Auditoria de Redes y Base de Datos

Integrantes : Urbina Cornejo Omar Ernesto Rivas Ramirez Reisser Rogrigo

CONCEPTO
Una Auditoria de Redes es, en esencia, una serie de mecanismos mediante los cuales se pone a prueba una red informtica

Garantiza: Proteccin y tendido adecuado de cables y lneas de comunicacin para evitar accesos fsicos.
Control

Auditoria De La Red Fsica

de utilizacin de equipos de prueba de comunicaciones para monitorizar la red y el trfico en ella. de recuperacin del sistema.

Prioridad

Control

de las lneas telefnicas.

Comprobando:
El

equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. La seguridad fsica del equipo de comunicaciones sea adecuada. Las lneas de comunicacin estn fuera de la vista. Se d un cdigo a cada lnea, en vez de una descripcin fsica de la misma. Haya procedimientos de proteccin de los cables y las bocas de conexin para evitar pinchazos a la red.

 Existan

alternativas de respaldo de las comunicaciones. Con respecto a las lneas telefnicas: No debe darse el nmero como pblico y tenerlas configuradas con retro-llamada, cdigo de conexin o interruptores.

Manejar: Se deben dar contraseas de acceso. Controlar los errores. Garantizar que en una transmisin, sta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la informacin a la red. Registrar las actividades de los usuarios en la red. Encriptar la informacin pertinente.

Auditoria De La Red Lgica

Comprobar:

Inhabilitar el software o hardware con acceso libre. Generar estadsticas de las tasas de errores y transmisin. Crear protocolos con deteccin de errores. Los mensajes lgicos de transmisin han de llevar origen, fecha, hora y receptor. El software de comunicacin, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados. Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada. Se debe hacer un anlisis del riesgo de aplicaciones en los procesos.

Se debe hacer un anlisis de la conveniencia de cifrar los canales de transmisin entre diferentes organizaciones. Se debe hacer un anlisis de la conveniencia de cifrar los canales de transmisin entre diferentes organizaciones. Asegurar que los datos que viajan por Internet vayan cifrados. Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos forneos a la red. Deben existir polticas que prohban la instalacin de programas o equipos personales en la red.

Los accesos a servidores remotos han de estar inhabilitados. La propia empresa generar propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas: Servidores = Desde dentro del servidor y de la red interna.

Servidores web. Intranet = Desde dentro. Firewall = Desde dentro. Accesos del exterior y/o Internet.

ETAPAS A IMPLEMENTAR EN LA AUDITORA DE REDES

Anlisis de Vulnerabilidad
ste es sin duda el punto ms crtico de toda la Auditora, ya que de l depender directamente el curso de accin a tomar en todas las siguientes etapas y el xito de ste. Nuestro equipo cuenta con la tecnologa y la capicidad necesaria para elaborar detallados reportes sobre el grado de vulnerabilidad del sistema, a travs de anlisis remotos y locales.

Estrategia de Saneamiento Identificadas las "brechas" en la red, se procede a "parchearlas", bien sea actualizando el software afectado, reconfigurndolo de una mejor manera o removindolo para remplazarlo por otro que consideremos ms seguro y de mejor desempeo. En este sentido, 7 Espejos no posee ningn acuerdo con ninguna compaa de software, y probablemente le ofrecer soluciones GNU, de alta performance y muy bajo costo.

Las bases de datos, los servidores internos de correo, las comunicaciones sin cifrar, las estaciones de trabajo... todo los puntos crticos deben reducir el riesgo. En los casos ms extremos, la misma infraestructura fsica de la red deber ser replanteada, reorganizando y reconfigurando los switches y routers de la misma.

Plan de Contencin

La red ha sido replanteada, el software ha sido reconfigurado (o rediseado) y el riesgo ha sido reducido; an as, constamente se estn reportando nuevos fallos de seguridad y la posibilidad de intrusin siempre est latente. Un disco rgido puede fallar, una base de datos puede corromporse o una estacin de trabajo puede ser infectada por un virus in the wild (virus bien reciente de rpida propagacin); para ello hay que elaborar un "Plan B", que prevea un incidente an despus de tomadas las medidas de seguridad, y que d respuesta a posibles eventualidades.

Seguimiento Continuo
Como seana Bruce Schneier, reconocido especialista de esta rea, la seguridad no es un producto, es un proceso. Como dijimos, constamente surgen nuevos fallos de seguridad, nuevos virus, nuevas "herramientas" (exploits) que facilitan la intrusin en sistemas, como as tambin nuevas y ms efectivas tecnologas para solucionar estos y otros problemas; por todo ello, la actitud ante la seguridad de debe ser activa, procurando estar "al corriente" de lo que est sucediendo en la materia, para ir cubriendo las nuevas brechas que vayan surgiendo y -cuando menos- para hacerle el trabajo ms difcil a nuestros atacantes.

HERRAMIENTAS DE AUDITORIA DE REDES

OpenBSD: El sistema operativo preventivamente seguro. TCP Wrappers: Un mecanismo de control de acceso y registro clsico basado en IP. pwdump3: Permite recuperar las hashes de passwords de Windows localmente o a travs de la red aunque syskey no est habilitado. LibNet: Una API (toolkit) de alto nivel permitiendo al programador de aplicaciones construir e inyectar paquetes de red. IpTraf: Software para el monitoreo de redes de IP. Fping: Un programa para el escaneo con ping en paralelo. Bastille: Un script de fortalecimiento de seguridad Para Linux, Max Os X, y HP-UX. Winfingerprint: Un escner de enumeracin de Hosts/Redes para Win32. TCPTraceroute: Una implementacin de traceroute que utiliza paquetes de TCP. Shadow Security Scanner: Una herramienta de evaluacin de seguridad no-libre. pf: El filtro de paquetes innovador de OpenBSD. LIDS: Un sistema de deteccin/defensa de intrusiones para el kernel Linux.

etherape: Un monitor de red grfico para Unix basado en etherman. dig: Una til herramienta de consulta de DNS que viene de la mano con Bind. Crack / Cracklib: El clsico cracker de passwords locales de Alec Muffett. cheops / cheops-ng: Nos provee de una interfaz simple a muchas utilidades de red, mapea redes locales o remotas e identifica los sistemas operativos de las mquinas. zone alarm: El firewall personal para Windows. Ofrecen una versin gratuita limitada. Visual Route: Obtiene informacin de traceroute/whois y la grafica sobre un mapa del mundo. The Coroner's Toolkit (TCT): Una coleccin de herramientas orientadas tanto a la recoleccin como al anlisis de informacin forenese en un sistema Unix. tcpreplay: una herramienta para reproducir {replay} archivos guardados con tcpdump o con snoop a velocidades arbitrarias. snoop: Tambin es un sniffer de redes que viene con Solaris.

Auditoria de Base de datos

El objeto fundamental de la auditoria es obtener informacin de las operaciones que cada usuario realiza sobre los objetos de una base de datos.

Auditoria de Base de datos

Aspectos a Evaluar Administracin de la Base de Datos Mantenimiento Prevencin y Deteccin de Errores Medio Ambiente Recuperacin Soporte del Proveedor Seguridad Documentacin

Niveles de Auditoria:
Niveles
Agregada. Censal. Muestral.

de Auditoria:

Detallada. Cambios De contenido. De estructura. Accesos. Operaciones de acceso a contenido. Resultados de las operaciones de acceso. Otros. Copias de seguridad y recuperaciones. Reconstruccin de un estado de los datos.

Agregada:
Estadsticas

sobre el nmero de operaciones realizadas sobre un objeto de Base de Datos, por cada usuario. Como cualquier estadstica, su medida puede hacerse con tcnicas censales mustrales.

Censal: El gestor toma datos de todas las operaciones que recibe, segn el gestor, esto se ejecutar en paralelo a las operaciones auditadas. Muestral: Peridicamente se toman una muestra de datos .

Detallada:
Incluye

todas las operaciones realizadas sobre cada objeto.

Cambios.

El contenido de los datos. Debe contener la imagen de los datos anteriores y posteriores a la operacin del cambio. La estructura de los objetos que componen la aplicacin.

contenido de los datos y tiene dos niveles de detalle:

Accesos. Limitada a las operaciones de acceso al

Operacin (sentencia SQL que se ejecut) y Resultado (los datos que se vieron en la sentencia SQL ejecutada).

Como implementar una Auditoria de BD

Definir el Alcance de la auditoria:

Esta auditoria comprende solamente al rea de cetro de computo de la municipalidad de mariscal nieto, con respecto al cumplimiento del proceso "De Gestin administracin de la Base de Datos " de la de manera que abarca la explotacin, mantenimiento, diseo carga, post implementacin.

Definir el Objetivo

Verificar la responsabilidad de la administracin del entorno de la base de datos (administrador de la base de datos)

checklist
1.
2. 3. 4. 5. 6. 7.

Los datos son cargados correctamente en la interfaz grafica Existe personal restringido que tenga acceso a la BD Existen procedimientos formales para la operacin del SGBD? Se verifican con frecuencia la validez de los inventarios de los archivos magnticos? Se tiene un responsable del SGBD? Se ha investigado si ese tiempo de respuesta satisface a los usuarios?

INFORME DE AUDITORIA
1. Identificacin del informe Auditoria de Base de Datos. 2. Identificacin del Cliente El rea de Informtica 3. Identificacin de la Entidad Auditada Municipalidad Provincial de Moquegua.
4. Hallazgos La gerencia de Base de datos no tiene un plan que permite modificar en forma oportuna el plan a largo plazo de tecnologa, teniendo en cuenta los posibles cambios tecnolgicos y el incremento de la base de datos. .

5. Conclusiones: El Departamento de centro de cmputo presenta deficiencias sobre todo en el debido cumplimiento de Normas de seguridad de datos y administracin de la Base de Datos. 6. Recomendaciones Capacitar al personal al manejo de la BD.