Академический Документы
Профессиональный Документы
Культура Документы
opasdfghjklzxcvbnmqwertyuiopasdfgh
jklzxcvbnmqwertyuiopasdfghjklzxcvb
nmqwertyuiopasdfghjklzxcvbnmqwer
Auditoría de Redes
Auditoría de Sistemas
tyuiopasdfghjklzxcvbnmqwertyuiopas
24/08/2009
dfghjklzxcvbnmqwertyuiopasdfghjklzx
INTEGRANTES
Calderón Villanueva José H.
Miranda Guevara Edwin
Muñoz Aleman Jonathan
cvbnmqwertyuiopasdfghjklzxcvbnmq
Ramos Ramírez Yaser J.
Reque Llumpo Johnny J.
wertyuiopasdfghjklzxcvbnmqwertyuio
pasdfghjklzxcvbnmqwertyuiopasdfghj
klzxcvbnmqwertyuiopasdfghjklzxcvbn
mqwertyuiopasdfghjklzxcvbnmqwerty
uiopasdfghjklzxcvbnmqwertyuiopasdf
ghjklzxcvbnmqwertyuiopasdfghjklzxc
vbnmqwertyuiopasdfghjklzxcvbnmrty
uiopasdfghjklzxcvbnmqwertyuiopasdf
ghjklzxcvbnmqwertyuiopasdfghjklzxc
Auditoría de Redes Auditoría de Sistemas
Índice de Contenido
1. Terminología Básica .................................................................................................................... 5
2. Modelos de Redes ....................................................................................................................... 6
2.1. Modelo d Referencia OSI..................................................................................................... 6
2.2. Niveles Funcionales ............................................................................................................. 8
2.2.1. NIVEL 1: Capa Física ..................................................................................................... 8
2.2.2. NIVEL 2: Capa de Enlace de Datos ............................................................................... 9
2.2.3. NIVEL 3: Capa de Red ................................................................................................ 10
2.2.4. NIVEL 4: Capa de Trasporte ....................................................................................... 11
2.2.5. NIVEL 5: Capa de Sesión ............................................................................................ 13
2.2.6. NIVEL 6: Capa de Presentación ................................................................................. 13
2.2.7. NIVEL 7: Capa de Aplicaciones .................................................................................. 14
2.3. Aplicación del Modelo OSI ................................................................................................ 15
3. Vulnerabilidades y Ataques Informáticos ................................................................................. 17
3.1. Análisis de Vulnerabilidades.............................................................................................. 17
3.1.1. Acuerdo de Confidencialidad entre las Partes .......................................................... 19
3.1.2. Establecer las Reglas del Juego ................................................................................. 19
3.1.3. Reunión de Información ............................................................................................ 19
3.1.4. Test Interior ............................................................................................................... 19
3.1.5. Test Exterior .............................................................................................................. 20
3.1.6. Documentación e Informe ........................................................................................ 20
3.2. Analizadores de Vulnerabilidades ..................................................................................... 21
3.3. En Busca de los Agujeros de la Red ................................................................................... 22
3.3.1. Del Host a la Red ....................................................................................................... 22
24 de agosto de 2009
3.3.2. Mejores Prestaciones ................................................................................................ 23
3.3.3. Mayor Automatización .............................................................................................. 23
3.3.4. Servicios Online ......................................................................................................... 24
3.4. Evaluación de la Vulnerabilidad ........................................................................................ 25
4. Protocolos y Redes Abiertas...................................................................................................... 26
4.1. Propiedades Típicas........................................................................................................... 26
4.2. Protocolos Comunes ......................................................................................................... 27
2:
Auditoría de Redes Auditoría de Sistemas
Índice de Ilustraciones
Ilustración 1. Las 7 capas del modelo OSI. .......................................................................................... 7
Ilustración 2. Capa física del modelo OSI. ........................................................................................... 9
Ilustración 3. Capa de enlace de datos del modelo OSI. ................................................................... 10
Ilustración 4. Capa de red del modelo OSI. ....................................................................................... 11
Ilustración 5. Capa de transporte del modelo OSI. ........................................................................... 12
Ilustración 6. Capa de sesión del modelo OSI. .................................................................................. 13
Ilustración 7. Capa de presentación del modelo OSI. ....................................................................... 14
Ilustración 8. Capa de aplicaciones del modelo OSI.......................................................................... 15
24 de agosto de 2009
Ilustración 9. Niveles 6 y 7 del modelo OSI. ...................................................................................... 15
Ilustración 10. Niveles 4 y 5 del modelo OSI. .................................................................................... 15
Ilustración 11. Niveles 1, 2 y 3 del modelo OSI. ................................................................................ 16
Ilustración 12. Resumen de los niveles y capas del modelo OSI. ...................................................... 16
Ilustración 13. Análisis de los hallazgos. ........................................................................................... 40
3:
Auditoría de Redes Auditoría de Sistemas
Índice de Tablas
Tabla 1. Aspectos típicos de seguridad física para salas secundarias. .............................................. 36
Tabla 2. Aspectos típicos de seguridad física para salas principales................................................. 36
Tabla 3. Hallazgos de ausencia de políticas y procedimientos para la administración de la seguridad
de la red física. .................................................................................................................................. 37
Tabla 4. Hallazgos referentes a las salas principales y secundarias. ................................................. 38
Tabla 5. Hallazgos identificados agrupados en categorías. ............................................................... 39
Tabla 6. Ponderación de los hallazgos. ............................................................................................. 39
24 de agosto de 2009
4:
Auditoría de Redes Auditoría de Sistemas
Auditoría de Redes
La infraestructura de las Tecnologías de la Información y de las Comunicaciones (TIC) se ha
convertido en un activo empresarial estratégico y la red constituye su núcleo. La Auditoría de
Redes es una serie de mecanismos mediante los cuales se pone a prueba una red informática,
evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la
información. Consiste en identificar:
La identificación se lleva a cabo en los equipos, la red, la Intranet y Extranet. Las etapas de la
Auditoria de Redes son:
Análisis de la Vulnerabilidad
Estrategia de Saneamiento
Plan de Contención ante posibles incidentes
Seguimiento Continuo del desempeño del Sistema
1. Terminología Básica
A continuación se presenta la definición de los términos más usados en una red de
comunicaciones.
ROUTER. Lee las direcciones que se escriben y las identifica, este a su vez pone los paquetes
en otra red si es necesario. El Router es el que se encarga de organizar y contralar el tráfico.
DNS. Esto lo que hace es que identifica y busca los nombres de los “Domain” dominios. Se
utiliza para buscar principalmente las direcciones IP.
5:
Auditoría de Redes Auditoría de Sistemas
HUB. Se utiliza para conectar distintos tipos de cable o redes de área local. Para los que no lo
saben, el término “hub” en español significa “Concentrador”. Es el núcleo o centro de
conexión de una red.
IP. Es un tipo de protocolo que empaqueta y etiqueta los paquetes cargados con datos y los
pone en camino.
ROUTER SWITCH. Es tal vez mucho más eficiente que el router y más rápido. Este suelta los
paquetes enlutándoles por su camino. Como si fuera una maquina de “feedback’ digital.
TCP: Es un estándar de comunicación muy extendido y de uso muy frecuente para software
de redes. El TCP es un tipo de protocolo de Internet.
Protocolos: Son las distintas maneras que existen de comunicaciones; Existen distintos tipos
de protocolos cada uno diseñado para una función y actividad específica.
2. Modelos de Redes
24 de agosto de 2009
6:
Auditoría de Redes Auditoría de Sistemas
La potencia del Modelo OSI proviene de que cada capa no tiene que preocuparse de
qué es lo que hagan las capas superiores ni las inferiores: cada capa se comunica
con su igual en el interlocutor, con un protocolo de comunicaciones específico.
Para establecer una comunicación, la información atraviesa descendentemente la
pila formada por las siete capas, atraviesa el medio físico y asciende a través de las
siete capas en la pila de destino. Por tanto, cada capa tiene unos métodos prefijados
para comunicarse con las inmediatamente inferior y superior.
La red LAN Más extendida, ETHERNET, está basada en que cada emisor envía,
cuando desea, una trama al medio físico, sabiendo que todos los destinatarios están
permanentemente en escucha. Justo antes de enviar, el emisor se pone a la
escucha, y si no hay tráfico, procede directamente al envío. Sí al escuchar detecta
24 de agosto de 2009
que otro emisor está enviando, espera un tiempo aleatorio antes de volverse a
poner a la escucha.
La LAN Token Ring, desarrollada por IBM, está normalizada como IEEE 802.5, tiene
velocidades de 4 y 16 Mbps y una mejor utilización del canal cuando se incremente
el tráfico.
Para redes WAN, está muy extendido el X.25, se basa en fragmentar la información
en paquetes, habitualmente de 128 caracteres. Estos paquetes se entregan a un
transportista habitualmente público que se encarga de ir enviándolos saltando
entre diversos nodos intermedios hacia el destino
7:
Auditoría de Redes Auditoría de Sistemas
Es la encargada de transmitir los bits de información a través del medio utilizado para la
transmisión. Se ocupa de las propiedades físicas y características eléctricas de los diversos
componentes; de la velocidad de transmisión, si ésta es uni o bidireccional (símplex,
dúplex o full-dúplex). También de aspectos mecánicos de las conexiones y terminales,
incluyendo la interpretación de las señales eléctricas/electromagnéticas.
Se encarga de transformar una trama de datos proveniente del nivel de enlace en una
señal adecuada al medio físico utilizado en la transmisión. Estos impulsos pueden ser
eléctricos (transmisión por cable) o electromagnéticos (transmisión sin cables). Estos
últimos, dependiendo de la frecuencia / longitud de onda de la señal pueden ser ópticos,
de micro-ondas o de radio. Cuando actúa en modo recepción el trabajo es inverso; se
encarga de transformar la señal transmitida en tramas de datos binarios que serán
entregados al nivel de enlace.
Definir el medio o medios físicos por los que va a viajar la comunicación: cable de
pares trenzados (o no, como en RS232/EIA232), coaxial, guías de onda, aire, fibra
óptica.
Definir las características materiales (componentes y conectores mecánicos) y
eléctricas (niveles de tensión) que se van a usar en la transmisión de los datos por
los medios físicos.
Definir las características funcionales de la interfaz (establecimiento, 24 de agosto de 2009
mantenimiento y liberación del enlace físico).
Transmitir el flujo de bits a través del medio.
Manejar las señales eléctricas/electromagnéticas
Especificar cables, conectores y componentes de interfaz con el medio de
transmisión, polos en un enchufe, etc.
Garantizar la conexión (aunque no la fiabilidad de ésta).
8:
Auditoría de Redes Auditoría de Sistemas
9:
Auditoría de Redes Auditoría de Sistemas
Los routers trabajan en esta capa, aunque pueden actuar como switch de nivel 2 en
determinados casos, dependiendo de la función que se le asigne. Los firewalls actúan
sobre esta capa principalmente, para descartar direcciones de máquinas.
24 de agosto de 2009
En este nivel se realiza el direccionamiento lógico y la determinación la ruta de los datos
hasta su receptor final.
10:
Auditoría de Redes Auditoría de Sistemas
11:
Auditoría de Redes Auditoría de Sistemas
comunicación. Todo el servicio que presta la capa está gestionado por las cabeceras que
agrega al paquete a transmitir.
Capa encargada de efectuar el transporte de los datos (que se encuentran dentro del
paquete) de la máquina origen a la de destino, independizándolo del tipo de red física que
se esté utilizando. La PDU de la capa 4 se llama Segmentos. Sus protocolos son TCP y UDP
el primero orientado a conexion y el otro sin conexión.
24 de agosto de 2009
12:
Auditoría de Redes Auditoría de Sistemas
Por lo tanto, el servicio provisto por esta capa es la capacidad de asegurar que, dada una
sesión establecida entre dos máquinas, la misma se pueda efectuar para las operaciones
definidas de principio a fin, reanudándolas en caso de interrupción. En muchos casos, los
servicios de la capa de sesión son parcial o totalmente prescindibles.
En conclusión esta capa es la que se encarga de mantener el enlace entre los dos
computadores que estén transmitiendo datos de cualquier índole.
13:
Auditoría de Redes Auditoría de Sistemas
Esta capa también permite cifrar los datos y comprimirlos. En pocas palabras es un
traductor.
Por todo ello, podemos resumir la definición de esta capa como aquella encargada de
manejar la estructura de datos abstracta y realizar las conversiones de representación de
los datos necesarias para la correcta interpretación de los mismos.
14:
Auditoría de Redes Auditoría de Sistemas
24 de agosto de 2009
15:
Auditoría de Redes Auditoría de Sistemas
24 de agosto de 2009
16:
Auditoría de Redes Auditoría de Sistemas
Cada día aumentan los ataques contra redes y contra computadores conectados a la red. “La
omnipresencia de Internet los está [virus] volviendo pan de cada día y están aumentando su
poder”. El nivel de sofisticación de estos ataques es cada vez mayor, lo cual exige el desarrollo
y actualización de herramientas pertinentes.
En las etapas de identificación y análisis, los Analizadores de Vulnerabilidades como los que se
desarrollan en el presente documento juegan un papel fundamental para una clara y eficaz
detección de falencias en seguridad. (Acosta, Buitrago, Newball, Ramírez, & Sanchéz)
MÉTODOS
17:
Auditoría de Redes Auditoría de Sistemas
CAJA BLANCA. El analista de seguridad tiene una visión total de la red a analizar, así como
acceso a todos los equipos como super usuario. Este tipo de análisis tiene la ventaja de ser
más completo y exhaustivo.
El resultado del test de penetración mostrará una idea general del estado de la seguridad de
los sistemas frente a los ataques. Si se encontraran una o más vulnerabilidades, no se realiza
su explotación. Como conclusión de este paso, se debe obtener un informe que indique:
Vulnerabilidades de implementación.
Vulnerabilidades de configuración.
Vulnerabilidades de dispositivo.
Vulnerabilidades de protocolo. 24 de agosto de 2009
Vulnerabilidades de aplicación
Escaneo de puertos.
Detección de vulnerabilidades.
Analizador de protocolos.
Passwords crackers.
18:
Auditoría de Redes Auditoría de Sistemas
Ingeniería social.
Trashing
Existen sitios donde encontrará información muy diversa, desde publicaciones y bibliografía
específica en seguridad, hasta repositorios de vulnerabilidades con sus exploits:
Revisión de Privacidad
Testeo de Aplicaciones de Internet
Testeo de Sistema de Detección de Intrusos
19:
Auditoría de Redes Auditoría de Sistemas
Una vez que se recopiló esta información, se procede a realizar las siguientes pruebas:
Sondeo de Red
Identificación de los Servicios de Sistemas
Búsqueda y Verificación de Vulnerabilidades
Testeo de Aplicaciones de Internet
Enrutamiento
Testeo de Relaciones de Confianza 24 de agosto de 2009
Verificación de Radiación Electromagnética (EMR)
Verificación de Redes Inalámbricas [802.11]
20:
Auditoría de Redes Auditoría de Sistemas
Como anexo se deben incluir los resultados de los programas utilizados. (Ramírez)
Sin embargo, existen fuertes críticas sobre los analizadores de vulnerabilidades ya que
funcionan bajo un esquema de reglas, que son sólo generadas por expertos en el tema y
que se configuran para vulnerabilidades. La posibilidad de acceder a estas reglas y
conocerlas, permite que personas malintencionadas realicen ataques contra redes no
protegidas para estas vulnerabilidades. Adicionalmente, la identificación y definición de
reglas se deja en manos de expertos que puedan comprender las interacciones de las cuales
surgen las vulnerabilidades.
Por otra parte, aunque existen diversas formas de realizar auditorías de seguridad apoyadas
en las herramientas descritas anteriormente, en todos los casos se utilizan herramientas
para la detección de las vulnerabilidades.
Estas herramientas que detectan fallas de seguridad pueden ser utilizadas de dos formas
diferentes: interna o externamente a la maquina que se analiza. Cuando se aplican 24 de agosto de 2009
internamente, se realiza la auditoría desde el interior de la máquina (generalmente
utilizando el superusuario), lo que otorga numerosas ventajas para la detección de
vulnerabilidades ya que se tiene acceso a los ficheros críticos del sistema. En el caso de las
auditorías externas, la detección de vulnerabilidades se realiza desde una máquina diferente
a la que está siendo analizada. En este tipo de auditorías se realizan ataques para verificar la
existencia de vulnerabilidades. De la variedad y cantidad de ataques que alguna de estas
herramientas sea capaz de realizar, dependerá, en gran parte, el éxito en la detección de
vulnerabilidades. Aunque este factor es, probablemente, el más importante, conviene
21:
Auditoría de Redes Auditoría de Sistemas
considerar otros aspectos como por ejemplo la forma de realizar los ataques. Cabe anotar
que las herramientas descritas en este informe realizan un análisis de debilidades externas
del sistema. Es decir, las herramientas que se instalan en una máquina para realizar ataques
sobre otra diferente, y de este modo detectar sus vulnerabilidades; presentando, tal vez, el
punto de vista más realista para analizar vulnerabilidades, ya que asumen el papel de hacker
externo que pretende comprometer una máquina a través de la red. (Acosta, Buitrago,
Newball, Ramírez, & Sanchéz)
Sin embargo, pese a estar presentes en el mercado desde hace casi una década, estas
herramientas todavía se encuentran muy lejos de la madurez. Muchos de estos productos
aún reportan “falsos positivos” y, cuando aciertan, no siempre informan con la precisión
necesaria. Con todo, su demanda sigue creciendo: según IDC, las ventas de este tipo de
herramientas pasarán de los 359 millones de dólares previstos para este año a 657 millones
en 2004.
Los principales productos de este segmento son Secure Scanner de Cisco, Internet Scanner
de ISS y Distributed Cybercop Scanner de Network Associates. Y no hay que olvidar el
24 de agosto de 2009
escáner Retina de eEye Digital Security, que está ganando terreno rápidamente gracias a
sus buenas prestaciones. De hecho, fue el que más puntuación obtuvo en la comparativa
realizada por IDG.
22:
Auditoría de Redes Auditoría de Sistemas
dichos sistemas que las basadas en red. Además, se pueden combinar con políticas
corporativas. Los principales productos dentro de esta categoría son Enterprise Security
Manager de Symantec, bv-Control de BindView y System Scanner de ISS.
A pesar de estas diferencias, lo cierto es que poco a poco se están diluyendo las barreras
que separan a ambos tipos de productos. Así, muchos escáneres de análisis de red
incluyen ahora funcionalidades típicas de las soluciones basadas en host, como las
características de auto reparación. También son muchos hoy en día los que añaden análisis
de los permisos de registros y las propiedades de las cuentas.
Una nueva aportación a este mercado son los servicios de análisis online, que a un coste
atractivo y de un modo automatizado y online evalúan las vulnerabilidades potenciales de
los dispositivos perimetrales del cliente; algunos incluso escanean sistemas internos.
23:
Auditoría de Redes Auditoría de Sistemas
acceder al sistema, abrir el editor del registro, encontrar la clave del registro y cambiar los
permisos. Aquí, las herramientas basadas en hosts, como tienen la ventaja de contar con
un agente residente físicamente en el sistema, acceden a muchos más recursos de sistema
susceptibles de representar un agujero de seguridad.
Con estos servicios los escaneados pueden ser programados, por el usuario final o por el
proveedor del servicio, de forma que se realicen automáticamente. Los resultados se
envían por correo electrónico al usuario para ello designado, o se almacena en un servidor
seguro para su posterior revisión. Muchos informes incluyen análisis diferenciales para ver
la evolución en el tiempo del estado de la seguridad corporativa.
24 de agosto de 2009
Otros proveedores se centran exclusivamente en la provisión de servicios de escaneado de
vulnerabilidades, que venden a terceros, firmas consultoras generalmente, que los
incluyen en sus ofertas dirigidas al usuario final.
Diferentes enfoques. Una ventaja fundamental de los servicios online es que permiten
desentenderse de las actualizaciones. El proveedor se ocupa de todo: desarrolla firmas y
actualizaciones para nuevas vulnerabilidades y las incluye automáticamente en el
siguiente escaneado a realizar.
24:
Auditoría de Redes Auditoría de Sistemas
Como estos servicios contienen datos sobre la red que cualquier hacker desearía saber, los
informes son almacenados en bases de datos encriptados únicamente accesibles con las
credenciales de usuario apropiadas. Aunque los datos deben ser salvados para generar
informes comparativos, algunos servicios los guardan sólo por un tiempo limitado.
SecureScan, por ejemplo, crea informes en PDF que sólo se almacena durante 14 días.
Otros servicios online usan herramientas de fuente abierta, como Nmap y Nessus,
combinadas con herramientas de desarrollo propio.
Los servicios de análisis de vulnerabilidades online son ideales si lo que se está buscando
es realizar escaneados “manos libres” programados regularmente de los dispositivitos
abiertos a Internet. También cuando no se quiere estar pendiente de las actualizaciones, o
se precisa la ayuda de un tercero que se encargue de evaluar y monitorizar la red
constantemente.
25:
Auditoría de Redes Auditoría de Sistemas
Las evaluaciones internas utilizan una metodología similar a las externas, sin embargo el
contacto se realiza dentro de la WAN en cada zona de gestión lógica, segmento físico o
simplemente adjunto a la DMZ.
Los protocolos son reglas de comunicación que permiten el flujo de información entre
equipos que manejan lenguajes distintos, por ejemplo, dos computadores conectados en la
misma red pero con protocolos diferentes no podrían comunicarse jamás, para ello, es
necesario que ambas "hablen" el mismo idioma, por tal sentido el protocolo TCP/IP, que fue
creado para las comunicaciones en Internet, para que cualquier computador se conecte a
Internet, es necesario que tenga instalado este protocolo de comunicación.
26:
Auditoría de Redes Auditoría de Sistemas
Handshaking.
Negociación de varias características de la conexión.
Cómo iniciar y finalizar un mensaje.
Procedimientos en el formateo de un mensaje.
Qué hacer con mensajes corruptos o formateados incorrectamente (correción de
errores).
Cómo detectar una pérdida inesperada de la conexión, y qué hacer entonces.
Terminación de la sesión y/o conexión.
UDP. User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el
intercambio de datagramas. Permite el envío de datagramas a través de la red sin que se
haya establecido previamente una conexión, ya que el propio datagrama incorpora
suficiente información de direccionamiento en su cabecera. Tampoco tiene confirmación ni
control de flujo, por lo que los paquetes pueden adelantarse unos a otros; y tampoco se
sabe si ha llegado correctamente, ya que no hay confirmación de entrega o recepción. Su
uso principal es para protocolos como DHCP, BOOTP, DNS y demás protocolos en los que el
intercambio de paquetes de la conexión/desconexión son mayores, o no son rentables con
respecto a la información transmitida, así como para la transmisión de audio y vídeo en
tiempo real, donde no es posible realizar retransmisiones por los estrictos requisitos de
retardo que se tiene en estos casos.
27:
Auditoría de Redes Auditoría de Sistemas
POP3. Se utiliza el Post Office Protocol (POP3) en clientes locales de correo para obtener los
mensajes de correo electrónico almacenados en un servidor remoto. La mayoría de los
24 de agosto de 2009
suscriptores de los proveedores de Internet acceden a sus correos a través de POP3.
SMTP. Simple Mail Transfer Protocol (SMTP) Protocolo Simple de Transferencia de Correo,
es un protocolo de la capa de aplicación. Protocolo de red basado en texto utilizado para el
intercambio de mensajes de correo electrónico entre computadoras u otros dispositivos
(PDA's, teléfonos móviles, etc.). Está definido en el RFC 2821 y es un estándar oficial de
Internet.
28:
Auditoría de Redes Auditoría de Sistemas
acceso al correo electrónico desde cualquier equipo que tenga una conexión a Internet.
IMAP tiene varias ventajas sobre POP, que es el otro protocolo empleado para obtener
correo desde un servidor. Por ejemplo, es posible especificar en IMAP carpetas del lado
servidor. Por otro lado, es más complejo que POP ya que permite visualizar los mensajes de
manera remota y no descargando los mensajes como lo hace POP.
SOAP. (Simple Object Access Protocol) es un protocolo estándar que define cómo dos
objetos en diferentes procesos pueden comunicarse por medio de intercambio de datos
XML. Este protocolo deriva de un protocolo creado por David Winer en 1998, llamado XML-
RPC. SOAP fue creado por Microsoft, IBM y otros y está actualmente bajo el auspicio de la
W3C. Es uno de los protocolos utilizados en los servicios Web.
STP. Spanning Tree Protocol es un protocolo de red de nivel 2 de la capa OSI, (nivel de
enlace de datos). Está basado en un algoritmo diseñado por Radia Perlman mientras
trabajaba para DEC. Hay 2 versiones del STP: la original (DEC STP) y la estandarizada por el
IEEE (IEEE_802.1D), que no son compatibles entre sí. En la actualidad, se recomienda utilizar
la versión estandarizada por el IEEE.
29:
Auditoría de Redes Auditoría de Sistemas
Por tanto, el primer punto de una auditoria es determinar que la función de gestión de redes
y comunicaciones esté claramente definida, debiendo ser responsable, en general de las
siguientes áreas:
Los planes de comunicación a alta velocidad como fibra óptica y ATM ( técnica de
conmutación de paquetes usada en redes MAN e ISDN).
Planificación de cableado.
30:
Auditoría de Redes Auditoría de Sistemas
Es necesario monitorizar la red, revisar los errores o situaciones anómalas que se producen y
tener establecidos los procedimientos para detectar y aislar equipos en situación anómala.
Ante estas situaciones anómalas se debe:
En general, si se quiere que la información que viaja por la red no pueda ser espiada, la única 24 de agosto de 2009
solución totalmente efectiva es la encriptación.
31:
Auditoría de Redes Auditoría de Sistemas
pantalla tras digitarlas, para cada usuario, se debe dar información sobre su última
conexión a fin de evitar suplantaciones.
Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.
Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser
vistos desde una terminal debidamente autorizada.
Asegurar que los datos que viajan por Internet vayan cifrados. Los datos
confidenciales se cifran con un algoritmo de cifrado y una clave que los hace ilegibles
si no se conoce dicha clave. Las claves de cifrado de datos se determinan en el
momento de realizar la conexión entre los equipos. El uso del cifrado de datos puede
iniciarse en su equipo o en el servidor al que se conecta. Conexiones de red admite
dos tipos de cifrado:
o Microsoft MPPE, que utiliza cifrado RSA RC4.
o Una implementación de Seguridad de Protocolo Internet (IPSec) que utiliza
cifrado de Estándar de cifrado de datos (DES).
Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad
asociado para impedir el acceso de equipos foráneos a la red.
Deben existir políticas que prohíban la instalación de programas o equipos personales 24 de agosto de 2009
en la red.
Los accesos a servidores remotos han de estar inhabilitados. Ya que los servidores de
acceso remoto controlan las líneas de módem de los monitores u otros canales de
comunicación de la red para que las peticiones conecten con la red de una posición
remota, responden llamadas telefónicas entrantes o reconocen la petición de la red y
realizan los chequeos necesarios de seguridad y otros procedimientos necesarios para
registrar a un usuario en la red.
32:
Auditoría de Redes Auditoría de Sistemas
La propia empresa generará propios ataques para probar solidez de la red y encontrar
posibles fallos en cada una de las siguientes facetas:
o Servidores = Desde dentro del servidor y de la red interna.
o Servidores Web.
o Intranet = Desde dentro. Una Intranet, es una red de Área Local o LAN. La
cual tiene la característica, de ser de exclusivo uso, de la empresa u
organización que la ha instalado. Debido a ello, es que utiliza protocolos
HTML y el TCP/IP. Protocolos que permiten la interacción en línea de la
Intranet, con la Internet.
o Cualquier Intranet, lleva consigo, distintos niveles de seguridad, según el
usuario. Estos niveles de seguridad, son asignados, según la relevancia del
puesto dentro de la organización, del usuario. Claro que existen niveles
compartidos por todos. Ahora, los niveles básicos de seguridad, impiden la
utilización de la Intranet, por parte de personas foráneas a la empresa o
establecimiento educativo.
o Firewall = Desde dentro. Un firewall es un dispositivo que funciona como
cortafuegos entre redes, permitiendo o denegando las transmisiones de una
red a la otra. Un uso típico es situarlo entre una red local y la red Internet,
como dispositivo de seguridad para evitar que los intrusos puedan acceder a
información confidencial.
o Un firewall es simplemente un filtro que controla todas las comunicaciones
que pasan de una red a la otra y en función de lo que sean permite o deniega
su paso. Para permitir o denegar una comunicación el firewall examina el tipo
de servicio al que corresponde, como pueden ser el web, el correo o el IRC.
o Accesos del exterior y/o Internet.
En general, muchas veces se parte del supuesto de que si no existe acceso físico desde el
exterior a la red interna de una empresa las comunicaciones internas quedan a salvo. Debe
33:
Auditoría de Redes Auditoría de Sistemas
comprobarse que efectivamente los accesos físicos provenientes del exterior han sido
debidamente registrados, para evitar estos accesos. Debe también comprobarse que desde
el interior del edificio no se intercepta físicamente el cableado (“pinchazo”).
En caso de desastre, bien sea total o parcial, ha de poder comprobarse cuál es la parte del
cableado que queda en condiciones de funcionar y qué operatividad puede soportar. Ya que
el tendido de cables es una actividad irrealizable a muy corto plazo, los planes de
recuperación de contingencias deben tener prevista la recuperación en comunicaciones.
Ha de tenerse en cuenta que la red física es un punto claro de contacto entre la gerencia de
comunicaciones y la gerencia de mantenimiento general de edificios, que es quien suele
aportar electricistas y personal profesional para el tendido físico de cables y su
mantenimiento.
34:
Auditoría de Redes Auditoría de Sistemas
7.2.1. Propósito
El propósito de esta auditoría es evaluar los controles de seguridad para proteger los
recursos de la red físicas de la Universidad Tecnológica Nacional, Facultad Regional de
Córdoba.
7.2.4. Metodología
Durante nuestra visita preliminar identificamos todas las salas donde se encuentra el
equipamiento de cómputos y las clasificamos en “principales” y “secundarias”,
entendiéndose por principales aquellas donde se ubican los dispositivos más importantes
para la red tales como servidores, hubs, switch, etc.
35:
Auditoría de Redes Auditoría de Sistemas
Es válido resaltar que las salas principales deben contar con un mayor control de seguridad
que las secundarias.
La Tabla 1 y la Tabla 2 describen los aspectos típicos a implementar para el control físico
de la red en las salas principales y secundarias.
Para obtener una visión general de la ubicación de todos los dispositivos de red, nos
contactamos con el personal encargado de las aulas G del edificio, el Laboratorio de
Sistemas y el centro de cómputos. Posteriormente visitamos cada una de estas salas para
evaluar, los controles sobre la seguridad física, las condiciones ambientales y controles
sobre las copias de seguridad e inventarios. Para esto nos entrevistamos con los
responsables de cada una de estas salas.
36:
Auditoría de Redes Auditoría de Sistemas
para Inventarios
No está disponible información referente a errores comunes y sus
soluciones encontradas. Por lo que cada encargado debe, a cada
No existen políticas
error, encontrarle una nueva solución aunque se trate de problemas
ni procedimientos
recurrentes. Tampoco es posible realizar un seguimiento de las fallas
para registros de
y sus causas, con el objeto de implementar medidas correctivas. Esto
errores y soluciones
genera la necesidad de la presencia permanente del encargado. No se
cuenta con una metodología para el diagnóstico de fallas.
No existen políticas
ni procedimientos No están claramente definidas las responsabilidades del personal, lo
para la asignación que ocasiona confusión acerca de las tareas que debe realizar cada
de persona.
responsabilidades
Recomendamos que, se escriban y difundan las políticas y los
procedimientos necesarios para proteger los recursos informáticos de
la red de área local de la universidad. Estos procedimientos deberían
Recomendaciones
ser para mantenimiento, inventario, registros de errores y soluciones
y responsabilidades. Los mismos deberán servir de guía para que los
encargados realicen la correcta gestión del control físico sobre la red.
Tabla 3. Hallazgos de ausencia de políticas y procedimientos para la administración de la seguridad de la red
física.
Ambiental
Tubos fluorescentes sin coberturas.
Cielo raso en mal estado.
Matafuego con candado
Matafuego alejado.
No se conoce el uso del matafuego.
Cable canal deteriorado.
Espacio reducido entre maquina.
24 de agosto de 2009
Tomacorrientes instalados sobre muebles de caño.
Cable dificultando el paso de la persona.
Cable en el piso.
El cableado de la red se encuentra junto al de la red eléctrica.
No se restringe el acceso a persona no autorizadas a los dispositivos
mayores ni menores (debido a que estos dispositivos coexisten en la
misma sala).
No existen carteles que prohíban comer y/o fumar dentro de las salas.
37:
Auditoría de Redes Auditoría de Sistemas
7.2.6. Análisis
Los hallazgos identificados, se han agrupado en categorías por su similitud. Para permitir
una visión más global de los problemas. Esto se refleja en la siguiente tabla:
Salas
38:
Auditoría de Redes Auditoría de Sistemas
Para un mejor análisis de los riesgos se dio una ponderación diferenciando los hallazgos
del centro del cableado del resto (ambientales y red horizontal), asignándoles los valores
de 1.0 y 0.6 respectivamente.
Por otra parte, cada hallazgo fue ponderado independientemente, utilizando una escala de
0.0 a 1.0.
visitas
39:
Auditoría de Redes Auditoría de Sistemas
80
70
60
Ponderación
50
40
30
20
10
0
Dispositivos accesibles a personas no
electrica.
autorizadas.
7.2.7. Recomendaciones
Recomendamos, en primer lugar que se coloquen los centros de cableado en lugares
adecuados, fuera del alcance del alcance de personas no autorizadas. También
recomendamos que se identifiquen los dispositivos principales.
Recomendamos, por último, que los encargados de cada sala realicen las acciones
necesarias para:
24 de agosto de 2009
Mantener el cableado en buenas condiciones.
Mantener los conectores en buen estado.
7.2.8. Conclusión:
Nuestra opinión es que, los controles sobre los recursos de la red de área local de la
universidad deben ser mejorados puesto que presenta importantes dificultades. Esto se
debe a la ausencia de lineamientos claros para su gestión.
40:
Auditoría de Redes Auditoría de Sistemas
Bibliografía
Acosta, N., Buitrago, R., Newball, M., Ramírez, M. A., & Sanchéz, J. (s.f.). Análisis de
Vulnerabilidades. Recuperado el 20 de Agosto de 2009, de ABCdatos:
http://www.abcdatos.com/tutoriales/tutorial/z3890.html
Lizárraga Sánchez, J. A., & Martínez López, V. (s.f.). Auditoría de Redes. Recuperado el 20 de
Agosto de 2009, de Sitio Web del Instituto Tecnológico de Sonora:
www.itson.mx/dii/epadilla/AUDITORIA%20DE%20REDES.ppt
24 de agosto de 2009
41: