DETECCIÓN DE VULNERABILIDADES MEDIANTE PRUEBAS DE PENETRACIÓN A LA RED DE SERVIDORES Y SERVICIOS DEL INSTITUTO SUPERIOR TECNOLÓGICO SUCRE.
No Thumbnail Available
Date
2022-11-15
Authors
Journal Title
Journal ISSN
Volume Title
Publisher
Universidad Tecnica de Ambato,Magíster en Tecnologías de la Información
Abstract
Nowadays, computer security is a key point for all organizations, both public and
private, regardless of their line of business. Thus, Sucre Higher Institute of Technology
wants to provide its administrative, teaching and student staff with a quality and
efficient technological infrastructure, but above all safe, so this research work seeks to
develop an improvement plan to mitigate the vulnerabilities identified through the
execution of penetration tests on the network of servers and services of the Institute.
In order to develop the present work, the qualitative research methodology was used
with an exploratory approach, using also a field research through interviews,
observation, checklists and the execution of external black box penetration tests on the
network of servers and services of Sucre Higher Institute of Technology.
The penetration tests were carried out following a process of phases, such is the case,
that in the first place a phase of recognition and collection of information was executed
through the use of tools to analyze the domain, web page and IP addresses provided
by the Institute, to subsequently perform an analysis phase to detect and obtain the
vulnerabilities that affect these applications and services, which also allowed to know xvii
the level of criticality of each vulnerability; with this data it was possible to execute
the phase of exploitation of the critical vulnerabilities that affect these services.
With the proper execution of the penetration tests it was possible to efficiently detect
the vulnerabilities affecting the network of servers and services of Sucre Higher
Institute of Technology, which also allowed the development of an improvement plan
containing the recommendations of the actions that Sucre Higher Institute of
Technology should implement to mitigate the vulnerabilities affecting its network and
thus minimize the risks to which its infrastructure is exposed, thus guaranteeing
compliance with the provisions of ISO 27001 in terms of ensuring the integrity,
availability and confidentiality of the information at all times.
Description
Hoy en día la seguridad informática es un punto clave para todas las organizaciones
tanto públicas como privadas, sin importar su giro de negocio, es así que, el Instituto
Superior Tecnológico Sucre desea brindar a su personal administrativo, docente y
estudiantil una infraestructura tecnológica de calidad y eficiente, pero sobre todo
segura, por lo cual, el presente trabajo investigativo busca desarrollar un plan de
mejoras que permita mitigar las vulnerabilidades identificadas mediante la ejecución
de pruebas de penetración en la red de servidores y servicios del Instituto.
Para desarrollar el presente trabajo se utilizó la metodología de investigación
cualitativa con un enfoque exploratorio, empleando además una investigación de
campo mediante la realización de entrevistas, la observación, listas de cotejo y la
ejecución de pruebas de penetración externas de caja negra sobre la red de servidores
y servicios del Instituto Superior Tecnológico Sucre.
Las pruebas de penetración se las realizó siguiendo un proceso de fases, tal es el caso,
que en primer lugar se ejecutó una fase de reconocimiento y recopilación de información a través del uso de herramientas para analizar el dominio, pagina web y
direcciones IP proporcionadas por el Instituto, para posteriormente realizar una fase
de análisis para detectar y obtener las vulnerabilidades que afectan dichas aplicaciones
y servicios, lo cual permitió además conocer el nivel de criticidad de cada
vulnerabilidad; con estos datos se pudo ejecutar la fase de explotación de las
vulnerabilidades críticas que afectan a dichos servicios.
Con la ejecución adecuada de las pruebas de penetración se logró detectar de forma
eficiente las vulnerabilidades que afectan a la red de servidores y servicios del Instituto
Superior Tecnológico Sucre, lo cual, permitió además, desarrollar un plan de mejora
que contiene las recomendaciones de las acciones que el Instituto Superior
Tecnológico Sucre debe implementar para mitigar las vulnerabilidades que afectan a
su red y así minimizar los riesgos a los que su infraestructura se encuentra expuesta,
garantizando así cumplir con lo dispuesto en la Norma ISO 27001 en cuanto a asegurar
en todo momento la integridad, disponibilidad y confidencialidad de la información.
Keywords
CIBERSEGURIDAD, HACKING ÉTICO, INTRUSOS, PENETRACIÓN