APLICACIONES Y SERVICIOS SEGUROS
FASE 1 – IDENTIFICACIÓN DE VULNERABILIDADES EN SERVICIOS
INFORMÁTICOS
MYRIAM ORTIZ OSORIO
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2021
1
� APLICACIONES Y SERVICIOS SEGUROS
FASE 1 – IDENTIFICACIÓN DE VULNERABILIDADES EN SERVICIOS
INFORMÁTICOS
MYRIAM ORTIZ OSORIO
Director de curso:
HERNANDO JOSÉ PEÑA
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTÁ
2021
2
� CONTENIDO
pág.
INTRODUCCIÓN ............................................................................................................. 4
OBJETIVOS ..................................................................................................................... 5
OBJETIVO GENERAL ...............................................................................................................5
OBJETIVOS ESPECÍFICOS ........................................................................................................5
1. DESARROLLO DE ACTIVIDADES ............................................................................... 6
CONCLUSIONES ............................................................................................................ 11
BIBLIOGRAFÍA .............................................................................................................. 12
3
� INTRODUCCIÓN
La seguridad de la información, así como la de las redes es un punto fundamental de
preocupación en toda organización y cada día están más expuestos a innumerables
amenazas, por lo que sin lugar a dudas toda organización debe tener presente la
necesidad de invertir recursos para mejora de la infraestructura, así como de
herramientas que permitan detectar vulnerabilidades a tiempo.
Con el desarrollo de este trabajo se dará respuesta a unos interrogantes que aportarán
en el manejo de conceptos de seguridad de la información, relevantes para la
culminación exitosa de este curso.
4
� OBJETIVOS
OBJETIVO GENERAL
Afianzar los conceptos de gestión vulnerabilidades, metodologías y herramientas
OBJETIVOS ESPECÍFICOS
- Reconocer los componentes de un ambiente de servicios informáticos
- Investigar y analizar los diferentes tipos de vulnerabilidades.
- Realizar un resumen del caso problemático propuesto en la guía
5
� 1. DESARROLLO DE ACTIVIDADES
1. Reconocer los componentes de un ambiente de servicios informáticos que involucre:
servidores web, servidores de bases de datos, proxy, dispositivos de seguridad
perimetral y de tráfico, indicando que función cumplen dentro de la arquitectura, como
se integra con el ambiente, que consideraciones de seguridad se deben de tener
presentes, puede integrar más servicios y/o dispositivos que considere pertinente.
Como primera instancia se tendrá en cuenta el concepto de aplicación web, la cual
está definida por ser una aplicación de software desarrollado en un código que
puede ser HTML, JavaScript o CSS, el cual está configurado para que pueda ser
ejecutado a través de un navegador y sea de acceso vía web en una red interna o
externa1.
Dentro de los principales componentes de un ambiente de servicios informáticos
tenemos los siguientes:
Servidor Web: Es dispositivo virtual que brinda espacio y estructura a los sitios web
para almacenamiento de datos y manejo de páginas con Protocolo de transferencia
(HTTP).
El principal rol de un servidor web, es transmitir y almacenar el contenido requerido
de una página web al sitio de navegación del usuario y para cumplir su función envía
una petición desde la dirección IP origen hasta la IP del servidor que guarda los
archivos del sitio en mención, luego envía el resultado solicitado a la dirección que
realizó la petición.
Servidor Bases de Datos: dispositivo con software o programa de servidor
permitiendo organizar la información a través de tablas, índices y registros. Cuando
los datos empiezan a compartirse se realiza a través de un cliente u ordenador base
de datos.
La principal función es proveer información a otras aplicaciones web, mediante un
cliente de bases de datos, con los respectivos roles y protocolos de seguridad.
Dependiendo de los privilegios se pueden acceder o modificar las bases de datos,
hay quienes pueden solo hacer consultas a diferencia del administrador que tiene
el control total.
1ROJAS, JORGE. Vulnerabilidades de aplicaciones web, según OWASP. Universidad Piloto de
Colombia.
6
�Existen diferentes tipos de bases de datos, entre los cuales están:
• MySQL Server
Considerado el motor de bases de datos más popular, utilizado
especialmente para desarrollo de aplicaciones web, software libre, velocidad
de acceso a los datos.
• PostgreSQL server
Es un servidor de tipo relacional de bases de datos, orientado a objetos,
open source y con licenciamiento de PostgreSQL.
• El motor de Tras MYSQL a nivel empresarial es una opción bastante elegida
por la seguridad requerida para los datos, ya que ofrece estabilidad, robustez
y gran velocidad y buen manejo de volumen de datos y concurrencia de
usuarios simultánea.
• Microsoft SQL server, es un servidor de Microsoft, uso en plataformas
Windows, Software libre, multiplataforma, funciona en Linux, Solaris,
Windows y MacOS. Cuenta con un rápido acceso y recuperación de fallas de
manera instantánea.
Proxy: La función primordial del proxi es ofrecer servicios a los diferentes puestos
de trabajo que se encuentran dentro de la red y al mismo tiempo enlazar la red
interna con la red externa, con la idea de controlar el tráfico que entra como el que
sale. Adicionalmente proporciona a los usuarios internos, páginas web protección
de posibles intrusos, presentándose con una única dirección IP.
Seguridad Perimetral:
Hace referencia a la integración de diferentes componentes y sistemas, tanto
mecánicos como electrónicos, que buscan proteger los perímetros físicos y detectar
vulnerabilidades o tentativas de ataques y accesos no autorizados.
Funciones:
- Oponer resistencia a ataques externos
- Realizar una identificación de los posibles ataques y generar alertas sobre
ellos
7
� - Segmentar y aislar los servicios y sistemas que estén expuestos a probables
ataques.
- Generar un filtro que permita bloquear el tráfico
Componentes:
Firewall o Cortafuegos:
Sistema de seguridad que permite mediante una política realizar un bloqueo a los
accesos que no hayan sido autorizados mientras permite la comunicación de tu
computador con servicios que si hayan sido autorizados. Adicionalmente se utilizan
en redes internas o redes locales. Este componente se tomó una de las primeras
medidas de seguridad en la red. Existen varios tipos de firewall:
- Capa de red el cual realiza filtro por IP desde el origen al destino
- De aplicación por protocolo a filtrar
- Para móviles o pc personales
- Aplicaciones específicas
Sistema de Detección y Prevención de Intrusos
Referido a los dispositivos que buscan monitorear generando alarmas en momentos de
alertas de seguridad. La función es: Identificar posible ataque, registrar el evento,
bloquear el ataque y reportar los hechos al administrador.
8
�2. Indagar sobre los diferentes tipos de vulnerabilidades informáticas que se
pueden presentar en un ambiente de servicios web, información de cómo
puede afectar y forma de identificarla, con esta información elabore un mapa
mental que permita comprender la información
Figura 1. Mapa mental tipo de Vulnerabilidades
3. Leer y comprender el caso problémico propuesto en el curso disponible en la ruta:
http://bit.ly/2LZl9w3, para dar solución a través de las actividades a realizar, elaborar
un resumen
Resumen:
El artículo: Caso Problemático Aplicaciones y Servicios Seguros, hace una
descripción de la necesidad de la Empresa Quality SAS, de evaluar la
implementación de un Sistema de Información que proteja toda la información de la
organización.
9
�El área responsable de Quality SAS, para la actividad mencionada anteriormente
es TI, la cual ha propuesto un escenario con implementación de servidor de bases
de datos y servidor de aplicaciones Web con la finalidad que se puedan consultar
los datos desde cualquier sede de la compañía.
Sin embargo, ha requerido de los servicios profesionales de un experto que ofrezca
la mejores recomendaciones en base a lo propuesto y de una mejor seguridad y
rendimiento y teniendo en cuenta el esquema de la figura 1, lo más probable es que
se dé recomendación por el Entorno Linux y las configuraciones de los motores de
bases de datos Oracle, MySql, Potgres, MongoDB, Firebird y Apache, facilitando de
esta manera el acceso a las aplicaciones web desde cualquier sede y hasta 50
usuarios simultáneamente.
Igualmente es válido decir que la DMZ, ha sido recomendada como aseguramiento
perimetral dando protección tanto a red externa como la red interna cuando haya la
necesidad de consultar los motores de bases de datos.
Por último, es importante resaltar que se tiene presente hacer uso de cualquier
herramienta especializada en realizar análisis de vulnerabilidades y proteger la
información.
10
� CONCLUSIONES
• A través de consultas bibliográficas se identificaron los principales
componentes de servicios informáticos
• Se detectaron diferentes tipos de vulnerabilidades
• Se analizó el caso problemático de Aplicaciones y Servicios Seguros del cual
se realizó un resumen.
11
� BIBLIOGRAFÍA
• Baca Urbina, G. (2016). Introducción a la seguridad informática. México D.F,
Mexico: Grupo Editorial Patria. (pp 290-319) Recuperado de https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/40458?page=46
• Gómez Vieites, Á. (2015). Gestión de incidentes de seguridad informática.
Madrid, Spain: RA-MA Editorial. (pp 15-52) Recuperado de https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/62467?page=13
• OWASP. (2017). OWASP Top Ten. Recuperado de https://owasp.org/www-
project-top-ten/
• Illa Gay, R. (2019). Seguridad en servidores empresariales. Control y análisis
de configuraciones de seguridad y de vulnerabilidades. (pp 36-43) Recuperado
de http://hdl.handle.net/10609/95326
• Peña Hidalgo, H. J. (2020). Vulnerabilidades en servicios informáticos [Archivo
de video]. Recuperado de https://repository.unad.edu.co/handle/10596/38516
• Introducción a Seguridad Informática y el análisis de Vulnerabilidades. Ingeniería
y tecnología. [En línea]. Disponible en:
https://www.3ciencias.com/wp-content/uploads/2018/10/Seguridad-
inform%C3%A1tica.pdf
12
