Auditoría de Redes AUD 721 Módulo 4 Carmen R. Cintrón Ferrer - 2004, Derechos Reservados.

Auditoría de RedesAuditoría de RedesAUD 721AUD 721Módulo 4Módulo 4

Carmen R. Cintrón Ferrer - 2004, Derechos ReservadosCarmen R. Cintrón Ferrer - 2004, Derechos Reservados

Contenido TemáticoContenido Temático

Tecnología de redesTecnología de redes Planificación y evaluación de redesPlanificación y evaluación de redes Seguridad y protección de redesSeguridad y protección de redes Integración de peritos técnicosIntegración de peritos técnicos Proceso de auditoría de redesProceso de auditoría de redes Informe de auditoría de redesInforme de auditoría de redes

Seguridad y protección de RedesSeguridad y protección de RedesCuarto móduloCuarto módulo

IntroducciónIntroducción Ámbitos de Seguridad:Ámbitos de Seguridad:

Protección del perímetro físicoProtección del perímetro físico Protección del perímetro lógicoProtección del perímetro lógico Análisis de vulnerabilidadesAnálisis de vulnerabilidades Controles de accesoControles de acceso

Políticas y Procedimientos:Políticas y Procedimientos: AdopciónAdopción ImplantaciónImplantación Cumplimiento automáticoCumplimiento automático

Contingencia y controles de riesgoContingencia y controles de riesgo

Seguridad y protección de RedesSeguridad y protección de RedesIntroducciónIntroducción

Riesgos:Riesgos: Pérdida de equipoPérdida de equipo Pérdida de datosPérdida de datos Pérdida de controlesPérdida de controles Interrupción en servicios de la redInterrupción en servicios de la red Inestabilidad de la red o servidoresInestabilidad de la red o servidores Interferencia en el tráficoInterferencia en el tráfico Acceso no autorizado a recursos en la redAcceso no autorizado a recursos en la red Modificación no autorizada a recursos en la redModificación no autorizada a recursos en la red


Amenazas - comprende varios factores:Amenazas - comprende varios factores: Blancos:Blancos:

ConfidencialiddConfidencialidd IntegridadIntegridad DisponibilidadDisponibilidad ““Accountability”Accountability”

Agentes o personas:Agentes o personas: AccesoAcceso ConocimientoConocimiento MotivaciónMotivación

EventosEventos


Eventos o amenazas:Eventos o amenazas: Eventos naturales o físicosEventos naturales o físicos Accidentes o errores sin intenciónAccidentes o errores sin intención Errores intencionalesErrores intencionales RoboRobo Adulteración o destrucciónAdulteración o destrucción Uso indebidoUso indebido AbusoAbuso Interrupción o SabotajeInterrupción o Sabotaje Vigilancia o espionaje industrialVigilancia o espionaje industrial


Vulnerabilidades:Vulnerabilidades:Debilidad existente que puede ser explotada por un Debilidad existente que puede ser explotada por un incidente de amenaza resultando en un riesgo incidente de amenaza resultando en un riesgo probable.probable.

Controles :Controles :Procesos, con o sin apoyo de tecnología, dirigidos a Procesos, con o sin apoyo de tecnología, dirigidos a reducir, mitigar o transferir riesgos. Pueden ser:reducir, mitigar o transferir riesgos. Pueden ser: Prevención (controles de acceso, cifrado, autenticación)Prevención (controles de acceso, cifrado, autenticación) Detección (IDS, bitácoras)Detección (IDS, bitácoras) Corrección (“parchar” sistemas, Políticas, DRP)Corrección (“parchar” sistemas, Políticas, DRP)


Medidas de protección:Medidas de protección: ““Safeguards” – Safeguards” – Controles dirigidos a protegerControles dirigidos a proteger ““Countermeasures” – Countermeasures” – Controles impuestos como resultado del Controles impuestos como resultado del

análisis de vulnerabilidades y la política gerencial de seguridad de análisis de vulnerabilidades y la política gerencial de seguridad de recursos o activos informáticosrecursos o activos informáticos

Nivel de exposición:Nivel de exposición:Impacto o pérdida esperada en caso que una Impacto o pérdida esperada en caso que una vulnerabilidad existente sea explotada.vulnerabilidad existente sea explotada.

Avalúo de riesgos:Avalúo de riesgos: Análisis – Análisis – Aplica mecanismosAplica mecanismos cualitativos o cuantitativos al medir cualitativos o cuantitativos al medir

la relación entre vulnerabilidades, amenazas y controles existentes, la relación entre vulnerabilidades, amenazas y controles existentes, para determinar posible impacto.para determinar posible impacto.

Avalúo – Avalúo – Considera el resultado del análisis para medir pérdidas Considera el resultado del análisis para medir pérdidas en la integridad, disponibilidad y confidencialidad de los activos en la integridad, disponibilidad y confidencialidad de los activos informáticos y determinar nivel de riesgo a proteger o asumir.informáticos y determinar nivel de riesgo a proteger o asumir.


Personal responsable:Personal responsable: Gerente de seguridad de la tecnología Gerente de seguridad de la tecnología

informáticainformática Oficial de seguridad de la redOficial de seguridad de la red Administradores de sistemas de seguridadAdministradores de sistemas de seguridad Administradores de sistemas en la redAdministradores de sistemas en la red Gerentes de áreas funcionales y/o responsables Gerentes de áreas funcionales y/o responsables

de los recursos de información críticosde los recursos de información críticos Usuarios de los recursos de información críticosUsuarios de los recursos de información críticos

Seguridad y protección de RedesSeguridad y protección de RedesDimensiones de seguridadDimensiones de seguridad

Protección del perímetro físico:Protección del perímetro físico: Control de acceso físico a:Control de acceso físico a:

Depósitos de datos (Bancos de datos)Depósitos de datos (Bancos de datos) Copias de resguardoCopias de resguardo Documentación de la red Documentación de la red Documentación de procesos de comunicaciónDocumentación de procesos de comunicación Archivos de cuentas de usuarios/administradoresArchivos de cuentas de usuarios/administradores ServidoresServidores Puntos de conexiónPuntos de conexión Puntos de distribuciónPuntos de distribución Componentes de la redComponentes de la red ##


Protección del perímetro físico:Protección del perímetro físico: Dimensiones de protección:Dimensiones de protección:

Mecanismos para control de acceso físicoMecanismos para control de acceso físico Registro de accesoRegistro de acceso Niveles de accesoNiveles de acceso UbicaciónUbicación Replicación o duplicación de recursosReplicación o duplicación de recursos Procedimientos para protección de recursosProcedimientos para protección de recursos Códigos de conductaCódigos de conducta Verificación de records del personal con accesoVerificación de records del personal con acceso Verificación periódica de cumplimientoVerificación periódica de cumplimiento


Protección del perímetro físico:Protección del perímetro físico: Componentes en riesgo:Componentes en riesgo:

Equipo:Equipo: Routers/Firewalls/SwitchsRouters/Firewalls/Switchs Servidores datos/aplicaciones/impresiónServidores datos/aplicaciones/impresión Impresoras y otros periferales compartidosImpresoras y otros periferales compartidos Medios de conexión (cables/WAP’s/líneas dedicadas)Medios de conexión (cables/WAP’s/líneas dedicadas) Medios de almacenamiento de resguardo o replicaciónMedios de almacenamiento de resguardo o replicación

Sistemas:Sistemas: Sistemas OperativosSistemas Operativos Aplicaciones enlatadas/desarrolladas en la redAplicaciones enlatadas/desarrolladas en la red Programas de comunicación/seguridadProgramas de comunicación/seguridad


Protección del perímetro físico:Protección del perímetro físico: Componentes en riesgo:Componentes en riesgo:

Entorno:Entorno: Sistemas de enfriamiento (aire acondicionado)Sistemas de enfriamiento (aire acondicionado) Energía eléctrica /iluminación/plantasEnergía eléctrica /iluminación/plantas Edificios ubican puntos de convergencia de la redEdificios ubican puntos de convergencia de la red

Documentación:Documentación: Red /sistemasRed /sistemas Inventarios equipo/programado/archivosInventarios equipo/programado/archivos Procedimientos e itinerarios Procedimientos e itinerarios Planes de emergencia (DRP/BCP/CERT)Planes de emergencia (DRP/BCP/CERT) Licencias, contratos, garantías, contactos Licencias, contratos, garantías, contactos


Protección del perímetro físico:Protección del perímetro físico: Otros componentes en riesgo:Otros componentes en riesgo:

PersonalPersonal MaterialesMateriales Bancos de datos sensitivosBancos de datos sensitivos Aplicaciones críticasAplicaciones críticas


Protección del perímetro físico:Protección del perímetro físico: Interrogantes primarias:Interrogantes primarias:

Medios de protección física observablesMedios de protección física observables ¿Quién cuenta con llave o clave de acceso?¿Quién cuenta con llave o clave de acceso? ¿Otras áreas funcionales críticas comparten la sede?¿Otras áreas funcionales críticas comparten la sede? Ubicación y trazado de líneas de comunicaciónUbicación y trazado de líneas de comunicación Fuentes de energía eléctrica primarias y alternasFuentes de energía eléctrica primarias y alternas Tipos de UPS/ tiempo de respaldoTipos de UPS/ tiempo de respaldo Controles del entorno y supresión de incendioControles del entorno y supresión de incendio Procedimiento de notificación en caso de eventos o Procedimiento de notificación en caso de eventos o

incidentes vulneran perímetro físicoincidentes vulneran perímetro físico


Protección del perímetro lógico:Protección del perímetro lógico: Controles administrativos de acceso a:Controles administrativos de acceso a:

Recursos de información críticos disponibles en redRecursos de información críticos disponibles en red Autenticación y autorizaciónAutenticación y autorización Acceso a base de necesidad/confidencialidadAcceso a base de necesidad/confidencialidad

Otros controles administrativos:Otros controles administrativos: Registros de acceso, uso, transaccionesRegistros de acceso, uso, transacciones Registro de errores comunes relativos a:Registro de errores comunes relativos a:

Acceso a servicios, dispositivos, aplicacionesAcceso a servicios, dispositivos, aplicaciones Protección de recursosProtección de recursos Divulgación de información protegidaDivulgación de información protegida

Reclutamiento y verificación de personalReclutamiento y verificación de personal


Protección del perímetro lógico:Protección del perímetro lógico: Controles técnicos:Controles técnicos:

RouterRouter FirewallFirewall Zona demilitarizada (DMZ)Zona demilitarizada (DMZ) Redes virtuales (VPN)Redes virtuales (VPN) Subredes lógicas (VLAN’s)Subredes lógicas (VLAN’s) Traducción de direcciones (NAT)Traducción de direcciones (NAT) Acceso:Acceso:

AutenticaciónAutenticación TarjetasTarjetas BiométricasBiométricas


Dispositivo de múltiples puertos que Dispositivo de múltiples puertos que determina cómo manejar el tráfico de determina cómo manejar el tráfico de paquetes a base del protocolo y la paquetes a base del protocolo y la información de la red(es). Su función información de la red(es). Su función primaria es mover el tráfico rápidamente primaria es mover el tráfico rápidamente a su destino, aunque puede colaborar a a su destino, aunque puede colaborar a filtrarlo.filtrarlo.

Definición RoutersDefinición Routers


Uso de Routers: Uso de Routers: Dirigir y controlar: Dirigir y controlar:

Tráfico desde el exteriorTráfico desde el exterior Tráfico entre segmentosTráfico entre segmentos Ruta más adecuadaRuta más adecuada

En menor grado puede emplearse para: En menor grado puede emplearse para: Permitir o denegar comunicaciónPermitir o denegar comunicación Evitar difusión amplia (“braodcast”)Evitar difusión amplia (“braodcast”) Impedir tráfico, cuando el destino es desconocidoImpedir tráfico, cuando el destino es desconocido Limitar el tipo de comunicaciónLimitar el tipo de comunicación Contribuir en la autenticaciónContribuir en la autenticación

Soporte a redes virtuales (VPN’s)Soporte a redes virtuales (VPN’s) Limitaciones:Limitaciones:

Punto primario de fallosPunto primario de fallos Cuello de botella en flujo de tráficoCuello de botella en flujo de tráfico


““Paredes virtuales” para la protección Paredes virtuales” para la protección de activos informáticos contra de activos informáticos contra riesgos conocidos o desconocidos.riesgos conocidos o desconocidos.

Definición FirewallsDefinición Firewalls


Uso de Firewalls: Uso de Firewalls: Controlar el acceso desde el exteriorControlar el acceso desde el exterior Controlar el acceso entre segmentosControlar el acceso entre segmentos Permitir o denegar comunicaciónPermitir o denegar comunicación Limitar el tipo de comunicaciónLimitar el tipo de comunicación Contribuir en la autenticaciónContribuir en la autenticación Soporte a redes virtuales (VPN’s)Soporte a redes virtuales (VPN’s) Complementado por el “Router”Complementado por el “Router”

Limitaciones:Limitaciones: Punto primario de fallosPunto primario de fallos Cuello de botella en flujo de tráficoCuello de botella en flujo de tráfico

Seguridad y protección de RedesSeguridad y protección de RedesDimensiones de seguridad Dimensiones de seguridad

Tipos de Firewalls:Tipos de Firewalls: Packet filtering o Network Layer:Packet filtering o Network Layer:

Integran reglas para determinar cómo fluye el tráficoIntegran reglas para determinar cómo fluye el tráfico Usan filtros para inspeccionar el tipo de tráfico o de Usan filtros para inspeccionar el tipo de tráfico o de

protocoloprotocolo Tráfico que no pueden clasificar (In/Out) es denegado (drop)Tráfico que no pueden clasificar (In/Out) es denegado (drop) El tráfico continúa su ruta si procesó correctamenteEl tráfico continúa su ruta si procesó correctamente Puede exponer la red a ataques al permitir conexión entre el Puede exponer la red a ataques al permitir conexión entre el

cliente y el servidor o servicio “enrutado”cliente y el servidor o servicio “enrutado” Application Layer:Application Layer:

Integran reglas para determinar cómo fluye el tráficoIntegran reglas para determinar cómo fluye el tráfico Usan proxies dedicados por tipo de tráfico o de protocoloUsan proxies dedicados por tipo de tráfico o de protocolo Tráfico que no pueden clasificar (In/Out) es denegado (drop)Tráfico que no pueden clasificar (In/Out) es denegado (drop) Cuando el tráfico procesó correctamente se inicia una Cuando el tráfico procesó correctamente se inicia una

conexión nueva por parte del Firewall evitando ataquesconexión nueva por parte del Firewall evitando ataques Hybrid FirewallsHybrid Firewalls


Área de la red donde puede haber Área de la red donde puede haber un nivel mayor de vulnerabilidad un nivel mayor de vulnerabilidad debido a su exposición a usuarios debido a su exposición a usuarios que navegan desde Internet. El que navegan desde Internet. El nivel de protección y control de nivel de protección y control de acceso es menor.acceso es menor.

Definición Zona Demilitarizada (DMZ)Definición Zona Demilitarizada (DMZ)


Usos del DMZ:Usos del DMZ: Ubicar servidores/servicios disponibles Internet:Ubicar servidores/servicios disponibles Internet:

Correo electrónico InternetCorreo electrónico Internet Páginas WEBPáginas WEB DNS ExternoDNS Externo Servidores aplicaciones disponibles desde InternetServidores aplicaciones disponibles desde Internet

Proveer otros servicios a la red: Proveer otros servicios a la red: Internet Control Message ProtocolInternet Control Message Protocol Network Time ProtocolNetwork Time Protocol

Servicios a restringir:Servicios a restringir: NetBios NetBios Unix RPC (Remote Procedure Calls)Unix RPC (Remote Procedure Calls) Network File Services (NFS)Network File Services (NFS) X (sesiones remotas de X Windows)X (sesiones remotas de X Windows) Telnet (De resultar necesario utlizar SSH)Telnet (De resultar necesario utlizar SSH) FTP / TFTPFTP / TFTP Netmeeting (Reemplazar por un H.323 Proxy)Netmeeting (Reemplazar por un H.323 Proxy) Remote Control Protocols (RPC)Remote Control Protocols (RPC) SNMP (Simple Network Management Protocol_SNMP (Simple Network Management Protocol_


Ubicación del DMZ:Ubicación del DMZ: Luego del Router PrimarioLuego del Router Primario Detrás del FirewallDetrás del Firewall

Tráfico permitido mediante filtros o reglas:Tráfico permitido mediante filtros o reglas: Direcciones válidas en el DNS ExternoDirecciones válidas en el DNS Externo Paquetes válidosPaquetes válidos Protocolos válidosProtocolos válidos

Limitaciones:Limitaciones: Sistema comprometido puede afectar todo en el DMZSistema comprometido puede afectar todo en el DMZ Virus o DoS puede propagarse dentro DMZVirus o DoS puede propagarse dentro DMZ DMZ puede convertirse en un cuello de botellaDMZ puede convertirse en un cuello de botella


Un túnel que utiliza Internet como la base Un túnel que utiliza Internet como la base para establecer una conexión privada para establecer una conexión privada entre dos puntos (red virtual). Puede entre dos puntos (red virtual). Puede limitar el tipo de tráfico/protocolos, utilizar limitar el tipo de tráfico/protocolos, utilizar o no un circuito dedicado e incluir o no un circuito dedicado e incluir protección adicional como tráfico cifrado.protección adicional como tráfico cifrado.

Definición VPNDefinición VPN


Uso de redes virtuales (VPN’s): Uso de redes virtuales (VPN’s): Reemplazar redes privadas a menor costoReemplazar redes privadas a menor costo Proveer acceso a usuarios o entidades remotasProveer acceso a usuarios o entidades remotas Establecer túnel/canal entre dos puntos vía InternetEstablecer túnel/canal entre dos puntos vía Internet Cifrar tráfico entre los extremos del túnelCifrar tráfico entre los extremos del túnel Integridad del tráfico a través del túnelIntegridad del tráfico a través del túnel Proteger la privacidad/confidencialidad del tráficoProteger la privacidad/confidencialidad del tráfico

Limitaciones:Limitaciones: Puede introducir riesgos inherentes al equipo del clientePuede introducir riesgos inherentes al equipo del cliente Puede generar sobrecarga de tráficoPuede generar sobrecarga de tráfico Amplía el perímetro de seguridad a proteger/fiscalizarAmplía el perímetro de seguridad a proteger/fiscalizar Podría requerir un DMZ para los servicios de VPNPodría requerir un DMZ para los servicios de VPN


Tipos de VPN’s:Tipos de VPN’s: Access (Users) VPN:Access (Users) VPN:

Provee acceso a empleados desde casa o de viajeProvee acceso a empleados desde casa o de viaje Permite acceder servidores y servicios en la redPermite acceder servidores y servicios en la red

Intranet (Site) VPN:Intranet (Site) VPN: Permite conectar dos entidades para compartir servicios y tráficoPermite conectar dos entidades para compartir servicios y tráfico Permite establecer sedes alternas para “backup” (“Hot site”)Permite establecer sedes alternas para “backup” (“Hot site”) Protocolos y reglas de autenticación determinan conexiónProtocolos y reglas de autenticación determinan conexión

Extranet VPN:Extranet VPN: Permite conectar entidades no conocidas (“untrusted”) Permite conectar entidades no conocidas (“untrusted”)


Componentes:Componentes: Servidor de VPN:Servidor de VPN:

Puede ser el Router, Firewall o un servidor dedicadoPuede ser el Router, Firewall o un servidor dedicado Recibe el tráfico que entraRecibe el tráfico que entra

Algoritmo sólido (“strong”) de encifrar: Algoritmo sólido (“strong”) de encifrar: IPSec: Tunnel/Transport ModeIPSec: Tunnel/Transport Mode Internet Key Exchange (IKE)Internet Key Exchange (IKE) Certificates Authorities (CA)Certificates Authorities (CA)

Sistema de autenticación:Sistema de autenticación: Dos niveles: Dos niveles:

Algo que conocen Algo que conocen Algo que tienenAlgo que tienen

Mecanismos: Mecanismos: Llaves compartidasLlaves compartidas RSA signaturesRSA signatures RSA encrypted noncesRSA encrypted nonces


Factores a considerar para establecer VPN’s:Factores a considerar para establecer VPN’s: Número de conexiones concurrentesNúmero de conexiones concurrentes Tipos de conexión para usuariosTipos de conexión para usuarios Cantidad de sedes remotasCantidad de sedes remotas Volumen de tráfico esperadoVolumen de tráfico esperado Protocolos y modo de conexiónProtocolos y modo de conexión Política de seguridad aplicablePolítica de seguridad aplicable


Red virtual local dentro de una red física Red virtual local dentro de una red física que permite conformar grupos de que permite conformar grupos de usuarios en distintos segmentos o usuarios en distintos segmentos o componentes con restricciones de componentes con restricciones de acceso a servicios o servidores acceso a servicios o servidores particulares, o rutas exclusivas de tráfico. particulares, o rutas exclusivas de tráfico. (Juntos pero no revueltos.) (Juntos pero no revueltos.)

Definición VLANDefinición VLAN


Uso de redes locales virtuales (VLAN’s): Uso de redes locales virtuales (VLAN’s): Establecer redes integrando usuarios dispersos en Establecer redes integrando usuarios dispersos en

grupos funcionales a través de “switchs”grupos funcionales a través de “switchs” Agilizar el flujo de tráfico Agilizar el flujo de tráfico Establecer prioridades de acceso Establecer prioridades de acceso

Limitaciones:Limitaciones: Puede introducir riesgos de seguridad a nivel de “switch” Puede introducir riesgos de seguridad a nivel de “switch” Puede generar sobrecarga de tráficoPuede generar sobrecarga de tráfico Amplía el perímetro de seguridad a proteger/fiscalizarAmplía el perímetro de seguridad a proteger/fiscalizar


““Network Address Translation (NAT)”: Network Address Translation (NAT)”: Mecanismo para traducir direcciones Mecanismo para traducir direcciones que permite generar múltiples que permite generar múltiples direcciones internas y convierte el IP de direcciones internas y convierte el IP de salida en uno común. salida en uno común.

Definición NATDefinición NAT


Uso de “Network Address Translation (NAT)”: Uso de “Network Address Translation (NAT)”: ““Network layer proxy” – esconde la identidadNetwork layer proxy” – esconde la identidad Enmascara la dirección IP de servidores y usuariosEnmascara la dirección IP de servidores y usuarios Introduce mayor seguridad a los recursos en la red Introduce mayor seguridad a los recursos en la red Permite generar direcciones de IP privadas para uso interno, Permite generar direcciones de IP privadas para uso interno,

limitando la cantidad de #IP requeridos ISP/ARINlimitando la cantidad de #IP requeridos ISP/ARIN Permite compartir línea de conexión a Internet (“multiplex”)Permite compartir línea de conexión a Internet (“multiplex”)

Tipos de NAT:Tipos de NAT: Estático (1:1 NAT) – para servidoresEstático (1:1 NAT) – para servidores Dinámico (M:1 NAT) – para usuariosDinámico (M:1 NAT) – para usuarios

Limitaciones:Limitaciones: Puede introducir riesgos de seguridad al publicar información interna Puede introducir riesgos de seguridad al publicar información interna Dificulta la conexión a servidores internos desde fueraDificulta la conexión a servidores internos desde fuera Permite IP “hijacking/spoofing by hackers” Permite IP “hijacking/spoofing by hackers” Amplía el perímetro de seguridad a proteger/fiscalizarAmplía el perímetro de seguridad a proteger/fiscalizar


Protección del perímetro lógico:Protección del perímetro lógico: Interrogantes primarias:Interrogantes primarias:

Tipos de acceso remoto y controles:Tipos de acceso remoto y controles: Líneas dedicadas (DSU/CSU)Líneas dedicadas (DSU/CSU) Moduladores (“modems”)Moduladores (“modems”) ““Dial-in”Dial-in”

Internet:Internet: Uso y control de acceso/contenidoUso y control de acceso/contenido Puntos de conexión y servicios (“hosting”)Puntos de conexión y servicios (“hosting”)

Listas de control de acceso a los RoutersListas de control de acceso a los Routers Reglas que operan en el (los) FirewallsReglas que operan en el (los) Firewalls



Redes virtuales:Redes virtuales: VPNVPN VLAN’sVLAN’s

Mecanismos de cifrado para:Mecanismos de cifrado para: Transmisión de paquetes (IN/OUT) de la redTransmisión de paquetes (IN/OUT) de la red Unidades móvilesUnidades móviles Conexiones inalámbricasConexiones inalámbricas

Sistemas de antivirusSistemas de antivirus Configuración de seguridad de servidoresConfiguración de seguridad de servidores Mecanismos de protección relativos a puntos de Mecanismos de protección relativos a puntos de

acceso con otras organizacionesacceso con otras organizaciones



Mecanismos de selección de claves de accesoMecanismos de selección de claves de acceso Metodologías para prevenir ingeniería socialMetodologías para prevenir ingeniería social Bitácoras de acceso y de fallos en el acceso:Bitácoras de acceso y de fallos en el acceso:

““login/logff”login/logff” Conexión a la red: Internet, “Dial-in”, “modems”, VPNConexión a la red: Internet, “Dial-in”, “modems”, VPN Conexión de cuentas de supervisor/administradorConexión de cuentas de supervisor/administrador Archivos con datos sensitivosArchivos con datos sensitivos

Registro de acceso a servicios/servidores en DMZ:Registro de acceso a servicios/servidores en DMZ: Correo electrónicoCorreo electrónico WebWeb OtrosOtros


Análisis de vulnerabilidades:Análisis de vulnerabilidades: Conexión a InternetConexión a Internet Conexión a otras entidades u organizacionesConexión a otras entidades u organizaciones Conexiones remotasConexiones remotas Conexión de usuariosConexión de usuarios Acceso físicoAcceso físico


Análisis de vulnerabilidades por tipo de ataques:Análisis de vulnerabilidades por tipo de ataques: ““Spam”Spam” ““Virus/Worms/Trojans/Logic bombs”Virus/Worms/Trojans/Logic bombs” ““Buffer overflow”Buffer overflow” ““Denial of service/Distributed Denial of service”Denial of service/Distributed Denial of service” ““Man in the middle”Man in the middle” ““IP Address spoofing”IP Address spoofing” ““Password /brute-force attacks”Password /brute-force attacks” ““sniffing/eavesdropping”sniffing/eavesdropping” ““Anonimous user”Anonimous user” ““Remote file system viewing”Remote file system viewing” ““Cross-site scripting/tracing”Cross-site scripting/tracing”


Análisis de vulnerabilidad - servidores/dispositivos:Análisis de vulnerabilidad - servidores/dispositivos: Versión de sistemas operativosVersión de sistemas operativos Configuración:Configuración:

Protocolos/puertos disponiblesProtocolos/puertos disponibles Servicios hábilesServicios hábiles Errores de configuraciónErrores de configuración

Instalación de “parchos” o versiones actualizadasInstalación de “parchos” o versiones actualizadas Análisis de vulnerabilidad en componentes:Análisis de vulnerabilidad en componentes:

Router/Firewall/SwitchsRouter/Firewall/Switchs DNSDNS Database serversDatabase servers DHCP/ProxyDHCP/Proxy


Análisis de vulnerabilidades en procesos:Análisis de vulnerabilidades en procesos: Falta autenticación para acceso remoto de servicios consolaFalta autenticación para acceso remoto de servicios consola Falta de controles de validación e integridad de datosFalta de controles de validación e integridad de datos Retención de bitácorasRetención de bitácoras Separación de funciones inadecuada (amplios poderes a los Separación de funciones inadecuada (amplios poderes a los

administradores de sistemasadministradores de sistemas Falta documentación de procesos para respuesta a incidentesFalta documentación de procesos para respuesta a incidentes Plan de contingencia obsoleto, incompletoPlan de contingencia obsoleto, incompleto Falta mecanismo para modificar el procedimiento de respuesta Falta mecanismo para modificar el procedimiento de respuesta

a incidentesa incidentes Aplicación inconsistente de políticas relativas a conductaAplicación inconsistente de políticas relativas a conducta Falta evidencia de recibo de políticasFalta evidencia de recibo de políticas Proceso de terminación en empleo permite usar cuentasProceso de terminación en empleo permite usar cuentas Falta de verificación antes de conceder acceso a sistemasFalta de verificación antes de conceder acceso a sistemas Falta documentación de proceso para actualizar sistemasFalta documentación de proceso para actualizar sistemas


Análisis de vulnerabilidades - herramientas disponibles:Análisis de vulnerabilidades - herramientas disponibles: ““Router Audit Tool (RAT)”Router Audit Tool (RAT)” ““Network mapping”Network mapping” ““Vulnerability scanners”Vulnerability scanners” ““Sniffers”Sniffers” ““Intrusion detection systems”Intrusion detection systems” ““Virus detection/prevention”Virus detection/prevention” ““Integrity checking”Integrity checking” ““War dialers”War dialers” ““Policy compliance/violations”Policy compliance/violations”

Métricas:Métricas: Ataques detenidos (“bloqueados”)Ataques detenidos (“bloqueados”) Intentos de conexión o violación fallidosIntentos de conexión o violación fallidos Número de incidentes de seguridadNúmero de incidentes de seguridad

Estimado de impacto (daños/pérdida económica)Estimado de impacto (daños/pérdida económica)


Análisis de vulnerabilidades – técnicas de ataque:Análisis de vulnerabilidades – técnicas de ataque: ““Social engineering”Social engineering” ““Address recognissance”: ARIN/Whois.netAddress recognissance”: ARIN/Whois.net ““Phone number recognissance”Phone number recognissance” ““System recognissance”:System recognissance”:

““Ping sweeps”Ping sweeps” ““stealth/port scans”stealth/port scans” Check O/S versionCheck O/S version

““Business recognissance”Business recognissance” ““Physical recognissance”Physical recognissance” Uso de sistemas comprometidosUso de sistemas comprometidos


Métricas periódicas:Métricas periódicas: Cantidad de usuarios/dispositivos activosCantidad de usuarios/dispositivos activos Inventario de aplicaciones en usoInventario de aplicaciones en uso Calidad y estabilidad de la conexión(es)Calidad y estabilidad de la conexión(es) Porciento de uso de la conexión(es) de salidaPorciento de uso de la conexión(es) de salida Precisión en la transmisión del tráficoPrecisión en la transmisión del tráfico Promedio de tiempo en la transmisión internaPromedio de tiempo en la transmisión interna Promedio de tiempo en la transferencia externaPromedio de tiempo en la transferencia externa Frecuencia de retransmisiónFrecuencia de retransmisión Frecuencia de erroresFrecuencia de errores Tiempo promedio sin servicio/ en restauraciónTiempo promedio sin servicio/ en restauración Frecuencia de incidentes intrusión e impactoFrecuencia de incidentes intrusión e impacto


Controles dirigidos a prevenir:Controles dirigidos a prevenir: Controles de acceso:Controles de acceso:

““Dynamic Passwords”Dynamic Passwords” ““Dial-back modems”Dial-back modems” ““Cards”Cards” BiométricasBiométricas

Cifrado:Cifrado: Documentos/tráficoDocumentos/tráfico Digital signaturesDigital signatures PKIPKI

Autenticación:Autenticación: Tres niveles:Tres niveles:

Algo conozcoAlgo conozco Algo que tengoAlgo que tengo Algo Algo


Controles dirigidos a detener:Controles dirigidos a detener: Intrusion Detection Systems:Intrusion Detection Systems:

““Host based” – identifican ataques que generan “logs/system Host based” – identifican ataques que generan “logs/system calls” en el servidor/servicio (“host”)calls” en el servidor/servicio (“host”)

““Network based” – analizan el tráfico en conexión promiscua y lo Network based” – analizan el tráfico en conexión promiscua y lo evalúan para determinar posibles ataquesevalúan para determinar posibles ataques

Objetivos de IDS:Objetivos de IDS: Detectar ataquesDetectar ataques Prevenir ataquesPrevenir ataques Detectar violación a políticas de uso/conexión y hacerlas cumplirDetectar violación a políticas de uso/conexión y hacerlas cumplir Recopilar evidenciaRecopilar evidencia

Configuración de IDS:Configuración de IDS: Determinar qué fiscalizarDeterminar qué fiscalizar Elegir cómo responder:Elegir cómo responder:

Respuesta pasiva: ignorar, registrar, recopilar, notificarRespuesta pasiva: ignorar, registrar, recopilar, notificar Respuesta activa: terminar conexión o proceso, reconfigurar, Respuesta activa: terminar conexión o proceso, reconfigurar,

engañar al atacanteengañar al atacante


Controles dirigidos a detener:Controles dirigidos a detener: Bitácoras de conexión: Bitácoras de conexión:

Periodo y tiempo de usoPeriodo y tiempo de uso Servicios y/o aplicaciones accedenServicios y/o aplicaciones acceden Bancos de datos examinados, modificadosBancos de datos examinados, modificados Procesos activados y registro de transaccionesProcesos activados y registro de transacciones Intentos fallidosIntentos fallidos

Fiscalización de uso:Fiscalización de uso: Protocolos y tipos de paquetesProtocolos y tipos de paquetes NavegaciónNavegación ContenidoContenido Instalaciones o modificación a configuracionesInstalaciones o modificación a configuraciones


Controles dirigidos a corregir:Controles dirigidos a corregir: Procesos para “parchar”/ actualizar sistemasProcesos para “parchar”/ actualizar sistemas Sistemas implantan automáticamente políticas y Sistemas implantan automáticamente políticas y

procedimientosprocedimientos Interrupción de conexión o servicioInterrupción de conexión o servicio Recopilación de evidenciaRecopilación de evidencia Planes de recuperación de desastres (DRP) / Planes de recuperación de desastres (DRP) /

continuidad de operaciones (BCP)continuidad de operaciones (BCP) Procedimientos de respuesta a incidentes (CERT)Procedimientos de respuesta a incidentes (CERT) Planes de divulgación y/o adiestramientoPlanes de divulgación y/o adiestramiento Medidas disciplinariasMedidas disciplinarias

Seguridad y protección de RedesSeguridad y protección de RedesPolíticas y procedimientosPolíticas y procedimientos

Contenido:Contenido: Misión de la organización y filosofía de seguridadMisión de la organización y filosofía de seguridad Legislación y reglamentación aplicablesLegislación y reglamentación aplicables Conducta regulada – esperada/no aceptableConducta regulada – esperada/no aceptable Tipos y niveles de riesgo cubiertosTipos y niveles de riesgo cubiertos Responsabilidad (“accountability”)Responsabilidad (“accountability”) Implicaciones del incumplimientoImplicaciones del incumplimiento


Áreas a reglamentar:Áreas a reglamentar: Uso apropiado de la tecnologíaUso apropiado de la tecnología Acceso a InternetAcceso a Internet Uso de correo electrónico y otros serviciosUso de correo electrónico y otros servicios Acceso a la red y manejo de cuentas Acceso a la red y manejo de cuentas

(“passwords”) (“passwords”) Código de conducta esperadaCódigo de conducta esperada Seguridad de sistemasSeguridad de sistemas Seguridad de la redSeguridad de la red


Procedimientos a implantar:Procedimientos a implantar: Personal: Personal: Reclutamiento, transferencia y terminaciónReclutamiento, transferencia y terminación Programado: Programado: Instalación, actualización y disposiciónInstalación, actualización y disposición Incidentes: Incidentes: Identificación, manejo, respuestaIdentificación, manejo, respuesta Configuración de servidores:Configuración de servidores: Versión inicial, Versión inicial,

parchos, control de cambiosparchos, control de cambios Estándares: Estándares: Sistemas, componentes de la red, Sistemas, componentes de la red,

configuración, pruebas, instalación y modificaciónconfiguración, pruebas, instalación y modificación Copias: Copias: Frecuencia, depósito, custodia, disposiciónFrecuencia, depósito, custodia, disposición Continuidad de las operacionesContinuidad de las operaciones


Adopción y vigencia:Adopción y vigencia: Participación de:Participación de:

Alta GerenciaAlta Gerencia División LegalDivisión Legal Recursos HumanosRecursos Humanos División de Tecnología InformáticaDivisión de Tecnología Informática Seguridad FísicaSeguridad Física Representantes de la unidades críticasRepresentantes de la unidades críticas

Negociar contenido y revisar periódicamenteNegociar contenido y revisar periódicamente Vigencia prospectivaVigencia prospectiva


Implantación y comunicación:Implantación y comunicación: Plan de implantaciónPlan de implantación Plan de divulgaciónPlan de divulgación Educar a usuarios sobre:Educar a usuarios sobre:

ContenidoContenido Riesgos ponderadosRiesgos ponderados Controles adoptadosControles adoptados Otras medidasOtras medidas Expectativas de actuaciónExpectativas de actuación ResponsabilidadResponsabilidad


Cumplimiento:Cumplimiento: Implantar soluciones que respalden políticas y Implantar soluciones que respalden políticas y

procedimientos adoptadosprocedimientos adoptados Fiscalizar Fiscalizar (“monitor”)(“monitor”) cumplimiento cumplimiento Registrar continuamente eventos de riesgoRegistrar continuamente eventos de riesgo Medir periódicamente nivel de exposiciónMedir periódicamente nivel de exposición Determinar cambios:Determinar cambios:

Reducción en frecuencia o nivel representa éxito del procesoReducción en frecuencia o nivel representa éxito del proceso Aumento en frecuencia o nivel representa fracaso del procesoAumento en frecuencia o nivel representa fracaso del proceso

Determinar ajustes o modificaciones a:Determinar ajustes o modificaciones a: Políticas y procedimientosPolíticas y procedimientos Soluciones implantadasSoluciones implantadas


Recomendaciones:Recomendaciones: Recursos a reemplazar o integrarRecursos a reemplazar o integrar Presupuesto requeridoPresupuesto requerido Itienerario de implantación de cambios Itienerario de implantación de cambios Educación al usuario mediante:Educación al usuario mediante:

Descripción de la plazaDescripción de la plaza Orientación a personal reclutadoOrientación a personal reclutado Distribución anual de políticas y procedimientosDistribución anual de políticas y procedimientos Adiestramientos formalesAdiestramientos formales Talleres o seminarios de actualización riesgos/eventosTalleres o seminarios de actualización riesgos/eventos Página WebPágina Web Revistas o publicaciones periódicasRevistas o publicaciones periódicas Conferencias o campañasConferencias o campañas FAQ’sFAQ’s

Seguridad y protección de RedesSeguridad y protección de RedesContingencia y controles de riesgoContingencia y controles de riesgo

Contingencias:Contingencias: ““Hot/Warm/Cold site”Hot/Warm/Cold site” Copias de resguardo “Backups”Copias de resguardo “Backups” Procedimiento para enfrentar (atender) incidentesProcedimiento para enfrentar (atender) incidentes Plan de recuperación de desastresPlan de recuperación de desastres Plan de continuidad de operacionesPlan de continuidad de operaciones Cubiertas de seguroCubiertas de seguro Comité de Respuesta a Incidentes o Comité de Respuesta a Incidentes o

Emergencias (CERT)Emergencias (CERT)

Seguridad y protección de RedesSeguridad y protección de Redes Contingencia y controles de riesgo Contingencia y controles de riesgo

Interrogantes primarias:Interrogantes primarias: Sistema y procedimientos de copias “backup”:Sistema y procedimientos de copias “backup”:

Frecuencia, medio y sitio de almacenamientoFrecuencia, medio y sitio de almacenamiento Uso y verificación de las copiasUso y verificación de las copias

Plan de Recuperación (DRP/BCP):Plan de Recuperación (DRP/BCP): Frecuencia de actualizaciónFrecuencia de actualización Pruebas del PlanPruebas del Plan Uso del Plan: Escenarios reales/simuladosUso del Plan: Escenarios reales/simulados Comíté de Respuesta (Jerarquía de mando)Comíté de Respuesta (Jerarquía de mando) Ubicación(es) alterna(s)Ubicación(es) alterna(s)

Seguros: Verificación y actualización de cubiertaSeguros: Verificación y actualización de cubierta

Seguridad y protección de RedesSeguridad y protección de Redes Contingencia y controles de riesgo Contingencia y controles de riesgo

Comité de Respuesta a Incidentes o Emergencias Comité de Respuesta a Incidentes o Emergencias (CERT)(CERT) Objetivos:Objetivos:

Proteger activos o recursos de informaciónProteger activos o recursos de información Reducir el impacto del eventoReducir el impacto del evento Restaurar operaciones ASAP por nivelesRestaurar operaciones ASAP por niveles Tomar medidas para evitar repetición de incidentesTomar medidas para evitar repetición de incidentes

Integración:Integración: Personal de ITPersonal de IT Personal de las áreas críticasPersonal de las áreas críticas Personal de seguridad organizaciónPersonal de seguridad organización Consultores o personal de emergencias externoConsultores o personal de emergencias externo

Seguridad y protección de RedesSeguridad y protección de RedesContingencia y controles de riesgoContingencia y controles de riesgo Controles de riesgo:Controles de riesgo:

Procedimientos de seguridad:Procedimientos de seguridad: Fiscalización continua del usoFiscalización continua del uso Análisis (“scan”) de vulnerabilidad de sistemasAnálisis (“scan”) de vulnerabilidad de sistemas Fiscalización de cumplimiento con políticas y Fiscalización de cumplimiento con políticas y

procedimientosprocedimientos Actualización de sistemas de autenticaciónActualización de sistemas de autenticación Implantación de sistemas de cifradoImplantación de sistemas de cifrado Actualización de arquitectura de la redActualización de arquitectura de la red Implantación de sistemas de detección de intrusosImplantación de sistemas de detección de intrusos

Auditorías periódicasAuditorías periódicas

Seguridad y protección de RedesSeguridad y protección de RedesRecapitulaciónRecapitulación

Definir plan de acciónDefinir plan de acción Efectuar procesoEfectuar proceso Analizar hallazgosAnalizar hallazgos Identificar vulnerabilidadesIdentificar vulnerabilidades Determinar riesgosDeterminar riesgos Ponderar opciones (Costo/efectividad)Ponderar opciones (Costo/efectividad) Formular recomendacionesFormular recomendaciones

ReferenciasReferencias

Data Communications Network AuditingData Communications Network Auditing, Griffis, , Griffis, Bruce, Flatiron Publishing, 1996Bruce, Flatiron Publishing, 1996

Security Planning & Disaster RecoverySecurity Planning & Disaster Recovery, Maiwald & , Maiwald & Sieglein, McGraw Hill, 2002Sieglein, McGraw Hill, 2002

Web Security Portable ReferenceWeb Security Portable Reference, Shema, Mike, , Shema, Mike, Osborne-McGraw Hill, 2003Osborne-McGraw Hill, 2003

Security AssessmentSecurity Assessment, Miles, Rogers, Fuller, , Miles, Rogers, Fuller, Hoagberg & Dykstra, Syngress, 2004Hoagberg & Dykstra, Syngress, 2004

Security CompleteSecurity Complete, Taylor, Tiffany, Editor, Sybex, , Taylor, Tiffany, Editor, Sybex, 22ndnd Edition, 2002 Edition, 2002

IT Security, IT Security, Educause, 2004Educause, 2004

ReferenciasReferencias Information Systems Control and AuditInformation Systems Control and Audit, Weber, Ron, Prentice Hall, , Weber, Ron, Prentice Hall,

19991999 Absolute Beginner’s Guide to networkingAbsolute Beginner’s Guide to networking, 4, 4thth Edition, Habraken, Joe, Edition, Habraken, Joe,

QUE, 2004QUE, 2004 Teach Yourself VISUALLY NetworkingTeach Yourself VISUALLY Networking, 2, 2ndnd Edition, IDG Books, 2000 Edition, IDG Books, 2000 How Networks Work, How Networks Work, Derfler & Freed, Ziff Davis Press, 1993Derfler & Freed, Ziff Davis Press, 1993 How to ConnectHow to Connect, Shipley, Chris, Ziff Davis Press, 1993, Shipley, Chris, Ziff Davis Press, 1993 How the Internet WorksHow the Internet Works, Eddings, Joshua, Ziff Davis Press, 1994, Eddings, Joshua, Ziff Davis Press, 1994 Handbook of Information Security Management, Handbook of Information Security Management, Ruthberg & Tipton, Ruthberg & Tipton,

Auerbach, 1993Auerbach, 1993 Handbook of Information Security Management, Handbook of Information Security Management, Krause & Tipton, Krause & Tipton,

Auerbach, 1999Auerbach, 1999 Network Security: A hacker’s perspectiveNetwork Security: A hacker’s perspective, Fadia, Premier Press,2003, Fadia, Premier Press,2003 Lectures on Network Auditing, IT Audit, Institute of Internal Auditors, Lectures on Network Auditing, IT Audit, Institute of Internal Auditors,

2003-20042003-2004 ISACA CISA Examination DomainsISACA CISA Examination Domains

Auditoría de Redes AUD 721 Módulo 4 Carmen R. Cintrón Ferrer - 2004, Derechos Reservados.

Documents

Transcript of Auditoría de Redes AUD 721 Módulo 4 Carmen R. Cintrón Ferrer - 2004, Derechos Reservados.