Auditoría de seguridad de laboratorios y aulas de la Facultad de Ciencias

Abstract

Desde el comienzo de la titulación de Ingeniería Informática en 2005, se ha implantado un sistema de TI (Tecnología de la Información), que constituye en la implantación de ordenadores y equipos de telecomunicación. El fin del sistema es almacenar, recuperar, transmitir y manipular datos para dar servicio a las aulas y laboratorios de la Facultas de Ciencias, además de los equipos finales que usan tanto los alumnos como los profesores. Para dar servicio a esta infraestructura, existen una serie de servidores que tienen tanto servicios centrales, como directorios y servidores de ficheros. Se ha realizado una auditoria de seguridad técnica y de cumplimiento, con el fin de encontrar las vulnerabilidades que pueda haber en los diferentes niveles del sistema, además de hacer un análisis de la información que se podría obtener y ver si la organización cumple con los estándares en seguridad de Protección de Datos. Además, según los objetivos establecidos de detectar el mayor número de vulnerabilidades posibles para resolverlas, la auditoria se podría ver como un test de intrusión, hacking ético, en el que el auditor va a “atacar” el sistema para ver sus brechas de seguridad. Todo esto se hará mediante el uso del sistema operativo Kali Linux y herramientas que tiene de auditaje como son Metasploit, Meterpreter y otras muchas aplicaciones. Por otro lado, ese test de intrusión mencionado se ha hecho a diferente niveles del sistema para ver qué consecuencias podría tener si fuese atacado realmente y hasta donde podría llegar el atacante. Evaluando los riesgo encontrados en el sistema y dando una solución a cada uno de ellos, para que sean implantados según el orden de criticidad. Por último, añadir que se ha hecho un apartado adaptado al entorno docente donde se ha investigado las diferentes formas en las que los alumnos podrían saltarse las protecciones anti copia en el laboratorio, tanto entre ellos de manera deliberada como copiar a un compañero sin que este no lo sepa, esta información y otra confidencial será explicada en otro texto (auditoria) por confidencialidad y seguridad del sistema.

Since the beggining of the degree in 2005, the IT (Information&Technology) system has been implemented, installing various telecomunication devices with the goal of gathering, recovering, transmiting and manipulating data to grant service for the science Faculty, while also giving access to both the students and Professors to said devices. To service this infrastructure, there are a number of servers that have central services, directories and file servers. A technical and compliance security audit has been made, in order to find vulnerabilities that may exist in the different levels of the system, in addition, an analysis of the information that could be obtained was carried out to see if the organization complies with the standars in Data Protection. In addition, according with the objectives of detecting as many vulnerabilities as possible to solve them, the audit could be seen as an intrusion test, ethical hacking, in which the auditor will “attack” the system to find its security gaps. This will be done through the use of Kali Linux operating system and its audit tools as Metasploit, Meterpreter and other software. On the other hand, the intrusion test has been done at different levels of the system to see what could be the consequences if it were really attacked and how far can the attacker go. Evaluating the risks found in the system and giving a solution to each one, so it can be implemented according to the criticality order. Finally, a section has been made adapted to the teaching environment where we have investigated the different ways that a student could bypass the anti-copy protections in the laboratory, both among themselves deliberately and copy a classmate without his knowledge, this information and other confidential information will be explained in another text audit for the confidentiality and security of the system.