Pruebas de penetración para la seguridad informática al servidor web del laboratorio de ciberseguridad en la Universidad Politécnica Estatal del Carchi

Abstract

La presente investigación denominada “Pruebas de penetración para la seguridad informática al servidor web del laboratorio de ciberseguridad en la Universidad Politécnica Estatal del Carchi”, como objetivo principal del proyecto de investigación fue diagnosticar las vulnerabilidades en los servidores web de Apache sobre Centos 7.0 y Microsoft IIS sobre Windows Server 2016 a través de herramientas de pruebas de penetración (Pentest) utilizando herramientas que se encuentran instaladas y configuradas sobre el sistema operativo Kali- Linux el cual realiza los mejores procesos de auditoría y ciberseguridad con el fin conocer los riesgos, amenazas y su relación con los procesos de seguridad. Para dar cumplimiento a esta meta se planteó un enfoque cualitativo en conjunto con la investigación de campo y documental. A partir de los resultados obtenidos se elaboró un cuadro comparativo de los servidores con más desempeño, rendimiento y seguridad a la hora de analizar sus características, como también la realización de un test de resultados con las vulnerabilidades producidas en el servidor web y su aplicación, para la realización de la propuesta se empleó la metodología Owasp (“Open web Application Security Project”) donde se definió los instrumentos con más utilidad para el desarrollo del proyecto, además se determinó por medio de un informe al sitio web de orientación profesional upec que puede contar con medios necesarios para adoptar estos análisis de vulnerabilidad a cualquier sitio que sea requerido. Finalmente en el ámbito práctico se estableció varias pruebas con Owasp Zap como herramienta principal para encontrar alertas de amenazas, WPScan como un escáner de vulnerabilidad para el gestor de contenido Wordpress enfocado a la creación de páginas web. En este sentido se estableció una comparativa de los servidores web con un valor alcanzado del 80% para Apache y el 30% para Microsoft IIS, como también una comparación final de las vulnerabilidades del 5,33% para manejo, configuración y desarrollo, 8% manejo de identidad y método http, 7% fuerza bruta y Cross Site Scripting, 5% inyección SQL y DoS y finalmente 4,67% Owasp Zap/directorios. El uso de estas técnicas fusionado con la gestión de las fases de Owasp permitió organizar y orientar de manera rápida y confiable técnicas básicas para proteger contra amenazas comunes e importantes, obteniendo como referencia la documentación generada que puede ser reutilizable para proyectos futuros o en trabajos de implementación.