PDF de programación - INFORMÁTICA FORENSE: AUDITORÍA DE SEGURIDAD

UNIVERSIDAD AUT ´ONOMA DE MADRID

ESCUELA POLIT ´ECNICA SUPERIOR

PROYECTO FIN DE CARRERA

INFORM ´ATICA FORENSE: AUDITOR´IA DE

SEGURIDAD

Ingeniero de Telecomunicaciones

Jose Manuel Agrelo de la Torre

FEBRERO 2014

Todos los derechos reservados.
Queda prohibida, salvo excepción prevista en la Ley, cualquier
forma de reproducción, distribución comunicación pública
y transformación de esta obra sin contar con la autorización
de los titulares de la propiedad intelectual.
La infracción de los derechos mencionados puede ser constitutiva de
delito contra la propiedad intelectual (arts. 270 y sgts. del Código Penal).

DERECHOS RESERVADOS
© 2014 por UNIVERSIDAD AUTÓNOMA DE MADRID
Francisco Tomás y Valiente, no 1
Madrid, 28049
Spain

Jose Manuel Agrelo de la Torre
Informática forense: auditoría de seguridad

Jose Manuel Agrelo de la Torre
Escuela Politécnica Superior. Dpto. de Ingeniería Informática

IMPRESO EN ESPAÑA – PRINTED IN SPAIN

Inform´atica forense: auditor´ia de

seguridad

AUTOR: Jose Manuel Agrelo de la Torre

TUTOR: Dr. Eloy Anguiano Rey

Dpto. de Ingeniería Informática
Escuela Politécnica Superior

Universidad Autónoma de Madrid

FEBRERO 2014

Agradecimientos

En primer lugar, quiero agradecerle a mi tutor, Eloy Anguiano, su ayuda y apoyo a lo largo de la realización
de todo el proyecto. También me gustaría agradecerle el haberme propuesto este proyecto y el presentarme
el mundo de la seguridad siendo mi profesor. También, me gustaría agradecerles a mis otros profesores de la
universidad, por haberme enseñado tanto, sobretodo a valerme por mí mismo.

Además quiero agradecer a toda mi familia su apoyo a lo largo, tanto de la carrera, como de la realización
del presente proyecto. Los cuales no han dudado en apoyarme y hacerme ver que con esfuerzo todo se pue-
de conseguir. En especial a mi hermana María, que incluso desde el extranjero no ha cesado de apoyarme y
preocuparse por mí.

También me gustaría agradecerles a mis compañeros de clase los buenos ratos que me han hecho pasar,
haciendo mas leve mi paso por la universidad. Permitiendo de esta manera que no perdiera los ánimos por
continuar.

Por último, pero no menos importante me gustaría darle las gracias a mis amigos, que me han apoyado
durante incontables años. En especial agradecerles a Zulema Vázquez y Carlos Ramón Rojo, puesto que dejaron
de ser solo amigos hace tiempo, y sin su apoyo no habría llegado a ser la persona que soy hoy.

Muchas gracias a todos.

V

Abstract

This project shows the process of a security audit to a business net to accomplish the fulfilment of the
official security normative. Due to a network is needed to make a security audit, the design of the net and its
implementation would also be done. Therefore, the project consists of two distinct parts.

In the first part of the project, it begins from a policy established by the company to realize the design and
implementation of the network. Along this part, the different procedures to take decisions are explained. Later,
starting with the established design the implementation of the network is realized, showing the different programs
and configurations used. In this way, the implementation of the net is done preparing it to the security audit.

Once a business network have been design, it proceed to the security audit realization. On the security audit
it realizes a normative revision and a business security revision, reviewing both physical security and possible
vulnerabilities. For this realization some actual auditing tools will be used such as Kali™ or Metasploit™.

In the end, it presents a report where it resume the different violations of the normative and its solution, as
well as, an abstract with the different security breaches that exist on the company. This report would be the one
that will be given to the client company after the security audit, so it can solves its security breaches.

Keywords

Design, network, auditory, security, server, Kali™, Metasploit™, implantation, firewall, router, Nessus™, secu-

rity audit, state normative, normative.

VII

Resumen

En este proyecto se muestra el proceso de realización de una auditoría de seguridad a una red empresarial
para cumplir con la normativa establecida para los organismos oficiales del estado. Debido a que para la realiza-
ción de la auditoría se debe contar con una red empresarial, también se realiza el diseño e implementación de la
misma. Por lo tanto el presente proyecto consta de dos partes bien diferenciadas.

En la primera parte del proyecto, se parte de una política establecida por una empresa para realizar el diseño
de la red y su posterior implantación. A lo largo de la misma, se explican los diferentes procedimientos realizados
para la toma de decisiones. Posteriormente, partiendo del diseño establecido se realiza la implementación de la
red empresarial explicando los diferentes programas utilizados y las configuraciones utilizadas. De esta manera,
se realiza la implementación de la red para la realización de la auditoría.

Una vez se cuenta con la red empresarial, se procede a la realización de la auditoría. En ésta se realiza,
tanto una revisión de la normativa que se aplica a los organismos oficiales del estado, como una revisión de la
seguridad de la empresa, tanto de la seguridad física como de las posibles vulnerabilidades existentes en los
diferentes equipos. Para la realización de esta auditoría se utilizan las herramientas actuales como son Kali™ o
Metasploit™.

Por último, se presenta un informe en el que se resumen los diferentes incumplimientos de la normativa y su
solución, así como, un resumen de las diferentes brechas de seguridad existentes en la empresa. Este informe
sería el informe a presentar a la empresa tras la realización de la auditoría para que corrija sus problemas de
seguridad.

Palabras clave

Diseño, red, auditoría, seguridad, servidor, Kali™, Metasploit™, implantación, firewall, router, Nessus™, au-

ditoría de seguridad, normativa del estado, normativa, BOE.

IX

Índice

I Contenidos previos

1

Introducción

1.1 Motivación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3 Organización de la memoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2 Estado del Arte

2.1 Redes empresariales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2 Seguridad Informática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3 Normativa nacional de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.4 Protocolos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tipos de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.5

II Diseño e implementación previo de la red empresarial

3 Políticas de diseño y seguridad de la red

3.1 Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2 Red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3 Seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4 Diseño e implementación de la red

4.1 Estructura de la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tamaño de la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2
Interconexión de las redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.3
4.4 Selección de direcciones IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.5 Diseño final de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Implantación de la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.6

5 Diseño e implementación de la seguridad

5.1 Diseño de red seguro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.2 Política de contraseñas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.3 Utilización de cifrados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4 Utilización firewall

6 Diseño e implementación de los servicios

6.1 Elección de sistema operativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.2 Servidor de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.3 Página web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .