1. Repositorio digital de la Universidad de Especialidades Espíritu Santo
  2. ÁREA DEL CONOCIMIENTO DE SISTEMAS, TELECOMUNICACIONES Y ELECTRÓNICA
  3. POSTGRADO
  4. AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
Por favor, use este identificador para citar o enlazar este ítem: http://repositorio.uees.edu.ec/123456789/2774
Título : DISEÑO DE UN ESQUEMA DE SEGURIDAD PARA LA AUTENTICACIÓN DE TELÉFONOS INTELIGENTES ANDROID EN APLICACIONES WEB CORPORATIVAS, QUE UTILIZAN UN SERVICIO DE DIRECTORIO
Autor : Merchan Miller, Christian Mauricio
Pinos Romero, Shirley
Palabras clave : Autenticación
IMEI
Directorio Activo
Aplicación Web,
Metodología OWASP.
Fecha de publicación : sep-2018
Resumen : Information is one of the most important intangible assets of organizations, the current strategy is oriented to the prevention and early detection of threats and vulnerabilities on this resource, the present work develops a security scheme to access in a controlled way the organizational web application from smartphones that operate with the Android operating system; this security mechanism proposes the use of a new authentication model that captures the IMEI number as the unique identifier of the device, this attribute is added to the traditional user request and password for access to the web applications, in effect, the information is authenticates with the user's data previously stored in the Active Directory of the organization, using a web server as an intermediary and a proxy server in the perimeter of the network. The results obtained with the tool for ZAP penetration and security tests and the OWASP methodology, demonstrated that the proposed security model contributes to minimize the risks by A2: 2017-Broken authentication and A5: 2017-Broken access control according to OWASP Top 10-2017 in the organizational intranet; These experimental results indicate that the security model for authenticating users in an organizational network is capable of supporting a variety of Spoofing-Looping, brute force or dictionary attacks, making it more efficient and less vulnerable to guessin attacks.
Descripción : La información es uno de los bienes intangibles más importantes de las organizaciones, la estrategia actual está orientada a la prevención y detección temprana de amenazas y vulnerabilidades sobre este recurso; el presente trabajo desarrolla un esquema de seguridad para acceder de manera controlada al aplicativo web organizacional desde teléfonos inteligentes que operan con el sistema operativo Android; este mecanismo de seguridad propone el uso de un nuevo modelo de autenticación que captura el número IMEI como identificador único del dispositivo, este atributo se añade a la tradicional solicitud de usuario y contraseña para el acceso a los aplicativos web, en efecto, la información se autentica al validarla con los datos del usuario almacenados previamente en el Directorio Activo de la organización, utilizando un servidor web como intermediario y un servidor proxy en el área perimetral de la red. Los resultados obtenidos con la herramienta para pruebas de seguridad y penetración ZAP y la metodología OWASP, demostraron que el modelo de seguridad propuesto contribuye a minimizar los riesgos por A2: 2017-Autenticación rota y A5: 2017-Control de acceso roto de acuerdo a OWASP Top 10-2017 en la intranet organizacional; estos resultados experimentales indican que el modelo de seguridad para autentificar usuarios en una red organizacional, es capaz de soportar una variedad de ataques de tipo Spoofing-Looping, fuerza bruta o de diccionario, haciéndola más eficiente y menos vulnerable a ataques de adivinanza.
URI : http://repositorio.uees.edu.ec/123456789/2774
Aparece en las colecciones: AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN

Ficheros en este ítem:
Fichero Descripción Tamaño Formato  
PINOS ROMERO SHIRLEY.pdf704,3 kBAdobe PDFVisualizar/Abrir
Mostrar el registro Dublin Core completo del ítem


Los ítems de DSpace están protegidos por copyright, con todos los derechos reservados, a menos que se indique lo contrario.