ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO

2y ago
16 Views
2 Downloads
2.39 MB
136 Pages
Last View : 1m ago
Last Download : 2m ago
Upload by : Kaleb Stephen
Transcription

ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZOIMPLEMENTACIÓN DE UN MODELO DE SEGURIDAD PARAMITIGACIÓN DE VULNERABILIDADES EN AMBIENTES DEALMACENAMIENTO EN LA NUBE CON BASE EN LASNORMAS ISO 27017 Y 27018ESTHELA NATALY TENELEMA ARIASTrabajo de Titulación modalidad Proyectos de Investigación y Desarrollo, presentadoante el Instituto de Posgrado y Educación Continua de la ESPOCH, como requisitoparcial para la obtención del grado de:MAGÍSTER EN SEGURIDAD TELEMÁTICARIOBAMBA – ECUADORSeptiembre – 2020

2020, Esthela Nataly Tenelema AriasSe autoriza la reproducción total o parcial, con fines académicos, por cualquier medio oprocedimiento, incluyendo la cita bibliográfica del documento, siempre y cuando se reconozcael Derecho de Autor- ii -

DEDICATORIADedico este trabajo principalmente a Dios, por ser mi sustento, refugio, y guía en momentos queestuve a punto de caer.A mi hijo y esposo, que, con palabras, como “vamos mami”, “mi amor le apoyamos”, supieronenseñarme fortaleza, esmero, y lucha para cumplir los sueños y metas propuestas.A mis padres que con sus consejos, valores y principios impartidos crearon en mí, una personallena de fuerza y coraje para luchar por lo que queremos y no desmayar en el camino.Esthela Tenelema- vi -

AGRADECIMIENTOAgradezco a cada una de las personas que de una u otra manera supieron ser mi sustento, apoyo,y empuje. Agradezco a los docentes por los conocimientos impartidos y experiencia en las aulasde clases, y de manera muy especial al Director y los Miembros del Tribunal de tesis que hanaportado significativamente en la elaboración de este trabajo.Esthela Tenelema- vii -

TABLA DE CONTENIDORESUMEN. 9ABSTRACT . 10CAPÍTULO I1.INTRODUCCIÓN . 111.1.Problema de investigación . 111.1.1.Planteamiento del problema . 111.1.2.Formulación del problema . 131.1.3.Sistematización del problema . 141.2.Justificación de la investigación. 141.2.1.Justificación teórica . 141.2.2.Justificación metodológica . 151.2.3.Justificación práctica . 151.3.Objetivos . 161.3.1.Objetivo general . 161.3.2.Objetivos específicos . 161.4.Hipótesis. 161.5.Estructura del proyecto de investigación . 16CAPÍTULO II2.MARCO TEÓRICO . 182.1.Estado del arte . 182.2.Almacenamiento en la nube . 242.2.1.Antecedentes . 242.2.2.Tipos de almacenamiento en la nube . 252.2.3.Características de almacenamiento en la nube . 262.2.4.Ventajas y Desventajas . 272.2.5.Ciclo de vida de la seguridad de los datos . 282.3.Computación en la Nube . 292.3.1.Antecedentes . 292.3.2.Características de la Computación en la Nube. . 312.3.3.Clasificación de la seguridad en la computación en la nube . 322.3.4.Riesgos a tomar en cuenta en la computación en la nube . 372.4.ISO 27017: Controles de Seguridad para Servicios Cloud . 38-1-

2.4.1.Antecedentes . 382.4.2.Importancia . 402.4.3.Nuevos Controles de seguridad en la ISO 27017 . 412.4.4.Beneficios . 412.5.ISO 27018: Requisitos para la protección de la información de identificación personal(PII) en sistemas Cloud . 422.5.1.Antecedentes . 422.5.2.Importancia . 432.5.3.Controles de seguridad en la ISO 27018 . 442.5.4.Beneficios . 452.6.Modelo de Seguridad . 462.6.1.Antecedentes . 462.6.2.Características . 472.7.Análisis de las principales vulnerabilidades. 482.8.Determinación de la plataforma para almacenamiento en la nube . 54CAPÍTULO III3.METODOLOGÍA DE INVESTIGACIÓN . 593.1.Tipo de investigación . 593.2.Diseño de la investigación . 593.3.Métodos y técnicas . 593.3.1.Métodos . 603.3.2.Técnicas . 603.4.Instrumentos . 603.5.Validación de instrumentos . 613.6.Elaboración del modelo de seguridad . 623.6.1.Estructura del modelo de seguridad . 623.7.Implementación del modelo de seguridad. 783.8.Definición de los escenarios de prueba . 933.9.Hipótesis. 933.9.1.Determinación de variables . 933.9.2.Operacionalización conceptual . 943.9.3.Operacionalización metodológica . 94-2-

CAPÍTULO IV4.RESULTADOS Y DISCUSIÓN . 964.1.Desarrollo de las pruebas . 964.1.1.Indicadores de la variable independiente . 964.1.2.Indicadores de la variable dependiente . 1014.1.3.Ponderación de indicadores . 1054.2.Comprobación de hipótesis . 1074.2.1.Estadística descriptiva. 1074.2.2.Estadística inferencial . 109CONCLUSIONES . 114RECOMENDACIONES . 115BIBLIOGRAFÍAANEXOS-3-

LISTA DE TABLASTabla 1-2 Colecciones de seguridad e ítems para la evaluación del modelo de seguridad(cuantificación) . 20Tabla 2-2 Comparación de la encuesta desde la perspectiva de tres niveles básicos con encuestasexistentes. . 23Tabla 3-2 Ventajas y Desventajas de la Nube Pública . 25Tabla 4-2 Ventajas y Desventajas de la Nube Privada. 26Tabla 5-2 Ventajas y Desventajas de la Nube Hibrida. 26Tabla 6-2 Comparación de trabajos existentes basados en seguridad de datos y almacenamientoen la nube . 34Tabla 7-2 Vulnerabilidades de la Infraestructura Cloud . 48Tabla 8-2 Tabla comparativa entre plataformas para almacenamiento en la nube .56Tabla 1-3 Requerimientos del sistema - Nextcloud . . .78Tabla 2-3 Operacionalización conceptual . .94Tabla 3-3 Operacionalización metodológica . .95Tabla 1-4 Escala de calificación de la complejidad . .96Tabla 2-4 Escala de calificación de facilidad de diseño e implementación . .96Tabla 3-4 Escala de calificación de tiempo de diseño e implementación (días) .97Tabla 5-4 Escala de calificación recursos necesarios .97Tabla 6-4 Evaluación Prototipo I y II respecto a la variable independiente .98Tabla 7-4 Resultados de los indicadores de la variable dependiente .104Tabla 8-4 Tabla de escalas para el Indicador 1: Número de vulnerabilidades .104Tabla 9-4 Tabla de escalas para el Indicador 2: Número de riesgos mitigados .104Tabla 10-4 Tabla de escalas para el Indicador 3: Número de logs 104Tabla 11-4 Códigos del Indicador 1: Número de vulnerabilidades .105Tabla 12-4 Códigos del Indicador 2: Número de riesgos mitigados .106Tabla 13-4 Códigos del Indicador 3: Número de logs .107Tabla 14-4. Resultados de indicadores 108Tabla 15-4 Tabla de contingencia de frecuencias observadas 110Tabla 16-4 Tabla de contingencia de frecuencias esperadas .111Tabla 17-4 Cálculo de X2 .112Tabla 18-4 Tabla de distribución de X2 113-4-

LISTA DE FIGURASFigura 1-2 Sistema de evaluación de seguridad para la plataforma de computación en la nube 19Figura 2-2 Arquitectura SIEM para el servicio basado en la nube . 21Figura 3-2 Flujo para el análisis de correlación utilizando minería de datos . 22Figura 4-2 Arquitectura de cripto-nube .223Figura 1- 3 Objetivos generales del Modelo de Seguridad . 62Figura 2 -3 Diagrama base de la plataforma de almacenamiento en la nube . 79Figura 3 -3 Diagrama con el modelo de seguridad en la plataforma de almacenamiento en lanube . 79Figura 4 -3 Habilitación cifrado de disco VM . 80Figura 5-3 Solicitud de clave de cifrado de disco de la VM . 80Figura 6-3 Activación zona dmz a nivel del firewall . 81Figura 7-3 Mecanismo SELinux a nivel de la plataforma de almacenamiento en la nube . 81Figura 8-3 Configuración de snort para el análisis de vulnerabilidades . 81Figura 9 -3 Actualización de base de datos clamav . 82Figura 10-3 Ejecución en segundo plano del análisis de posibles virus . 82Figura 11-3 Script para respaldo de la base de datos . 83Figura 12-3 Ejecución en segundo plano de respaldo de la base de datos . 83Figura 13-3 Instalación de aide . 83Figura 14-3 Chequeo mediante aide a nivel del sistema operativo . 84Figura 15-3 Dos archivos añadidos y modificados que lo detecto aide . 84Figura 16-3 Inicio de sesión de Mantis Bug Tracker . 85Figura 17-3 Creación de un incidente en Mantis Bug Tracker . 85Figura 18-3 Seguimiento al incidente reportado en Mantis Bug Tracker . 86Figura 19-3 Identificación de IP (almacenamiento en la nube) . 86Figura 20-3 Análisis de vulnerabilidades con Metasploit . 87Figura 21-3 Directorios visibles y fáciles de vulnerar . 87Figura 22-3 Corrección del archivo de configuración . 88Figura 23-3 Nuevo análisis de vulnerabilidades . 88Figura 24-3 Habilitación de políticas de contraseñas en nextcloud . 89Figura 25-3 Instalación de Google Authenticator . 89Figura 26-3 Lectura de QR para los clientes OTP . 90Figura 27-3 Autenticación ssh mediante dos factores . 90Figura 28-3 Comando para convertir archivos en inmutables . 90-5-

Figura 29-3 Error al tratar de modificar un archivo inmutable . 91Figura 30-3 Inicio de sesión con el primer factor de autenticación . 91Figura 31-3 Inicio de sesión con el segundo factor de autenticación. 92Figura 32-3 Aplicación Terns of service . 92Figura 1-4 Reporte de análisis de vulnerabilidades Prototipo I . 102Figura 2-4 Reporte de análisis de vulnerabilidades Prototipo II . 103Figura 3-4 Curva de X2 . 113-6-

LISTA DE GRÁFICOSGráfico 1-2 Prueba de vulnerabilidades en la nube.49Gráfico 2-2 Manejo de incidentes de seguridad en la nube .50Gráfico 3-2 Encriptación de Datos y redes en la nube .50Gráfico 4-2 Auditorias en la nube .51Gráfico 5-2 Administración de accesos de los usuarios en la nube .51Gráfico 6-2 Lock-In / Dependencia de los productos de un Proveedor específico en la nube .52Gráfico 7-2 Aplicación de parches en la nube .52Gráfico 8-2 Desarrollo de Aplicaciones en la nube .53Gráfico 9-2 Almacenamiento de datos en la nube .53Gráfico 1-4 Variable independiente en relación al Prototipo I .99Gráfico 2-4 Variable independiente en relación al Prototipo II .99Gráfico 3-4 Variable independiente en relación a los Prototipos I y II .100Gráfico 4-4 Análisis de vulnerabilidades por la herramienta Greenbone en el Prototipo I queconsidera el modelo de seguridad .101Gráfico 5-4 Análisis de vulnerabilidades por la herramienta Greenbone en el Prototipo II que noconsidera el modelo de seguridad .102Gráfico 6-4 Resultados obtenidos (de acuerdo a la escala) del Indicador 1: Número devulnerabilidades .105Gráfico 7-4 Resultados obtenidos (de acuerdo a la escala) del

- vi - DEDICATORIA Dedico este trabajo principalmente a Dios, por ser mi sustento, refugio, y guía en momentos que estuve a punto de caer. A mi hijo y esposo, que, con palabras, como “vamos mami”, “mi amor le apoyamos”, supieron

Related Documents:

ESCUELA POLIT É CNICA SUPERIOR TRABAJO FIN DE MÁSTER Spacecraft Pose Estimation For Non - Cooperative Rendezvous Based On Feature Codebook Máster Universitario en Investigación e Innovación en TIC (I 2-T IC) Autor : Bravo Pérez -Villar , Juan Ignacio Tutor es : Escudero Viñolo , Marcos (UAM) Kerr, Murray (Deimos Space S.L.U.)

Instituto Polit ecnico Nacional Escuela Superior de Computo Trabajo Terminal II { 2016-B044 . Introducci on1 2. Estado del arte3 . Ejecuci on de la m aquina 0 n1 con un tamano inicial de 5000 car acteres y con posici on inicial del cabezal aleatoria. Esta cinta inicial alcanz o las 63 generaciones.58

escuela de padres en el rendimiento escolar. Fortalecer los valores dentro de familia y la escuela de tal manera que la formación sistemática de la escuela de padres, ayude en la formación integral de los estudiantes. Proponer acciones para hacer más eficiente la escuela de padres en el centro educativo.File Size: 2MB

La verdadera t cnica fotogr fica se basa en el control, por parte del fot grafo, de los ajustes de velocidad y obturaci n, entre otros. Las c maras de cierto nivel de calidad ofrecen muchas opciones de configuraci n, en sus modos

Haciendo hologramas en la escuela y en la casa (Making holograms at school and at home) Rolando Serra Toledo1, Alfredo Moreno Yeras1, Daniel S.F. Magalh aes2, Mikiya Muramatsu3 y Jos¶e B. Lemus4 1Departamento de F¶‡sica, Instituto Superior Polit¶ecnico Jos¶e Antonio Echeverr¶‡a, Ciudad de la Habana, Cuba

BANCA EXAMINADORA _ Profa. Dra. Ana Carolina Brand o Salgado Centro de Inform tica /UFPE . N cleo de Biogeo Inform tica /INPA _ Prof. Dr. Alexandre Magno Andrade Maciel Escola Polit cnica de Pernambuco/ UPE . de Modelagem Específica de Domínio .

escuela superior politecnica de chimborazo facultad de informatica y electronica escuela de ingenieria electronica en telecomunicaciones y redes

Situación de los incendios forestales en Chimborazo. 44 4.1.4. Situación de los incendios forestales en la zona de influencia del presente estudio. 54 4.2. Identificar las vulnerabilidades, amenazas e índices de riesgos para incendios forestales .55 4.2.1. Levantamiento cartográfico de la .