UNIVERSIDAD SIMÓN BOLÍVAR DECANATO DE ESTUDIOS PROFESIONALES COORDINACIÓN DE INGENIERÍA DE LA COMPUTACIÓN

Transcripción

1 UNIVERSIDAD SIMÓN BOLÍVAR DECANATO DE ESTUDIOS PROFESIONALES COORDINACIÓN DE INGENIERÍA DE LA COMPUTACIÓN DESARROLLO DE UN SISTEMA WEB PARA VISUALIZACIÓN DE INFORMACIÓN ESTADÍSTICA Y GENERACIÓN DE REPORTES RELACIONADOS CON ACTIVIDADES DE APLICACIÓN DE PARCHES DE SEGURIDAD (REMEDIACIÓN) SOBRE PLATAFORMAS HETEROGÉNEAS. Por: María Gabriela Monascal Capdevielle INFORME DE PASANTÍA Presentado ante la Ilustre Universidad Simón Bolívar Como requisito parcial para optar al título de Ingeniero en Computación Sartenejas, Mayo de 2011

2 UNIVERSIDAD SIMÓN BOLÍVAR DECANATO DE ESTUDIOS PROFESIONALES COORDINACIÓN DE INGENIERÍA DE LA COMPUTACIÓN DESARROLLO DE UN SISTEMA WEB PARA VISUALIZACIÓN DE INFORMACIÓN ESTADÍSTICA Y GENERACIÓN DE REPORTES RELACIONADOS CON ACTIVIDADES DE APLICACIÓN DE PARCHES DE SEGURIDAD (REMEDIACIÓN) SOBRE PLATAFORMAS HETEROGÉNEAS. Por: María Gabriela Monascal Capdevielle Realizado con la asesoría de: Tutora Académica: Prof. Emely Arraiz Tutor Industrial: Lic. Marco Brando INFORME DE PASANTÍA Presentado ante la Ilustre Universidad Simón Bolívar Como requisito parcial para optar al título de Ingeniero en Computación Sartenejas, Mayo de 2011

3

4 DESARROLLO DE UN SISTEMA WEB PARA VISUALIZACIÓN DE INFORMACIÓN ESTADÍSTICA Y GENERACIÓN DE REPORTES RELACIONADOS CON ACTIVIDADES DE APLICACIÓN DE PARCHES DE SEGURIDAD (REMEDIACIÓN) SOBRE PLATAFORMAS HETEROGÉNEAS. Por: María Gabriela Monascal Capdevielle Resumen Actualmente las empresas se enfrentan a amenazas cada vez mayores en cuanto a la seguridad de sus equipos. Dichas amenazas evolucionan día a día, y obligan a las empresas a invertir tiempo y dinero en la prevención y adecuado manejo de éstas. Una de las causas principales de existencia de vulnerabilidades ante amenazas es la falta de actualizaciones en los equipos. Es por esto que algunas empresas recurren a la utilización de software diseñado para mantener redes de equipos informáticos actualizados, y así prevenir la mayoría de los ataques. C.G.S.I, C.A (Consultoría Global en Seguridad Informática) es una empresa que ofrece a sus clientes servicios de prevención de amenazas a través del uso de software especializado, llamado LEMSS (Lumension Endpoint Management Security Suite). Esta herramienta, desarrollada por la empresa Lumension, explora los equipos de una red, descubre sus vulnerabilidades y aplica los respectivos parches de seguridad, garantizando su correcta actualización y por ende disminuyendo el riesgo de ser víctimas de amenazas. Sin embargo, los clientes no tienen a su disposición la información de los parches aplicados, ni la posibilidad de generar reportes finales a partir de los datos que genera dicho producto. Para esto se planteó el desarrollo de un portal web llamado S3-Patch, en el cual se reflejan dichos datos a través de gráficos estadísticos y tablas, y donde se pueden generar los reportes tal y como el cliente los necesita. La herramienta se elaboró en su totalidad en Java, con una interfaz web que combina tecnologías como Java Server Pages, JavaScript, entre otras. iv

5 DEDICATORIA A mis padres, Carola y Simón, quienes me brindaron la formación necesaria para culminar con éxito este proyecto. A mis abuelitos, Graciela y Manuel, por ser mi apoyo moral y por estar siempre ahí cuando los he necesitado. momento. A Manuel, mi novio y mi mejor amigo, quien me dio su apoyo incondicional en todo v

6 AGRADECIMIENTOS En primer lugar a Dios, que me dio la fortaleza y paciencia para seguir adelante. A mis padres, a quienes les agradezco su infinita paciencia y su total disposición para proveerme de una excelente educación, un cálido hogar y todo lo que he necesitado para vivir bien. A mis hermanas, que con sus palabras de aliento y sus tecitos nocturnos lograban darle un poco de luz a los días más oscuros. A mi tía-madrina-comadre Adriana y a mi abuelita Graciela, porque incondicionalmente están a mi lado en todo momento, sobre todo cuando necesito un abrazo y ser escuchada. A Manuel, mi compañero de vida, por darle a mi vida un rumbo, por decirme siempre las palabras adecuadas en los momentos precisos, y por su valiosa ayuda en la culminación de este ciclo. A Jessica Pérez, mi hermana adoptiva y mi mejor amiga, ya que sin su compañía, apoyo y ayuda este proyecto no habría culminado exitosamente. A mis amigos, quienes a pesar de la distancia han sido siempre mi apoyo emocional, mi ruta de escape de la presión, y un pilar fundamental en mi vida. A mi tutora, Emely Arraiz, por su fortaleza, determinación y apoyo en todo momento. vi

7 INDICE GENERAL INDICE DE FIGURAS... IX LISTA DE ABREVIATURAS... X INTRODUCCIÓN... 1 CAPITULO MARCO EMPRESARIAL... 3 CAPITULO MARCO TEÓRICO FRAMEWORK STRUTS MODELO CLIENTE-SERVIDOR ARQUITECTURA FINAL DEL PORTAL S3-PATCH... 9 CAPITULO MARCO TECNOLÓGICO TECNOLOGÍAS UTILIZADAS Apache Tomcat Java MySQL JSP CSS HTML JavaScript Direct Web Remoting JfreeChart FusionCharts NetBeans IDE LEMSS Jasperreports, ireport Adobe Photoshop MySQL Workbench Firebug XSS Me CAPITULO DESARROLLO DE LA APLICACIÓN FASE 1. ESTUDIO DE LA DOCUMENTACIÓN FASE 2. LEVANTAMIENTO DE REQUERIMIENTOS Y DISEÑO DE LA APLICACIÓN FASE 3. IMPLEMENTACIÓN vii

8 4.3.1 Primera fase de la programación Segunda fase de la programación Tercera fase de la programación Cuarta fase de la programación CAPITULO PRUEBAS INTEGRALES Pruebas de integridad de datos Pruebas de seguridad CONCLUSIONES Y RECOMENDACIONES REFERENCIAS APENDICE A APENDICE B APENDICE C APENDICE D APENDICE E viii

9 INDICE DE FIGURAS Figura Arquitectura Struts Figura Arquitectura Cliente-Servidor... 9 Figura Arquitectura S3-Patch Figura Formulario de inicio de sesión Figura Solicitud de cambio de contraseña Figura Búsqueda avanzada tipo árbol Figura Catálogos Figura Dashboard Figura Estructura base de datos S3-Patch Figura Marco de trabajo para reportes Figura Estructura de la base de datos de reportes Figura Resultado del análisis con XSS Me ix

10 LISTA DE ABREVIATURAS AJAX Asynchronous JavaScript And XML CSS Cascade Style Sheet CSV Comma-Separated Values DWR Direct Web Remoting HIPS Host-based Intrusion Prevention System HTML Hypertext Markup Language IDE Integrated Development Environment IDS Intrusion Detection System IM Instant Messaging IPS Intrusion Prevention System JSP JavaServer Pages LAN Local Area Network LEMSS Lumension Endpoint Management and Security Suite MD5 Message-Digest Algorithm 5 MVC Model View Controller OWASP Open Web Application Security Project PDF Portable Document Format SGBD Sistema de Gestón de Bases de Datos TCO Total Cost of Ownership TI Tecnologías de la información VPN Virtual Private Network VPS Virtual Private Server W3C World Wide Web Consortium XML Extensible Markup Language x

11 1 INTRODUCCIÓN Mantener a los clientes informados acerca de las actividades que se efectúan en su red de equipos es primordial tanto para la empresa que presta el servicio como para la que lo recibe. Por una parte la empresa prestadora del servicio tiene que tener algún soporte del trabajo que realiza, y el departamento responsable de la contratación del servicio en la empresa contratante tiene que rendir cuentas a otros departamentos asociados o a sus superiores. Lumension es una empresa líder en soluciones de seguridad, que ofrece productos para la gestión de vulnerabilidades, protección de puntos de acceso, y protección de datos. LEMSS es una de las soluciones que ofrece la empresa para la gestión de vulnerabilidades. La herramienta ofrece los siguientes beneficios: disminución del TCO (Total Cost of Ownership), mejora de la seguridad y auditoria continua. La empresa C.G.S.I., C.A, se planteo como proyecto diseñar e implementar una aplicación web en el área de TI (Tecnologías de la información), que permitiera recopilar datos asociados con parches de seguridad de distintos sistemas operativos y provenientes de un sistema de remediación llamado LEMSS. A partir de esta aplicación los clientes pueden visualizar las vulnerabilidades criticas de su red y las tareas de remediación efectuadas y adicionalmente la generación de los reportes correspondientes. La solución se desarrolló como una interfaz web con características de dashboard. Un dashboard es una interfaz gráfica usada para mostrar información relevante para los usuarios a través de ciertos elementos tales como tablas, gráficos e imágenes. Los objetivos específicos se dividieron en cuatro grandes secciones, que son: el levantamiento de todos los requerimientos funcionales de la aplicación, la construcción del diseño lógico de los diferentes componentes operativos, la implementación de estos componentes y la validación de la implementación.

12 2 La sección de levantamiento de los requerimientos funcionales abarcó conocer el sistema de remediación LEMSS, la investigación acerca del modo seguro de desarrollo de aplicaciones web utilizando las reglas de la guía OWASP (Open Web Application Security Project), investigación acerca del framework Struts2 y análisis de la estructura de la base de datos de LEMSS para el posterior diseño del repositorio de datos. La sección de construcción de diseño lógico de los diferentes componentes operativos contempló el diseño del repositorio de datos, cuya estructura se definió a partir del análisis previo de la base de datos de LEMSS. El diseño de la aplicación consistió en definir los requerimientos por parte de la empresa utilizando documentos que detallaban cada elemento solicitado, y sometiéndolos a modificaciones hasta su aprobación final. La sección de implementación consistió en la implementación del repositorio de datos y la aplicación. Esta fue la etapa más larga y dinámica en el desarrollo del proyecto. A medida que se iban implementando funcionalidades la empresa ajustaba y modificaba las actividades a desarrollar en revisiones semanales de los avances de la aplicación. La última sección consistió en la validación de los componentes implementados. Para esto se diseño una lista con las actividades finales que se esperaba obtener y se probaron hasta obtener el producto solicitado. La importancia de la realización del proyecto radica en la necesidad urgente de mejorar la calidad de los servicios que presta C.G.S.I., C.A a sus clientes.

13 3 CAPITULO 1 MARCO EMPRESARIAL La empresa donde se llevo a cabo la pasantía fue Consultoría Global en Seguridad Informática C.A (C.G.S.I., C.A) [1]. El proyecto estaba asociado al Departamento de Consultoría y Soporte. La empresa tiene como misión ser una empresa líder en el mundo de las soluciones y servicios de seguridad y protección de la información. Su visión es buscar ser competitiva ofreciendo soluciones integrales, ajustadas a las necesidades de cada cliente, que incluyen transferencias tecnológicas y soporte técnico especializado y local, con el fin de crecer como empresa, a la vez que ofrece productos de calidad a sus clientes. Las soluciones que ofrece la empresa se dividen en las siguientes categorías: Bloqueo de ataques de Red La web es una vía poco protegida, por lo tanto se consideran los siguientes elementos: o Firewalls. o IDS/IPS. o ADS Perímetro (Anomaly Detection System). o Filtrado de Contenido Web. o Gateways de Mensajería / IM. o Wireless. o Network Access Control (NAC). o Servicios Administrados de Seguridad. Bloqueo de ataques de Host Se refiere a las amenazas que afectan a nuestros equipos y redes. Estas evolucionan constantemente para no ser detectadas, por lo tanto se deben considerar los siguientes elementos: o HIPS. o ADS LAN.

14 4 o Desktop. Firewall. IPS. VPS. o Control Spyware. o Network Access Control (NAC). o Detección de intrusos en BD. Eliminación de vulnerabilidades Las amenazas informáticas y las últimas vulnerabilidades son detectadas y corregidas con los siguientes elementos: o Análisis de Vulnerabilidades (de red, bases de datos, etc.). o Ethical Hacking. o Seguridad de Aplicaciones. o Aplicación de Patches. o Servicios Administrados de Remediación. Autenticación e identidades El mayor peligro al que se enfrentan los clientes generalmente es el robo o pérdida de datos, sobre todo si son de carácter confidencial. Para evitarlo se consideran los siguientes elementos: o Manejo de Identidades. o Control de Acceso. o Autenticación Fuerte. o VPN / Acceso remoto seguro. o Encripción de Archivos. o Wireless. o Forénsica. El producto sobre el cual se desarrollo el portal se encuentra en la categoría de Eliminación de Vulnerabilidades.

15 Actualmente C.G.S.I., C.A. cuenta con una gran cantidad de clientes tanto nacionales como internacionales como son: 5 En Venezuela: Seguros Caracas, Banesco, Seguros Mercantil, Seguros La Previsora, Banco Exterior. En el Exterior: Premier Bank International, Banesco Panamá. El proyecto realizado buscaba principalmente ofrecer un mejor servicio a los clientes de la empresa en cuanto a proveerles la información del estado de su red en línea, las 24 horas del día, los 365 días del año.

16 6 CAPITULO 2 MARCO TEÓRICO Con el crecimiento de internet en los últimos años, se le está dando un nuevo manejo a la información en diferentes áreas. Las personas tienden cada vez más a realizar todas sus actividades por esta vía. Por esta razón las empresas buscan tomar su lugar en la web para ampliar su alcance y brindar mayor comodidad a sus clientes. Para desarrollar cualquier proyecto se deben garantizar características como usabilidad, escalabilidad, portabilidad, entre otros. Para poder garantizar dichas características se tomaron en consideración las buenas prácticas de programación y diseño de aplicaciones web, haciendo uso de las herramientas y conceptos siguientes: 2.1 Framework Struts 2 Struts 2 es un framework para desarrollar aplicaciones web en Java que sigue el patrón de diseño MVC (Modelo-Vista-Controlador). Un framework es una estructura conceptual y tecnológica de soporte definida normalmente con artefactos o módulos de software concretos, con el cual podría desarrollarse y organizarse otro proyecto de software de características similares. Este tipo de herramienta se utiliza sobre todo para separar el código HTML (HyperText Markup Language) del código Java en las páginas JSP (Java Server Page) y así poder reutilizar la mayor parte de código posible. La arquitectura MVC, en la que se basa Struts 2, divide las responsabilidades en tres capas claramente diferenciadas: El modelo, que hace referencia a los datos que maneja la aplicación y las reglas de negocio que operan sobre ellos.

17 7 La vista, encargada de generar la interfaz con la que la aplicación interactúa con el usuario. El controlador, que comunica la vista y el modelo respondiendo a eventos generados por el usuario en la vista, invocando cambios en el modelo, y devolviendo a la vista la información del modelo que genere la respuesta adecuada para el usuario. Figura Arquitectura Struts 2 Los principales componentes del framework son DispatcherFilter, Interceptors, acciones y resultados. La capa de modelo equivale a los Actions, la capa de la vista a los Results y la capa del controlador equivale al filtro DispatcherFilter. Los Interceptors son métodos que se ejecutan antes y después de la acción que se está ejecutando. Pueden modificar el flujo de la acción. Se usan por ejemplo para comprobar si un usuario está autenticado, y si no lo está se redirige a la página de inicio de sesión. Su funcionamiento en conjunto se lista a continuación: Llega un requerimiento a la aplicación. El requerimiento es interpretado por el DispatcherFilter y determina cuales acciones y conjunto de Interceptors invocar.

18 8 Cada Interceptor ejecuta sus acciones previas a la ejecución del método de la acción a invocar Es invocado el método de la acción. Cada Interceptor ejecuta sus acciones posteriores a la ejecución del método de la acción a invocar Se examina el resultado obtenido de la acción y se determina el resultado correspondiente. Mediante el resultado determinado se genera la vista, y según la configuración definida sobre él se invoca el proceso de generación de la vista. La vista generada retorna al cliente. Las ventajas de este framework que resultaron atractivas para utilizarlo en el desarrollo del proyecto fueron: Transporte automático de los datos introducidos en el cliente (JSP) hasta el controlador (acción) mediante formularios (ActionForm). Transporte automático de los datos enviados por el controlador (acción) a la parte de presentación (JSP) mediante formularios (ActionForm). Implementa la parte común a todas las aplicaciones en la parte de Controlador (ActionServlet); la parte particular de cada aplicación es fácilmente configurable (strutsconfig.xml). La separación de los componentes en capas (MVC) simplifica notablemente el desarrollo y su mantenimiento. 2.2 Modelo Cliente-Servidor Este modelo consiste en un componente denominado Servidor, al cual se conectarán los Clientes, con el fin de solicitar un servicio o recurso. En este proyecto se usó el modelo Cliente Servidor implementando tecnologías web, donde el servidor está representado por el equipo donde se encuentra alojado el servidor web y todos los archivos necesarios para el despliegue del sistema y los clientes por los navegadores web de los diferentes equipos que acceden al sistema. Los clientes se pueden conectar al servidor por medio de Internet.

19 En la figura se observa la arquitectura básica que seguirá la aplicación, en lo que se refiere al modelo Cliente Servidor. 9 Figura Modelo Cliente-Servidor En esta arquitectura puede haber muchos clientes realizando peticiones al servidor, y este es capaz de atenderlas simultáneamente. 2.3 Arquitectura final del portal S3-Patch Se creó una aplicación orientada al ambiente web, donde su interfaz principal se accede por éste medio, sin embargo toda la lógica del negocio y los datos se mantienen en el servidor. La capa de presentación, que interactúa con el usuario, fue desarrollada en JSP y JavaScript en conjunto con la librería DWR (Direct Web Remoting). Esta última librería provee una interfaz para realizar llamadas asíncronas al servidor http (AJAX) y así poder agregar dinamismo visual y cierta independencia entre los componentes de esta capa. El principal motivo para escoger esta tecnología, fue el requerimiento del cliente de poseer una interfaz sencilla y rápida de usar. El uso de Javascript y DWR se traduce en un ahorro sustancial de tiempo para el usuario final al recargar solamente las secciones solicitadas del sitio web. La capa de la lógica del negocio o el modelo como tal de la aplicación se basa en un gran núcleo escrito totalmente en Java.

20 10 Para el manejo de la capa de datos, existen funcionalidades implementadas también en lenguaje Java, que se encargan de establecer las conexiones necesarias con el SGBD (Sistema de Gestión de Bases de Datos) de MySQL, donde se almacenan y recuperan los datos que son necesarios para la aplicación. Servidor de aplicación Servidor de BD Base de datos de LEMSS Proceso de lectura y carga de datos (dbsar) Repositorio de base de datos de LEMSS (websar) Servidor web (Apache tomcat) Portal esoc (SAR) Clientes SQLServer Base de datos de reportes (cgsireport) MySQL Figura Arquitectura S3-Patch

21 11 CAPITULO 3 MARCO TECNOLÓGICO Las tecnologías utilizadas y las herramientas que sirvieron de apoyo para el diseño e implementación del sistema se detallan a continuación. 3.1 Tecnologías utilizadas En esta sección se abarcan los lenguajes utilizados, librerías y herramientas que ayudaron al correcto desarrollo de la aplicación Apache Tomcat Tomcat es un servidor web escrito en Java con soporte de servlets y JSPs. Funciona en cualquier sistema operativo que disponga de la Maquina Virtual Java. Fue desarrollado por la Apache Software Foundation, y es mantenida por voluntarios independientes ya que su código fuente está disponible bajo los términos establecidos en la Apache Software License. En el desarrollo del proyecto se usó la versión para desplegar la aplicación. En la etapa de desarrollo se utilizó el Apache Tomcat que viene asociado a Netbeans, y en la etapa de producción se utilizó Apache Tomcat como servicio de Windows Java Java es un lenguaje de programación orientado a objetos desarrollado por Sun Microsystems en los años 90.

22 12 La empresa solicitó que el proyecto fuera desarrollado en este lenguaje debido a las ventajas que ofrece Java en cuanto a disponibilidad de extensa documentación y de librerías, lo que se traduce en facilidades de desarrollo y en una aplicación estable, eficiente y segura MySQL MySQL es un manejador de bases de datos relacional, multihilo, multiusuario y multiplataforma. Es patrocinado por una empresa privada, que posee el copyright de la mayor parte del código. En aplicaciones web hay baja concurrencia en la modificación de datos y alto grado de lectura de los mismos, lo que hace a MySQL ideal para este tipo de desarrollos. La versión utilizada en el proyecto fue la , y se usó para almacenar todos los datos persistentes de la aplicación, tanto información de usuarios del sistema como los datos generados por LEMSS resultado de la vigilancia de una red JSP JSP es una tecnología Java que permite generar código dinámico para web en forma de documentos HTML, utilizar código Java mediante scripts y ejecutar acciones JSP predefinidas a través de etiquetas. JSP permite el desarrollo de aplicaciones independientes de la plataforma donde se ejecuten, también permite separar la interfaz de usuario de los elementos de generación de contenido, dejando así a los desarrolladores modificar el diseño general de la página sin alterar el proceso de generación de contenido dinámico CSS CSS (Cascade Style Sheet) es un lenguaje que se usa para definir la presentación de un documento estructurado escrito en HTML. El W3C (World Wide Web Consortium) es quien especifica los estándares de las hojas de estilo. Se usó en este proyecto para separar la estructura de los documento HTML de su presentación. En este caso se uso una hoja de estilos externa, es

23 decir se separaron las reglas de formateo de las paginas HTML de la estructura básica de la página HTML HTML es un lenguaje de marcado para la elaboración de páginas web. Se usa para describir la estructura del texto de un documento. Se escribe en forma de etiquetas JavaScript Es un lenguaje de programación interpretado, orientado a objetos, imperativo y dinámico. Se diseño con una sintaxis igual a lenguaje C, aunque adopta nombres y convenciones del lenguaje de programación Java, sin embargo no están relacionados y tienen semánticas y propósitos diferentes. Se utiliza en el proyecto en el lado del cliente para hacer verificaciones dinámicas y así reducir el número de solicitudes al servidor Direct Web Remoting DWR es una librería de Java que permite llamar funciones de Java desde Javascript y viceversa de manera sencilla. Está compuesta por dos partes fundamentales: un servlet de Java que procesa solicitudes y envía la respuesta de vuelta al navegador y javascript que envía solicitudes al servlet y actualiza la página web JfreeChart JfreeChart es una librería de gráficos que permite a los desarrolladores mostrar gráficos profesionales en sus aplicaciones. Es gratuito y de fácil uso. En el proyecto se usaron estos gráficos en los reportes.

24 FusionCharts FusionCharts es una librería de gráficos completamente gratuita que ofrece gráficos animados e interactivos para aplicaciones web. Son fácilmente personalizables y adaptables al entorno donde se quieran agregar, y tienen apariencia profesional. Todos los gráficos que aparecen en el dashboard son de esta librería NetBeans IDE Es un entorno de desarrollo integrado de aplicaciones disponible para Windows, Linux, Mac OS y Solaris. Ayuda a mantener organizado el contenido del proyecto, y además ayuda a detectar errores de programación ya que verifica dinámicamente el código que se va escribiendo. En este proyecto se uso para crear una aplicación web LEMSS Es una aplicación adquirida por C.G.S.I. C.A. que se usa para detectar y remediar vulnerabilidades en la red. Los datos arrojados por la exploración de LEMSS sobre los equipos de la red son los que se muestran en el portal a través de gráficos y tablas Jasperreports, ireport Es un poderoso diseñador/creador de reportes de código abierto, gratuito, que se usa con JasperReports. JasperReports es una herramienta de creación de informes escrita completamente en lenguaje Java, libre, que tiene la habilidad de entregar contenido enriquecido al monitor, a la impresora o a ficheros PDF, HTML, XLS, CSV y XML. Puede ser usado en gran variedad de aplicaciones de Java, en este caso se uso para generar contenido dinámico (reportes) en la aplicación web. ireport es un editor de reportes que maneja la mayoría de las etiquetas de JasperReports. Ofrece una interfaz gráfica amigable e intuitiva.

25 15 Ofrece gráficos de JFreeChart,, facilidades para crear reportes con subreportes, tablas, y otros elementos necesarios para generar reportes de calidad profesional. En el proyecto se generan los reportes en formato HTML al momento de la creación y en PDF si se quieren descargar o imprimir Adobe Photoshop Es un software de edición de imágenes profesional, que se utilizó en este proyecto para crear el logo de la aplicación y para editar y adaptar los iconos e imágenes que se usaron en todo el portal MySQL Workbench Es un software que permite manipular bases de datos, diseñar esquemas de bases de datos nuevas, documentar una ya existente o realizar migraciones complejas. Se usó en el proyecto para crear/borrar tablas de las bases de datos, tanto de reportes como de la aplicación, y para generar diagramas Firebug Es un complemento para el navegador Mozilla Firefox que permite editar, monitorear y depurar errores en páginas web. Este complemento abre una consola en el navegador donde muestra los posibles errores, tanto en su estilo (código del CSS) como en el código HTML o JavaScript XSS Me Es un complemento para el navegador Mozilla Firefox que funciona como una herramienta Exploit-Me,, la cual verifica las vulnerabilidades de ataques de XSS (Cross-Site Scripting).

26 16 La herramienta funciona abriendo en el navegador el formulario HTML de la aplicación web a evaluar, posteriormente sustituye en el valor de los campos de entrada algunas cadenas que son representativas de un attack.rnrn de XSS, que pueden ser cualquier fragmento de código JavaScript incrustado en la entrada del formulario. Si la página HTML resultante establece un valor específico de JavaScript (document.vulnerable=true) la herramienta marca la página como vulnerable a la string.rnrn dada de XSS.

27 17 CAPITULO 4 DESARROLLO DE LA APLICACIÓN El desarrollo de este proyecto se dividió en varias fases, donde puede apreciarse la evolución de la aplicación desde sus inicios hasta llegar al producto final. A continuación se detallan dichas fases: 4.1 Fase 1. Estudio de la documentación. En esta etapa se estudiaron los manuales del producto LEMSS para conocer qué tipo de análisis ejecuta la herramienta y todos los pasos del proceso de remediación. De igual manera se analizó la estructura de la base de datos donde LEMSS almacena los datos resultantes de dicho proceso, ya que de ahí se extrae la información que se muestra en el portal desarrollado. Esta base de datos no estaba documentada, por lo que se tuvo que revisar su estructura por medio de diagramas generados por SQLServer, que es el gestor de bases de datos que se usó para consultar la base de datos de LEMSS. Luego de estudiar a fondo todas las tablas de la base de datos, se procedió a leer la documentación de Struts 2, ya que era un requerimiento de la empresa que la aplicación fuera desarrollada con ese framework. Para finalizar esta etapa, la empresa necesitaba que la aplicación fuera desarrollada siguiendo la guía OWASP Top 10 de seguridad de aplicaciones web. OWASP es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. En el apéndice A se encuentra la lista de los 10 riesgos de seguridad en aplicaciones web más destacados. 4.2 Fase 2. Levantamiento de requerimientos y diseño de la aplicación. En esta etapa se consultó a la persona asignada como guía del proyecto el detalle de lo que se quería desarrollar. Se comenzó a estructurar y diseñar las diferentes secciones del proyecto a desarrollar, primero a gran escala, luego en detalle. Se crearon documentos donde se detallaba cada sección del portal y su descripción con la finalidad de visualizar un esquema de la estructura

28 18 de la información que se iba recolectando, definir qué tipo de gráficos se usarían para representar dicha información y también para planificar la distribución del espacio de estos gráficos en el dashboard. Estos documentos se mostraban a los guías del proyecto en reuniones y se modificaban hasta que finalmente se aprobaba. En el apéndice B pueden observarse algunos de estos documentos. A lo largo del desarrollo se fueron modificando requerimientos y agregando algunos nuevos. Cuando se definió el primer esquema del proyecto que se quería desarrollar se paso a la siguiente fase de implementación. 4.3 Fase 3. Implementación. En esta etapa se diseño un documento de planificación, donde se dividió en fases el proyecto y se le asignó un estimado de duración. Estas fases fueron modificándose a medida que nuevos requerimientos surgían. En el apéndice C se puede observar la versión final de este documento Primera fase de la programación. La primera fase correspondía a las funcionalidades a implantar, donde se encuentran la búsqueda avanzada tipo árbol, los catálogos de usuarios y clientes, el módulo de auditoría sobre el sistema y el inicio de sesión, que abarca también el módulo de olvido de contraseña. Para el inicio de sesión se diseñó un formulario que solicita un nombre de usuario, una contraseña y un código de seguridad. Para autenticar el ingreso del usuario al portal, se toma la contraseña que proporciona éste en el formulario, se concatena con la fecha y hora de registro del usuario en el sistema, se codifica esta cadena resultante con el algoritmo MD5 (Message-Digest Algorith 5), y se compara con la almacenada en la base de datos (la cual está codificada de la misma manera) junto al nombre de usuario dado. Para ingresar al portal finalmente, se verifica el código de seguridad o captcha, que se usa para prevenir intentos de inicio de sesión por fuerza bruta. Esto ocurre cuando un usuario malintencionado usa un robot que prueba combinaciones de nombres de usuarios y posibles contraseñas hasta que encuentra alguna que le da acceso. Para evitar que dos claves iguales tengan el mismo código almacenado en la base de datos se agregó a la contraseña antes de codificarla un valor único (la fecha y hora del servidor al

29 19 momento de registrar al usuario). Esto garantiza que jamás habrá dos claves iguales en la base de datos. Para completar la implementación del inicio de sesión seguro, se deshabilito la opción de autocompletado en el formulario y el cache del navegador para que no recuerde los nombres de usuario que han ingresado al portal recientemente. La empresa solicitó que al salir de la sesión, ya sea cerrando sesión o a través de los botones del navegador, no se pudiera entrar al portal de nuevo adelantando o regresando con dichos botones. Para esto se manejo la sesión invalidando el ID de sesión al salir del portal, colocándole una etiqueta de no-cache a la página jsp y haciendo que caducara la sesión a los 10 minutos de inactividad. En la figura se puede observar la pantalla de captura del formulario de inicio de sesión. Figura Formulario de inicio de sesión. En cuanto al módulo de olvido de contraseña se pidió que al ingresar al enlace que se encuentra en la página de inicio de sesión se pidiera el correo electrónico con el que se registró el usuario, si es un correo válido, el sistema envía un correo a esa dirección con un enlace a una página de confirmación de solicitud de cambio de contraseña; si no es válido, el sistema envía un correo de alerta al equipo de soporte de la empresa. Al ingresar al enlace del primer correo, se accede a una página que indica que se enviará un segundo correo con un enlace al formulario de cambio de contraseña. Al ingresar al enlace del segundo correo, se dirige al formulario de cambio de contraseña, donde se pedirá la nueva clave de acceso y su confirmación. Esta contraseña debe tener al menos nueve caracteres y máximo quince y debe cumplir tres de cuatro condiciones de seguridad: al menos una mayúscula, una minúscula, un número o algún símbolo especial. Los enlaces a las páginas de confirmación y cambio de contraseña que se envían en los correos

30 20 caducan a la hora de ser enviados. Dichos enlaces contienen un código único encriptado, que lo identifican unívocamente para así poder invalidarlo fácilmente transcurrida una hora desde su emisión. En la figura se muestra la secuencia de pantallas que conforman el módulo de cambio de contraseña Figura Solicitud de cambio de contraseña. La búsqueda avanzada tiene estructura de árbol. En la raíz de éste se encuentra un nodo Clientes de donde se despliegan los clientes del sistema, y por cada uno de ellos se tiene búsqueda por sistema operativo, por inventario (hardware, software y servicios) o por vulnerabilidades. Esta funcionalidad facilita a los consultores el acceso a información de actualizaciones aplicadas, de inventario y sistemas operativos de los equipos de la red, en

31 21 definitiva pueden acceder a información que antes no estaba directamente disponible en LEMSS. A los clientes les ofrece una visión detallada de su red, por cada categoría de búsqueda del árbol mencionada anteriormente. En la figura se observa la captura de pantalla de la búsqueda avanzada para un usuario de C.G.S.I. donde se muestra la información de todos los clientes. Los clientes solo tienen disponible en el árbol la información de su red. Figura Búsqueda avanzada tipo árbol. Por último los catálogos de usuarios y clientes son formularios para ingresar un usuario/cliente nuevo al sistema. Se puede editar los datos de clientes y usuarios existentes en el sistema, y eliminarlos. Al eliminar un cliente se eliminan también todos los usuarios asociados al mismo. En el formulario de clientes se solicita el nombre del cliente, la fecha de expiración del contrato y su logo. En el formulario de usuarios se solicita datos como el nombre de usuario (que debe ser distinto a los ya existentes en el sistema), la contraseña (que debe cumplir con condiciones de seguridad), un correo electrónico válido, teléfonos de contacto, entre otros. En la figura se muestran las capturas de los formularios de clientes y usuarios.

32 22 Figura Catálogos. En todas las partes del proyecto donde hizo falta se hicieron validaciones del lado del cliente (JavaScript) y del lado del servidor (Java) Segunda fase de la programación. La segunda fase a implementar abarcaba todo lo relacionado con el modulo de carga y lectura de datos, el dashboard de clientes, el dashboard de usuarios C.G.S.I. y los detalles de éstos. El módulo de lectura y carga de datos consistió en un programa que corre en background, el cual carga y actualiza el repositorio intermedio de base de datos (mysql) a partir de la base de datos de LEMSS (SQLServer). En el repositorio intermedio se maneja inserción de nuevos datos, modificación y eliminación a través de tablas auxiliares que llevan registro del tamaño de cada una de las tablas de la base de datos y la fecha de la última actualización. En el repositorio intermedio cada vez que termina un ciclo del proceso de lectura y carga se detiene el mismo por diez minutos para liberar memoria. Para insertar nuevos datos en el repositorio basta saber cuál fue el último registro leído, y a partir de ahí comenzar a agregar los nuevos. Para modificar, si la clave primaria ya existe se actualizan los valores de interés de la tabla, y para eliminar los valores que ya no existen se usa un campo booleano que inicialmente se coloca en uno, luego al recorrer la tabla de la base de

33 datos de LEMSS se van marcando con cero los registros que existan y finalmente se eliminan los que queden con valor uno. 23 Tener este repositorio intermedio garantiza disponibilidad de los datos a toda hora y permite tener respaldada la información de LEMSS ante cualquier fallo. La estructura del repositorio de base de datos de S3-Patch se puede observar en la figura Los dashboard tanto de clientes como de usuarios de CGSI muestran la información relevante del análisis de LEMSS sobre la red a través de widgets tales como gráficos y tablas. En la figura se pueden observar los dashboard de los clientes y de los usuarios C.G.S.I. Cada gráfico del dashboard, tanto de barra como de torta, tiene en cada una de sus secciones acceso al detalle de la misma. La información del detalle se muestra en tablas. En el dashboard del usuario CGSI se encuentra información general del estado de los clientes, como por ejemplo las actualizaciones que se han aplicado más frecuentemente, las tareas de remediación que se han programado para ellos, la cantidad de hosts que se encuentran desconectados, entre otros. En la pantalla principal hay acceso al dashboard de cada cliente para ver en detalle el estado de cada uno. Se puede observar por ejemplo quienes son los hosts que se encuentran desconectados o a quien se le aplicó cada tarea. Figura Dashboard

34 Figura Estructura base de datos S3-Patch 24