AUDITORÍA DE REDES
49
AUDITORÍA DE SISTEMAS AUDITORÍA DE REDES
description
AUDITORÍA DE REDES. AUDITORÍA DE SISTEMAS. Terminología Básica y Modelos. Terminología de Redes. Modelo OSI. Tipo de cable Tipo de conector Representación binaria de la información Número del terminal de destino Control de flujo Corrección de error Identificación del tipo de servicio - PowerPoint PPT Presentation
Transcript of AUDITORÍA DE REDES
AUDITORÍA DE SISTEMASAUDITORÍA DE REDES
Terminología Básica y Modelos
• Tipo de cable• Tipo de conector• Representación binaria
de la información• Número del terminal
de destino• Control de flujo• Corrección de error• Identificación del tipo
de servicio• Asegurar la conexión
de extremo a extremo. Etc.
Señal Eléctrica
Control Eléctrico
Terminología de Redes. Modelo OSI
Para poder auditar redes, lo primero y fundamental es conocer los términos que los expertos utilizan en comunicaciones.
El modelo común de referencia se denomina OSI (Open Systems Interconection), y consta de siete capas:
Terminología de Redes. Modelo OSI
Transforma la información en señales físicas adaptadas al medio de comunicación
FÍSICO1
Transforma los paquetes de información en tramas adaptadas a los dispositivos físicos sobre los cuales se realiza la transmisión
ENLACE2
Establece las rutas por las cuales se puede comunicar el emisor con el receptor, lo que se realiza mediante el envío de paquetes de información
RED3
Comprueba la integridad de los datos transmitidos (que no ha habido pérdidas ni corrupciones)
TRANSPORTE4
Establece los procedimientos de apertura y cierres de sesión de comunicaciones, así como información de la sesión en curso
SESIÓN 5
Define el formato de los datos que se van a presentar a la aplicaciónPRESENTACIÓN6
Es donde la aplicación que necesita comunicaciones enlaza, mediante api (aplication program interface) con el sistema de comunicaciones.
APLICACIÓN7
• Niveles funcionales– Nivel 1. Capa Física
• Proporciona los medios mecánicos, eléctricos, funcionales y de procedimiento necesarios para activar, mantener y desactivar conexiones físicas para la transmisión de bits entre entidades de enlace de datos.
• Las entidades de las capas físicas están interconectadas por un medio físico (línea telefónica, cable coaxial, fibra óptica, satélite, etc.).
Modelo de Referencia OSI
• Niveles funcionales– Nivel 2. Capa de Enlace de Datos
• Controla la transferencia de datos entre sistemas abiertos adyacentes.
• Detecta y corrige los errores de bits que se producen en la ruta de transmisión.
• Garantiza la transferencia segura de las tramas al Sistema de Destino.
Capa deEnlace Trama
Control de errores y Transferencia Capa de
Enlace Trama
Control de errores y Transferencia Capa de
Enlace
Modelo de Referencia OSI
• Niveles funcionales– Nivel 3. Capa de Red
• Proporciona los medios para establecer, mantener y liberar las comunicaciones entre sistemas finales.
• Controla la función de retransmisión y encaminamiento para establecer la ruta de comunicación con el sistema de Destino con las características óptimas requeridas por la capa de Destino.
Modelo de Referencia OSI
• Niveles funcionales– Nivel 4. Capa de Transporte
• Controla la transferencia de Datos entre Sistemas abiertos terminales.
• Mejora la contabilidad de transferencia de Datos mediante el procedimiento de detección y corrección de errores de extremo a extremo.
Modelo de Referencia OSI
• Niveles funcionales– Nivel 5. Capa de Sesión
• Proporciona los medios necesarios para que las entidades de presentación, organicen y sincronicen el diálogo y procedan a su intercambio de datos.
Modelo de Referencia OSI
• Niveles funcionales– Nivel 6. Capa de Presentación
• Permite la representación de la información.• Se ocupa de la sintaxis (Representación de los
Datos).
Modelo de Referencia OSI
• Niveles funcionales– Nivel 7. Capa de Aplicaciones
• Contiene todas la funciones que implican una comunicación entre sistemas abiertos y que no han sido realizados por la capas más bajas.
• Entre ellos hay funciones que son realizadas por los programas y funciones que son realizadas por seres humanos.
Modelo de Referencia OSI
AplicaciónPresentaciónSesiónTransporteRedEnlaceFísica
AplicaciónPresentaciónSesiónTransporteRedEnlaceFísica1
234567
1
234567Al enviar
el mensaje“baja”
Al recibirel mensaje“sube”
RED
Nodo A Nodo B
Modelo OSI
Vulnerabilidades y Ataques Informáticos
Vulnerabilidades y Ataques Informáticos
Método de Caja NegraMétodo de Caja BlancaÁmbitos de las Vulnerabilidades• Vulnerabilidades de implementación• Vulnerabilidades de configuración• Vulnerabilidades de dispositivo• Vulnerabilidades de protocolo• Vulnerabilidades de aplicación
Análisis de Vulnerabilidades: Métodos
Acuerdo de confidencialidad entre las partes
Establecer las reglas de juego
Reunión de información
Test interior
Test exterior
Documentación e informe
Análisis de Vulnerabilidad: Pasos
Del host a la red
Mejores prestaciones
Mayor automatizaci
ón
Servicios online
En Busca de Agujeros en la Red
• Detección de la conexión física subyacente (con cable o inalámbrica), o la existencia de otro punto final o nodo.
• Handshaking.• Negociación de varias características de la conexión. • Cómo iniciar y finalizar un mensaje. • Procedimientos en el formateo de un mensaje. • Qué hacer con mensajes corruptos o formateados
incorrectamente (correción de errores). • Cómo detectar una pérdida inesperada de la
conexión, y qué hacer entonces. • Terminación de la sesión y/o conexión.
Propiedades de los Protocolos
IP UDP TCP DHCP
FTP TELNET SSH POP3
SMTP IMAP SOAP P2P
STP
Protocolos Comunes
Auditoría de la Gerencia de Comunicaciones
Auditoria de la gerencia de comunicaciones
• Ha de verse las siguientes áreas:– La gestión de red,los equipos y su
conectividad.– La monitorización de las comunicaciones.– La revisión de costes y la asignación formal de
proveedores.– Creación y aplicabilidad de estándares
Auditar la Gerencia de Comunicaciones
• Cumpliendo como objetivos de control:– Tener una gerencia de comunicaciones con
plena autoridad de voto y acción.– Llevar un registro actualizado de módems,
controladores, terminales, líneas y todo equipo relacionado con las comunicaciones.
– Mantener una vigilancia constante sobre cualquier acción en la red.
– Registrar un coste de comunicaciones y reparto a encargados.
– Mejorar el rendimiento y la resolución de problemas presentados en la red.
Auditar la Gerencia de Comunicaciones
Para lo cual se debe comprobar:• El nivel de acceso a diferentes funciones dentro de la red.• Coordinación de la organización de comunicación de datos y voz. • Han de existir normas de comunicación en:
• Tipos de equipamiento como adaptadores LAN.• Autorización de nuevo equipamiento, tanto dentro, como fuera de
las horas laborales.• Uso de conexión digital con el exterior como Internet.• Instalación de equipos de escucha como Sniffers (exploradores
físicos) o Traceadores (exploradores lógicos).• La responsabilidad en los contratos de proveedores.• La creación de estrategias de comunicación a largo plazo.
Auditar la gerencia de comunicaciones
• Los planes de comunicación a alta velocidad como fibra óptica y ATM ( técnica de conmutación de paquetes usada en redes MAN e ISDN).
• Planificación de cableado.
• Planificación de la recuperación de las comunicaciones en caso de desastre.
• Ha de tenerse documentación sobre el diagramado de la red.
• Se deben hacer pruebas sobre los nuevos equipos.
• Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores.
• Vigilancia sobre toda actividad on-line.
• La facturación de los transportistas y vendedores ha de revisarse regularmente.
Auditar la gerencia de comunicaciones
Auditoría de Redes Lógicas
Auditando una red lógica• Es necesario monitorizar la red, revisar los errores
o situaciones anómalas que se producen, para evitar un daño interno. Para evitar estas situaciones anómalas se debe:– Dar contraseñas de acceso. – Controlar los errores. – Cambiar la ruta de acceso de la información a la red. – Contar con el uso de una bitácora.– Encriptar la información importante. – Evitar la importación y exportación de datos.
Red lógica: Lista de control
• Comprobar si el sistema:– Solicita usuario y contraseña para cada
sesión.– No permitir acceso a ningún programa sin
identificar ni autenticar.– Inhabilitar al usuario después de n intentos
fallidos.– Cambios periódicos de claves por parte de
los usuarios.– Enmascarar las claves en la pantalla– Informar al usuario cual fue su ultima
conexión
Red lógica: Lista de control
• Generar estadísticas de errores y transmisión.• Crear protocolos con detección de errores.• Identificación de los mensajes lógicos.• Contar con rutas alternativas de comunicación.• Protección de datos sensibles.• Asegurar que exista un mecanismo de cifrado.• Implantar políticas de prohibición para instalar
programas o equipos personales.• La propia empresa se generará autoataques.
ALGORITMO RSA
• Es un algoritmo asimétrico cifrador de bloques, que utiliza una clave pública, la cual se distribuye, y otra privada, la cual es guardada en secreto por su propietario.
• Cuando se quiere enviar un mensaje, el emisor busca la clave pública de cifrado del receptor, cifra su mensaje con esa clave, y una vez que el mensaje cifrado llega al receptor, éste se ocupa de descifrarlo usando su clave oculta.
SEGURIDAD
• La seguridad de este algoritmo radica en que no hay maneras rápidas conocidas de factorizar un número grande en sus factores primos utilizando computadoras tradicionales.
• El descifrado completo de un texto cifrado con RSA es computacionalmente intratable, no se ha encontrado un algoritmo eficiente todavía para solucionar este problema.
Cifrado de mensajes: Ejemplo
• Bob quiere enviar a Alicia un mensaje secreto que solo ella pueda leer. Alicia envía a Bob una caja con una cerradura abierta, de la que solo Alicia tiene la llave. Bob recibe la caja, escribe el mensaje, lo pone en la caja y la cierra con su cerradura. Bob envía la caja a Alicia y ella la abre con su llave. En este ejemplo, la caja con la cerradura es la clave pública de Alicia, y la llave de la cerradura es su clave privada.
Modelo matemático base
• c: Texto Cifrado • m: Mensaje• e: Exponente Público (Encriptar)• d: Exponente Privado (Desencriptar)• n: p*q• p y q: Números primos de la clave
privada
Auditoría de una Red Física
En general, muchas veces se parte del supuesto de que si no existe acceso físico desde el exterior a la red interna de una empresa las comunicaciones internas quedan a salvo. Debe comprobarse que efectivamente los accesos físicos provenientes del exterior han sido debidamente registrados, para evitar estos accesos. Debe también comprobarse que desde el interior del edificio no se intercepta físicamente el cableado.En caso de desastre, bien sea total o parcial, ha de poder comprobarse cuál es la parte del cableado que queda en condiciones de funcionar y qué operatividad puede soportar. Ya que el tendido de cables es una actividad irrealizable a muy corto plazo, los planes de recuperación de contingencias deben tener prevista la recuperación en comunicaciones.
Conceptos Previos
Ha de tenerse en cuenta que la red física es un punto claro de contacto entre la gerencia de comunicaciones y la gerencia de mantenimiento general de edificios, que es quien suele aportar electricistas y personal profesional para el tendido físico de cables y su mantenimiento.
Se debe garantizar que exista:
• Áreas de equipo de comunicación con control de acceso. • Protección y tendido adecuado de cables y líneas de comunicación
para evitar accesos físicos. • Control de utilización de equipos de prueba de comunicaciones
para monitorizar la red y el tráfico en ella. • Prioridad de recuperación del sistema. • Control de las líneas telefónicas.
Conceptos Previos
Se debe comprobar que: • El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. • La seguridad física del equipo de comunicaciones sea adecuada. • Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas
telefónicas. • Las líneas de comunicación estén fuera de la vista. • Se dé un código a cada línea, en vez de una descripción física de la misma. • Haya procedimientos de protección de los cables y las bocas de conexión para evitar fallas
en la red. • Existan revisiones periódicas de la red buscando errores y/o daños a la misma.• El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones
específicas. • Existan alternativas de respaldo de las comunicaciones. • Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas
configuradas con retro llamada, código de conexión o interruptores.
Conceptos Previos
Este informe contiene el resultado de la auditoria de redes físicas realizada sobre la red de área local de la Universidad Tecnológica Nacional Facultad Regional de Córdoba.Propósito:El propósito de esta auditoria es evaluar los controles de seguridad para proteger los recursos de la red físicas de la Universidad Tecnológica Nacional, Facultad Regional de Córdoba.• Obtener una visión general de la ubicación de todos los
dispositivos de la red de área local.• Evaluar el ambiente de control físico sobre los dispositivos de la
red de área local. Cuestión de Fondo:El funcionamiento de la Universidad se basa en su sistema informático. Este es necesario para brindar servicios tanto a estudiantes como a empleados. Algunos de estos servicios son: Inscripciones, seguimiento de alumnos, dictado de clases, servicio de comunicaciones, internet y otros.
Caso Práctico
En qué consiste:Esta auditoria esta limitada a la seguridad física de la red de área local de la Universidad Tecnológica Nacional, Facultad Regional de Córdoba. Las actividades que protegen el equipamiento de daño físico son:• Permitir que solo los responsables de mantenimiento de los equipos de
cómputos ingresen a las salas de equipamiento.• Proveer mecanismos de detección de fuego, humo, agua, suciedad, etc.• Almacenar materiales peligrosos, como químicos de limpieza, en lugares
separados y alejados de los equipos de cómputos.• Proveer de dispositivos reguladores de tensión y UPSs para salvar el
equipamiento de daños producidos por los niveles de tensión y cortes abruptos en el suministro eléctrico.
• Planificar la manera de recomenzar con las operaciones después de un fallo, incluyendo las copias de seguridad de programas y datos.
Caso Práctico
MetodologíaDurante nuestra visita preliminar identificamos todas las salas donde se encuentra el equipamiento de cómputos y las clasificamos en “principales” y “secundarias”, entendiéndose por principales aquellas donde se ubican los dispositivos más importantes para la red tales como servidores, hubs, switch, etc.Es válido resaltar que las salas principales deben contar con un mayor control de seguridad que las secundarias. La figura 1 describe los aspectos típicos a implementar para el control físico de la red en las salas principales y secundarias.
Caso Práctico
Caso Práctico
Para Salas Secundarias
Escritura de estándares para la administración de seguridad de los recursos de la red.
Bloqueo de salas permitiendo solo el ingreso a personas autorizadas.
Monitoreo y registro de los accesos a las salas.
Detección de fuego, humo y agua.
Extintores de fuego adecuados y habilitados.
Caso Práctico
Para Salas Principales(Además de los aspectos necesarios para las salas secundarias)
Escritura de políticas y procedimientos para la realización y recuperación de copias de seguridad.
Ubicación de las salas en el interior del edificio. Y en lo posible sin ventanas ni puertas al exterior o patios internos.
Dispositivos alejados del piso.
UPSs para asegurar la continuidad de las operaciones.
Copias de seguridad ubicadas fuera de la sala y adecuadamente protegidas
Figura 1. Aspectos típicos de seguridad física.
Para obtener una visión general de la ubicación de todos los dispositivos de red, nos contactamos con el personal encargado de las aulas G del edificio, el Laboratorio de Sistemas y el centro de cómputos. Posteriormente visitamos cada una de estas salas para evaluar, los controles sobre la seguridad física, las condiciones ambientales y controles sobre las copias de seguridad e inventarios. Para esto nos entrevistamos con los responsables de cada una de estas salas.
Caso Práctico
Hallazgo Ausencia de políticas y procedimientos para la administración de la seguridad de la red física.Actualmente no existen políticas ni procedimientos escritos para la gestión de la seguridad física de la red. Sino que, son los encargados de cada sala quienes llevan adelante estas tareas a criterio propio y por lo tanto de manera heterogénea.
No existen políticas ni procedimientos para Mantenimiento
Debido a la ausencia de estos, el mantenimiento, lo realiza el encargado de turno basándose en su experiencia. Además tampoco se cuenta con procedimientos para el monitoreo de las conexiones de la red por lo que es difícil determinar el estado de los equipos.
No existen políticas ni procedimientos para Inventarios
Por lo que no se conoce la disponibilidad de equipos, su ubicación, estado ni procedencia.
No existen políticas ni procedimientos para registros de errores y soluciones
No esta disponible información referente a errores comunes y sus soluciones encontradas. Por lo que cada encargado debe, a cada error, encontrarle una nueva solución aunque se trate de problemas recurrentes. Tampoco es posible realizar un seguimiento de las fallas y sus causas, con el objeto de implementar medidas correctivas. Esto genera la necesidad de la presencia permanente del encargado. No se cuenta con una metodología para el diagnóstico de fallas.
No existen políticas ni procedimientos para la asignación de responsabilidades
No están claramente definidas las responsabilidades del personal, lo que ocasiona confusión acerca de las tareas que debe realizar cada persona.
Recomendaciones
Recomendamos que, se escriban y difundan las políticas y los procedimientos necesarios para proteger los recursos informáticos de la red de área local de la universidad. Estos procedimientos deberían ser para mantenimiento, inventario, registros de errores y soluciones y responsabilidades. Los mismos deberán servir de guía para que los encargados realicen la correcta gestión del control físico sobre la red.
Hallazgo: Referentes a las salas principales y secundarias.(No existe distinción entre estas.)Durante la auditoria visitamos tres salas principales, en la que encontramos los siguientes problemas, en los aspectos: Ambiental
Tubos fluorescentes sin coberturas. Cielo raso en mal estado. Matafuego con candado Matafuego alejado. No se conoce el uso del matafuego. Cable canal deteriorado. Espacio reducido entre maquina. Tomacorrientes instalados sobre mubles de caño. Cable dificultando el paso de la persona. Cable en el piso. El cableado de la red se encuentra junto al de la red eléctrica. No se restringe el acceso a persona no autorizadas a los dispositivos mayores ni menores (debido a
que estos dispositivos coexisten en la misma sala). No existen carteles que prohíban comer y/o fumar dentro de las salas.
Cableado de la red horizontal Conectores de pared no se encuentran fijos. Conectores sin capuchones. Conectores al descubierto. Conectores en el piso. Conectores de PC sin atornillar. Cableado sin identificadores. Cableado suelto. Cableado sin protección. Cableado anudado. Cableado de longitud excesiva. Ausencia de precintos. Precintos con presión excesiva. Cables precintados a muebles.
Centro del cableado Dispositivos sin identificadores. Dispositivos accesibles a personas no autorizadas. Centro de cableado en el piso. La puerta del centro de cableado no se habré con facilidad.
Análisis:Los hallazgos identificados, se han agrupado en categorías por su similitud. Para permitir una visión más global de los problemas. Esto se refleja en la siguiente tabla:
Salas
Categoría Problemas en Visitadas Con problema
Ambiental Tubos fluorescentes sin coberturas. 5 5
Tomacorrientes instalados sobre mubles de caño. 5 5
Problemas con Matafuego 5 4
Cables en el piso o junto a la red eléctrica. 5 3
Cielo raso en mal estado. 5 2
Red Problemas con conectores 5 5
Horizontal Problemas con cableado 5 5
Problemas con precintos 5 3
Centro de Dispositivos sin identificadores. 3 3
cableado Dispositivos accesibles a personas no autorizadas. 3 2
Centro de cableado en el piso. 3 2
Centro de cableado mal ubicado 3 3
Para un mejor análisis de los riesgos se dio una ponderación diferenciando los hallazgos del centro del cableado del resto (ambientales y red horizontal), asignándoles los valores de 1.0 y 0.6 respectivamente.Por otra parte, cada hallazgo fue ponderado independientemente, utilizando una escala de 0.0 a 1.0. Reflejando los resultados en la siguiente tabla.
visitas
Problemas en CC Salas problemas PP. PC PI VR
Centro de cableado mal ubicado 3 3 100% 1.00 0.7 70Dispositivos accesibles a personas no autorizadas.
3 267% 1.00 0.7 47
Dispositivos sin identificadores. 3 3 100% 1.00 0.4 40
Problemas con conectores 5 5 100% 0.60 0.6 36
Tomacorrientes instalados sobre mubles de caño. 5 5 100% 0.60 0.5 30
Problemas con cableado 5 5 100% 0.60 0.5 30
Centro de cableado en el piso. 3 2 67% 1.00 0.3 20
Problemas con Matafuego 5 4 80% 0.60 0.4 19
Tubos fluorescentes sin coberturas. 5 5 100% 0.60 0.2 12
Cables en el piso o junto a la red eléctrica. 5 3 60% 0.60 0.3 11
Problemas con precintos 5 3 60% 0.60 0.3 11
Cielo raso en mal estado. 5 2 40% 0.60 0.4 10
Análisis de los Hallazgos:Caso Práctico
Recomendaciones:
Recomendamos, en primer lugar que se coloquen los centros de cableado en lugares adecuados, fuera del alcance de personas no autorizadas. También recomendamos que se identifiquen los dispositivos principales. Recomendamos, por último, que los encargados de cada sala realicen las acciones necesarias
para:• Mantener el cableado en buenas condiciones.• Mantener los conectores en buen estado.Estas acciones deben ejecutarse en forma periódica. Conclusión:
Nuestra opinión es que, los controles sobre los recursos de la red de área local de la universidad deben ser mejorados puesto que presenta importantes dificultades. Esto se debe a la ausencia de lineamientos claros para su gestión.Recomendación Final:
Recomendamos que se escriban los lineamientos generales para la gestión de la red y se difundan a los encargados de cada sala. También recomendamos que se capacite a este personal en los aspectos referidos a la seguridad de la red física.
Caso Práctico
Gracias… totales!!!
