Por favor, use este identificador para citar o enlazar este ítem: http://dspace.espoch.edu.ec/handle/123456789/6873
Título : Análisis de vulnerabilidades del servidor e-learning de la ESPOCH para la implementación de mejores prácticas de seguridad-acceso.
Autor : Alvarado Tapia, Aida Concepción
Montesdeoca Cabrera, Richard Alfredo
Director(es): Ramos, Vinicio
Tribunal (Tesis): Mora, Verónica
Palabras claves : TECNOLOGÍA Y CIENCIAS DE LA INGENIERÍA;REDES DE COMPUTADORES;SEGURIDAD INFORMÁTICA;VULNERABILIDADES INFORMÁTICAS;IMPLEMENTACIÓN DE POLITICAS DE SEGURIDAD;INTRUSIONES INFORMÁTICAS
Fecha de publicación : may-2017
Editorial : Escuela Superior Politécnica de Chimborazo
Citación : Alvarado Tapia, Aida Concepción; Montesdeoca Cabrera, Richard Alfredo. (2017). Análisis de vulnerabilidades del servidor e-learning de la ESPOCH para la implementación de mejores prácticas de seguridad-acceso. Escuela Superior Politécnica de Chimborazo. Riobamba.
Identificador : UDCTFIYE;98T00152
Abstract : A vulnerability analysis was carried out at the E-learning server of the Polytechnic School of Chimborazo in order to increase security and access practices. We analyzed the current situation of the E-learning server, for this we used several software such as: Kali Linux, Nessus, Nexpose that find security fails through the scan and attack with several plugins and tools that incorporate such programs. In the laboratory there were several tests of scanning, enumeration of services and attacks to the server. The test of scanning was done with the Whois.net tool that gave us the user profile of the server, the enumeration test of service performed with the tool Nmap that performs an intense analysis and gives all the services offered by the server, including the versions of the same. Five main attacks were chosen: SQL Injection attack that violates the database. CROSS-SITE SCRIPTING attack that alters the current state of server by changing information based on script codes. SNIFFING attack, spies and captures the passwords of plain text through the internet. Attack DoS, sends thousands of packets to the server then saturating the real requests and letting users not to use. PHISHING attack, which clones the actual page for an alternate with the idea of stealing passwords. The E-learning server was 80% vulnerable to attacks. It is concluded that the E-learning server is a vulnerable site for these network attacks. They could be solved by implementing Web encryption certificates, firewall policies and DMZ implementations that restricts the network privileges to the server both inbound and outbound, blocking the control and access to the administrators with privileged ranges and services to which they try to enter from the internet towards the internal network. It is recommended to continue updating with new security policies since a web server is never 100% safe from any computer attack.
Resumen : Se realizó un análisis de vulnerabilidades al servidor E-learning de la Escuela Superior Politécnica de Chimborazo para la implementación de mejores prácticas de seguridad y acceso. Se analizó la situación actual del servidor E-learning, para esto se utilizó varios softwares como: Kali Linux, Nessus, Nexpose que encuentran fallas de seguridad por medio del escaneo y ataque con varios plugins y herramientas que incorporan dichos programas. En laboratorio se hizo varias pruebas de escaneo, enumeración de servicios y de ataques al servidor, las pruebas de escaneo se lo realizo con la herramienta de whois.net que nos dio el perfil de usuario del servidor, las pruebas de enumeración de servicios se lo realizo con la herramienta Nmap que realiza un análisis intenso y da todos los servicios que ofrece el servidor, además de las versiones de las mismas. Se eligieron cinco ataques principales: ataque Inyección de SQL que vulnera la base de datos. Ataque CROSS-SITE SCRIPTING que altera el estado actual del servidor cambiando información en base a códigos script. Ataque SNIFFING, espía y captura las contraseñas en un texto plano a través del internet. Ataque DoS, envía miles de paquetes al servidor saturando así las peticiones reales dejando sin servicio a los usuarios. Ataque PHISING, que clona la página real por una alterna con la idea de robar contraseñas. El servidor E-learning fue vulnerable en un 80% con los ataques realizados. Se concluye que el servidor E-learning es un sitio vulnerable a cualquiera de estos ataques en la red, se podría solucionar implementando certificados de encriptación Web, políticas de firewall e implementaciones de DMZ que restringe los privilegios de red al servidor tanto de entrada como de salida, bloqueando el control y acceso a los administradores con rangos privilegio y servicios a los que intentan ingresar desde el internet hacia la red interna. Se recomienda seguir actualizando con nuevas políticas de seguridad ya que un servidor web nunca estará 100% a salvo de algún ataque informático.
URI : http://dspace.espoch.edu.ec/handle/123456789/6873
Aparece en las colecciones: Ingeniería en Electrónica Telecomunicaciones y Redes

Ficheros en este ítem:
Fichero Descripción Tamaño Formato  
98T00152.pdf6,22 MBAdobe PDFVista previa
Visualizar/Abrir


Los ítems de DSpace están protegidos por copyright, con todos los derechos reservados, a menos que se indique lo contrario.