 37 2.3.7 gain a shell remotely....................................................................................................................................... 37 2.3.8 gain root remotely...................................................................................................................................................................... 37 2.3.9 general.................................................................................................................................................................................... 38 2.3.10 mise.................................................................................................................................................................................... 38 2.3.11 nis.................................................................................................................................................................................... 38 2.3.12 remote file access........................................................................................................................................................................ 38 2.3.13 rpc ....................................................................................................................................................................................38 2.3.14 netware.................................................................................................................................................................................... 38 2.3.15 smtp problems....................................................................................................................................................................... 39 2.3.16 snmp.................................................................................................................................................................................... 39 2.3.17 useless services..................................................................................................................................................................... 39 2.3.18 windows(user management) .......................................................................................................................................39 2.3.19 windows.................................................................................................................................................................................... 39 2.4 factor de riesgo................................................................................................................................................................................. 39 2.4.1 alto riego.................................................................................................................................................................................... 39 2.4.2 medio riesgo.................................................................................................................................................................................... 40 2.4.3 bajo riesgo.................................................................................................................................................................................... 40 2.4.4 otos riesgos.................................................................................................................................................................................... 40 2.5. Opciones de escaneo..................................................................................................................................................................... 40 2.5.1 escaneo tcp connectq.................................................................................................................................................................. 41 2.5.2 escaneo tcp syn.......................................................................................................................................................................... 41 2.5.3 escaneo ping nmap.................................................................................................................................................................... 41 2.5.4 ping sean.................................................................................................................................................................................... 41 2.6. Nasl.................................................................................................................................................................................... 42 2.6.1. Definición de nasl....................................................................................................................................................................... 42 2.6.2. Lo que no es nasl .......................................................................................................................................42 2.6.3. Razones para no usar perl, python, tcl o cualquier lenguaje de Scripting para programar las pruebas en nessus 42 2.6.4. Razones para escribir las pruebas de seguridad en nasl ..........................................................................................43 2.6.5. Limitaciones de nasl....................................................................................................................................... 43 2.6.6. Sintaxis nasl ....................................................................................................................................................................................43 2.6.6.1. Comentarios....................................................................................................................................................................... 43 2.6.6.1.1 comentarios válidos....................................................................................................................................... 44 2.6.6.1.2 comentarios inválidos....................................................................................................................................... 44 2.6.6.2. Variables, tipos de variables, asignación de memoria, ineludes........................................................................................ 44 2.6.6.3. Números.................................................................................................................................................................................... 44 2.6.6.4 cadenas.................................................................................................................................................................................... 44 2.6.6.5 argumentos anónimos y no anónimos ........................................................................................................................45 2.6.6.5.1 funciones no anónimas .......................................................................................................................................45 2.6.6.5.2 funciones anónimas........................................................................................................................................................... 45 2.6.6.6. For.................................................................................................................................................................................... 45 2.6.67. While ....................................................................................................................................................................................46 2.6.6.8 operadores.................................................................................................................................................................................... 46 2.6.6.8.1 operador'x* ......................................................................................................................................................................47 2.6.6.82 operador‘><’......................................................................................................................................................................... 47 2.6.7. Funciones nasl relacionadas con redes...................................................................................................................................... 47 2.6.7.1 manejo de sockets ......................................................................................................................................................................47 2.6.7.1.1 abrir un socket......................................................................................................................................................................... 47 2.6.7.1.2 cerrar un socket .......................................................................................................................................48 2.6.7.1.3 leer un socket y escribir a un socket..................................................................................................................................... 48 2.6.7.1.4 operaciones de alto nivel....................................................................................................................................... 49 2.6.7.2 utilidades .......................................................................................................................................50 2.6.8 funciones de manipulación de cadena....................................................................................................................................... 51 2.6.8.1 la función crap() .......................................................................................................................................52 26.8.2 la función string()....................................................................................................................................... 52 2.6.8.3 la función strlen() ..............................................................................................................................................................52 2.6.8.4 función raw_string()....................................................................................................................................... 53 2.6.8.5 función strtoint() .......................................................................................................................................53 2.6.8.6 la función tolower() .......................................................................................................................................53 2.6.9 escribiendo una prueba....................................................................................................................................... 53 2.6.9.1 cómo escribir una prueba de seguridad eficiente en nessus .......................................................................................53 2.6.9.1.1 determinar si un puerto esta abierto.............................................................................................................................. 53 2.6.9.1.2 la base de conocimiento (kb) .......................................................................................................................................53 2.6.9.2 nasl script structure....................................................................................................................................... 54 2.69.2.1 sección de registro .......................................................................................................................................54 2.6.9.2.2 la sección de ataque .......................................................................................................................................56 3. Pruebas.................................................................................................................................................................................... 57 3.1 descripción de las pruebas....................................................................................................................................... 57 3.2 organización ....................................................................................................................................................................................57 3.2.1 elección de una muestra significativa del sector educación en Colombia ....................................................................57 3.2.2 elección de opciones para las pruebas....................................................................................................................................... 60 3.2.2.1 opciones de vulnerabilidades....................................................................................................................................... 60 3.2.2.2 detección del sistema operativo .......................................................................................................................................60 3.2.2.3 opciones de escaneo....................................................................................................................................... 61 3.22.4 factor de riesgo....................................................................................................................................... 61 3.3 resultados.................................................................................................................................................................................... 61 3.3.1 servidores probados....................................................................................................................................... 61 3.3.2 factor de riesgo encontrado....................................................................................................................................... 62 3.3.3 familia de vulnerabilidades encontradas.......................................................................................................................... 62 3.3.4 ocurrencia de principales vulnerabilidades por tipo de solución Requerida.............................................. 63 3.3.5 plataformas utilizadas....................................................................................................................................... 65 3.3.6 factor de riesgo de vulnerabilidad por plataforma.................................................................................................................. 66 3.3.6.1 plataforma silicon graphics .......................................................................................................................................66 3.3.6.2 plataforma windows .......................................................................................................................................66 3.3.6.3 plataforma linux .......................................................................................................................................67 3.3.6.4 plataforma sun solaris....................................................................................................................................... 68 3.4 análisis de los resultados .......................................................................................................................................68 4. Conclusiones y recomendaciones....................................................................................................................................... 70 4.1 conclusiones ....................................................................................................................................................................................70 4.2 recomendaciones........................................................................................................................................................................... 71 Bibliografía ....................................................................................................................................................................................73spa
dc.format.mimetypeapplication/pdfspa
dc.identifier.instnameinstname:Universidad Autónoma de Bucaramanga - UNABspa
dc.identifier.reponamereponame:Repositorio Institucional UNABspa
dc.identifier.repourlrepourl:https://repository.unab.edu.cospa
dc.identifier.urihttp://hdl.handle.net/20.500.12749/26303
dc.language.isospaspa
dc.publisher.facultyFacultad Ingenieríaspa
dc.publisher.grantorUniversidad Autónoma de Bucaramanga UNABspa
dc.publisher.programPregrado Ingeniería de Sistemasspa
dc.relation.referencesJ. Sánchez Diego. Mundo Linux. Seguridad en Linux. Nessus: Auditorias de seguridad. Pág. 17.spa
dc.relation.referencesR. Deraison. Download the stable versión of the Nessus Security Scanner for Unix-compatible systems. http7Zwww.nessus.org/nessus 2 O.htmlspa
dc.relation.referencesB. Harangsri. Linuxsecurity. Introduction to Nessus, a Vulnerability Scanner. http7/www.linuxsecurity.com/feature stories/nessusintro-printer.html. AbríI 2003.spa
dc.relation.referencesL. Tomás. Planeta Linux Argentina. Seguridad: Auditoría con Nessus. http://www.planetalinux.com.ar. Abril 2003.spa
dc.relation.referencesRequerimientos, http://www.nessus.org. Abril de 2003.spa
dc.relation.referencesThe nessusd manual pages. http://www.nessus.org/doc/nessusd.html. Abril 2003spa
dc.relation.uriapolohttps://apolo.unab.edu.co/en/persons/cesar-dario-guerrero-santanderspa
dc.rights.accessrightsinfo:eu-repo/semantics/openAccessspa
dc.rights.creativecommonsAtribución-NoComercial-SinDerivadas 2.5 Colombia*
dc.rights.localAbierto (Texto Completo)spa
dc.rights.urihttp://creativecommons.org/licenses/by-nc-nd/2.5/co/*
dc.subject.keywordsSystems engineerspa
dc.subject.keywordsTechnological innovationsspa
dc.subject.keywordsScanning systemsspa
dc.subject.keywordsData protectionspa
dc.subject.keywordsNessus portsspa
dc.subject.keywordsPersonal computerspa
dc.subject.keywordsInternet in educationspa
dc.subject.keywordsInternet (Security measures)spa
dc.subject.keywordsComputer networksspa
dc.subject.lembIngeniería de sistemasspa
dc.subject.lembInnovaciones tecnológicasspa
dc.subject.lembInternet en la educaciónspa
dc.subject.lembInternet (Medidas de seguridad)spa
dc.subject.lembRedes de computadoresspa
dc.subject.proposalSistemas de exploraciónspa
dc.subject.proposalProtección de los datosspa
dc.subject.proposalPuertos Nessusspa
dc.subject.proposalComputador personalspa
dc.titleEvaluación de sitios Internet en el sector de educación de Colombia a través de la herramienta Nessusspa
dc.title.translatedEvaluation of websites in the education sector of Colombia through the Nessus toolspa
dc.type.coarhttp://purl.org/coar/resource_type/c_7a1f
dc.type.coarversionhttp://purl.org/coar/version/c_ab4af688f83e57aaspa
dc.type.driverinfo:eu-repo/semantics/bachelorThesis
dc.type.hasversioninfo:eu-repo/semantics/acceptedVersion
dc.type.localTrabajo de Gradospa
dc.type.redcolhttp://purl.org/redcol/resource_type/TP

Archivos

Bloque original

Mostrando 1 - 1 de 1
Miniatura
Nombre:
2003_Tesis_Maribel_Garcia.pdf
Tamaño:
18.76 MB
Formato:
Adobe Portable Document Format
Descripción:
Tesis
Descargar

Bloque de licencias

Mostrando 1 - 1 de 1
Miniatura
Nombre:
license.txt
Tamaño:
829 B
Formato:
Item-specific license agreed upon to submission
Descripción:
Descargar

Colecciones

Pregrado Ingeniería de Sistemas