Академический Документы
Профессиональный Документы
Культура Документы
ReinaldoMayol,JacintoDvila
Resumen
Thispaperintroducesalogicalmodeltoguidetheprocessesofauditingtheinformation
servicesofanacademicinstitution.Auditingisacrucialelementtomaintainthelevelof
qualityandconfidenceontheinformationservicesprovidedbyanyinstitution.Weaimedto
produceawellorganized,modularsetofruletoperformauditingandweactuallytestedthis
model,aswecallit,forthedataservicesofUniversidaddeLosAndes,inVenezuelaorany
similarinstitution.
Enesteartculopresentamosunmodelolgicoparagestionarlaauditoriadeseguridadinformtica
deunaInstitucinUniversitaria.LareddedatosdelaUniversidaddeLosAndes,RedULA,en
Venezuela,havenidocreciendodemanerasignificativaenlaltimadcada.Juntoconel
crecimientofsicodelared,lohanhechotambinlosserviciosqueseofrecenutilizndolacomo
plataformadetransporte.Conunaredtanextendida,tecnolgicamentediversayconunavariedad
significativadeactores,serviciosyusuarios,esfcilquecomiencenaocurrirerroresydesviaciones
quepuedencomprometerlapropiasubsistenciadelaredcomounentornoefectivodetrabajo.Esta
realidadimponelanecesidadderealizarprocesosdeauditoradelfuncionamientodelaredque
permitandetectarproblemasgraves,establecerpatronesdecomportamiento,realizarplanificacin
decrecimientoeinclusodetectarproblemasincipientesquepudiesenponerenriesgolaoperacin
futuradelared.
Elmodeloesunadescripcingeneraldecmosedebeprocederpararealizarunaauditorade
seguridadyestconstituidoporgruposdereglasypruebasagrupadasenmdulos,paraguiarla
conductadelpersonalencargadodelaauditora.
Laestructuradelmodelopropuestohasidoestablecidasiguiendolaformacomnderealizarun
procesodeauditora,especficamenteunodeSeguridadInformtica.Existen4mdulos:
A) Definicindelascondicionesparalaauditora.
B) Definicindelascaractersticastcnicas
C) Pruebasdepenetracin
D) Revisionesdelasconfiguraciones.
Definicin de
Definicin de Pruebasde
las Revisiones
las Penetracin
caractersticas
condiciones
tcnicas
Cadamdulofuncionacomounsistemaautocontenido,permitiendounavisingeneralencierto
aspecto de la seguridad informtica del sitio auditado. Los mdulos estn compuestos por
secciones.Lasseccionesasuvezseconformanporreglas.Unaregla involucra,adems,un
conjuntodepruebas.
Elordenenqueseejecutenlasseccionesdentrodeunmdulonormalmentenoessignificativo.
Cuandoloes,explcitamentesesealanloselementosprelatorios.Elordenenqueseejecutanlas
pruebasylasreglasdentrodeunaseccinsuelesersignificativo.Dentrodeunmduloelauditor
tienelibertaddeejecutaronounaseccindeacuerdoavariosfactores,entreelloselobjetivodela
auditoraolascaractersticastcnicasdelaplataformaqueseaudita.Lailustracin2muestrala
estructuradescritaenesteprrafo.
Elauditorpuedeutilizarelmodelodesdeelmduloinicialhastacompletarelmdulofinal.Cada
mdulopuedetenerunarelacinconlosmdulosadyacentes.Cadaseccinpuedeteneraspectos
interrelacionados a otros mdulos y algunas se interrelacionan con todas las otras secciones.
Durante la ejecucin de cada regla, o incluido de una prueba, se van produciendo las
recomendacionesqueconformarnelinformefinaldeauditora.
Comoreglageneraltodomdulodebetenervaloresdesalida[HMATS].Unmdulosinsalidas
puedesignificarunadetrescosas:
Laspruebasnofueronejecutadasapropiadamente.
Laspruebasnoseaplicaban.
Losdatosresultantesdelaspruebasseanalizaroninapropiadamente.
PARA Definir arquitectura sin conocimiento desde la Internet
Entotalexistenaproximadamente350pruebasagrupadasenlos4mdulosantessealados.
Asabiendasdequelabaseconceptualesamplia,lacantidaddereglasesextensaymuchasveces
requiereconocimientosespecficosdeherramientas,tcnicaseinclusociertoniveldeexperienciay
habilidades,hemostratadodemantenerellenguajeconlamayorsencillezposible.
Elmodeloestformadonoporunaseriedeaccionesquesedebenseguircomounareceta,sinopor
unconjuntodefuncionesindividuales,casisiemprecorrespondientesaunaseccinoinclusoauna
regla que pueden ser utilizados libremente por el auditor, siempre y cuando cumpla los
requerimientosdeentradadedatosdelafuncin.
Lasintaxisutilizadaeslasiguiente:
PARAObjetivoacciones
Sehansubrayadolaspalabrasreservadasporellenguajeparaquenoseanconfundidasconpartedel
textodescriptivo.Lasaccionespuedenserreglasollamadasaotrasseccionesosimplementeuna
prueba.
Porobjetivoseentiendelametaquesebuscaalcanzaralrealizarunadeterminadaaccin. Una
condicin es uno o varios elementos que deben ser evaluados previamente y que definen el
ambientedeejecucindelasaccionesquesiguen.Unacondicinpuededefinirlapertinenciadela
ejecucin de una accin ulterior. Las conclusiones se refieren a las recomendaciones que el
resultadodelaejecucindeunaaccinindican y quedebenserpartedelinformefinal.Los
elementosencerradosentrecorchetessonopcionales.
Una accin pueden ser grupos de subtareas o acciones individuales. Las subtareas pueden
encontrarseinmediatamenteenlaseccinoserllamadasaotrasfuncionesinclusofueradelmdulo
queseejecuta.
Veamos nuevamente elejemplo utilizado anteriormente identificando cada unalas partes dela
sintaxisdescrita.
Objetivo
PARAVerificarlaefectividadyseguridaddelastcnicasdeprevencindeataquesdel
tipoDoS
VerificaropcinMaxDaemonChildren.SI"lapruebafalla"ENTONCESRecomendar
corregirestasituacin .
Enestaseccindefiniremosmsendetallelosobjetivosdecadamdulo,elporqudesuseleccin,
ascomodelasseccionesquelocomponen.
ObjetivosGenerales.
Alcance.
Necesidadesdeinformacinparaeliniciodelaauditora.
Conformacindelequipoauditor.
Requerimientostcnicosdelequipoauditor.
Conformacindelacontraparte.
Cronogramadeentregas.
Requisitosdeconfidencialidadyretornodeinformacin.
Condicionesdegarantadelosresultados.
Estaetapadelprocesodeauditoraesposiblementemsgerencialquetcnica,yesunadelasms
importantes. Una auditora de calidad debe enfocarse en criterios claramente definidos y
documentados.
Paraasegurarlaobjetividaddelprocesodeauditora,susresultadosycualquierconclusin,los
miembrosdelequipoauditordebenserindependientesdelasactividadesqueauditan,debenser
objetivos,ylibresdetendenciaoconflictodeinteresesduranteelproceso.[KLHCA]
Ademsdeladefinicindemetas,objetivosyelalcanceunodeloselementosfundamentalesque
debe salir de este mdulo es la conformacin del equipo auditor. Dicho equipo debe ser una
combinacinadecuadadeconocimientostcnicosyexperienciacomoauditor.
Comoresultadodelaejecucindelmdulo,elequipoauditordebeobtenerelinventariocompleto
delaarquitecturaquedeberserauditada,incluyendo:
Espaciodedirecciones
Mecanismosdedistribucindedirecciones
Descripcindeconexiones
Dispositivosdered
Servidores
Estacionesclientes
DispositivosdeSeguridad
Estemduloestcompuestoporlassiguientessecciones:
A) CaracterizarelrangodeIPqueutilizalaorganizacin
B) DefinirlaformaenqueseasignanlasdireccionesIPdelaorganizacin
C) Definirlosdispositivosdered
D) Definirestructuradedominios
E) Caracterizarlosenlacesdecomunicacionesexistentes
F) Caracterizarcadaequiposervidor
G) Caracterizarequiposclientes
Cada seccin de las mencionadas anteriormente est constituida por varias pruebas. Luego de
ejecutarelmdulo, elequipoauditordeberatenerunavisinmuycompleta,desdeelpuntode
vistatcnico,delsitioaauditar.Muchasvecesesteconocimientopermitevalidaroinclusodesechar
informacinofrecidaporelauditadoenelprimermdulo.Talfueelcasodelescenarioenquese
probelmodeloyqueserdescritomsadelanteenestedocumento.
La participacin del auditor en este mdulo es activa. Los resultados se obtienen realizando
pruebas,algunasdeellasinclusointrusivas,enlareddelauditado.
Mdulo Pruebas de Penetracin
Estemdulodefinelasaccionesallevaracabopararealizarpruebasdepenetracinexternase
internassobrelaarquitecturabajoestudio.
Paralaejecucindelaspruebasdepenetracindebenseguirselassiguientesreglas[MSSPT]:
Lapruebadepenetracindeseguridadseiniciarecopilandotodalaposibleinformacin
relativaalainfraestructuraylasaplicacionesinvolucradas.Estepasoesfundamental,ya
que sin un conocimiento slido de la tecnologa subyacente, podran omitirse algunas
pruebasdurantelafasedepruebas.
Losauditoresdeberanintentarexplotartodaslasvulnerabilidadesdescubiertas.Ancuando
la explotacin falle, el auditor obtendra un mayor conocimiento del riesgo de la
vulnerabilidad.
Cualquierinformacinobtenidaverificandolasvulnerabilidades(porejemplo,erroresde
programacin,obtencindecdigofuente,uotrodescubrimientodeinformacininterna)
deberautilizarseparavolveraevaluarelconocimientogeneraldelaaplicacinycomose
ejecutasta.
Si,encualquierpuntodurantelaprueba,sedetectaunavulnerabilidadquepuedallevaral
compromisodelobjetivoopuedamostrarinformacincrticaparalaorganizacinauditada,
debeponerseencontactoinmediatamente conlacontraparte auditada yhacerquetome
concienciadelriesgoinvolucrado.
Esimportanteentenderlaposicindelauditordurantelaejecucindelaspruebasdepenetracin.
Elauditordebecomportarsecomounatacantequebuscaencontrarsitiospordondepenetrary
luegocomprometerlainfraestructuradeITdelaorganizacinauditada.Eneseprocesoobtenerla
mayorcantidadposibledeinformacindelaorganizacinnoesunprocesorepetitivo(tomandoen
cuenta los mdulos anteriormente ejecutados del modelo). Aqu el objetivo ylos mtodos son
diferentes.Sebuscaencontraraquelloqueunintrusopudiesellegaraconocerdelaorganizacin.
No debe olvidarse que el conocimiento detallado de la organizacin es uno de los primeros
elementosqueprocurarunatacante.Veamosunejemplo.Elatacantesabequelaorganizacinala
quedeseaatacartieneunservidorWEBpero,Queversinposeedeldemonioweb?Sepermite
quelosusuarioscoloquensuspropiaspginas?Qusistemaoperativoestcorriendoelservidor?
[SILHTCP][SHENS][MSSPT][FORUG].
Estossonalgunosdeloselementosqueelatacantedesearaconocerantesdecomenzarsuataque.
Otro ejemplo fue obtenido de la ejecucin de las pruebas del modelo: durante el proceso de
auditorasedescubrielrangodedireccionesprivadasdelsitioauditado,comoconsecuenciasde
erroresenlaconfiguracindeservicioDNS.Estainformacinnohabasidosuministradaaliniciar
elprocesodeauditoraypermitiaccederdemaneramssencillaainformacinconfidencialdel
sitioauditado.
Unavezconocida,siguiendolosmtodosdeunatacante,lamayorcantidaddeinformacindela
empresaauditadaelsiguientepasoserverificarlasvulnerabilidadesyerroresdelasaplicaciones
queseidentifiquen.Enesteprocesoesmuyimportantedescartarfalsospositivosynegativos1.
Lasalidadelmdulodebeseruninventariocompletodelasvulnerabilidades(incluyendoelacceso
a informacin de la organizacin, los sistemas, etc...) y errores encontrados con sus
1 Situaciones que parecen errores pero no lo son y viceversa, situaciones que parecen normales y que en realidad
esconden errores o vulnerabilidades serias.
correspondientesnivelesdeponderacinyunglosariodelasevidenciasquesoportenloshallazgos
realizados.
Estemduloestcompuestoporlassiguientessecciones:
A) DefinirarquitecturadeITsinconocimiento
B) GenerarcondicionesdeDoS2
C) EjecutarPruebascontraFirewalls
D) IdentificarvulnerabilidadesenServidoresWEB
E) IdentificarerroresbsicosdeconfiguracinenservidoresSMTP
F) Identificarerroresbsicosdeconfiguracinenambientesinalmbricos
G) IdentificarerroresdelaconfiguracinbsicadeservidoresUnixGNU/Linux
H) Fisgonearinformacinsensibleenlared
I) IdentificarerroresbsicosdelaconfiguracindeservidoresWindows
Dependiendodelascaractersticastcnicaspudiesenoaplicartodaslassecciones.Laseleccinde
losobjetivoshasidorealizadatomandoencuentalosserviciosdeRedULAypudiesenservirpara
lamayoradelasorganizaciones.
Porlaraznantesexpuestasehacenecesariountipodeauditorasistemtica,enlaqueelauditor
revisaungrupodeelementosadicionalesqueestnrelacionados.Encontrarestetipoderelaciones
eselobjetivodelmdulomsextensoycomplejoqueincluyeelmodelo:LasRevisiones.
Estemduloestcompuestoporlassiguientessecciones:
A) RevisindelaSeguridadFsica
B) RevisindeServidoresUNIX
C) RevisindeServidoresyEstacionesWindows
D) RevisindeServidoresSendmail
E) RevisindeServidoresApache
F) Revisindelainfraestructurainalmbrica
G) RevisindelSistemadeDeteccindeIntrusos
H) RevisindeDispositivosFirewalls
2 Negacin de Servicios
I) RevisindelasPolticasdeSeguridad
Esteeselmdulomasextensoycomplejodelmodeloyreuneaproximadamenteel60%delas
reglasyaccionespresentesenelmismo.Lasalidadelmduloesuninventariocompletodelas
vulnerabilidades detectadas durante el proceso de revisin sistmica as como de las
recomendacionesparasuperarlascondicionesencontradas.Talcomoconlosotrosmdulos,cada
regla o prueba tiene asociado un nivel de ponderacin que permitir al auditor dar un valor
cuantitativo final del nivel de seguridad del auditado. A continuacin describiremos con ms
detallescadaunadelasseccionesqueconformanestemdulodelmodelo.
Unaentidadauditadaestarmuyinteresadaenobtener,comoresultadodelprocesodeauditora,un
listado completo de las condiciones de riesgo a las que est sometida su infraestructura de
informacin.Sinembargo,estambinmuyimportantedefinircuantitativamenteelpesoespecfico
de cada condicin hallada. Como es de suponer no todos las vulnerabilidades, errores y otras
condicionessignificanigualnivelderiesgoparalaintegridad,disponibilidadyconfidencialidadde
lainformacinylosmediosquelasoportan[CRISPMS].
Establecernivelesdeponderacinparacadapruebasueleserunprocesomascomplejodeloque
pareceaprimeravista,debidoalniveldesubjetividadquepuedeacarrearylalosmltiplesfactores
quedebentomarseencuenta(porejemploloqueesmuycrticoparaunaorganizacinpuedeno
serlo para otra). Para hacerlo nos hemos basado en dos fuentes y tratado de conjugar sus
resultados. Laprimera hasidolacategorizacin de los resultados quecomnmente hacenlas
herramientasdebsquedadevulnerabilidadesautomatizadas(alto,medioybajo).Lasegunda
fuentefuelaMetodologaAbiertaparaPruebasdeSeguridad[HMAST].
Alto
Primeras
Correc cion
R
es
I
E
S
G
O
Bajo
Conclusiones y Recomendaciones
Eneltrabajopresentadosehaproducidounextensomodelolgico(aproximadamente250reglas)
paragestionarlaauditoriadeseguridadinformticadeunainstitucin,quecubrelasreasms
importantes para el desarrollo seguro de la Red de Datos de la Universidad de los Andes y
establecelosprocedimientosylosmecanismosgenricosparaauditarla.
Elmodelofuesometidoaunava.lidacin.LaarquitecturadeTIydeseguridaddeladependencia
que se utiliz para realizar la prueba del modelo fueron modificadas para atender las
recomendaciones emanadasdelautilizacinqueseproponeenestetrabajo.Lautilizacindel
modelonoslopermitidetectarcondicionesderiesgoenlaplataformayaexistente,sinotambin
detectarinsuficienciasimportanteseneldimensionamientodelequipamientoycarenciasentemas
vitalescomolasPolticasdeSeguridadInformtica.
Alutilizarunmodeloqueofreceprocedimientosysalidasnormalizadoslosauditorespuedenvolver
aauditar,unavezrealizadaslascorrecciones,yverificarconmayorfacilidadquelascondicionesde
riesgodetectadashansidocorregidas.
Elmodelohasidodesarrolladoconunenfoqueintermedioentreunavisindealtonivel,muy
separadadelaarquitecturaquesoportalosserviciosyunaposicindemuybajonivelquehagael
modelomuydependientedelaarquitectura. Larazndehacerlodeestaformaesobteneruna
herramientatilparaelencargadodeauditoraperoqueasuvezpuedatrascendercambiossimples
delaarquitectura.
Elmodelopuedeserutilizadonosloparaauditar,puedeservistotambincomounaguade
mandatosbsicosparaasegurarunsitio.Enestemomentotambinestsiendoutilizadodeesa
formaporelequipodeSeguridadInformticadeRedULA.
Alcrearunmodeloqueincluyeunaseriedereglasquepuedenserutilizadascomocriteriosde
buenasprcticas deseguridadelmodeloigualmentepuedeserutilizadoparalainstruccin del
personaltcnicoenloselementosbsicosdeseguridadinformtica.
Portodosloselementosantesexpuestosquesehancumplidoconlosobjetivosplanteadosyhemos
creado una herramienta til y verstil para la auditora y otras funciones necesarias para la
seguridadinformticadelaReddeDatosdeLaUniversidaddeLosAndes.