DISEÑO DE UN ESQUEMA DE SEGURIDAD PARA LA AUTENTICACIÓN DE TELÉFONOS INTELIGENTES ANDROID EN APLICACIONES WEB CORPORATIVAS, QUE UTILIZAN UN SERVICIO DE DIRECTORIO
Loading...
Date
Authors
Journal Title
Journal ISSN
Volume Title
Publisher
Abstract
Information is one of the most important intangible assets of organizations, the current strategy is oriented to
the prevention and early detection of threats and vulnerabilities on this resource, the present work develops
a security scheme to access in a controlled way the organizational web application from smartphones that
operate with the Android operating system; this security mechanism proposes the use of a new
authentication model that captures the IMEI number as the unique identifier of the device, this attribute is
added to the traditional user request and password for access to the web applications, in effect, the
information is authenticates with the user's data previously stored in the Active Directory of the organization,
using a web server as an intermediary and a proxy server in the perimeter of the network. The results
obtained with the tool for ZAP penetration and security tests and the OWASP methodology, demonstrated
that the proposed security model contributes to minimize the risks by A2: 2017-Broken authentication and
A5: 2017-Broken access control according to OWASP Top 10-2017 in the organizational intranet; These
experimental results indicate that the security model for authenticating users in an organizational network is
capable of supporting a variety of Spoofing-Looping, brute force or dictionary attacks, making it more efficient
and less vulnerable to guessin attacks.
Description
La información es uno de los bienes intangibles más importantes de las organizaciones, la
estrategia actual está orientada a la prevención y detección temprana de amenazas y vulnerabilidades
sobre este recurso; el presente trabajo desarrolla un esquema de seguridad para acceder de manera
controlada al aplicativo web organizacional desde teléfonos inteligentes que operan con el sistema
operativo Android; este mecanismo de seguridad propone el uso de un nuevo modelo de autenticación
que captura el número IMEI como identificador único del dispositivo, este atributo se añade a la
tradicional solicitud de usuario y contraseña para el acceso a los aplicativos web, en efecto, la
información se autentica al validarla con los datos del usuario almacenados previamente en el
Directorio Activo de la organización, utilizando un servidor web como intermediario y un servidor proxy
en el área perimetral de la red. Los resultados obtenidos con la herramienta para pruebas de seguridad
y penetración ZAP y la metodología OWASP, demostraron que el modelo de seguridad propuesto
contribuye a minimizar los riesgos por A2: 2017-Autenticación rota y A5: 2017-Control de acceso roto
de acuerdo a OWASP Top 10-2017 en la intranet organizacional; estos resultados experimentales
indican que el modelo de seguridad para autentificar usuarios en una red organizacional, es capaz de
soportar una variedad de ataques de tipo Spoofing-Looping, fuerza bruta o de diccionario, haciéndola
más eficiente y menos vulnerable a ataques de adivinanza.