AUDITORIA INFORMATICA

REDES Y TELECOMUNICACIONES

CONCEPTO
Es una revisin exhaustiva, especfica y especializada

que se realiza a los sistemas de redes de una empresa, considerando en la evaluacin los tipos de redes, arquitectura, topologa, sus protocolos de comunicacin, las conexiones, accesos, privilegios, administracin, funcionamiento y aprovechamiento. Es tambin la revisin del software institucional, de los recursos informticos e informacin de las operaciones, actividades y funciones que permiten compartir las bases de datos, instalaciones, software y hardware de un sistema de red.
Carlos Muoz, la auditoria a los sistemas de redes.

OBJETIVOS
El objetivo de una auditoria de redes es determinar la

situacin actual, fortalezas y debilidades, de una red de datos. Comprender la organizacin y la manera como la comunicacin incide en su funcionamiento. Medir la eficacia de la plataforma de canales y medios internos o externos de la organizacin. Determinar las dependencias en comunicaciones de la organizacin.

NORMAS Y ESTANDARES

ANSI (Instituto Nacional Americano de Normalizacin).

ANSI/TIA/EIA-568-A, Norma

para construccin comercial de cableado de telecomunicaciones.

ANSI/EIA/TIA-569, Norma de construccin comercial

para vas y espacios de telecomunicaciones.

ANSI/TIA/EIA-606, Norma de administracin para la

infraestructura de telecomunicaciones en edificios comerciales.

 ANSI/TIA/EIA-607, Requisitos de aterrizado y

proteccin para telecomunicaciones en edificios comerciales

Categoras del Cable UTP

Cableado de categora 1: Descrito en el estndar

EIA/TIA 568B. Se utiliza para comunicaciones telefnicas y no es adecuado para la transmisin de datos.
Cableado de categora 2: Puede transmitir datos a

velocidades de hasta 4 Mbps.

Cableado de categora 3 :Se utiliza en redes 10BaseT y

puede transmitir datos a velocidades de hasta 10 Mbps.

 Cableado de categora 4 : Se utiliza en redes Token

Ring y puede transmitir datos a velocidades de hasta 16 Mbps.

Cableado de categora 5 :Puede transmitir datos a

velocidades de hasta 100 Mbps.

INSTITUTO DE INGENIEROS ELECTRICOS Y ELECTRONICOS ( IEEE )

IEEE 802.1: Cubre la administracin de redes y otros

aspectos relacionados con la LAN.

IEEE 802.2: Protocolo que especifica una

implementacin del la subcapa LLC de la capa de enlace de datos. maneja errores, entramados, control de flujo y la interfaz de servicio de la capa de red (capa 3).

 IEEE 802.3: Especifica la implementacin de la

capa fsica y de la subcapa MAC de la capa de enlace de datos. Las extensiones del estndar IEEE 802.3 especifican implementaciones para fast Ethernet.
IEEE 802.4: Especifica el bus de seal pasante. IEEE 802.5: Especifica la implementacin de la capa

fsica y de la subcapa MAC de la capa de enlace de datos. Usa de acceso de transmisin de tokens a 4 Mbps 16 Mbps en cableado STP O UTP y de punto de vista funcional y operacional es equivalente a token Ring de IBM.

NOM (NORMAS OFICIALES MEXICANAS).

NOM-121-SCT1-2009, Telecomunicaciones-

Radiocomunicacin-Sistemas de radiocomunicacin que emplean la tcnica de espectro disperso.

NOM-151-SCT1-1999, Interfaz a redes pblicas para

equipos terminales.
NOM-152-SCT1-1999, Interfaz digital a redes pblicas

(interfaz digital a 2 048 kbit/s).

 NOM-159-SCT1-2004; Telecomunicaciones - Redes De

Telecomunicaciones - Seguridad Puesta a Tierra en Sistemas de Telecomunicaciones.

NOM-088/2-SCT1-2002, Telecomunicaciones-

Radiocomunicacin-Equipos de microondas para sistemas del servicio fijo multicanal punto a punto y punto a multipunto-Parte ll: Transporte.

NORMAS ISO

NORMA ISO 17799

Es una norma internacional que ofrece recomendacin para la gestin de la seguridad de la informacin enfocada en el inicio, implantacin o mantenimiento de la seguridad en una organizacin. La seguridad de la informacin se define con la preservacin de: Confidencialidad: aseguracin de la privacidad de la informacin de la organizacin. Integridad: garanta del estado original de los datos. Disponibilidad: Acceso cuando sea requerido por los usuarios. No repudio: Estadsticas de la acciones realizadas por el personal autorizado

Norma UNE 71502

1. Poltica de seguridad: dirige y da soporte a la gestin de la

seguridad de la informacin 2. Aspectos organizativos para la seguridad: gestiona la seguridad de la informacin dentro de la organizacin. 3. Clasificacin y control de activos: mantiene una proteccin adecuada sobre los activos de la organizacin. 4. Seguridad ligada al personal: reduce el riesgo de lo errores humanos, robos, fraudes o mal uso de la instalacin y los servicios. 5. Seguridad fsica y del entorno: evita el acceso no autorizado, daos e interferencias contra los locales y la informacin de la organizacin. 6.Gestion de comunicacin y operaciones: asegura la operacin correcta y segura de los recursos de tratamiento de la informacin

NORMA ISO 11801

Facilita la deteccin de las fallas que al momento de producirse esto

afecte solamente a la estacin que depende de esta conexin, permite una mayor flexibilidad para la expansin, eliminacin y cambio de usuario del sistema. El estndar define varias clases de interconexiones de cable de par trenzado de cobre, que difieren en la mxima frecuencia por la cual un cierto desempeo de canal es: Clase A: hasta 100 kHz Clase B: hasta 1 MHz Clase C: hasta 16 MHz Clase D: hasta 100 MHz Clase E: hasta 250 MHz Clase F: hasta 600 MHz Clase Fa: hasta 1000 MHz

LA SERIE ISO 27000

ISO 27000: Contiene trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin.

ISO 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin.

 ISO 27002: Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin.

ISO 27003: Consiste en una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA (Modelo Plan, Do, Control y Act) y de los requerimientos de sus diferentes fases. ISO 27004: Especifica las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados.
ISO 27005: Establece las directrices para la gestin del riesgo en la seguridad de la informacin.

 ISO 27006: Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. ISO 27007: Consiste en una gua de auditora de un SGSI.

ISO/IEC 9126
Es un estndar internacional para la evaluacin de la calidad del

software.
El estndar est dividido en cuatro partes las cuales dirigen, mtricas

externas, mtricas internas y calidad en las mtricas de uso y expendido.

ALCANCE

MODELO OSI

NIVEL FISICO

NIVEL DE ENLACE DE DATOS

NIVEL DE RED

NIVEL DE TRANSPORTE

NIVEL DE SESIN

La auditoria de redes, se inicia evaluando la parte fsica de la red, condiciones del cableado estructurado, mantenimiento de la sala de servidores, gabinetes de comunicacin, etiquetado de los cables, orden, limpieza, tambin se consideran el mantenimiento de los equipos de comunicaciones, tener un inventario actualizado de los equipos de red, garantas.

Auditoria de Comunicaciones
Se debe supervisar lo siguiente:
La gestin de red. Los equipos y su conectividad. La monitorizacin de las comunicaciones. La revisin de costes y la asignacin formal de

proveedores. Creacin y aplicabilidad de estndares.

La cual se debe comprobar:

El nivel de acceso a diferentes funciones dentro de la red.
Coordinacin de la organizacin de comunicacin de datos y

voz. Han de existir normas de comunicacin en:

Tipos de equipamiento como adaptadores LAN.

Autorizacin de nuevo equipamiento, tanto dentro, como fuera

de las horas laborales. Uso de conexin digital con el exterior como Internet. Instalacin de equipos de escucha como Sniffers (exploradores fsicos) o Traceadores (exploradores lgicos). La responsabilidad en los contratos de proveedores.

Auditoria De La Red Fsica

En este veremos que se deben cumplir diferentes normas priorizando el resguardo de la informacin, mediante:
reas de equipo de comunicacin con control de acceso. Proteccin y tendido adecuado de cables y lneas de

comunicacin para evitar accesos fsicos. Control de utilizacin de equipos de prueba de comunicaciones para monitorizar la red y el trfico en ella. Prioridad de recuperacin del sistema. Control de las lneas telefnicas.

Comprobando que:
El equipo de comunicaciones ha de estar en un lugar cerrado y

con acceso limitado. La seguridad fsica del equipo de comunicaciones sea adecuada. Se tomen medidas para separar las actividades de los electricistas y de cableado de lneas telefnicas. Las lneas de comunicacin estn fuera de la vista. Se d un cdigo a cada lnea, en vez de una descripcin fsica de . Haya procedimientos de proteccin de los cables y las bocas de conexin para evitar pinchazos a la red. Existan revisiones peridicas de la red buscando pinchazos a la misma. El equipo de prueba de comunicaciones ha de tener unos propsitos y funciones especficas. Existan alternativas de respaldo de las comunicaciones.

Auditoria de la Red Lgica

Se examina si est protegido de daos internos. Para esta situacin cada rea de sistemas debe cumplir diferentes normas de control las cuales deben estar documentados cuando se realizan las configuraciones de los equipos de telecomunicaciones, como son:

 Controlar los errores. Garantizar que en una transmisin, sta solo sea recibida por

el destinatario. Para esto, regularmente se cambia la ruta de acceso de la informacin a la red. Registrar las actividades de los usuarios en la red. Encriptar la informacin pertinente. Evitar la importacin y exportacin de datos. Inhabilitar el software o hardware con acceso libre. Generar estadsticas de las tasas de errores y transmisin. Crear protocolos con deteccin de errores. Los mensajes lgicos de transmisin han de llevar origen, fecha, hora y receptor Se debe hacer un anlisis del riesgo de aplicaciones en los procesos. Se debe hacer un anlisis de la conveniencia de cifrar los canales de transmisin entre diferentes organizaciones. Asegurar que los datos que viajan por Internet vayan cifrados. Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos forneos a la red.

La identificacin se lleva a cabo en los equipos de la red, la intranet y extranet. Las etapas de la auditoria de redes son:
Anlisis de vulnerabilidades Estrategias de saneamiento Plan de contencin ante posibles accidentes Seguimiento continuo del desempeo del sistema.

Anlisis de vulnerabilidades
Representa un diagnostico de las debilidades que puedan tener o tienen las organizaciones en sus sistemas de informacin y en sus equipos. Este anlisis debe realizarse cuando:
Ocurran cambios en el diseo de la red o de los sistemas
Se realicen actualizaciones de los dispositivos. Peridicamente.

Mtodos para el anlisis de vulnerabilidades

Caja negra. Al auditor se le proporciona solo la

informacin de acceso a la red o al sistema (podra ser solo una direccin IP). A partir de esta informacin, el analista debe obtener toda la informacin posible.
Caja blanca. El analista de seguridad tiene una visin

total de la red a analizar, as como acceso a todos los equipos como sper usuario. Existe la ventaja en este anlisis de ser mas completa y exhaustivo.

 Test de penetracin. Durante el test el auditor simula ser

un atacante. Desde esta posicin, se realizan varios intentos de ataques a la red, buscando debilidades y vulnerabilidades. El resultado del test de penetracin mostrara una idea general del estado de la seguridad de los sistemas frente a los ataques.

 Se debe obtener un informe que indique:

* Pruebas realizadas en el test * Lista de vulnerabilidades y debilidades encontradas. * Referencia tcnica a estas vulnerabilidades * Recomendaciones

 Existen diversas herramientas que se pueden utilizar para

realizar el anlisis de vulnerabilidades:

* Escaneo de puertos * Deteccin de vulnerabilidades * Analizador de protocolos * Ingeniera social

 Acuerdo de confidencialidad entre las partes.

Esto se debe a que a lo largo del desarrollo del anlisis se puede obtener informacin critica para la organizacin analizada, debe existir confianza por parte de la empresa hacia la empresa auditora, y esta a su vez el acuerdo de confidencialidad le ofrece un marco legal sobre el cual trabajar.

 Establecer reglas. Antes de realizar el anlisis se debe

definir cuales son las tareas a realizar, los limites, los permisos y obligaciones que se debern respetar. Reunin de informacin. Dependiendo del mtodo utilizado ser la forma de obtener la informacin.

Test interior.
Trata de demostrar hasta donde tiene privilegios un usuario tpico dentro de la organizacin. Se compone de diversas pruebas: Revisin de privacidad Testeo de aplicaciones de internet Testeo de Sistemas de Deteccin de intrusos Testeo de medidas de contingencia Descifrado de contraseas Denegacin de servicios Evaluacin de polticas de seguridad.

Test exterior.
El objetivo de este test es acceder de forma remota a los servidores de la organizacin y obtener privilegios o permisos que no deberan estar disponibles. Este puede comenzar con tcnicas de ingeniera social para obtener informacin que luego se usara en el intento de acceso.

El estudio previo de la organizacin debe incluir: Informacin recolectada a partir de la presencia de internet en la organizacin. Revisin de la privacidad, es el punto de vista legal y tico del almacenamiento, transmisin y control de los datos basados en la privacidad del cliente. Un testeo de solicitud para obtener privilegios de acceso a una organizacin y sus activos desde una posicin privilegiada fraudulenta. Un testeo de sugerencia dirigida que hace que un integrante de la organizacin ingrese a un sitio o reciba correo electrnico los cuales contendrn herramientas que despus sern utilizadas para el intento de acceso.

Una vez recopilada esta informacin, se realiza pruebas como pueden ser: Sondeo de red Identificacin de los servicios de sistemas Bsqueda y verificacin de vulnerabilidades Teste de aplicaciones de internet Enrutamiento Testeo de relaciones de confianza Verificacin de radiacin electromagntica Verificacin de redes inalmbricas (802.11)

Documentacin e Informe
Al finalizar se debe presentar un informe donde se detalle cada test realizado y los resultados, se debe especificar: Lista de vulnerabilidades probadas Vulnerabilidades detectadas Servicios y dispositivos vulnerables Nivel de riesgo que involucra cada vulnerabilidad encontrada en cada servicio y dispositivo.

HERRAMIENTAS

Nombre de Producto Scotty

Funcionalidad Herramienta de monitorizacin de agentes que incluye capacidades de gestin de dispositivos SNMP. Est implementado en Tcl/Tk con extensiones propias, e incluye un navegador MIBs. Herramienta de adquisicin y anlisis de trfico. Es una fuente de la librera libpcap.

Fabricante Juergen Schoenwaelder

Tcpdump

El equipo Tcpdump (en 1987 por Van Jacobson , Craig Leres y Steven McCanne ). Distribuida bajo la Licencia BSD Gerald Combs

Ethereal/Wiresh ark Kismet

Herramienta de adquisicin y anlisis de trfico con un entorno grfico de alto nivel. Se pueden realizar distintos tipos de filtrado de la informacin capturada. Es un sniffer, un husmeador de paquetes, y un sistema de deteccin de intrusiones para redes inalmbricas 802.11.

Mike Kershaw (dragorn). Distribuido bajo la Licencia Pblica General de GNU

Nombre de Producto Aircrack -ng

Funcionalidad Es una suite de seguridad inalmbrica que consiste en un packetsniffer de red, un crackeador de redes WEP y WPA/WPA2-PSK y otro conjunto de herramientas de auditora inalmbrica. Herramienta sustitutiva de scotty para la gestin de elementos de red, tambin incluye soporte SNMP, adems es tremendamente grfica e intuitiva. Herramienta con interfaz WWW que permite una lectura en tiempo real de estadsticas de distintos elementos, entre otros, dispositivos SNMP. Es una de las herramientas ms conocidas para monitorizacin de trfico, y una de las ms extendidas.

Fabricante Distribuido bajo la Licencia de GPL

Cheops

Mrtg (El Router Traffic Grapher mltiples)

Escrita en C y Perl po r Tobias Oetiker y Dav e Rand. Software libre licenciado bajo la GPL

Nombre de Producto MON (Service Monitoring Daemon)

Funcionalidad Se trata de una herramienta integrada para la gestin de red, soportando mltiples sistemas en los que, a travs de agentes se pueden monitorizar las aplicaciones de estos y su rendimiento. Tiene soporte de SNMP y ofrece la posibilidad de definir muchos niveles de alertas, desde correo electrnico a notificaciones con voz en tiempo real. Es un monitor de red a nivel IP. Permite la obtncion del ancho de banda consumido, monitorizar todas las conexiones relativas a una maquina, comprobacion de checksums errors y detectar ciertas operaciones no permitidas por parte de los usuarios.

Fabricante Distribuido bajo la Licencia Pblica General de GNU

Iptraf

Distribuido bajo la Licencia GPL, LGPL, LICENCIAS BSD