PDF de programación - Análisis de vulnerabilidades de seguridad en la red del CUD

Centro Universitario de la Defensa

en la Escuela Naval Militar





TRABAJO FIN DE GRADO





Análisis de vulnerabilidades de seguridad en la red del CUD





Grado en Ingeniería Mecánica





ALUMNO:

Armando Rubio García

DIRECTORES:

Pablo Sendín Raña



Belén Barragáns Martínez



CURSO ACADÉMICO:

2014-2015

















Centro Universitario de la Defensa

en la Escuela Naval Militar







TRABAJO FIN DE GRADO







Análisis de vulnerabilidades de seguridad en la red del CUD







Grado en Ingeniería Mecánica

Intensificación en Tecnología Naval

Cuerpo General









































RESUMEN

Tras Estados Unidos y Reino Unido, España es el país del mundo que más ciberataques ha
recibido el pasado año. Día a día, se libra una batalla constante en la red en la que trata de mantenerse
la privacidad de los individuos y las organizaciones tanto públicas como privadas, frente a los
numerosos ataques que tienen lugar en busca de información sensible o de interés para estos
ciberdelincuentes.

A nadie se le escapa que, en los próximos años, la Defensa Nacional estará inevitablemente
ligada a la ciberdefensa. El descubrimiento de posibles vulnerabilidades en cualquiera de sus
servidores informáticos de forma activa e interna, es decir, siendo la propia organización la que detecte
estas vulnerabilidades para encontrarles solución, es un factor crítico para toda la organización. Este
ámbito, el de la auditoría informática o pentesting, proviene de la consideración de que no hay mejor
demostración de la baja seguridad de un sistema que el someterlo a un ataque, ver hasta dónde llega el
atacante y cómo podría haberse evitado. De este modo, el presente TFG se ha enfocado al análisis de
vulnerabilidades de seguridad en una red mediante la realización de una auditoría en una de las redes
corporativas, la red del Centro Universitario de la Defensa (CUD), con el fin de verificar la seguridad
de esta red empleando las opciones que se encuentran disponibles en la actualidad en el ámbito del
pentesting. Para ello, de todas las opciones, plataformas y herramientas posibles de las que se
encuentran disponibles se elegirán unas determinadas que serán explicadas en el presente documento
con la intención de adquirir una idea general e integral del empleo de dicha herramienta. Como
objetivo secundario, pero no menos importante, se pretende conocer el panorama actual real en materia
de ciberseguridad y, más en concreto, de la ciberdefensa.
















PALABRAS CLAVE


Ciberseguridad, Ciberdefensa, Auditoría informática, Pentesting, Test de intrusión, Kali Linux, Redes









i







































































Si vis pacem, para bellum



ii









































































iii

ANÁLISIS DE VULNERABILIDADES DE SEGURIDAD EN LA RED DEL CUD





CONTENIDO



Contenido ........................................................................................................................................... 1

Índice de Figuras ................................................................................................................................ 3

1 Introducción y objetivos .................................................................................................................. 6

1.1 Presentación. ............................................................................................................................. 6

1.2 Introducción y motivación. ....................................................................................................... 7

1.3 Objetivos. .................................................................................................................................. 8

1.4 Estructura de la memoria. ......................................................................................................... 9

2 Estado del arte ............................................................................................................................... 11

2.1 Presentación. ........................................................................................................................... 11

2.2 Estrategias y planes de Ciberdefensa. ..................................................................................... 12

2.2.1 La Ciberseguridad y la Defensa Nacional. ....................................................................... 12

2.2.2 La Ciberseguridad dentro de la OTAN. ............................................................................ 15

2.2.3 La Ciberseguridad en el contexto de la UE. ..................................................................... 16

2.2.4 Conclusión. ....................................................................................................................... 17

2.3 Amenazas y retos en las redes. ................................................................................................ 18

2.4 Plataformas para pentesting. .................................................................................................. 21

2.4.1 Kali Linux. ........................................................................................................................ 22

2.4.2 BackBox. .......................................................................................................................... 22

2.4.3 NodeZero. ......................................................................................................................... 23

2.5 Herramientas para el pentesting. ............................................................................................. 24

2.5.1 Nmap. ................................................................................................................................ 24

2.5.2 La suite air. ....................................................................................................................... 25

2.5.3 Setoolkit. ........................................................................................................................... 27

2.5.4 Owasp Zap. ....................................................................................................................... 27

2.5.5 Maltego. ............................................................................................................................ 28

2.5.6 Nikto. ................................................................................................................................ 29

2.5.7 WhatWeb. ......................................................................................................................... 29

2.5.8 Ettercap. ............................................................................................................................ 30

2.5.9 Metasploit. ........................................................................................................................ 31

2.5.10 Armitage. ........................................................................................................................ 31

3 Desarrollo del TFG ........................................................................................................................ 33

3.1 Presentación. ........................................................................................................................... 33

3.2 Recogida de información. ....................................................................................................... 34

1

ARMANDO RUBIO GARCÍA



3.2.1 Análisis del sitio web. ....................................................................................................... 34

3.2.2 Topología de la red. .......................................................................................................... 38

3.2.3 Información de cada host. ................................................................................................. 41

3.3 Ataque a la red. ....................................................................................................................... 54

3.3.1 Crackeando contraseña WiFi. ........................................................................................... 54

3.3.2 Man in the Middle MIM. .................................................................................................. 57

3.3.3 USB infectado. .................................................................................................................. 60

4 Interpretación de los resultados ..................................................................................................... 62

4.1 Descripción detallada de la auditoría. ..................................................................................... 62

4.1.1 Fundamentos del test de intrusión. ................................................................................... 62

4.1.2 La auditoría paso a paso. .................................................................................................. 63

4.1.3 Soluciones e informe final. ............................................................................................... 65

5 Conclusiones y líneas futuras ........................................................................................................ 68

5.1 Conclusiones generales. .......................................................................................................... 68

5.2 Líneas futuras. ........................................................................................................