Auditoría de redes

qwertyuiopasdfghjklzxcvbnmqwertyui

opasdfghjklzxcvbnmqwertyuiopasdfgh

jklzxcvbnmqwertyuiopasdfghjklzxcvb

nmqwertyuiopasdfghjklzxcvbnmqwer

tyuiopasdfghjklzxcvbnmqwertyuiopas

dfghjklzxcvbnmqwertyuiopasdfghjklzx

cvbnmqwertyuiopasdfghjklzxcvbnmq

wertyuiopasdfghjklzxcvbnmqwertyuio

pasdfghjklzxcvbnmqwertyuiopasdfghj

klzxcvbnmqwertyuiopasdfghjklzxcvbn

mqwertyuiopasdfghjklzxcvbnmqwerty

uiopasdfghjklzxcvbnmqwertyuiopasdf

ghjklzxcvbnmqwertyuiopasdfghjklzxc

vbnmqwertyuiopasdfghjklzxcvbnmrty

uiopasdfghjklzxcvbnmqwertyuiopasdf

ghjklzxcvbnmqwertyuiopasdfghjklzxc

vbnmqwertyuiopasdfghjklzxcvbnmqw

Auditoría de Redes

Auditoría de Sistemas

24/08/2009

INTEGRANTES Calderón Villanueva José H.

Miranda Guevara Edwin Muñoz Aleman Jonathan Ramos Ramírez Yaser J. Reque Llumpo Johnny J.

Auditoría de Redes Auditoría de Sistemas

2:

24

de

ag

os

to

de

20

09

Índice de Contenido 1. Terminología Básica .................................................................................................................... 5

2. Modelos de Redes ....................................................................................................................... 6

2.1. Modelo d Referencia OSI..................................................................................................... 6

2.2. Niveles Funcionales ............................................................................................................. 8

2.2.1. NIVEL 1: Capa Física ..................................................................................................... 8

2.2.2. NIVEL 2: Capa de Enlace de Datos ............................................................................... 9

2.2.3. NIVEL 3: Capa de Red ................................................................................................ 10

2.2.4. NIVEL 4: Capa de Trasporte ....................................................................................... 11

2.2.5. NIVEL 5: Capa de Sesión ............................................................................................ 13

2.2.6. NIVEL 6: Capa de Presentación ................................................................................. 13

2.2.7. NIVEL 7: Capa de Aplicaciones .................................................................................. 14

2.3. Aplicación del Modelo OSI ................................................................................................ 15

3. Vulnerabilidades y Ataques Informáticos ................................................................................. 17

3.1. Análisis de Vulnerabilidades .............................................................................................. 17

3.1.1. Acuerdo de Confidencialidad entre las Partes .......................................................... 19

3.1.2. Establecer las Reglas del Juego ................................................................................. 19

3.1.3. Reunión de Información ............................................................................................ 19

3.1.4. Test Interior ............................................................................................................... 19

3.1.5. Test Exterior .............................................................................................................. 20

3.1.6. Documentación e Informe ........................................................................................ 20

3.2. Analizadores de Vulnerabilidades ..................................................................................... 21

3.3. En Busca de los Agujeros de la Red ................................................................................... 22

3.3.1. Del Host a la Red ....................................................................................................... 22

3.3.2. Mejores Prestaciones ................................................................................................ 23

3.3.3. Mayor Automatización .............................................................................................. 23

3.3.4. Servicios Online ......................................................................................................... 24

3.4. Evaluación de la Vulnerabilidad ........................................................................................ 25

4. Protocolos y Redes Abiertas ...................................................................................................... 26

4.1. Propiedades Típicas ........................................................................................................... 26

4.2. Protocolos Comunes ......................................................................................................... 27


3:

24

de

ag

os

to

de

20

09

5. Auditando la Gerencia de Comunicaciones .............................................................................. 29

6. Auditando una Red Lógica ......................................................................................................... 31

7. Auditando una Red Física .......................................................................................................... 33

7.1. Seguridad Física ................................................................................................................. 33

7.2. Caso Práctico ..................................................................................................................... 35

7.2.1. Propósito ................................................................................................................... 35

7.2.2. Cuestión de Fondo: ................................................................................................... 35

7.2.3. ¿En qué consiste? ...................................................................................................... 35

7.2.4. Metodología .............................................................................................................. 35

7.2.5. Hallazgos y Recomendaciones .................................................................................. 36

7.2.6. Análisis ....................................................................................................................... 38

7.2.7. Recomendaciones ..................................................................................................... 40

7.2.8. Conclusión: ................................................................................................................ 40

7.2.9. Recomendación Final ................................................................................................ 41

Bibliografía ........................................................................................................................................ 41

Índice de Ilustraciones Ilustración 1. Las 7 capas del modelo OSI. .......................................................................................... 7

Ilustración 2. Capa física del modelo OSI. ........................................................................................... 9

Ilustración 3. Capa de enlace de datos del modelo OSI. ................................................................... 10

Ilustración 4. Capa de red del modelo OSI. ....................................................................................... 11

Ilustración 5. Capa de transporte del modelo OSI. ........................................................................... 12

Ilustración 6. Capa de sesión del modelo OSI. .................................................................................. 13

Ilustración 7. Capa de presentación del modelo OSI. ....................................................................... 14

Ilustración 8. Capa de aplicaciones del modelo OSI. ......................................................................... 15

Ilustración 9. Niveles 6 y 7 del modelo OSI. ...................................................................................... 15

Ilustración 10. Niveles 4 y 5 del modelo OSI. .................................................................................... 15

Ilustración 11. Niveles 1, 2 y 3 del modelo OSI. ................................................................................ 16

Ilustración 12. Resumen de los niveles y capas del modelo OSI. ...................................................... 16

Ilustración 13. Análisis de los hallazgos. ........................................................................................... 40


4:

24

de

ag

os

to

de

20

09

Índice de Tablas Tabla 1. Aspectos típicos de seguridad física para salas secundarias. .............................................. 36

Tabla 2. Aspectos típicos de seguridad física para salas principales. ................................................ 36

Tabla 3. Hallazgos de ausencia de políticas y procedimientos para la administración de la seguridad

de la red física. .................................................................................................................................. 37

Tabla 4. Hallazgos referentes a las salas principales y secundarias. ................................................. 38

Tabla 5. Hallazgos identificados agrupados en categorías. ............................................................... 39

Tabla 6. Ponderación de los hallazgos. ............................................................................................. 39


5:

24

de

ag

os

to

de

20

09

Auditoría de Redes

La infraestructura de las Tecnologías de la Información y de las Comunicaciones (TIC) se ha

convertido en un activo empresarial estratégico y la red constituye su núcleo. La Auditoría de

Redes es una serie de mecanismos mediante los cuales se pone a prueba una red informática,

evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la

información. Consiste en identificar:

Estructura Física (Hardware, Topología)

Estructura Lógica (Software, Aplicaciones)

La identificación se lleva a cabo en los equipos, la red, la Intranet y Extranet. Las etapas de la

Auditoria de Redes son:

Análisis de la Vulnerabilidad

Estrategia de Saneamiento

Plan de Contención ante posibles incidentes

Seguimiento Continuo del desempeño del Sistema

(Lizárraga Sánchez & Martínez López)

1. Terminología Básica A continuación se presenta la definición de los términos más usados en una red de

comunicaciones.

ROUTER. Lee las direcciones que se escriben y las identifica, este a su vez pone los paquetes

en otra red si es necesario. El Router es el que se encarga de organizar y contralar el tráfico.

DNS. Esto lo que hace es que identifica y busca los nombres de los “Domain” dominios. Se

utiliza para buscar principalmente las direcciones IP.

PROXY. Es usado como intermediario; en muchas empresas lo utilizan como manera de

seguridad. Este también tiene la función de establecer y compartir con todo los usuarios una

única conexión de internet. El proxy abre la dirección web o URL, este aprueba o desaprueba

los paquetes para luego enviarlos a internet.

FIREWALL. Tiene dos propósitos fundamentales: Prevenir intromisiones indeseables

provenientes del internet y evitar que la información de importancia que existe en nuestra

computadora sea enviada al internet.


6:

24

de

ag

os

to

de

20

09

HUB. Se utiliza para conectar distintos tipos de cable o redes de área local. Para los que no lo

saben, el término “hub” en español significa “Concentrador”. Es el núcleo o centro de

conexión de una red.

IP. Es un tipo de protocolo que empaqueta y etiqueta los paquetes cargados con datos y los

pone en camino.

ROUTER SWITCH. Es tal vez mucho más eficiente que el router y más rápido. Este suelta los

paquetes enlutándoles por su camino. Como si fuera una maquina de “feedback’ digital.

TCP: Es un estándar de comunicación muy extendido y de uso muy frecuente para software

de redes. El TCP es un tipo de protocolo de Internet.

Puertos de Comunicación: Son herramientas que permiten manejar e intercambiar datos

entre un computadora. Estos están en el “motherboard” o placa madre en español.

Protocolos: Son las distintas maneras que existen de comunicaciones; Existen distintos tipos

de protocolos cada uno diseñado para una función y actividad específica.

2. Modelos de Redes

2.1. Modelo d Referencia OSI Siguiendo el esquema de este modelo se crearon numerosos protocolos, por ejemplo X.25,

que durante muchos años ocuparon el centro de la escena de las comunicaciones

informáticas. El advenimiento de protocolos más flexibles donde las capas no están tan

demarcadas y la correspondencia con los niveles no era tan clara puso a este esquema en

un segundo plano. Sin embargo es muy usado en la enseñanza como una manera de

mostrar cómo puede estructurarse una "pila" de protocolos de comunicaciones.

El modelo en sí mismo no puede ser considerado una arquitectura, ya que no especifica el

protocolo que debe ser usado en cada capa, sino que suele hablarse de modelo de

referencia. Este modelo está dividido en siete capas:


7:

24

de

ag

os

to

de

20

09

Ilustración 1. Las 7 capas del modelo OSI.

La potencia del Modelo OSI proviene de que cada capa no tiene que preocuparse de

qué es lo que hagan las capas superiores ni las inferiores: cada capa se comunica

con su igual en el interlocutor, con un protocolo de comunicaciones específico.

Para establecer una comunicación, la información atraviesa descendentemente la

pila formada por las siete capas, atraviesa el medio físico y asciende a través de las

siete capas en la pila de destino. Por tanto, cada capa tiene unos métodos prefijados

para comunicarse con las inmediatamente inferior y superior.

La red LAN Más extendida, ETHERNET, está basada en que cada emisor envía,

cuando desea, una trama al medio físico, sabiendo que todos los destinatarios están

permanentemente en escucha. Justo antes de enviar, el emisor se pone a la

escucha, y si no hay tráfico, procede directamente al envío. Sí al escuchar detecta

que otro emisor está enviando, espera un tiempo aleatorio antes de volverse a

poner a la escucha.

La LAN Token Ring, desarrollada por IBM, está normalizada como IEEE 802.5, tiene

velocidades de 4 y 16 Mbps y una mejor utilización del canal cuando se incremente

el tráfico.

Para redes WAN, está muy extendido el X.25, se basa en fragmentar la información

en paquetes, habitualmente de 128 caracteres. Estos paquetes se entregan a un

transportista habitualmente público que se encarga de ir enviándolos saltando

entre diversos nodos intermedios hacia el destino


8:

24

de

ag

os

to

de

20

09

2.2. Niveles Funcionales

2.2.1. NIVEL 1: Capa Física

La Capa Física del modelo de referencia OSI es la que se encarga de las conexiones físicas

de la computadora hacia la red, tanto en lo que se refiere al medio físico (medios guiados:

cable coaxial, cable de par trenzado, fibra óptica y otros tipos de cables; medios no

guiados: radio, infrarrojos, microondas, láser y otras redes inalámbricas); características

del medio (tipo de cable o calidad del mismo; tipo de conectores normalizados o en su

caso tipo de antena; etc.) y la forma en la que se transmite la información (codificación de

señal, niveles de tensión/intensidad de corriente eléctrica, modulación, tasa binaria, etc.)

Es la encargada de transmitir los bits de información a través del medio utilizado para la

transmisión. Se ocupa de las propiedades físicas y características eléctricas de los diversos

componentes; de la velocidad de transmisión, si ésta es uni o bidireccional (símplex,

dúplex o full-dúplex). También de aspectos mecánicos de las conexiones y terminales,

incluyendo la interpretación de las señales eléctricas/electromagnéticas.

Se encarga de transformar una trama de datos proveniente del nivel de enlace en una

señal adecuada al medio físico utilizado en la transmisión. Estos impulsos pueden ser

eléctricos (transmisión por cable) o electromagnéticos (transmisión sin cables). Estos

últimos, dependiendo de la frecuencia / longitud de onda de la señal pueden ser ópticos,

de micro-ondas o de radio. Cuando actúa en modo recepción el trabajo es inverso; se

encarga de transformar la señal transmitida en tramas de datos binarios que serán

entregados al nivel de enlace.

Sus principales funciones se pueden resumir como:

Definir el medio o medios físicos por los que va a viajar la comunicación: cable de

pares trenzados (o no, como en RS232/EIA232), coaxial, guías de onda, aire, fibra

óptica.

Definir las características materiales (componentes y conectores mecánicos) y

eléctricas (niveles de tensión) que se van a usar en la transmisión de los datos por

los medios físicos.

Definir las características funcionales de la interfaz (establecimiento,

mantenimiento y liberación del enlace físico).

Transmitir el flujo de bits a través del medio.

Manejar las señales eléctricas/electromagnéticas

Especificar cables, conectores y componentes de interfaz con el medio de

transmisión, polos en un enchufe, etc.

Garantizar la conexión (aunque no la fiabilidad de ésta).


9:

24

de

ag

os

to

de

20

09

Ilustración 2. Capa física del modelo OSI.

2.2.2. NIVEL 2: Capa de Enlace de Datos

Cualquier medio de transmisión debe ser capaz de proporcionar una transmisión sin

errores, es decir, un tránsito de datos fiable a través de un enlace físico. Debe crear y

reconocer los límites de las tramas, así como resolver los problemas derivados del

deterioro, pérdida o duplicidad de las tramas. También puede incluir algún mecanismo de

regulación del tráfico que evite la saturación de un receptor que sea más lento que el

emisor.

La capa de enlace de datos se ocupa del direccionamiento físico, de la topología de la red,

del acceso a la red, de la notificación de errores, de la distribución ordenada de tramas y

del control del flujo.

Se hace un direccionamiento de los datos en la red ya sea en la distribución adecuada

desde un emisor a un receptor, la notificación de errores, de la topología de la red de

cualquier tipo. La tarjeta NIC (Network Interface Card, Tarjeta de Interfaz de Red en

español o Tarjeta de Red) que se encarga de que tengamos conexión, posee una dirección

MAC (control de acceso al medio) y la LLC (control de enlace lógico).

Los switches realizan su función en esta capa.

Controla la transferencia de datos entre sistemas abiertos adyacentes.

Detecta y corrige los errores de bits que se producen en la ruta de transmisión.


10:

24

de

ag

os

to

de

20

09

Garantiza la transferencia segura de las tramas al Sistema de Destino.

Ilustración 3. Capa de enlace de datos del modelo OSI.

2.2.3. NIVEL 3: Capa de Red

El cometido de la capa de red es hacer que los datos lleguen desde el origen al destino,

aun cuando ambos no estén conectados directamente. Los dispositivos que facilitan tal

tarea se denominan en castellano encaminadores, aunque es más frecuente encontrar el

nombre inglés routers y, en ocasiones enrutadores.

Adicionalmente la capa de red lleva un control de la congestión de red, que es el

fenómeno que se produce cuando una saturación de un nodo tira abajo toda la red

(similar a un atasco en un cruce importante en una ciudad grande). La PDU de la capa 3 es

el paquete.

Los routers trabajan en esta capa, aunque pueden actuar como switch de nivel 2 en

determinados casos, dependiendo de la función que se le asigne. Los firewalls actúan

sobre esta capa principalmente, para descartar direcciones de máquinas.

En este nivel se realiza el direccionamiento lógico y la determinación la ruta de los datos

hasta su receptor final.

Proporciona los medios para establecer, mantener y liberar las comunicaciones

entre sistemas finales.

Controla la función de retransmisión y encaminamiento para establecer la ruta de

comunicación con el sistema de Destino con las características óptimas requeridas

por la capa de Destino.


11:

24

de

ag

os

to

de

20

09

Ilustración 4. Capa de red del modelo OSI.

2.2.4. NIVEL 4: Capa de Trasporte

Su función básica es aceptar los datos enviados por las capas superiores, dividirlos en

pequeñas partes si es necesario, y pasarlos a la capa de red. En el caso del modelo OSI,

también se asegura que lleguen correctamente al otro lado de la comunicación. Otra

característica a destacar es que debe aislar a las capas superiores de las distintas posibles

implementaciones de tecnologías de red en las capas inferiores, lo que la convierte en el

corazón de la comunicación. En esta capa se proveen servicios de conexión para la capa de

sesión que serán utilizados finalmente por los usuarios de la red al enviar y recibir

paquetes. Estos servicios estarán asociados al tipo de comunicación empleada, la cual

puede ser diferente según el requerimiento que se le haga a la capa de transporte. Por

ejemplo, la comunicación puede ser manejada para que los paquetes sean entregados en

el orden exacto en que se enviaron, asegurando una comunicación punto a punto libre de

errores, o sin tener en cuenta el orden de envío. Una de las dos modalidades debe

establecerse antes de comenzar la comunicación para que una sesión determinada envíe

paquetes, y ése será el tipo de servicio brindado por la capa de transporte hasta que la

sesión finalice. De la explicación del funcionamiento de esta capa se desprende que no

está tan encadenada a capas inferiores como en el caso de las capas 1 a 3, sino que el

servicio a prestar se determina cada vez que una sesión desea establecer una


12:

24

de

ag

os

to

de

20

09

comunicación. Todo el servicio que presta la capa está gestionado por las cabeceras que

agrega al paquete a transmitir.

En resumen, podemos definir a la capa de transporte como:

Capa encargada de efectuar el transporte de los datos (que se encuentran dentro del

paquete) de la máquina origen a la de destino, independizándolo del tipo de red física que

se esté utilizando. La PDU de la capa 4 se llama Segmentos. Sus protocolos son TCP y UDP

el primero orientado a conexion y el otro sin conexión.

Controla la transferencia de Datos entre Sistemas abiertos terminales.

Mejora la contabilidad de transferencia de Datos mediante el procedimiento de

detección y corrección de errores de extremo a extremo.

Ilustración 5. Capa de transporte del modelo OSI.


13:

24

de

ag

os

to

de

20

09

2.2.5. NIVEL 5: Capa de Sesión

Esta capa establece, gestiona y finaliza las conexiones entre usuarios (procesos o

aplicaciones) finales. Ofrece varios servicios que son cruciales para la comunicación, como

son:

Control de la sesión a establecer entre el emisor y el receptor (quién transmite,

quién escucha y seguimiento de ésta).

Control de la concurrencia (que dos comunicaciones a la misma operación crítica

no se efectúen al mismo tiempo).

Mantener puntos de verificación (checkpoints), que sirven para que, ante una

interrupción de transmisión por cualquier causa, la misma se pueda reanudar

desde el último punto de verificación en lugar de repetirla desde el principio.

Por lo tanto, el servicio provisto por esta capa es la capacidad de asegurar que, dada una

sesión establecida entre dos máquinas, la misma se pueda efectuar para las operaciones

definidas de principio a fin, reanudándolas en caso de interrupción. En muchos casos, los

servicios de la capa de sesión son parcial o totalmente prescindibles.

En conclusión esta capa es la que se encarga de mantener el enlace entre los dos

computadores que estén transmitiendo datos de cualquier índole.

Proporciona los medios necesarios para que las entidades de presentación,

organicen y sincronicen el diálogo y procedan a su intercambio de datos.

Ilustración 6. Capa de sesión del modelo OSI.

2.2.6. NIVEL 6: Capa de Presentación

El objetivo de la capa de presentación es encargarse de la representación de la

información, de manera que aunque distintos equipos puedan tener diferentes

representaciones internas de caracteres (ASCII, Unicode, EBCDIC), números (little-endian

tipo Intel, big-endian tipo Motorola), sonido o imágenes, los datos lleguen de manera

reconocible.

Esta capa es la primera en trabajar más el contenido de la comunicación que el cómo se

establece la misma. En ella se tratan aspectos tales como la semántica y la sintaxis de los


14:

24

de

ag

os

to

de

20

09

datos transmitidos, ya que distintas computadoras pueden tener diferentes formas de

manejarlas.

Esta capa también permite cifrar los datos y comprimirlos. En pocas palabras es un

traductor.

Por todo ello, podemos resumir la definición de esta capa como aquella encargada de

manejar la estructura de datos abstracta y realizar las conversiones de representación de

los datos necesarias para la correcta interpretación de los mismos.

Permite la representación de la información.

Se ocupa de la sintaxis (Representación de los Datos).

Ilustración 7. Capa de presentación del modelo OSI.

2.2.7. NIVEL 7: Capa de Aplicaciones

Ofrece a las aplicaciones (de usuario o no) la posibilidad de acceder a los servicios de las

demás capas y define los protocolos que utilizan las aplicaciones para intercambiar datos,

como correo electrónico (POP y SMTP), gestores de bases de datos y servidor de ficheros

(FTP). Hay tantos protocolos como aplicaciones distintas y puesto que continuamente se

desarrollan nuevas aplicaciones el número de protocolos crece sin parar.

Cabe aclarar que el usuario normalmente no interactúa directamente con el nivel de

aplicación. Suele interactuar con programas que a su vez interactúan con el nivel de

aplicación pero ocultando la complejidad subyacente. Así por ejemplo un usuario no

manda una petición "GET index.html HTTP/1.0" para conseguir una página en html, ni lee

directamente el código html/xml.


15:

24

de

ag

os

to

de

20

09

Ilustración 8. Capa de aplicaciones del modelo OSI.

2.3. Aplicación del Modelo OSI

Ilustración 9. Niveles 6 y 7 del modelo OSI.

Ilustración 10. Niveles 4 y 5 del modelo OSI.


16:

24

de

ag

os

to

de

20

09

Ilustración 11. Niveles 1, 2 y 3 del modelo OSI.

Ilustración 12. Resumen de los niveles y capas del modelo OSI.


17:

24

de

ag

os

to

de

20

09

3. Vulnerabilidades y Ataques Informáticos No es posible una aplicación racional de medidas de seguridad sin antes analizar los riesgos

para, así implantar las medidas proporcionadas a estos riesgos, al estado de la tecnología y a

los costos (tanto de la ausencia de seguridad como de las medidas a tomar).

El análisis de vulnerabilidad representa un diagnostico de las debilidades que puedan tener o

tienen las organizaciones en sus sistemas de información y en sus equipos. Como es de

suponerse no es lo mismo acceder a la Red durante unos minutos para recoger el correo, que

permanecer conectados las 24 horas del día. (Cotarelo)

En el mercado existen diferentes herramientas para analizar vulnerabilidades de una red.

Estas herramientas son muy útiles, para los administradores de red preocupados por la

seguridad e integridad de su red y la información que en ella manejan. Sin embargo, estas

herramientas se convierten en armas de doble filo, pues pueden ser usadas con el objetivo de

mejorar la seguridad de la red o pueden ser usadas por hackers con el objetivo de detectar

vulnerabilidades y realizar ataques.

Cada día aumentan los ataques contra redes y contra computadores conectados a la red. “La

omnipresencia de Internet los está [virus] volviendo pan de cada día y están aumentando su

poder”. El nivel de sofisticación de estos ataques es cada vez mayor, lo cual exige el desarrollo

y actualización de herramientas pertinentes.

Se puede por tanto evidenciar, la gran importancia de desarrollar mecanismos de

autoprotección contra estos ataques, los cuales deben pasar por una fase de identificación de

los potenciales riesgos a los que se está expuesto, luego a una fase de análisis de las

debilidades para posteriormente definir acciones de mejora y defensa así como planes de

mitigación ante sucesos indeseables.

En las etapas de identificación y análisis, los Analizadores de Vulnerabilidades como los que se

desarrollan en el presente documento juegan un papel fundamental para una clara y eficaz

detección de falencias en seguridad. (Acosta, Buitrago, Newball, Ramírez, & Sanchéz)

3.1. Análisis de Vulnerabilidades A través de un análisis de vulnerabilidades, un analista en seguridad puede examinar la

robustez y seguridad de cada uno de los sistemas y dispositivos ante ataques y obtener la

información necesaria para analizar cuáles son las contramedidas que se pueden aplicar con

el fin de minimizar el impacto de un ataque. El análisis de vulnerabilidades debe realizarse:

Cuando ocurran cambios en el diseño de la red o los sistemas.

Cuando se realicen actualizaciones de los dispositivos.

Periódicamente.

MÉTODOS


18:

24

de

ag

os

to

de

20

09

CAJA NEGRA. Al analista se le proporciona sólo la información de acceso a la red o al sistema

(podría ser sólo una dirección IP). A partir de esta información, el analista debe obtener

toda la información posible

CAJA BLANCA. El analista de seguridad tiene una visión total de la red a analizar, así como

acceso a todos los equipos como super usuario. Este tipo de análisis tiene la ventaja de ser

más completo y exhaustivo.

TEST DE PENETRACIÓN. Durante el test de penetración el analista de seguridad simula ser

un atacante. Desde esta posición, se realizan varios intentos de ataques a la red, buscando

debilidades y vulnerabilidades:

Estudio de la red externa.

Análisis de servicios disponibles.

Estudio de debilidades.

Análisis de vulnerabilidades en dispositivos de red.

Análisis de vulnerabilidades de implementaciones y configuraciones.

Denegación de servicio.

El resultado del test de penetración mostrará una idea general del estado de la seguridad de

los sistemas frente a los ataques. Si se encontraran una o más vulnerabilidades, no se realiza

su explotación. Como conclusión de este paso, se debe obtener un informe que indique:

Pruebas de seguridad realizadas en el test.

Lista de vulnerabilidades y debilidades encontradas.

Referencia técnica a estas vulnerabilidades y sus contramedidas.

Recomendaciones.

Las vulnerabilidades provienen de diferentes ámbitos y las podemos clasificar en:

Vulnerabilidades de implementación.

Vulnerabilidades de configuración.

Vulnerabilidades de dispositivo.

Vulnerabilidades de protocolo.

Vulnerabilidades de aplicación

Existen diversas herramientas que se pueden utilizar para realizar un análisis de

vulnerabilidades:

Escaneo de puertos.

Detección de vulnerabilidades.

Analizador de protocolos.

Passwords crackers.


19:

24

de

ag

os

to

de

20

09

Ingeniería social.

Trashing

Existen sitios donde encontrará información muy diversa, desde publicaciones y bibliografía

específica en seguridad, hasta repositorios de vulnerabilidades con sus exploits:

CERT – Computer Emergency Response Team

SANS –SysAdmin, Audit, Network, Security

NSA – National Security Agency

NIST – National Institute of Standards and Technology

Los pasos a seguir para llevar a cabo un análisis de vulnerabilidades comprenden:

3.1.1. Acuerdo de Confidencialidad entre las Partes

Es importante realizar un acuerdo de confidencialidad entre todas las partes involucradas

en el análisis. A lo largo del desarrollo del análisis se puede obtener información crítica

para la organización analizada. Desde el punto de vista de la organización, debe existir

confianza absoluta con la parte analizadora. Desde el punto de vista del analizador, el

acuerdo de confidencialidad le ofrece un marco legal sobre el cual trabajar. Es un respaldo

formal a su labor.

3.1.2. Establecer las Reglas del Juego

Antes de comenzar con el análisis de vulnerabilidades es necesario definir cuáles van a ser

las tareas a realizar, y cuáles serán los límites, permisos y obligaciones que se deberán

respetar. Durante el análisis, deben estar informadas la menor cantidad de personas, de

manera que la utilización de la red por parte del personal sea normal, se deben evitar

cambios en la forma de trabajo.

3.1.3. Reunión de Información

Un análisis de vulnerabilidades comienza con la obtención de información del objetivo. Si

se ha seleccionado realizar un test por caja negra, el proceso de análisis será muy similar al

proceso seguido por un atacante. Si utiliza un método de caja blanca, éste es el momento

para recopilar la información de acceso a servicios, hosts y dispositivos, información de

direccionamiento, y todo lo que considere necesario.

3.1.4. Test Interior

El Test Interior trata de demostrar hasta donde se puede llegar con los privilegios de un

usuario típico dentro de la organización. Para realizarlo se requiere que la organización

provea una computadora típica, un nombre de usuario y una clave de acceso de un

usuario común. Se compone de numerosas pruebas, entre las que podemos citar:

Revisión de Privacidad

Testeo de Aplicaciones de Internet

Testeo de Sistema de Detección de Intrusos


20:

24

de

ag

os

to

de

20

09

Testeo de Medidas de Contingencia

Descifrado de Contraseñas

Testeo de Denegación de Servicios

Evaluación de Políticas de Seguridad

3.1.5. Test Exterior

El principal objetivo del Test Exterior es acceder en forma remota a los servidores de la

organización y obtener privilegios o permisos que no deberían estar disponibles. El Test

Exterior puede comenzar con técnicas de Ingeniería Social, para obtener información que

luego se utilizará en el intento de acceso. Los pasos del estudio previo de la organización

deben incluir:

Revisión de la Inteligencia Competitiva. Información recolectada a partir de la

presencia en Internet de la organización.

Revisión de Privacidad. Es el punto de vista legal y ético del almacenamiento,

transmisión y control de los datos basados en la privacidad del cliente.

Testeo de Solicitud. Es un método de obtener privilegios de acceso a una

organización y sus activos preguntando al personal de entrada, usando las

comunicaciones como un teléfono, e-mail, chat, boletines, etc. desde una posición

“privilegiada” fraudulenta.

Testeo de Sugerencia Dirigida. En este método se intenta lograr que un integrante

de la organización ingrese a un sitio o reciba correo electrónico, en este sitio o

correo se podrían agregar herramientas que luego serán utilizadas en el intento de

acceso.

Una vez que se recopiló esta información, se procede a realizar las siguientes pruebas:

Sondeo de Red

Identificación de los Servicios de Sistemas

Búsqueda y Verificación de Vulnerabilidades

Testeo de Aplicaciones de Internet

Enrutamiento

Testeo de Relaciones de Confianza

Verificación de Radiación Electromagnética (EMR)

Verificación de Redes Inalámbricas [802.11]

3.1.6. Documentación e Informe

Como finalización del análisis de vulnerabilidades se debe presentar un informe donde se

detalle cada uno de los tests realizados y los resultados. En este informe se debe

especificar:

Lista de vulnerabilidades probadas


21:

24

de

ag

os

to

de

20

09

Lista de vulnerabilidades detectadas

Lista de servicios y dispositivos vulnerables

El nivel de riesgo que involucra cada vulnerabilidad encontrada en cada servicio y

dispositivo

Como anexo se deben incluir los resultados de los programas utilizados. (Ramírez)

3.2. Analizadores de Vulnerabilidades Las vulnerabilidades de un sistema surgen a partir de errores individuales en un

componente, sin embargo nuevas y complejas vulnerabilidades surgen de la interacción

entre varios componentes como el kernel del sistema, sistemas de archivos, servidores de

procesos, entre otros. Estas vulnerabilidades generan problemas de seguridad para la red en

cuestión. Entre las vulnerabilidades más conocidas se encuentran el “finger username” y la

notificación de mensajes de correo a través de “comsat”. Para el primero de estos la

vulnerabilidad es originada en la interacción entre el servidor fingerprint y la forma en que

el sistema de archivos representa los links para acceder al directorio raíz de username. En el

segundo caso el programa comsat supone que etc/utmp es correcto, el sistema de archivos

configura este archivo para otorgar permisos y el programa de correo asume que todo está

correcto.

Sin embargo, existen fuertes críticas sobre los analizadores de vulnerabilidades ya que

funcionan bajo un esquema de reglas, que son sólo generadas por expertos en el tema y

que se configuran para vulnerabilidades. La posibilidad de acceder a estas reglas y

conocerlas, permite que personas malintencionadas realicen ataques contra redes no

protegidas para estas vulnerabilidades. Adicionalmente, la identificación y definición de

reglas se deja en manos de expertos que puedan comprender las interacciones de las cuales

surgen las vulnerabilidades.

Por otra parte, aunque existen diversas formas de realizar auditorías de seguridad apoyadas

en las herramientas descritas anteriormente, en todos los casos se utilizan herramientas

para la detección de las vulnerabilidades.

Estas herramientas que detectan fallas de seguridad pueden ser utilizadas de dos formas

diferentes: interna o externamente a la maquina que se analiza. Cuando se aplican

internamente, se realiza la auditoría desde el interior de la máquina (generalmente

utilizando el superusuario), lo que otorga numerosas ventajas para la detección de

vulnerabilidades ya que se tiene acceso a los ficheros críticos del sistema. En el caso de las

auditorías externas, la detección de vulnerabilidades se realiza desde una máquina diferente

a la que está siendo analizada. En este tipo de auditorías se realizan ataques para verificar la

existencia de vulnerabilidades. De la variedad y cantidad de ataques que alguna de estas

herramientas sea capaz de realizar, dependerá, en gran parte, el éxito en la detección de

vulnerabilidades. Aunque este factor es, probablemente, el más importante, conviene


22:

24

de

ag

os

to

de

20

09

considerar otros aspectos como por ejemplo la forma de realizar los ataques. Cabe anotar

que las herramientas descritas en este informe realizan un análisis de debilidades externas

del sistema. Es decir, las herramientas que se instalan en una máquina para realizar ataques

sobre otra diferente, y de este modo detectar sus vulnerabilidades; presentando, tal vez, el

punto de vista más realista para analizar vulnerabilidades, ya que asumen el papel de hacker

externo que pretende comprometer una máquina a través de la red. (Acosta, Buitrago,

Newball, Ramírez, & Sanchéz)

3.3. En Busca de los Agujeros de la Red Las herramientas de análisis de vulnerabilidades permiten identificar muchos de los

principales agujeros de seguridad que ponen en riesgo los sistemas de una red, y

generalmente con tan sólo unos cuantos movimientos de ratón. Identificar las debilidades y

saber cómo corregirlas es un paso fundamental para estar seguro.

Sin embargo, pese a estar presentes en el mercado desde hace casi una década, estas

herramientas todavía se encuentran muy lejos de la madurez. Muchos de estos productos

aún reportan “falsos positivos” y, cuando aciertan, no siempre informan con la precisión

necesaria. Con todo, su demanda sigue creciendo: según IDC, las ventas de este tipo de

herramientas pasarán de los 359 millones de dólares previstos para este año a 657 millones

en 2004.

3.3.1. Del Host a la Red

En general, las herramientas de análisis de vulnerabilidades obedecen a dos tipos

diferentes: las basadas en host y las basadas en la red. Éstas últimas se centran en la

identificación de cuestiones relacionadas con los servicios que, como HTTP, FTP y Simple

Mail Transfer Protocol, corren en los sistemas de la red. No ofrecen una información tan

detallada ni el mismo grado de control sobre los sistemas que las herramientas basadas en

host, pero a cambio aportan datos más precisos sobre la red y los servicios. Es más, no

obligan a desplegar agentes en todas las máquinas como los basados en host;

simplemente hay que definir la red a escanear, y listo.

Los principales productos de este segmento son Secure Scanner de Cisco, Internet Scanner

de ISS y Distributed Cybercop Scanner de Network Associates. Y no hay que olvidar el

escáner Retina de eEye Digital Security, que está ganando terreno rápidamente gracias a

sus buenas prestaciones. De hecho, fue el que más puntuación obtuvo en la comparativa

realizada por IDG.

Los escáneres basados en host identifican vulnerabilidades a nivel de sistema, como

permisos de archivos, propiedades de cuenta de usuario y establecimiento de registros, y

usualmente requieren la instalación de un agente en los sistemas a analizar. Estos agentes

reportan a una base de datos centralizada, desde la que se pueden generar informes y

realizar tareas de administración. Como los agentes se instalan en todos y cada uno de los

sistemas, este tipo de herramientas aportan a los administradores un mayor control sobre


23:

24

de

ag

os

to

de

20

09

dichos sistemas que las basadas en red. Además, se pueden combinar con políticas

corporativas. Los principales productos dentro de esta categoría son Enterprise Security

Manager de Symantec, bv-Control de BindView y System Scanner de ISS.

A pesar de estas diferencias, lo cierto es que poco a poco se están diluyendo las barreras

que separan a ambos tipos de productos. Así, muchos escáneres de análisis de red

incluyen ahora funcionalidades típicas de las soluciones basadas en host, como las

características de auto reparación. También son muchos hoy en día los que añaden análisis

de los permisos de registros y las propiedades de las cuentas.

Una nueva aportación a este mercado son los servicios de análisis online, que a un coste

atractivo y de un modo automatizado y online evalúan las vulnerabilidades potenciales de

los dispositivos perimetrales del cliente; algunos incluso escanean sistemas internos.

3.3.2. Mejores Prestaciones

Como sucede en cualquier segmento, el mercado de análisis de vulnerabilidades se está

viendo incrementado con nuevas soluciones y, lo que es mejor, nuevas prestaciones. Los

usuarios demandan hoy, entre otras mejoras, mayor sencillez de uso e informes más

útiles. En consecuencia, los fabricantes se están viendo obligados a crear interfaces de

usuario más intuitivas y a agilizar y simplificar las actualizaciones de vulnerabilidades. En

este último apartado, por ejemplo, muchos suministradores están siguiendo el mismo

enfoque basado en la Web que las firmas de antivirus. Symantec, por ejemplo, utiliza su

infraestructura de distribución antivirus Live Update para distribuir también sus

actualizaciones de análisis.

En cuanto a informes, los usuarios quieren disponer, además de sumarios ejecutivos e

informes estándar, de informes comparativos que cubran un periodo de tiempo dado. Las

herramientas de análisis de Harris ya incluyen esta funcionalidad y el escáner Retina de

eEye lo hará en su versión 5.0, que será lanzada dentro de unos pocos meses. Los usuarios,

asimismo, han estado demandando la capacidad de exportar los informes a documentos

Word, PDF y archivos HTML, y ya son muchos los productos que lo hacen posible.

Un campo donde también se está avanzando significativamente es el del rendimiento,

pues todavía hay soluciones muy lentas; incluso algunas requieren sistemas muy pesados

(servidores Pentium III-800 con 512 MB de RAM) cuando han de trabajar con redes IP de

Clase C. Esto dificulta la evaluación de una red corporativa en su totalidad sobre un solo

sistema.

3.3.3. Mayor Automatización

Hay una tendencia creciente hacia el uso de “fixes” (arreglos, reparaciones) automatizados

para identificar vulnerabilidades, muy útiles en sistemas de producción. Por ejemplo, si un

escáner identifica una clave de registro con permisos incorrectos, el problema quedará

resuelto inmediatamente con un solo clic de ratón. Antes, el administrador tenía que


24:

24

de

ag

os

to

de

20

09

acceder al sistema, abrir el editor del registro, encontrar la clave del registro y cambiar los

permisos. Aquí, las herramientas basadas en hosts, como tienen la ventaja de contar con

un agente residente físicamente en el sistema, acceden a muchos más recursos de sistema

susceptibles de representar un agujero de seguridad.

Los fabricantes, no obstante, están desarrollando formas de solucionar estos puntos

débiles de los escáneres de red. Update de PatchLink es el más avanzado en esta área,

proporcionando una completa administración y gestión de “parches” (patch). Los parches

se descargan de sus servidores en la red del cliente, que puede desplegarlos cuando

quiera. El proceso ocurre de una forma transparente para el usuario.

Lo mejor que está ocurriendo en este segmento de la seguridad es la creciente atención de

los fabricantes por las soluciones a escala corporativa. La combinación de análisis y la

automatización de los arreglos y los parches es definitivamente la gran tendencia a

observar en este mercado. La combinación de estas dos actividades ahorrará a los

administradores de sistemas tiempo y recursos.

3.3.4. Servicios Online

Como la mayoría de los mercados de hoy en día, el de análisis de vulnerabilidades tiene un

nuevo componente basado en los servicios. Gracias a estos servicios, las empresas pueden

escanear remotamente su perímetro de red o zona desmilitarizada para identificar

vulnerabilidades y debilidades de seguridad. Con este enfoque, las redes pueden ser

analizadas fácilmente desde la perspectiva del atacante externo a un coste mucho menor

que contratando a una firma consultora. Algunos servicios incluso proporcionan los

medios para escanear sistemas internos, algo que antes se dejaba exclusivamente en

manos de productos específicos, como los probados en esta revisión. Los fabricantes

líderes de este mercado son McAfee, Qualys, Vigilante y Foundstone.

Con estos servicios los escaneados pueden ser programados, por el usuario final o por el

proveedor del servicio, de forma que se realicen automáticamente. Los resultados se

envían por correo electrónico al usuario para ello designado, o se almacena en un servidor

seguro para su posterior revisión. Muchos informes incluyen análisis diferenciales para ver

la evolución en el tiempo del estado de la seguridad corporativa.

Otros proveedores se centran exclusivamente en la provisión de servicios de escaneado de

vulnerabilidades, que venden a terceros, firmas consultoras generalmente, que los

incluyen en sus ofertas dirigidas al usuario final.

Diferentes enfoques. Una ventaja fundamental de los servicios online es que permiten

desentenderse de las actualizaciones. El proveedor se ocupa de todo: desarrolla firmas y

actualizaciones para nuevas vulnerabilidades y las incluye automáticamente en el

siguiente escaneado a realizar.


25:

24

de

ag

os

to

de

20

09

Como estos servicios contienen datos sobre la red que cualquier hacker desearía saber, los

informes son almacenados en bases de datos encriptados únicamente accesibles con las

credenciales de usuario apropiadas. Aunque los datos deben ser salvados para generar

informes comparativos, algunos servicios los guardan sólo por un tiempo limitado.

SecureScan, por ejemplo, crea informes en PDF que sólo se almacena durante 14 días.

Como los productos de análisis de vulnerabilidades, estos servicios online toman

diferentes caminos a la hora de realizar su tarea. Por ejemplo, los hay que siguen un

enfoque analítico, asegurándose de que la vulnerabilidad detectada en un sistema

realmente existe antes de alertar de ella. Esto reduce el número de falsos positivos, pero a

cambio el nivel de detalle ofrecido es limitado. En cuanto a informes, la mayoría de los

servicios aportan una mayor información sobre configuración de sistemas, como defectos

de directorios Internet Information Server de Microsoft. Aunque no se trata

específicamente de vulnerabilidades, pueden facilitar el trabajo a los hackers.

Otros servicios online usan herramientas de fuente abierta, como Nmap y Nessus,

combinadas con herramientas de desarrollo propio.

Los servicios de análisis de vulnerabilidades online son ideales si lo que se está buscando

es realizar escaneados “manos libres” programados regularmente de los dispositivitos

abiertos a Internet. También cuando no se quiere estar pendiente de las actualizaciones, o

se precisa la ayuda de un tercero que se encargue de evaluar y monitorizar la red

constantemente.

3.4. Evaluación de la Vulnerabilidad Si está planeando lanzar su negocio en internet, tiene una aplicación web que recopila

información sobre sus clientes, es un proveedor de servicios de transacción financiera o su

infraestructura corporativa está conectada al internet, la seguridad debe ser su primera

preocupación, aunque en los sistemas computacionales de hoy en día mantenerla se

convierta en un terrible juego de azar.

Se descubren cientos de nuevas vulnerabilidades al año, cada mes se ponen en circulación

docenas de nuevos parches y miles de sistemas van por detrás del Security eight ball. La

composición toma importancia al abrir el perímetro a consumidores y socios comerciales;

la seguridad de nivel del sistema se vuelve incluso más crítica, ya que obliga a aumentar los

puntos de exposición. No cometa errores, no tiene las de ganar -tendrá que tapar cada

agujero, pero quien ataca sólo necesita encontrar uno para entrar en su entorno.

Las pruebas de vulnerabilidad son una parte esencial de un programa de seguridad

informática eficaz. Las pruebas de vulnerabilidad pueden ofrecerle mucha información

valiosa sobre su nivel de exposición a las amenazas. La realización continua de evaluaciones

de sus equipos informáticos críticos y de alto riesgo le ayudará a fortalecer de manera

anticipada su entorno frente a posibles amenazas.


26:

24

de

ag

os

to

de

20

09

EVALUACIÓN DE LA VULNERABILIDAD DE LA RED

La evaluación de la vulnerabilidad de la red identifica las vulnerabilidades de red conocidas

utilizando las técnicas más sofisticadas disponibles. A través de la imitación de un intruso

malintencionado, se recopila información de redes y dispositivos, opera herramientas de

escaneo automatizadas y utiliza en gran medida pruebas manuales para descubrir las

vulnerabilidades de la red y verificarlas.

Las pruebas de vulnerabilidad de redes externas investigan los puntos de presencia en

Internet y dispositivos conectados relacionados para determinar vulnerabilidades de

seguridad conocidas.

Las evaluaciones internas utilizan una metodología similar a las externas, sin embargo el

contacto se realiza dentro de la WAN en cada zona de gestión lógica, segmento físico o

simplemente adjunto a la DMZ.

4. Protocolos y Redes Abiertas En informática, un protocolo es un conjunto de reglas usadas por computadoras para

comunicarse unas con otras a través de una red. Un protocolo es una convención o estándar

que controla o permite la conexión, comunicación, y transferencia de datos entre dos puntos

finales. En su forma más simple, un protocolo puede ser definido como las reglas que

dominan la sintaxis, semántica y sincronización de la comunicación. Los protocolos pueden

ser implementados por hardware, software, o una combinación de ambos. A su más bajo

nivel, un protocolo define el comportamiento de una conexión de hardware.

Los protocolos son reglas de comunicación que permiten el flujo de información entre

equipos que manejan lenguajes distintos, por ejemplo, dos computadores conectados en la

misma red pero con protocolos diferentes no podrían comunicarse jamás, para ello, es

necesario que ambas "hablen" el mismo idioma, por tal sentido el protocolo TCP/IP, que fue

creado para las comunicaciones en Internet, para que cualquier computador se conecte a

Internet, es necesario que tenga instalado este protocolo de comunicación.

Estrategias para asegurar la seguridad (autenticación, cifrado).

Cómo se construye una red física.

Cómo los computadores se conectan a la red.

4.1. Propiedades Típicas Si bien los protocolos pueden variar mucho en propósito y sofisticación, la mayoría

especifica una o más de las siguientes propiedades:

Detección de la conexión física subyacente (con cable o inalámbrica), o la existencia

de otro punto final o nodo.


27:

24

de

ag

os

to

de

20

09

Handshaking.

Negociación de varias características de la conexión.

Cómo iniciar y finalizar un mensaje.

Procedimientos en el formateo de un mensaje.

Qué hacer con mensajes corruptos o formateados incorrectamente (correción de

errores).

Cómo detectar una pérdida inesperada de la conexión, y qué hacer entonces.

Terminación de la sesión y/o conexión.

4.2. Protocolos Comunes IP. El Protocolo de Internet (IP, de sus siglas en inglés Internet Protocol) es un protocolo no

orientado a conexión usado tanto por el origen como por el destino para la comunicación de

datos a través de una red de paquetes conmutados.

UDP. User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el

intercambio de datagramas. Permite el envío de datagramas a través de la red sin que se

haya establecido previamente una conexión, ya que el propio datagrama incorpora

suficiente información de direccionamiento en su cabecera. Tampoco tiene confirmación ni

control de flujo, por lo que los paquetes pueden adelantarse unos a otros; y tampoco se

sabe si ha llegado correctamente, ya que no hay confirmación de entrega o recepción. Su

uso principal es para protocolos como DHCP, BOOTP, DNS y demás protocolos en los que el

intercambio de paquetes de la conexión/desconexión son mayores, o no son rentables con

respecto a la información transmitida, así como para la transmisión de audio y vídeo en

tiempo real, donde no es posible realizar retransmisiones por los estrictos requisitos de

retardo que se tiene en estos casos.

TCP. (Transmission-Control-Protocol, en español Protocolo de Control de Transmisión) es

uno de los protocolos fundamentales en Internet. Muchos programas dentro de una red de

datos compuesta por computadoras pueden usar TCP para crear conexiones entre ellos a

través de las cuales puede enviarse un flujo de datos. El protocolo garantiza que los datos

serán entregados en su destino sin errores y en el mismo orden en que se transmitieron.

También proporciona un mecanismo para distinguir distintas aplicaciones dentro de una

misma máquina, a través del concepto de puerto.

DHCP. (Dynamic Host Configuration Protocol - Protocolo Configuración Dinámica de

Servidor) es un protocolo de red que permite a los nodos de una red IP obtener sus

parámetros de configuración automáticamente. Se trata de un protocolo de tipo

cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP

dinámicas y las va asignando a los clientes conforme éstas van estando libres, sabiendo en

todo momento quién ha estado en posesión de esa IP, cuánto tiempo la ha tenido y a quién

se la ha asignado después.


28:

24

de

ag

os

to

de

20

09

HTTP. El protocolo de transferencia de hipertexto (HTTP, HyperText Transfer Protocol) es el

protocolo usado en cada transacción de la Web (WWW). HTTP fue desarrollado por el

consorcio W3C y la IETF, colaboración que culminó en 1999 con la publicación de una serie

de RFC, siendo el más importante de ellos el RFC 2616, que especifica la versión 1.1. HTTP

define la sintaxis y la semántica que utilizan los elementos software de la arquitectura web

(clientes, servidores, proxies) para comunicarse. Es un protocolo orientado a transacciones y

sigue el esquema petición-respuesta entre un cliente y un servidor. Al cliente que efectúa la

petición (un navegador o un spider) se lo conoce como "user agent" (agente del usuario). A

la información transmitida se la llama recurso y se la identifica mediante un URL. Los

recursos pueden ser archivos, el resultado de la ejecución de un programa, una consulta a

una base de datos, la traducción automática de un documento, etc.

FTP. (File Transfer Protocol - Protocolo de Transferencia de Archivos) en informática, es un

protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP,

basado en la arquitectura cliente-servidor. Desde un equipo cliente se puede conectar a un

servidor para descargar archivos desde él o para enviarle archivos, independientemente del

sistema operativo utilizado en cada equipo.

TELNET. Telnet (TELecommunication NETwork) es el nombre de un protocolo de red (y del

programa informático que implementa el cliente), que sirve para acceder mediante una red

a otra máquina, para manejarla remotamente como si estuviéramos sentados delante de

ella. Para que la conexión funcione, como en todos los servicios de Internet, la máquina a la

que se acceda debe tener un programa especial que reciba y gestione las conexiones. El

puerto que se utiliza generalmente es el 23.

SSH. SSH (Secure SHell, en español: intérprete de órdenes seguro) es el nombre de un

protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a

través de una red. Permite manejar por completo la computadora mediante un intérprete

de comandos, y también puede redirigir el tráfico de X para poder ejecutar programas

gráficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo.

POP3. Se utiliza el Post Office Protocol (POP3) en clientes locales de correo para obtener los

mensajes de correo electrónico almacenados en un servidor remoto. La mayoría de los

suscriptores de los proveedores de Internet acceden a sus correos a través de POP3.

SMTP. Simple Mail Transfer Protocol (SMTP) Protocolo Simple de Transferencia de Correo,

es un protocolo de la capa de aplicación. Protocolo de red basado en texto utilizado para el

intercambio de mensajes de correo electrónico entre computadoras u otros dispositivos

(PDA's, teléfonos móviles, etc.). Está definido en el RFC 2821 y es un estándar oficial de

Internet.

IMAP. Internet Message Access Protocol, o su acrónimo IMAP, es un protocolo de red de

acceso a mensajes electrónicos almacenados en un servidor. Mediante IMAP se puede tener


29:

24

de

ag

os

to

de

20

09

acceso al correo electrónico desde cualquier equipo que tenga una conexión a Internet.

IMAP tiene varias ventajas sobre POP, que es el otro protocolo empleado para obtener

correo desde un servidor. Por ejemplo, es posible especificar en IMAP carpetas del lado

servidor. Por otro lado, es más complejo que POP ya que permite visualizar los mensajes de

manera remota y no descargando los mensajes como lo hace POP.

SOAP. (Simple Object Access Protocol) es un protocolo estándar que define cómo dos

objetos en diferentes procesos pueden comunicarse por medio de intercambio de datos

XML. Este protocolo deriva de un protocolo creado por David Winer en 1998, llamado XML-

RPC. SOAP fue creado por Microsoft, IBM y otros y está actualmente bajo el auspicio de la

W3C. Es uno de los protocolos utilizados en los servicios Web.

PPP. Point-to-point Protocol, es decir, Protocolo punto a punto, es un protocolo de nivel de

enlace estandarizado en el documento RFC 1661. Por tanto, se trata de un protocolo

asociado a la pila TCP/IP de uso en Internet. Más conocido por su acrónimo: PPP.

STP. Spanning Tree Protocol es un protocolo de red de nivel 2 de la capa OSI, (nivel de

enlace de datos). Está basado en un algoritmo diseñado por Radia Perlman mientras

trabajaba para DEC. Hay 2 versiones del STP: la original (DEC STP) y la estandarizada por el

IEEE (IEEE_802.1D), que no son compatibles entre sí. En la actualidad, se recomienda utilizar

la versión estandarizada por el IEEE.

5. Auditando la Gerencia de Comunicaciones Cada vez más las comunicaciones están tomando un papel determinante en el tratamiento de

datos, cumpliéndose el lema “el computador es la red’ siempre esta importancia queda

adecuadamente reflejada dentro de la estructura organizativa de proceso de datos,

especialmente en organizaciones de tipo “tradicional”, donde la adaptación a los cambios no

se produce inmediatamente.

Mientras que comúnmente el directivo informático tiene amplios conocimientos de proceso

de datos, no siempre sus habilidades y cualificaciones en temas de comunicaciones están a la

misma altura, por lo que el riesgo de deficiente anclaje de la gerencia de comunicaciones en

el esquema organizativo existe. Por su parte, los informáticos a cargo de las comunicaciones

suelen auto considerarse exclusivamente técnicos, obviando considerar las aplicaciones

organizativas de su tarea.

Todos estos factores convergen en que la auditoria de comunicaciones no siempre se

practique con la frecuencia y profundidad equivalentes a las de otras áreas del proceso de

datos.


30:

24

de

ag

os

to

de

20

09

Por tanto, el primer punto de una auditoria es determinar que la función de gestión de redes

y comunicaciones esté claramente definida, debiendo ser responsable, en general de las

siguientes áreas:

Gestión de la red, invento de equipamiento y normativa de conectividad.

Monitorización de las comunicaciones, registro y resolución de problemas.

Revisión de costes y su asignación de proveedores y servicios de transporte, balanceo

de tráfico entre rutas y selección de equipamiento.

Participación activa en la estrategia de proceso de datos, fijación de estándares a ser

usados en el desarrollo de aplicaciones y evaluación de necesidades en

comunicaciones.

Cumpliendo como objetivos de control:

Tener una gerencia de comunicaciones con plena autoridad de voto y acción.

Llevar un registro actualizado de módems, controladores, terminales, líneas y todo

equipo relacionado con las comunicaciones.

Mantener una vigilancia constante sobre cualquier acción en la red.

Registrar un coste de comunicaciones y reparto a encargados.

Mejorar el rendimiento y la resolución de problemas presentados en la red.

Para lo cual se debe comprobar:

El nivel de acceso a diferentes funciones dentro de la red.

Coordinación de la organización de comunicación de datos y voz.

Han de existir normas de comunicación en:

o Tipos de equipamiento como adaptadores LAN.

o Autorización de nuevo equipamiento, tanto dentro, como fuera de las horas

laborales.

o Uso de conexión digital con el exterior como Internet.

o Instalación de equipos de escucha como Sniffers (exploradores físicos) o

Traceadores (exploradores lógicos).

La responsabilidad en los contratos de proveedores.

La creación de estrategias de comunicación a largo plazo.

Los planes de comunicación a alta velocidad como fibra óptica y ATM ( técnica de

conmutación de paquetes usada en redes MAN e ISDN).

Planificación de cableado.


31:

24

de

ag

os

to

de

20

09

Planificación de la recuperación de las comunicaciones en caso de desastre.

Ha de tenerse documentación sobre el diagramado de la red.

Se deben hacer pruebas sobre los nuevos equipos.

Se han de establecer las tasas de rendimiento en tiempo de respuesta de las

terminales y la tasa de errores.

Vigilancia sobre toda actividad on-line.

La facturación de los transportistas y vendedores ha de revisarse regularmente.

6. Auditando una Red Lógica Cada vez más se tiende a que un equipo pueda comunicarse con cualquier otro equipo, de

manera que sea la red de comunicaciones el substrato común que les une.

Si un equipo, por cualquier circunstancia, se pone a enviar indiscriminadamente mensajes

(Mensaje de Broadcasting), puede ser capaz de bloquear la red completa y, por tanto, al

resto de los equipos de la instalación. En ésta, debe evitarse un daño interno.

Es necesario monitorizar la red, revisar los errores o situaciones anómalas que se producen y

tener establecidos los procedimientos para detectar y aislar equipos en situación anómala.

Ante estas situaciones anómalas se debe:

Dar contraseñas de acceso

Controlar los errores

Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para

esto, regularmente se cambia la ruta de acceso de la información a la red

Registrar las actividades de los usuarios en la red

Encriptar la información pertinente

Evitar la importación y exportación de datos

En general, si se quiere que la información que viaja por la red no pueda ser espiada, la única

solución totalmente efectiva es la encriptación.

Se debe comprobar si:

El sistema pidió el nombre de usuario y la contraseña para cada sesión:

En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin

autorización, ha de inhabilitarse al usuario que tras un número establecido de veces

erra en dar correctamente su propia contraseña, se debe obligar a los usuarios a

cambiar su contraseña regularmente, las contraseñas no deben ser mostradas en


32:

24

de

ag

os

to

de

20

09

pantalla tras digitarlas, para cada usuario, se debe dar información sobre su última

conexión a fin de evitar suplantaciones.

Inhabilitar el software o hardware con acceso libre.

Generar estadísticas de las tasas de errores y transmisión.

Crear protocolos con detección de errores.

Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.

El software de comunicación, ha de tener procedimientos correctivos y de control

ante mensajes duplicados, fuera de orden, perdidos o retrasados.

Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser

vistos desde una terminal debidamente autorizada.

Se debe hacer un análisis del riesgo de aplicaciones en los procesos.

Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre

diferentes organizaciones.

Asegurar que los datos que viajan por Internet vayan cifrados. Los datos

confidenciales se cifran con un algoritmo de cifrado y una clave que los hace ilegibles

si no se conoce dicha clave. Las claves de cifrado de datos se determinan en el

momento de realizar la conexión entre los equipos. El uso del cifrado de datos puede

iniciarse en su equipo o en el servidor al que se conecta. Conexiones de red admite

dos tipos de cifrado:

o Microsoft MPPE, que utiliza cifrado RSA RC4.

o Una implementación de Seguridad de Protocolo Internet (IPSec) que utiliza

cifrado de Estándar de cifrado de datos (DES).

Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad

asociado para impedir el acceso de equipos foráneos a la red.

Deben existir políticas que prohíban la instalación de programas o equipos personales

en la red.

Los accesos a servidores remotos han de estar inhabilitados. Ya que los servidores de

acceso remoto controlan las líneas de módem de los monitores u otros canales de

comunicación de la red para que las peticiones conecten con la red de una posición

remota, responden llamadas telefónicas entrantes o reconocen la petición de la red y

realizan los chequeos necesarios de seguridad y otros procedimientos necesarios para

registrar a un usuario en la red.


33:

24

de

ag

os

to

de

20

09

La propia empresa generará propios ataques para probar solidez de la red y encontrar

posibles fallos en cada una de las siguientes facetas:

o Servidores = Desde dentro del servidor y de la red interna.

o Servidores Web.

o Intranet = Desde dentro. Una Intranet, es una red de Área Local o LAN. La

cual tiene la característica, de ser de exclusivo uso, de la empresa u

organización que la ha instalado. Debido a ello, es que utiliza protocolos

HTML y el TCP/IP. Protocolos que permiten la interacción en línea de la

Intranet, con la Internet.

o Cualquier Intranet, lleva consigo, distintos niveles de seguridad, según el

usuario. Estos niveles de seguridad, son asignados, según la relevancia del

puesto dentro de la organización, del usuario. Claro que existen niveles

compartidos por todos. Ahora, los niveles básicos de seguridad, impiden la

utilización de la Intranet, por parte de personas foráneas a la empresa o

establecimiento educativo.

o Firewall = Desde dentro. Un firewall es un dispositivo que funciona como

cortafuegos entre redes, permitiendo o denegando las transmisiones de una

red a la otra. Un uso típico es situarlo entre una red local y la red Internet,

como dispositivo de seguridad para evitar que los intrusos puedan acceder a

información confidencial.

o Un firewall es simplemente un filtro que controla todas las comunicaciones

que pasan de una red a la otra y en función de lo que sean permite o deniega

su paso. Para permitir o denegar una comunicación el firewall examina el tipo

de servicio al que corresponde, como pueden ser el web, el correo o el IRC.

o Accesos del exterior y/o Internet.

7. Auditando una Red Física

7.1. Seguridad Física La seguridad de los sistemas de información puede definirse como “la estructura de control

establecida para administrar la integridad, confidencialidad y la accesibilidad a los datos y

recursos del sistema de información.” Existen dos tipos de controles de seguridad que

juntos pueden proteger los sistemas.

El Control Físico. Restringiendo el acceso a los recursos de los sistemas y

protegiéndolos de los riegos del ambiente.

El Control Lógico. Permitiendo el acceso a los datos específicos únicamente a las

personas autorizadas.

En general, muchas veces se parte del supuesto de que si no existe acceso físico desde el

exterior a la red interna de una empresa las comunicaciones internas quedan a salvo. Debe


34:

24

de

ag

os

to

de

20

09

comprobarse que efectivamente los accesos físicos provenientes del exterior han sido

debidamente registrados, para evitar estos accesos. Debe también comprobarse que desde

el interior del edificio no se intercepta físicamente el cableado (“pinchazo”).

En caso de desastre, bien sea total o parcial, ha de poder comprobarse cuál es la parte del

cableado que queda en condiciones de funcionar y qué operatividad puede soportar. Ya que

el tendido de cables es una actividad irrealizable a muy corto plazo, los planes de

recuperación de contingencias deben tener prevista la recuperación en comunicaciones.

Ha de tenerse en cuenta que la red física es un punto claro de contacto entre la gerencia de

comunicaciones y la gerencia de mantenimiento general de edificios, que es quien suele

aportar electricistas y personal profesional para el tendido físico de cables y su

mantenimiento.

Se debe garantizar que exista:

Áreas de equipo de comunicación con control de acceso.

Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos

físicos.

Control de utilización de equipos de prueba de comunicaciones para monitorizar la

red y el tráfico en ella.

Prioridad de recuperación del sistema.

Control de las líneas telefónicas.

Se debe comprobar que:

El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.

La seguridad física del equipo de comunicaciones sea adecuada.

Se tomen medidas para separar las actividades de los electricistas y de cableado de

líneas telefónicas.

Las líneas de comunicación estén fuera de la vista.

Se dé un código a cada línea, en vez de una descripción física de la misma.

Haya procedimientos de protección de los cables y las bocas de conexión para evitar

fallas en la red.

Existan revisiones periódicas de la red buscando errores y/o daños a la misma.

El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones

específicas.

Existan alternativas de respaldo de las comunicaciones.

Con respecto a las líneas telefónicas: No debe darse el número como público y

tenerlas configuradas con retro llamada, código de conexión o interruptores.


35:

24

de

ag

os

to

de

20

09

7.2. Caso Práctico Este informe contiene el resultado de la auditoria de redes físicas realizada sobre la red de

área local de la Universidad Tecnológica Nacional Facultad Regional de Córdoba - Colombia.

7.2.1. Propósito

El propósito de esta auditoría es evaluar los controles de seguridad para proteger los

recursos de la red físicas de la Universidad Tecnológica Nacional, Facultad Regional de

Córdoba.

Obtener una visión general de la ubicación de todos los dispositivos de la red de

área local.

Evaluar el ambiente de control físico sobre los dispositivos de la red de área local.

7.2.2. Cuestión de Fondo:

El funcionamiento de la Universidad se basa en su sistema de informático. Este es

necesario para brindar servicios tanto a estudiantes como a empleados. Algunos de estos

servicios son: Inscripciones, seguimiento de alumnos, dictado de clases, servicio de

comunicaciones, internet y otros.

7.2.3. ¿En qué consiste?

Esta auditoría está limitada a la seguridad física de la red de área local de la Universidad

Tecnológica Nacional, Facultad Regional de Córdoba.

Las actividades que protegen el equipamiento de daño físico son:

Permitir que solo los responsables de mantenimiento de los equipos de cómputos

ingresen a las salas de equipamiento.

Proveer mecanismos de detección de fuego, humo, agua, suciedad, etc.

Almacenar materiales peligrosos, como químicos de limpieza, en lugares

separados y alejados de los equipos de cómputos.

Proveer de dispositivos reguladores de tensión y UPSs para salvar el equipamiento

de daños producidos por los niveles de tensión y cortes abruptos en el suministro

eléctrico.

Planificar la manera de recomenzar con las operaciones después de un fallo,

incluyendo las copias de seguridad de programas y datos.

7.2.4. Metodología

Durante nuestra visita preliminar identificamos todas las salas donde se encuentra el

equipamiento de cómputos y las clasificamos en “principales” y “secundarias”,

entendiéndose por principales aquellas donde se ubican los dispositivos más importantes

para la red tales como servidores, hubs, switch, etc.


36:

24

de

ag

os

to

de

20

09

Es válido resaltar que las salas principales deben contar con un mayor control de seguridad

que las secundarias.

La Tabla 1 y la Tabla 2 describen los aspectos típicos a implementar para el control físico

de la red en las salas principales y secundarias.

Para Salas Secundarias

Escritura de estándares para la administración de seguridad de los recursos de la red.

Bloqueo de salas permitiendo solo el ingreso a personas autorizadas.

Monitoreo y registro de los accesos a las salas.

Detección de fuego, humo y agua.

Extintores de fuego adecuados y habilitados.

Tabla 1. Aspectos típicos de seguridad física para salas secundarias.

Para Salas Principales (Además de los aspectos necesarios para las salas secundarias)

Escritura de políticas y procedimientos para la realización y recuperación de copias de seguridad.

Ubicación de las salas en el interior del edificio. Y en lo posible sin ventanas ni puertas al exterior o patios internos.

Dispositivos alejados del piso.

UPSs para asegurar la continuidad de las operaciones.

Copias de seguridad ubicadas fuera de la sala y adecuadamente protegidas

Tabla 2. Aspectos típicos de seguridad física para salas principales.

Para obtener una visión general de la ubicación de todos los dispositivos de red, nos

contactamos con el personal encargado de las aulas G del edificio, el Laboratorio de

Sistemas y el centro de cómputos. Posteriormente visitamos cada una de estas salas para

evaluar, los controles sobre la seguridad física, las condiciones ambientales y controles

sobre las copias de seguridad e inventarios. Para esto nos entrevistamos con los

responsables de cada una de estas salas.

7.2.5. Hallazgos y Recomendaciones

Hallazgo Ausencia de políticas y procedimientos para la administración de la

seguridad de la red física

Actualmente no existen políticas ni procedimientos escritos para la gestión de la seguridad física de la red. Sino que, son los encargados de cada sala quienes llevan adelante estas tareas a criterio propio y por lo tanto de manera heterogénea

No existen políticas ni procedimientos para Mantenimiento

Debido a la ausencia de estos, el mantenimiento, lo realiza el encargado de turno basándose en su experiencia. Además tampoco se cuenta con procedimientos para el monitoreo de las conexiones de la red por lo que es difícil determinar el estado de los equipos.

No existen políticas ni procedimientos

Por lo que no se conoce la disponibilidad de equipos, su ubicación, estado ni procedencia.


37:

24

de

ag

os

to

de

20

09

para Inventarios

No existen políticas ni procedimientos para registros de errores y soluciones

No está disponible información referente a errores comunes y sus soluciones encontradas. Por lo que cada encargado debe, a cada error, encontrarle una nueva solución aunque se trate de problemas recurrentes. Tampoco es posible realizar un seguimiento de las fallas y sus causas, con el objeto de implementar medidas correctivas. Esto genera la necesidad de la presencia permanente del encargado. No se cuenta con una metodología para el diagnóstico de fallas.

No existen políticas ni procedimientos para la asignación de responsabilidades

No están claramente definidas las responsabilidades del personal, lo que ocasiona confusión acerca de las tareas que debe realizar cada persona.

Recomendaciones

Recomendamos que, se escriban y difundan las políticas y los procedimientos necesarios para proteger los recursos informáticos de la red de área local de la universidad. Estos procedimientos deberían ser para mantenimiento, inventario, registros de errores y soluciones y responsabilidades. Los mismos deberán servir de guía para que los encargados realicen la correcta gestión del control físico sobre la red.

Tabla 3. Hallazgos de ausencia de políticas y procedimientos para la administración de la seguridad de la red física.

Hallazgo Referentes a las salas principales y secundarias.

(No existe distinción entre estas.)

Durante la auditoria visitamos tres salas principales, en la que encontramos los

siguientes problemas, en los aspectos:

Ambiental

Tubos fluorescentes sin coberturas.

Cielo raso en mal estado.

Matafuego con candado

Matafuego alejado.

No se conoce el uso del matafuego.

Cable canal deteriorado.

Espacio reducido entre maquina.

Tomacorrientes instalados sobre muebles de caño.

Cable dificultando el paso de la persona.

Cable en el piso.

El cableado de la red se encuentra junto al de la red eléctrica.

No se restringe el acceso a persona no autorizadas a los dispositivos

mayores ni menores (debido a que estos dispositivos coexisten en la

misma sala).

No existen carteles que prohíban comer y/o fumar dentro de las salas.


38:

24

de

ag

os

to

de

20

09

Cableado de la red horizontal

Conectores de pared no se encuentran fijos.

Conectores sin capuchones.

Conectores al descubierto.

Conectores en el piso.

Conectores de PC sin atornillar.

Cableado sin identificadores.

Cableado suelto.

Cableado sin protección.

Cableado anudado.

Cableado de longitud excesiva.

Ausencia de precintos.

Precintos con presión excesiva.

Cables precintados a muebles.

Centro del cableado

Dispositivos sin identificadores.

Dispositivos accesibles a personas no autorizadas.

Centro de cableado en el piso

La puerta del centro de cableado no se abre con facilidad. Tabla 4. Hallazgos referentes a las salas principales y secundarias.

7.2.6. Análisis

Los hallazgos identificados, se han agrupado en categorías por su similitud. Para permitir

una visión más global de los problemas. Esto se refleja en la siguiente tabla:

Salas

Categoría Problemas en Visitadas Con problema

Ambiental Tubos fluorescentes sin coberturas. 5 5

Tomacorrientes instalados sobre mubles de caño. 5 5

Problemas con Matafuego 5 4

Cables en el piso o junto a la red eléctrica. 5 3

Cielo raso en mal estado. 5 2

Red Problemas con conectores 5 5

Horizontal Problemas con cableado 5 5

Problemas con precintos 5 3


39:

24

de

ag

os

to

de

20

09

Centro de Dispositivos sin identificadores. 3 3

cableado Dispositivos accesibles a personas no autorizadas. 3 2

Centro de cableado en el piso. 3 2

Centro de cableado mal ubicado 3 3

Tabla 5. Hallazgos identificados agrupados en categorías.

Para un mejor análisis de los riesgos se dio una ponderación diferenciando los hallazgos

del centro del cableado del resto (ambientales y red horizontal), asignándoles los valores

de 1.0 y 0.6 respectivamente.

Por otra parte, cada hallazgo fue ponderado independientemente, utilizando una escala de

0.0 a 1.0.

Reflejando los resultados en la siguiente tabla.

visitas

Problemas en CC Salas problemas PP. PC PI VR

Centro de cableado mal ubicado 3 3 100% 1.00 0.7 70

Dispositivos accesibles a personas no autorizadas. 3 2 67% 1.00 0.7 47

Dispositivos sin identificadores. 3 3 100% 1.00 0.4 40

Problemas con conectores 5 5 100% 0.60 0.6 36

Tomacorrientes instalados sobre mubles de caño. 5 5 100% 0.60 0.5 30

Problemas con cableado 5 5 100% 0.60 0.5 30

Centro de cableado en el piso. 3 2 67% 1.00 0.3 20

Problemas con Matafuego 5 4 80% 0.60 0.4 19

Tubos fluorescentes sin coberturas. 5 5 100% 0.60 0.2 12

Cables en el piso o junto a la red eléctrica. 5 3 60% 0.60 0.3 11

Problemas con precintos 5 3 60% 0.60 0.3 11

Cielo raso en mal estado. 5 2 40% 0.60 0.4 10

Tabla 6. Ponderación de los hallazgos.


40:

24

de

ag

os

to

de

20

09

Ilustración 13. Análisis de los hallazgos.

7.2.7. Recomendaciones

Recomendamos, en primer lugar que se coloquen los centros de cableado en lugares

adecuados, fuera del alcance del alcance de personas no autorizadas. También

recomendamos que se identifiquen los dispositivos principales.

Recomendamos, por último, que los encargados de cada sala realicen las acciones

necesarias para:

Mantener el cableado en buenas condiciones.

Mantener los conectores en buen estado.

Estas acciones deben ejecutarse en forma periódica.

7.2.8. Conclusión:

Nuestra opinión es que, los controles sobre los recursos de la red de área local de la

universidad deben ser mejorados puesto que presenta importantes dificultades. Esto se

debe a la ausencia de lineamientos claros para su gestión.

0

10

20

30

40

50

60

70

80

Centr

o d

e c

able

ado m

al ubic

ado

Dis

po

sitiv

os a

cce

sib

les a

pe

rso

na

s n

o

au

toriza

da

s.

Dis

positiv

os s

in id

entificadore

s.

Pro

ble

mas c

on c

onecto

res

To

macorr

iente

s in

sta

lados s

obre

m

uble

s d

e c

año.

Pro

ble

mas c

on c

able

ado

Centr

o d

e c

able

ado e

n e

l pis

o.

Pro

ble

mas c

on M

ata

fuego

Tu

bos flu

ore

scente

s s

in c

obert

ura

s.

Cable

s e

n e

l pis

o o

ju

nto

a la

red

ele

ctr

ica.

Pro

ble

mas c

on p

recin

tos

Cie

lo r

aso e

n m

al esta

do.

Po

nd

era

ció

n

Análisis de los hallazgos


41:

24

de

ag

os

to

de

20

09

7.2.9. Recomendación Final

Recomendamos que se escriban los lineamientos generales para la gestión de la red y se

difundan a los encargados de cada sala. También recomendamos que se capacite a este

personal en los aspectos referidos a la seguridad de la red física.

Bibliografía Acosta, N., Buitrago, R., Newball, M., Ramírez, M. A., & Sanchéz, J. (s.f.). Análisis de

Vulnerabilidades. Recuperado el 20 de Agosto de 2009, de ABCdatos:

http://www.abcdatos.com/tutoriales/tutorial/z3890.html

Cotarelo, G. (s.f.). Análisis de Vulnerabilidades. Recuperado el 20 de Agosto de 2009, de El Rincón

del Vago: http://zip.rincondelvago.com/00028513

Gutiérrez Melo, J. (s.f.). Auditoria Aplicada a la Seguridad en Redes de Computadores. Recuperado

el 20 de Agosto de 2009, de Monografías:

http://www.monografias.com/trabajos10/auap/auap.shtml

Lizárraga Sánchez, J. A., & Martínez López, V. (s.f.). Auditoría de Redes. Recuperado el 20 de

Agosto de 2009, de Sitio Web del Instituto Tecnológico de Sonora:

www.itson.mx/dii/epadilla/AUDITORIA%20DE%20REDES.ppt

Ramírez, A. (s.f.). Introducción a la Seguridad de Redes. Recuperado el 20 de Agosto de 2009, de

Sitio Web de la Universidad Nacional de San Luis:

http://www.dirinfo.unsl.edu.ar/~seguridadred/teorias/Analisis_de_Vulnerabilidades.ppt

Auditoría de redes

Documents

Transcript of Auditoría de redes