AUDITORIA DE REDES

1. CONCEPTO:

El objetivo de una auditoria de redes es determinar la situación actual, fortalezas

y debilidades, de una red de datos. Una empresa necesita saber en qué situación
está la red para tomar decisiones sustentadas de reemplazo o mejora.

En todos estos años de experiencia en redes, me he dado cuenta que cuando

existen muchos problemas en la red, cuando baja la disponibilidad, cuando la
red está saturada, cuando se quiere implementar nuevas funciones y la red no
lo soporta o cuando los costos operativos se hacen cada vez más caros entonces
es un buen momento para pensar en contratar una auditoría de redes, es decir,
un análisis y diagnóstico de la red, para saber con exactitud la situación actual.
Para ello, tiene que ser un tercero el que haga este trabajo, porque si lo hace el
mismo administrador de red, seria juez y parte. La auditoría de redes podría
formar parte de una auditoría de sistemas más integral.

Para hacer una auditoría de redes utilizo una metodología, creada por mí,
respaldado por 20 años haciendo esta labor. La metodología se basa
principalmente en el modelo de referencia OSI, estándares como el TIA-942,
Tier, norma de cableado estructurado ANSI/TIA/EIA-568-B, ANSI/TIA/EIA-569-
A y las mejores prácticas en el mercado.

La auditoría de redes, se inicia evaluando la parte física de la red, condiciones

del cableado estructurado, mantenimiento de la sala de servidores, gabinetes de
comunicación, etiquetado de los cables, orden, limpieza. Comparado con las
mejores prácticas y referenciados con los estándares. En esta parte, también se
consideran el mantenimiento de los equipos de comunicaciones, tener un
inventario actualizado de los equipos de red, garantías.

Luego se realiza el levantamiento de información, análisis y diagnóstico de la

configuración lógica de la red, es decir; plan ip, tabla de vlans, diagrama de vlans,
diagrama topológico, situación del spaning-tree, configuración de los equipos de
red.

Después de revisar toda esa información se procede a realizar una evaluación

cuantitativa de diversos conceptos los cuales nos darán una valoración final
sobre la situación de la red. El resultado de la auditoria de la red no es cualitativo
sino cuantitativo, utilizando una escala de likert.

2. QUÉ SE DEBE TENER EN CUENTA:

Saber instalar y configurar switches y routers no es suficiente para administrar

una red, son varios aspectos a tener encuenta, como por ejemplo, administracion
de los eventos, tráfico, seguridad, control de cambios, administracion de fallas,
monitoreo, documentacion y configuracion.
 2.1. ¿QUÉ ES SYSLOG?

Syslog es una herramienta que permite registrar los mensajes que envían
los equipos de la red cuando ocurre evento. En el mercado existen
herramientas Syslog gratuitas y licenciadas. Pero, el mejor Syslog es
aquel que permite establecer reglas, filtros o condiciones para cada
mensaje que llega. Si estas condiciones se cumplen, entonces el servidor
syslog debe tener la capacidad de tomar diversas acciones, como por
ejemplo guardar el mensaje en una base de datos, enviar correo
electrónico, ejecutar una aplicación, grabar en un archivo, redirecionar a
otro syslog, etc.

No todos los servidores syslog son iguales. Se diferencian en la medida

que puedan manejar alto tráfico como los generados por los firewalls.

2.2. TEMÁTICAS DE INTERÉS A SER AUDITADAS:

 Definición del entorno de Procesamiento de Información Distribuido.

 Modelo cliente/servidor.
 El papel de la estación de trabajo.

 El papel del servidor (file server, print server, communications server, database
server, application server).

 Siete Capas del Protocolo del Modelo ISO. Cómo Funcionan las LAN´s, WAN´s
y VAN´s. Diferencias Topologías, Cableado y Conectividad. (Ethernet. Token
Ring (Anillo). Arcnet. FDDI. Estrategias de instalación del cableado de LAN.
LANs inalámbricas. Frame Relay. ATM. Hubs y switches. Bridges y routers.
Gateways.).

 Computación Descentralizada y la organización.

 Sistemas Operativos: Estaciones de trabajo (Diferencias entre D.O.S., Windows

9x, Windows NT/2000). seguridad concerniente a las estaciones de trabajo.

 Sistemas Operativos: Servidores (Arquitectura de Windows NT, Novell Netware,

Unix (AIX, Solaris, Linux). Funciones de servicios de directorio: Novell Directory
Services, Microsoft Active Directory y Microsoft domains y Lightweight Directory
Access Protocol. Funciones de seguridad: autenticación, autorización,
administración, auditoría. Funciones de mantenimiento:”services packs” y “hot
fixes”, pruebas y distribución.

 Auditoría del servidor: evaluación de riesgos, seguridad física, conectividad,

sistemas distribuidos, configuración de sistemas operativos, gestión de software
de base y documentación de los parámetros de seguridad.

 Auditoría de Estaciones de Trabajo: evaluación de riesgos, seguridad física,

conectividad, administración central, herramientas de software y controles de
usuario final.
 Internet: controles asociados con las actividades con Internet (Internet Server
Security e Internet Workstation).

 Desarrollo de un Programa de Revisión de Auditoría.

Temáticas especificas a ser auditadas en gestión de redes en

Telecomunicaciones:

- Del diseño de redes y sistemas de telecomunicaciones usando sistemas de

transmisión satelital, cable, radio o fibra óptica.

- De la construcción e instalación de redes y sistemas de telecomunicaciones

usando sistemas de transmisión satelital, cable, radio o fibra óptica.

- De los sistemas de Gestión de redes, elementos de red, servicios y negocios

de telecomunicaciones.

- De redes de abonado alámbricas y/o inalámbricas.

- De redes de Televisión.

3. TIPOS DE AUDITORIA:

En el último tiempo, hemos visto una evolución y sofisticación de las amenazas

que afectan a usuarios y empresas que utilizan servicios de internet y de otras
redes.

Esto está convirtiendo en una necesidad el uso de medidas proactivas y

ofensivas que permiten identificar vulnerabilidad, antes de que puedan ser
aprovechadas por atacantes.

Este enfoque busca conocer las motivaciones de los atacantes, así como las
herramientas, métodos o vectores de ataque que utilizan para vulnerar las redes
y sistemas informáticos, de manera que se puedan identificar las debilidades en
la infraestructura tecnológica antes de que alguien ajeno a los recursos también
pueda hacerlo.

La auditoría de redes, como bien se dice es la manera de proteger los recursos

– principalmente la información con el contexto de amenazas cada vez más
complejos y dinámicas. Además distinguiremos entre los distintos de revisiones
que se puedan ejecutar.

3.1. AUDITORIAS DE SEGURIDAD EN LA RED CORPORATIVA:

Las auditorias juegan un papel relevante ya que permiten mostrar el

estado en el que se encuentra la protección de la información y de los
activos dentro de las organizaciones. Además, involucra la identificación,
análisis y evolución de debilidades en las medidas de seguridad que han
 sido aplicadas, así como de los componentes tecnológicos de la
empresa.

Además, pueden tener distintas intenciones, por lo tanto las revisiones

de seguridad varían de acuerdo a condiciones como alcance, los criterios
que se utilizan como parámetros de comparación, las personas que las
llevan a cabo, los propósitos que se desean alcanzar, entre los elementos
que determinan el tipo de revisión. Así, se da lugar a distintas
clasificaciones que abordaremos a continuación.

En el caso específico de las redes, la auditoría está relacionada con un

método o un conjunto de ellos para verificar el cumplimiento de los
requisitos de seguridad, necesarios dentro de una colección de
dispositivos interconectados -como pueden ser routers, switches, hubs,
computadoras y dispositivos móviles, entre otros.

3.2. ¿QUÉ PUEDEN CONSIDERAR LAS AUDITORÍAS DE REDES?

DISTINTOS TIPOS DE EVALUACIONES

3.2.1. ¿FISICA O LÓGICA?

Cuando se considera la protección de la información y de los

dispositivos de red, las auditorías pueden clasificarse en revisiones
de seguridad física y lógica. Por un lado, la revisión de seguridad
física está orientada en conocer y evaluar los mecanismos de
protección del hardware y del cableado, mientras que las revisiones
lógicas tienen como propósito verificar y evaluar las medidas de
protección sobre la información y los procesos.

En este sentido, la auditoría de seguridad física en redes puede

considerar la revisión de las conexiones y su apego a normas de
cableado estructurado establecidas por organismos como ANSI o
ISO, así como medidas que protegen tanto el cableado como los
dispositivos de red, incluso controles aplicados sobre los cuartos de
servidores (sites). En tanto, las evaluaciones lógicas consideran
mecanismos de control de acceso a la red, privilegios de cuentas con
autorización para conexiones o los protocolos utilizados, por
mencionar algunos ejemplos.

3.2.2. ¿INTERNA O EXTERNA?

También, con base en la configuración de la red, la auditoría puede

considerar revisiones de red interna y externa. Las revisiones
externas son aquéllas que se llevan a cabo desde fuera del perímetro
y pueden incluir la evaluación de configuraciones, revisión de reglas
en firewalls, configuración de IDS/IPS y listas de control de acceso
en routers, entre otras actividades.
 La red interna, en cambio, puede considerar la revisión de la
configuración de segmentos de red, protocolos utilizados, servicios
desactualizados o topologías empleadas.

3.2.3. ¿RED CABLEADA O INALÁMBRICA?

Además, también es posible clasificar la revisión en función del tipo

de red a evaluar, por ejemplo si se trata de una revisión de red
cableada o inalámbrica. Si se trata de redes inalámbricas, se deberá
evaluar la conveniencia de los protocolos de cifrado utilizados para
las comunicaciones entre los puntos de acceso y los dispositivos que
se conectan a la red, así como el uso de llaves de cifrado extensas y
complejas, que reduzcan la probabilidad de éxito de ataques de
fuerza bruta o de diccionario.

En este sentido, también es importante llevar a cabo comprobaciones

sobre la vulnerabilidad de los dispositivos, relacionada con ataques
comunes a redes inalámbricas, por ejemplo, suplantación de puntos
de acceso o denegación de servicio (DoS). Ya hemos visto por qué
es importante este punto, si consideramos el peligro de la mala
gestión del Wi-Fi en empresas.

3.2.4. ¿REVISIONES TÉCNICAS O DE CUMPLIMIENTO?

Otro tipo de auditorías están relacionadas con las personas que

llevan a cabo las revisiones y su especialización en el tema, por lo
tanto se pueden llevar a cabo revisiones técnicas y de
cumplimiento. Las revisiones técnicas deben comprender
conocimientos de los protocolos y dispositivos utilizados, de manera
que las debilidades puedan ser identificadas y posteriormente
corregidas. Para esto, es importante aplicar la perspectiva ofensiva,
en la cual se simulan ataques, claro está, siempre con la autorización
debida y en ambientes controlados (incluyen evaluaciones de
vulnerabilidades o pruebas de penetración).

Las revisiones de cumplimiento o gestión permiten conocer el estado

de apego en las prácticas que se llevan a cabo en las organizaciones
relacionadas con la protección de las redes, en comparación con lo
que establecen documentos especializados, como pueden
ser estándares de seguridad, marcos de referencia o requisitos que
deban ser cumplidos.

3.2.5. FINALMENTE, EL PROPÓSITO DE LAS AUDITORÍAS ES LA

PROTECCIÓN

Hemos enlistado, de manera general, este conjunto de enfoques que

pueden ser utilizados para llevar a cabo auditorías de redes
corporativas, pero es importante mencionar que el objetivo de cada
uno de ellos es el mismo: brindar información sobre el estado de las
medidas de seguridad aplicadas, para identificar fallas, evaluarlas y
posteriormente corregirlas.
 Por último, también resaltamos que no debe aplicarse una visión
parcial de las auditorías, ya que en la actualidad las distintas
amenazas obligan a tener una perspectiva general de los problemas.
De esta manera, es posible considerar los distintos enfoques y sobre
todo los elementos involucrados, ya que ningún sistema se encuentra
aislado -desde dispositivos de red, equipos de cómputo, dispositivos
móviles o cualquier otro que pueda conectarse a una red

4. BENEFICIOS DE LAS AUDITORIAS DE REDES:

 Ayuda a adecuar la disponibilidad y el rendimiento de la red a las necesidades

de la empresa.
 Proporciona información que maximiza el retorno de las inversiones o
payback enredes y TIC (Tecnologías de la Información y Comunicación) de la
empresa. Aumenta la estabilidad y fiabilidad de la red.
 Reduce el riesgo potencial de las nuevas implantaciones y actualizaciones en
la red, tanto el entorno estrictamente tecnológico como en los procesos
empleados.
 Aumenta la satisfacción de los clientes al alcanzar mayores cotas de
rendimiento y disponibilidad de la red. Entendiendo el concepto de cliente,
en su definición más amplia, que abarca al cliente interno los usuarios directos
de la red (empleados de la entidad u organización)-y al cliente externo aquel
que solicita un servicio y es la fuente principal de ingresos.

5. TEMÁTICAS DE INTERES A SER AUDITADAS:

 Definición del entorno de Procesamiento de Información Distribuido.

 Modelo cliente/servidor.
 El papel de la estación de trabajo.
 El papel del servidor (file server, print server, communications server,
database server, application server).
 Siete Capas del Protocolo del Modelo ISO. Cómo Funcionan las LAN´s,
WAN´s y VAN´s. Diferencias Topologías, Cableado y Conectividad.
(Ethernet. Token Ring (Anillo). Arcnet. FDDI. Estrategias de instalación
del cableado de LAN. LANs inalámbricas. Frame Relay. ATM. Hubs y
switches. Bridges y routers. Gateways.).
 Computación Descentralizada y la organización.
 Sistemas Operativos: Estaciones de trabajo (Diferencias entre D.O.S.,
Windows 9x, Windows NT/2000). seguridad concerniente a las
estaciones de trabajo.
 Sistemas Operativos: Servidores (Arquitectura de Windows NT, Novell
Netware, Unix (AIX, Solaris, Linux). Funciones de servicios de directorio:
Novell Directory Services, Microsoft Active Directory y Microsoft domains
y Lightweight Directory Access Protocol. Funciones de seguridad:
autenticación, autorización, administración, auditoría. Funciones de
mantenimiento:”services packs” y “hot fixes”, pruebas y distribución.
 Auditoría del servidor: evaluación de riesgos, seguridad física,
conectividad, sistemas distribuidos, configuración de sistemas
operativos, gestión de software de base y documentación de los
parámetros de seguridad.
  Auditoría de Estaciones de Trabajo: evaluación de riesgos, seguridad
física, conectividad, administración central, herramientas de software y
controles de usuario final.
 Internet: controles asociados con las actividades con Internet (Internet
Server Security e Internet Workstation).
 Desarrollo de un Programa de Revisión de Auditoría.

6. TEMÁTICAS ESPECIFICAS A SER AUDITADAS EN GESTION DE REDES

EN TELECOMUNICACIONES:

 Del diseño de redes y sistemas de telecomunicaciones usando sistemas

de transmisión satelital, cable, radio o fibra óptica.
 De la construcción e instalación de redes y sistemas
de telecomunicaciones usando sistemas de transmisión satelital, cable,
radio o fibra óptica.
 De los sistemas de Gestión de redes, elementos de red, servicios
y negocios de telecomunicaciones.
 De redes de abonado alámbricas y/o inalámbricas.
 De redes de Televisión.

7. TÉCNICAS QUE SE PUEDEN UTILIZAR PARA LA AUDITORÍA DE REDES

 Entrevistas
 Cuestionarios
 Encuestas
 Levantamiento de inventario
 Técnicas de observación
 Técnicas de revisión documental
 Matriz FODA
 Listas de chequeo
 Técnicas de muestreo
 Trazas o huellas
 Log’s
 Modelos de simulación

8. HERRAMIENTAS SOFTWARE UTILIZADAS

Las principales herramientas de software libre empleadas en las auditorías de

redes son las siguientes:

8.1. PARA EL ANALISI DE RED:

 Scotty: herramienta de monitorización de agentes que incluye capacidades de
gestión de dispositivos SNMP. Está implementado en Tcl/Tk con extensiones
propias, e incluye un navegador MIBs.
 Tcpdump: herramienta de adquisición y análisis de tráfico. Es una fuente de la
librería libpcap.
 Ethereal/Wireshark: herramienta de adquisición y análisis de tráfico con un
entorno gráfico de alto nivel. Se pueden realizar distintos tipos de filtrado de la
información capturada.
 Kismet: es unsniffer,un husmeador de paquetes, y un sistema de detección de
intrusiones para redesinalámbricas802.11.
 Aircrack-ng: es una suite de seguridad inalámbrica que consiste en un
packetsniffer de red, un crackeador de redes WEP y WPA/WPA2-PSK y otro
conjunto de herramientas de auditoría inalámbrica.
 Mrtg: herramienta con interfaz WWW que permite una lectura en tiempo real de
estadísticas de distintos elementos, entre otros, dispositivos SNMP. Es una de
las herramientas más conocidas para monitorización de tráfico, y una de las más
extendidas

9. OBJETIVOS:

 Tener una gerencia de comunicaciones con plena autoridad de voto y acción.

 Llevar un registro actualizado de módems, controladores, terminales, líneas y
todo equipo relacionado con las comunicaciones.
 Mantener una vigilancia constante sobre cualquier acción en la red.
 Registrar un coste de comunicaciones y reparto a encargados.
 Mejorar el rendimiento y la resolución de problemas presentados en la red.

10. AUDITORIA DE LA RED FÍSICA:

 Proceso de Inventario, verificación e identificación de equipos de

comunicaciones dentro de la organización, sucursales y otras ubicaciones. Lo
anterior para desarrollar un diagrama de topología de red corporativa correcto
y fiable.
 Se debe garantizar que exista:
 Áreas de equipo de comunicación con control de acceso.
 Protección y tendido adecuado de cables y líneas de comunicación para evitar
accesos físicos.
 Control de utilización de equipos de prueba de comunicaciones para
monitorizar la red y el tráfico en ella.
 Prioridad de recuperación del sistema.
 Control de las líneas telefónicas.

11. AUDITORÍA DE LA RED LÓGICA:

 Análisis de cada uno de los equipos de comunicaciones que componen la red
corporativa.
 En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un
equipo que empieza a enviar mensajes hasta que satura por completo la red.
 Para éste tipo de situaciones:
 Se deben dar contraseñas de acceso.
 Controlar los errores.
 Garantizar que en una transmisión, ésta solo sea recibida por el destinatario.
Para esto, regularmente se cambia la ruta de acceso de la información a la
red.
 Registrar las actividades de los usuarios en la red.
 Encriptar la información pertinente.
 Evitar la importación y exportación de datos.

12. VENTAJAS:

VENTAJAS AUDITORIAS INTERNA:

  Se practica dentro de la propia empresa.
 La lleva a cabo personal de la misma empresa.
 Se tiene acceso a toda la información y documentación
 Son conocidos y dominados los procedimientos y el control interno
 Los fallos detectados son corregidos inmediatamente
 No se necesita todo un protocolo para iniciar la revisión
 Se puede seleccionar a personal de la misma empresa para cumplir con
esta función.
DESVENTAJAS AUDITORIAS INTERNA:
 Los ejecutores de la revisión podrían utilizarla como medio de poder.
 Los ejecutores no tienen independencia profesional.
 Los ejecutores junior pueden caer en medios coercitivos.
 Los ejecutores sénior pueden tender a magnificar los resultados en busca
de mejores posiciones en la empresa.

13. DESVENTAJAS:

VENTAJAS AUDITORIAS EXTERNA:

 El auditor tiene independencia profesional
 Su amplia experiencia en otras empresas le permite analizar la aplicación
de los procedimientos generales.
 Pueden ser contratados para un trabajo específico.
 Sus resultados son relevantes en el medio económico
 Sus sugerencias tienden a una estandarización preestablecida.

DESVENTAJAS AUDITORIAS EXTERNA:

 Son contratados por un precio y tiempo determinado.
 La calidad profesional a intervenir depende del punto anterior
 No toda la información está a su alcance.
 Los resultados pueden ser negociados o manejables por la empresa
contratante.
 El tiempo es una presión para su revisión.
 En su afán de justificarse, suelen perderse en trivialidades