Auditoría en seguridad sobre una API aplicada a un entorno IoT

El Internet de las Cosas (IoT) es una tecnología claramente disruptiva en crecimiento, con impacto y capacidad inconcebible. Las API REST constituye una tecnología capaz de registrar e interconectar todo. Por la tanto es importante introducir una API segura que permita acaparar y/o defender la infil...

Descripción completa

Detalles Bibliográficos
Autor: Torrijos Chaparro, Homero
Tipo de recurso: tesis de maestría
Fecha de publicación:2021
País:España
Institución:Universidad Complutense de Madrid (UCM)
Repositorio:Docta Complutense
Idioma:español
OAI Identifier:oai:docta.ucm.es:20.500.14352/9183
Acceso en línea:https://hdl.handle.net/20.500.14352/9183
Access Level:acceso abierto
Palabra clave:004(043.3)
API REST
Pentesting
BLE
Node RED
OWASP Foundation
Swagger
OpenAPI Specification
ZAP
MongoDB
Node.js
OWASP
Informática (Informática)
1203.17 Informática
Descripción
Sumario:El Internet de las Cosas (IoT) es una tecnología claramente disruptiva en crecimiento, con impacto y capacidad inconcebible. Las API REST constituye una tecnología capaz de registrar e interconectar todo. Por la tanto es importante introducir una API segura que permita acaparar y/o defender la infiltración de atacantes en la red hacia los dispositivos IoT. La seguridad en una API representa una búsqueda de vulnerabilidades constantemente. Las vías de comunicación entre el cliente y el servidor son el medio por el que las API sufren ataques que alteran el estado o funcionamiento del sistema. Asegurar el formato de las peticiones, los tipos de datos que se reciben o la validación de éstos representan una respuesta a posibles riesgos que afectan al rendimiento de la API. Por lo tanto auditar la seguridad de una API en desarrollo, diseño o implementación permite asegurar el correcto funcionamiento, gracias a la aplicación de buenas prácticas y el uso de herramientas de seguridad que permitan descubrir esas vulnerabilidades. En el presente Trabajo Fin de Máster (TFM) se desarrolla una API de autoría propia adaptada a un entorno IoT con el objetivo de realizar una auditoría de seguridad y por consiguiente asegurar el sistema a posibles ataques, evitando la perdida de datos o alteración de los mismos tanto del lado del cliente como del servidor. La auditoría se llevará a cabo siguiendo las buenas prácticas de la OWASP Foundation y haciendo uso de ZAP como herramienta de pentesting. De igual forma se adhiere a este proyecto OpenAPI Specification para generar la documentación mediante el framework Swagger. La adquisición de los datos se realiza con BLE desde un nodo sensor genérico conectado a Node RED y se envían los datos por peticiones REST hacia el servidor, donde se almacenan todos los datos en MongoDB. Para el desarrollo de la API se utilizó Node.js.