Redes, Comunicaciones e internet · REDES COMUNICACIÓN E INTERNET-GESTIÓN DE ACTIVOS Índice...

REDES COMUNICACIÓN E INTERNET-GESTIÓN DE ACTIVOS

REDES, COMUNICACIONES E

INTERNET AUDITORIAS ESPECIFICAS

DARWIN DANILO CAICEDO UNIVERSIDAD NACIONAL DE COLOMBIA

Sede Manizales

16 DE MAYO DE 2016


Índice

Introducción

Auditoría de Redes

Auditoria de comunicaciones:

Auditoria De La Red Física Auditoria

de la Red Lógica

Programa de auditoria

Origen de auditoria

Alcance

Objetivos Principales

Metodología Proceso

1. Estado General de las Redes y Comunicaciones

1.1 Descripción

1.2. Objetivos

1.3. Procedimiento

1.3.1. Obtener Información Preliminar

2. Redes y Planes de Contingencia

2.1 Descripción

2.2. Objetivos

2.3. Procedimiento

2.3.1. obtener información preliminar

3. Internet

2.1 Descripción

2.2. Objetivos

2.3. Procedimiento

2.3.1. Obtención de Información

2.3.2. Verificación del Estado de Router

4. Controles físicos

4.1 Descripción

4.2. Objetivos

4.3. Procedimiento

4.3.1. Obtención de Inf..

5. Seguridad Firewall 5.1 Descripción 5.2. Objetivos 5.3. Procedimiento

6.Bibliografía


Introducción

Auditoría de Redes La globalización, la competencia y los avances tecnológicos están aumentando la importancia de las redes corporativas en todos los sectores empresariales.

Las empresas con mayor visión deben estar preparadas para una creciente dependencia de sus redes y, en Consecuencia, para un crecimiento de red exponencial. Además, La infraestructura de las Tecnologías de la Información y de las Comunicaciones (TIC) se

ha convertido en un activo empresarial estratégico y la red constituye su núcleo. por lo cual se plantea una serie de mecanismos mediante los cuales se pone a prueba una red

informática, evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y

segura de la información; por lo aspectos como protocolos de internet(VoIP) cuyo Objetivo y

alcance de esta red de VoIP comprende una compleja serie de protocolos de cooperación, redes

(cableadas e inalámbricas), servidores, arquitecturas de seguridad, servicios especiales (como E-

911), copia de seguridad y sistemas de recuperación e interfaces a la PSTN; Una red privada

virtual (VPN) cuya tecnología protege los datos mientras viajan a través de redes públicas. temas

como la configuración de servidores web y temáticas estructurales y lógicas de una red.

Auditoria de comunicaciones:

Se revisara:

● La gestión de red. Los equipos y su conectividad.

● La monitorización de las comunicaciones.

● La revisión de costes y la asignación formal de proveedores.

● Creación y aplicabilidad de estándares.

Cumpliendo como objetivos de control :

● Tener una gerencia de comunicaciones con plena autoridad de voto y acción.

● Llevar un registro actualizado de módems, controladores, terminales, líneas y todo equipo

relacionado con las comunicaciones.

● Mantener una vigilancia constante sobre cualquier acción en la red. ● Registrar un coste de comunicaciones y reparto a encargados.

● Mejorar el rendimiento y la resolución de problemas presentados en la red.

Para lo cual se debe comprobar:

○ El nivel de acceso a diferentes funciones dentro de la red.

○ Coordinación de la organización de comunicación de datos y voz.

○ Han de existir normas de comunicación en:

■ Tipos de equipamiento como adaptadores LAN.

■ Autorización de nuevo equipamiento, tanto dentro, como fuera de las horas

laborales.


■ Uso de conexión digital con el exterior como Internet.

■ Instalación de equipos de escucha como Sniffers (exploradores físicos) o

Traceadores (exploradores lógicos).

○ La responsabilidad en los contratos de proveedores.

○ La creación de estrategias de comunicación a largo plazo.

○ Los planes de comunicación a alta velocidad como fibra óptica y ATM ( técnica de

conmutación de paquetes usada en redes MAN e ISDN).

○ Planificación de cableado.

○ Planificación de la recuperación de las comunicaciones en caso de desastre.

○ Ha de tenerse documentación sobre el diagramado de la red.

○ Se deben hacer pruebas sobre los nuevos equipos.

○ Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y

la tasa de errores.

○ Vigilancia sobre toda actividad on-line.

○ La facturación de los transportistas y vendedores ha de revisarse regularmente.

Auditoria De La Red Física

Se debe garantizar que exista:

■ Áreas de equipo de comunicación con control de acceso.

■ Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos

físicos.

■ Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y

el tráfico en ella.

■ Prioridad de recuperación del sistema.

■ Control de las líneas telefónicas.

Comprobando que:

○ El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.

○ La seguridad física del equipo de comunicaciones sea adecuada.

○ Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas

telefónicas.

○ Las líneas de comunicación estén fuera de la vista.

○ Se dé un código a cada línea, en vez de una descripción física de la misma.

○ Haya procedimientos de protección de los cables y las bocas de conexión para evitar

pinchazos a la red.

○ Existan revisiones periódicas de la red buscando pinchazos a la misma.

○ El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones

específicas.

○ Existan alternativas de respaldo de las comunicaciones.


○ Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas

configuradas con retro llamada, código de conexión o interruptores.

Auditoria de la Red Lógica

En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a

enviar mensajes hasta que satura por completo la red.

Para éste tipo de situaciones:

● Se deben dar contraseñas de acceso.

● Controlar los errores.

● Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto,

regularmente se cambia la ruta de acceso de la información a la red.

● Registrar las actividades de los usuarios en la red.

● Encriptar la información pertinente.

● Evitar la importación y exportación de datos.

Que se comprueban si:

● El sistema pidió el nombre de usuario y la contraseña para cada sesión: ● En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin

autorización, ha de inhabilitarse al usuario que tras un número establecido de veces

erra en dar correctamente su propia contraseña, se debe obligar a los usuarios a cambiar

su contraseña regularmente, las contraseñas no deben ser mostradas en pantalla tras

digitarlas, para cada usuario, se debe dar información sobre su última conexión a fin de

evitar suplantaciones.

● Inhabilitar el software o hardware con acceso libre.

● Generar estadísticas de las tasas de errores y transmisión.

● Crear protocolos con detección de errores.

● Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.

● El software de comunicación, ha de tener procedimientos correctivos y de control ante

mensajes duplicados, fuera de orden, perdidos o retrasados.

● Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos

desde una terminal debidamente autorizada.

● Se debe hacer un análisis del riesgo de aplicaciones en los procesos.

● Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre

diferentes organizaciones.

● Asegurar que los datos que viajan por Internet vayan cifrados.

● Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad

asociado para impedir el acceso de equipos foráneos a la red.

● Deben existir políticas que prohíban la instalación de programas o equipos personales en

la red.

● Los accesos a servidores remotos han de estar inhabilitados.

● La propia empresa generará propios ataques para probar solidez de la red y encontrar

posibles fallos en cada una de las siguientes facetas:

○ Servidores = Desde dentro del servidor y de la red interna.


○ Servidores web.

○ Intranet = Desde dentro.

○ Firewall = Desde dentro.

○ Accesos del exterior y/o Internet.

Programa de auditoría

(con guías detalladas de auditoría sobre el tema en particular (utilice todos los instrumentos y

técnicas que requiera).

Origen de la Auditoría

La empresa UN-LICOR solicita auditar todo su componente de redes, comunicaciones e

Internet. Esto para evaluar los sistemas existentes, gestionar posibles riesgos y mejorar cualquier

inconsistencia que se encuentren.

Alcance

Inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre

tiempos de desuso. Deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la

desactualización de esta documentación significaría una grave debilidad. La inexistencia de datos sobre

la cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad

Informática. Determinación de las disfunciones organizativas. La contratación e instalación de líneas

va asociada a la instalación de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes

Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.).

Objetivos Principales

● Evaluar el estado de Redes y Planes de Contingencia, Internet, Intranet, Controles

Físicos, Capacitación de Empleados, Seguridad del Cortafuegos

● Comprender la organización y la manera como la comunicación incide en su funcionamiento.

● Medir la eficacia de la plataforma de canales y medios internos o externos de la

organización.

● Determinar las dependencias en comunicaciones de la organización.

Metodología

Para el desarrollo de la auditoria especializada de comunicaciones se propone desarrollar una

serie de fases:


Fase1: Obtención Preliminar de información, seguridad telefónica (dial-up security), seguridad

física, seguridad lógica

Fase 2: análisis de datos, revisión documental

Fase 3:comunicación de resultados

Fase 4: seguimiento y control

Procesos a Evaluar

Actividad a ser evaluada Herramienta a

utilizar

Observación

Estado General de las Redes

y Comunicaciones

Revisión documental

Redes y Planes de

Contingencia

Revisión documental

Observación Entrevista

Internet Revisión documental


Intranet Revisión documental


Controles Físicos Revisión documental


Seguridad del Cortafuegos Revisión documental Observación

Entrevista


1. Estado General de las Redes y Comunicaciones

1.1 Descripción

evaluar la conveniencia de los protocolos de cifrado utilizados para las comunicaciones entre los

puntos de acceso y los dispositivos que se conectan a la red, así como el uso de llaves de cifrado extensas y complejas, que reduzcan la probabilidad de éxito de ataques de fuerza bruta o de

diccionario.

1.2. Objetivos

■ Identificar el estado de diagramas de red y configuración del hardware en relación a

la representación de accesos a la red y servicios

■ Obtener la información

1.3. Procedimiento

1. Realizar la petición sobre diagramas de red,


● Diagrama de Red

● Otros Materiales

Procedimiento: Diagrama de red Observaciones

Detalles de la prueba:

· Obtener un diagrama completo de red, incluyendo una copia de del

diagrama de configuración del hardware, con todas las conexiones de la

tipología de red servidores, equipo de comunicaciones, estaciones, puentes,

repetidores, etc.

- Asegurando que el diagrama de la red externa indica cómo acceder a partes de la

red y de los servicios.

Procedimiento: Otros materiales Observaciones:


Obtener y revisar lo siguiente

- Políticas, estándares y procedimientos

- Proveedor y el nombre del representante de los proveedores del ISP-

Los nombres de los responsables de contenido de la intranet y la

administración

- Informe con ejemplos y seguimiento del firewall

- Informes de seguridad violación

- Plan de contingencia

Listado descriptivo del inventario (hardware y software). Para todo

el software del sistema y los servicios públicos, incluir el número de

versión actual y la historia de la revisión si procede


- Lista de los servicios de red y los equipos suministrados por terceros.

-Lista de equipos que presentan problemas.

Detalle de Prueba:

GENERAL

1. ¿Existen documentos con los procedimientos para el uso de la red?

2. Tiene la responsabilidad y la responsabilidad de los proveedores de la red en definir (por

ejemplo, contratos)?

3. ¿Existe un inventario de equipos de red de datos, incluidas las líneas, terminales, módems,

controladores, etc.?

4. Existe un diagrama de red, que muestra las conexiones físicas y lógicas entre los equipos de

red, ha preparado?

5. ¿Tiene documentación de la red incluyen una descripción de:

- Los equipos de red que se utiliza para apoyar a cada uno de las aplicaciones de red?

- Protocolos utilizados?

- Puertas de enlace con otras redes?

6. Han sido etiquetado de equipos de redes para facilitar la referencia cruzada a la

documentación?

7. ¿Son los códigos de acceso periódicamente cambiado?


- ¿Con qué frecuencia?

8. ¿Tiene documentación de la red incluyen una descripción de:

- Los equipos de red que se utiliza para apoyar a cada uno de las aplicaciones de red?

- Protocolos utilizados?

- Puertas de enlace con otras redes?

9. ¿Existe una política de acceso al sistema a seguir por las partes externas?

10. ¿Existe un inventario de las aplicaciones accesibles desde el exterior y servicios?

11. ¿Existe documentación relativa a las aplicaciones y la información de las partes externas

tienen acceso?

RENDIMIENTO / INTEGRIDAD

1. ¿Existe un terminal específico diseñado para monitorizar la actividad dentro del sistema on-

line?

2. Tener normas de funcionamiento ha establecido?

3. Haga prioridades (por los requisitos de la terminal o la aplicación) asignado a cada línea de la

red parece razonable?

4. Procure personal de la red de soporte a revisar las nuevas aplicaciones para determinar su

impacto en los sistemas existentes?

Detalles de la Prueba:

¿Tiene la capacidad de planificación incluirá un análisis de la longitud del mensaje, el protocolo, el

volumen de transacciones y el tráfico de mensajes?

¿Son los tiempos de respuesta medidos y evaluados para posible mejora del rendimiento de la red?

¿La gestión rutinaria revisión de los servicios de proveedores realizado?

¿Están los controles periódicos de la red realizadas para verificar el correcto funcionamiento y detectar

terminal / línea de errores de módem?

¿Se fallos de hardware de red documentados, incluyendo las acciones correctivas tomadas?

¿Configuración del módem cambiar periódicamente en comparación con las especificaciones de la línea

de configuración de red?

Si se utilizan circuitos arrendados, ha sido considerado acondicionamiento de líneas para reducir los

errores de transmisión?

¿Se ha tenido en cuenta la transmisión digital para reducir los errores de transmisión?

Tener los procedimientos establecidos para garantizar que todas las operaciones realizadas se han

recibido? (Por ejemplo, registro de cuenta enviados / recibidos)?

Procura utilizar un almacenamiento y envío de mensajería del sistema?

Si es así, ¿existen controles adecuados para garantizar que las transacciones fueron enviados a

sus destinos apropiados?

¿Existe una revisión de todos los mensajes de transacción que sean dadas por desaparecidas,

distorsionado, duplicado, o retrasado?

¿Es la persona, la encargada de examinar los registros de errores y notificar al personal de seguridad de

algo inusual?

¿Existe un método para crear un blog (camino) de todos los mensajes enviados?

¿Tiene cada mensaje contiene información de identificación tales como:


- Número de puerto (en caso de marcar)

- Número de mensaje

- Terminal

- Instrucciones?

- Fecha?

- Código de transacción?

- Al final de su mensaje?

- Fin de la transmisión?

¿Existe un método (número de secuencia en cada mensaje) para dar cuenta de todos los mensajes y

para identificar los mensajes ilegales?

¿Hay servicios de emergencia para el sistema en línea en el caso de una emergencia?

¿Están las líneas de acceso telefónico utilizado en caso de fallas en las líneas alquiladas?

- Si es así, ¿hay un número suficiente de líneas de acceso telefónico (2 líneas por módem) para

facilitar la red conmutada de respaldo de compatibilidad (SNBU)?

¿Existen módems de copia de seguridad disponibles para estas líneas?

En el caso de las interrupciones del servicio, ¿existen procedimientos escritos a seguir para reiniciar la

red on-line?

¿Tiene el sistema prevé reiniciar los procedimientos y recuperación para recuperar la comunicación

después de un fallo de hardware / software?

SEGURIDAD DIAL-UP

· ¿Existe una lista de usuarios autorizados del acceso telefónico a las instalaciones?

· ¿Existen disposiciones establecidas para garantizar la confidencialidad de los números de teléfono

(por ejemplo, no cotizan en bolsa)?

· ¿Son los números de acceso telefónico cambiados periódicamente?

Detalles de la Prueba (continuación):

· · ¿Puede determinar desde la CPU de un terminal de marcado manual, automáticamente obtener

su identificación, y comprobar que la llamada terminal es el mismo terminal que "dice" que está

llamando?

· ¿Tiene el sistema de desconectar a los usuarios que colgar el teléfono sin cerrar la sesión

correctamente?

· ¿Es el acceso dial-up limitada sólo a los números telefónicos controlados por el departamento de

informática. (Dial-up no se debe permitir a los módems, que puede ser parte de una configuración

de escritorio local, ya que esto puede permitir que usuarios no autorizados a conectarse a la red sin

estar debidamente autenticados.

SEGURIDAD FÍSICA

· ¿Son controlados los problemas físicos y ambientales adecuadamente para proteger los equipos de red

de entornos de trabajo adversos?


· ¿Están los controladores de red situado en un área segura bajo el control del personal de operaciones o

de una instalación central de la red?

· ¿Están los cables y pantallas de visualización de vídeo eléctricamente protegidos para evitar

emanaciones eléctricas o de manipulación física?

· ¿Es el acceso a los equipos de ensayo (por ejemplo, los ámbitos de datos, los controles de línea) y el

software de diagnóstico de red, con acceso solo al personal adecuado?

· ¿Está el equipo de prueba utilizado para monitorear la red controlada?

· Es un ámbito de aplicación los datos que se utiliza para controlar en línea los circuitos y el equipo? Si

es así:

- ¿Está en una zona restringida?

- ¿La unidad de restringir el acceso a personal autorizado?

· ¿Están de inicio de sesión, los comandos del sistema, y en línea de manuales de documentación de la

operación catalogada como confidencial y se coloca cuando no esté en un área segura en uso?

Seguridad Lógica

· ¿Están las contraseñas y los códigos únicos de usuario necesarios para iniciar sesión en el software de

red?

· Tiene el principio de privilegio mínimo (por ejemplo, la concesión de la autorización de acceso

mínimo necesario para las tareas de funcionamiento exigidos) llevado a cabo?

· ¿Son sólo el personal autorizado de permiso para acceder a software de red?

- Si es así, ¿quién?

· ¿Se permite sólo el personal autorizado para inspeccionar buffers de almacenamiento (por ejemplo,

utilizando los ámbitos de software o datos, los usuarios pueden examinar los mensajes incluidos los

identificadores y contraseñas)?

· Si la red se ha configurado para permitir funciones de control remoto de terminales (por ejemplo, el

mantenimiento o proveedor de servicios) por parte de no es el personal, son los parámetros por

defecto de campo proveedor de servicios para la revisión necesidad demostrada?

· Si una oficina de servicio está siendo utilizado para transmitir datos, ha proporcionado las medidas de

seguridad adecuadas para los identificadores y controlar tu contraseña?

· ¿Tiene el sistema de prevenir la aparición de cualquier "AYUDA" información antes de que el usuario

haya iniciado sesión correctamente?

· Durante el inicio de sesión, es el sistema informará al usuario cuando éste último cierra la sesión?

· ¿Se borran después de tampones terminal de inicio de sesión correcto?

· ¿Están los usuarios impedido de hacer un número ilimitado de intentos de inicio de sesión sin éxito?

· Si hay terminales inexistente predefinidas en las tablas del sistema, son terminales intruso impedido

estar conectado al sistema como una de las entidades predefinidas?

· Si la información sensible está en proceso, hay controles adecuados para garantizar que la producción

sólo puede estar encaminada a "autorizado" impresoras o "autorizado" las instalaciones de

impresión?

Detalles de prueba (continuación):

· Tiene mensaje cifrado, se ha considerado como un medio para proteger los datos sensibles y la


contraseña durante la transmisión?

-Si el cifrado se utiliza, tiene control sobre la clave de cifrado ha desarrollado? · ¿El sistema emplea un método de seguridad del flujo de tráfico para ocultar la presencia de mensajes

válidos en la línea al hacer que el circuito que aparece ocupado en todo momento o mediante la

encriptación de los direcciones de origen y destino de los mensajes válidos?

· En los sistemas con capacidad de correo electrónico donde los mensajes pop-up en modo interactivo,

los usuarios han recibido instrucciones de ignorar la petición de un intruso para una identificación y

contraseña al ser informado de que este no es un sistema legítimo.

2. Redes y Planes de Contingencia

2.1 Descripción

Este punto permite conocer cómo se almacena y recupera la información, es decir, determinar el nivel de

disponibilidad de la información, independiente de la situación.

2.2. Objetivos

* Asegurar el almacenamiento y la recuperación de información

* Determinar la capacitación a personal, sobre la importancia de los backups

2.3. Procedimiento

El proceso para evaluar esta área es a partir de los instrumentos creados : observación y entrevistas


● Procedimientos de copia de seguridad

● Plan de Recuperación de Desastres

Procedimiento:

Procedimiento de Backups

Observaciones:


· Revisión de los materiales de copia de seguridad.

- Determinar si los procedimientos de backup y recuperación se están

cumpliendo.

· Entrevista personal SE para determinar si se han cruzado capacitado.

- Revisar los registros de capacitación para determinar la cantidad de

entrenamiento cruzado siempre.


Procedure Step: Observaciones:

Plan de Recuperación de desastre


· Obtener y revisar una copia del plan de recuperación de desastres y el

acuerdo de sede alterna, en su caso.

- Determinar si están completos y actualizados, y si la dirección ejecutiva ha

firmado en el plan.

· Determinar quién es responsable en el desarrollo del plan y si los usuarios

y todas las facetas del trabajo en red han participado adecuadamente en

su desarrollo.

· Determinar si una evaluación de riesgos se ha preparado y si parece

razonable.

· Determinar si la gestión ejecutiva ha aprobado la financiación de un sitio

alternativo y las pruebas del plan de recuperación de desastres.

- Observar una prueba del plan, si es posible.

· Revisión de los resultados de la prueba del plan de recuperación de

desastres.

3. Internet

2.1 Descripción

Análisis de Políticas y estándares establecido en el área para permitir un correcto funcionamiento de

equipos y personal

2.2. Objetivos

Confrontar las políticas establecidas con el verdadero funcionamiento del área tanto en equipos como del

personal

Verificación del estado de los equipos

2.3. Procedimiento

Ejecución de los diferentes instrumentos (Observación, revisión documental y entrevista)

2.3.1. Obtención de Información

Política de la comprensión y el examen

Verificación del Estado de router

Procedimientos:

Política de comprensión y revisión

Observaciones



· Determinar el alcance y la comprensión de la política de uso de

Internet.

· Identificar el proceso que se utilizó para desarrollar la política.

- Determinar si el proceso de considerar el valor y grado de confianza

en el servidor de seguridad y la probabilidad, a la gravedad y el

alcance de las posibilidades de daños directos e indirectos.

· Evaluar si la política:

- Identifica los activos específicos que se destina la firewall para

proteger y los objetivos de dicha protección (integridad,

disponibilidad y confidencialidad).

- Describe la estructura organizativa y las responsabilidades asociadas

y la responsabilidad del personal que estará encargado de

implementar la política, vigilar el cumplimiento de la política y la

adhesión a la política.

- Soporta el uso legítimo y el flujo de datos e información.

- Documentos de la información que pasa por el firewall será objeto de

seguimiento (limitan la responsabilidad de organización, reducir el

abuso, la persecución de apoyo para el abuso).

¿Es coherente tanto en el tono y, en principio, con otras políticas de la

organización y la práctica aceptada (por ejemplo, la disponibilidad de

acceso a Internet para uso no comercial).

· Comprobar si un abogado ha revisado la política de garantizar la

coherencia con los requisitos y las limitaciones impuestas externamente

(leyes, reglamentos, etc.)

· Determinar si la aprobación de la gestión de la política ha sido solicitada

y concedida y la fecha de la revisión más reciente de la política por la

administración.

· Identificar cómo la política de Internet fue / es comunicada a los usuarios

y cómo la conciencia se mantiene. Seleccionar una muestra de usuarios

y discutir su comprensión de sus responsabilidades relacionadas con el

uso de Internet y cómo reportar problemas.

· Determinar si las normas y procedimientos se han definido para

especificar el medio por el cual se implementa la política.

· Evaluar si las normas y procedimientos especificar quién es responsable

y facultado para hacer todas las funciones necesarias para el buen

funcionamiento del servidor de seguridad.

Evaluar si la política de seguridad:

- ¿Es fácil de leer y ubicar las secciones pertinentes

- ¿Es versionados y fecha

- ¿Es cuidadosamente redactado con todos los términos ambiguos definido

con precisión

- Establece las condiciones aceptables de uso, así como condiciones


inaceptables de uso - ¿Es ampliamente comunicada a las personas afectadas

- Se revisa a intervalos regulares

· Considere si las siguientes cuestiones se abordan en el documento de

política:

- Ámbito de aplicación de la política en relación con otras redes internas y

externas con las que se puede conectar.

- La filosofía básica que se puede utilizar para tomar decisiones no

determinista.

- Las políticas de Gobierno, las leyes, los términos y condiciones

contractuales, o de otras políticas internas a la Compañía.

- Identificación de la persona que tiene la máxima autoridad para

interpretar y aplicar la política a una situación particular.

- Provisión para la política que debe renunciar temporalmente por una

persona de autoridad en virtud de ciertas condiciones o directrices.

Detalles de prueba (continuación):

· Considere si los derechos y responsabilidades de los usuarios se

abordan en el documento de política, incluyendo:

- Cuenta de utilización, tanto por el titular de la cuenta y el proveedor

del recurso. Las condiciones especiales pueden aplicarse a la

utilización de cuentas de usuario normal, y las cuentas de acceso

público (como FTP anónimo), y estas condiciones se podría

expresar aquí.

- Software y los datos de acceso y uso, incluidas las fuentes de datos y

software.

- Divulgación de información, que es potencialmente dañina, como la

información de contraseñas o información de configuración.

- Etiqueta, incluidas las formas aceptables de expresión (por ejemplo,

la expresión no ofensiva espera para el correo electrónico no

solicitado), y prácticas inaceptables (como la falsificación del

correo electrónico y artículos periodísticos).

- Contraseña usos y formatos.

Otras directrices sobre diversas prácticas razonables, tales como

el uso de ciclos de CPU y almacenamiento temporal de las áreas

generales de acceso. cuestiones de Derecho de Autor también se

pueden discutir aquí.

· Considere si los derechos y responsabilidades de los proveedores de

recursos se abordan en el documento de política, incluyendo:

- Directrices de seguridad física.

- Protección de las directrices.


- Directrices de configuración incluyen:

- Asignación de la responsabilidad

- Directrices de conexión de red

- Autenticación de directrices

- Autoridad de celebrar y otorgar cuenta las directrices

- Auditoría y seguimiento de las orientaciones

- Directrices formato contraseña, la aplicación y la duración

- Nombre de banderas.

Procedimiento: Detalles de pruebas: Observaciones:

Configuración de

Hardware

- Determinar y asignar la configuración de hardware de

Internet.

- Garantizar la adecuación de la construcción de firewall.

CERT Avisos Determinar si, y que se mantiene vigente en CERT (Computer Emergency Response Team) y otros avisos.

Host seguridad Determinar el alcance y la frecuencia de la vigilancia de la salud de la seguridad del host

Monitoreo de la

actividad de la red

Determinar el alcance y la regularidad de seguimiento de actividad de la red.

Detección de

Intrusos

Determinar en qué medida el control de detección de intrusos de actividad de la red.


2.3.2. Verificación del Estado de Router

Procedimiento: Detalles de Prueba: Observaciones::

seguridad General del

Router

·Determinar si los enrutadores están protegidos por la

autenticación segura y control de acceso.

· Revisar que todos los routers utilizan múltiples niveles

o grados de asegurar que las personas tienen

derechos pre-asignado, según corresponda.

- Garantizar que las personas sólo una o dos tienen

acceso a configurar y actualizar la red.

- Garantizar la protección adecuada de las

configuraciones de la dirección y las tablas de

enrutamiento, determinan que las contraseñas son,

como mínimo, diez caracteres alfanuméricos.

- Asegúrese de que las modificaciones del router se

realizan de una manera segura y controlada.

Gestión de Router Determine si el más seguro fuera de la gestión de routers de banda que utiliza. En la banda de gestión de configuraciones del router permite a través de la red en lugar de a través de acceso físico y el conocimiento de códigos del sistema. Como solución de compromiso, las actualizaciones en la banda debe ser a través de un puerto de acceso telefónico con la seguridad de línea

Seguridad Física del Router

Asegúrese de que los routers son físicamente seguro.

Configuración de la

seguridad del Router

Asegurar que la información del router archivo de configuración se cifra, sobre todo contraseñas. La compresión de datos para la eficiencia puede responder a esa necesidad.

Revisión de la

actividad del Router

Determinar el alcance y la revisión de la actividad del

router.

- Especialmente importante es una pista de auditoría

de todos los intentos de acceder al router, ver sus

configuraciones, y cambiar su configuración.

- Determinar el uso de la notificación - los routers y

notificar a los administradores cuando hay una entrada

errónea

Router de prueba Determinar el alcance de las pruebas cuando se produzcan cambios.


Procedimiento: Detalles de pruebas: Observaciones:

Intentos sin autorización

de inicio de sesión

Determine si no autorizada de inicio de sesión en

los intentos se registran, alarmado, y se envía en un

agujero negro.

Contenido apropiado Detalles de la prueba:

· Obtener acceso a la Intranet y revisar toda la

información del sitio y enlaces para la conveniencia.

Seguridad del sitio Página

· Revisión de la seguridad de las páginas del sitio.

- Actualización de acceso debe residir con los

propietarios solamente. Seguridad debe ser tal que

no permiten el acceso desde el exterior por cualquier

página, incluidos los responsables de mantenimiento.

El mantenimiento debe realizarse en el lugar

solamente.

4.Controles físicos

4.1Descripción

En esta parte se tiene la infraestructura y la disposición de cada uno de los elementos

(mantenimiento, actualizaciones, reportes de compras, ...) que permiten la comunicación.

Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos.

Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y

el tráfico en ella.

Descripción y pruebas de la protección de la organización de amenazas tanto en equipos

de escritorio como data center.

4.2.

Objetivos

Determinar el nivel de seguridad de los equipos (Servidores,LAN) Evaluar la seguridad brindada desde la estación de trabajo

4.3.

Procedimiento

Ejecución de los diferentes instrumentos (Observación, revisión documental y entrevista)


4.3.1.Tener la información preliminar

Procedimiento: Detalles de Prueba: Observaciones:

Seguridad de Servidores Verifique la seguridad física proporcionan para

los servidores y comunicaciones configurables

equipos de red es la adecuada.

- Verificar que todos los servidores están

asegurados en un área inaccesible a todos,

pero el personal autorizado.

- Determinar la forma de acceso autorizado,

controlado y supervisado.

- Verificar que los equipos independientes y

los suministros no se almacenan en el área

de seguridad.

Seguridad de distribución

de la LAN

Verifique la seguridad física previstos equipo

para redes de distribución es la adecuada.

- Verificar que todos los equipos grandes,

la distribución primaria de las zonas de

acceso controlado.

- Para los equipos de distribución secundaria

(grupos pequeños), determinan que el

equipo esté debidamente protegidos de la

desconexión accidental o perturbación.

Estación de trabajo de seguridad física

Determinar si la seguridad física de estación de trabajo es adecuado y suficiente.

Control Ambiental · Determinar si las condiciones ambientales cumplen con las especificaciones de equipamiento, incluidos: - Artículos de electricidad, incluyendo UPS y energía de emergencia y equipos de aire acondicionado - Los sistemas de HVAC y control - Control de Estática

Almacenamiento en las instalaciones de los datos

· Determinar si el almacenamiento en todos los medios del sistema es adecuado para evitar el acceso no autorizado.


5. Seguridad Firewall

5.1

Descripción

El firewall se convierte en el elemento indispensable para garantizar la seguridad de servidores y

datos en este proceso se busca determinar a través del uso de diferentes herramientas el nivel de

seguridad en el que se encuentra teniendo en cuenta que deben haber políticas de acceso y garantizar que

el firewall establecido sea de un proveedor confiable

5.2.

Objetivos

● Determinar el nivel de confianza que se puede esperar del servidor de seguridad.

● Determinar y realizar pruebas de servidor de seguridad.

● Evaluar los resultados de la exposición y la vulnerabilidad.

5.3. Procedimiento

Revisión Documental Externa

Observación Directa

Experimentación

Uso de herramientas de Software ISS, SATAN, TRIPWIRE, COPS.

Procedimiento: Detalles de Pruebas: Observaciones:

Proveedor de

Firewall

Revisión Documental Externa

Revisar la información de proveedores para determinar

el nivel de confianza que se puede esperar del servidor

de seguridad.

Diseño Firewall · Examinar el diseño de cortafuegos.

Determinar lo que se conoce los problemas de

seguridad. Estos problemas se puede encontrar

en todo tipo de lugares, por lo que la búsqueda se

consume mucho tiempo. Como ejemplo, mira cómo

el servidor de seguridad se encarga de tampones y

desbordamientos de búfer.


Servidor de seguridad

Revisión de registro

· • Firewall Examinar los registros.

- Activar el registro detallado para un período

seleccionado y examinar los registros en

detalle. Esto puede tomar bastante tiempo, pero

vamos a tener una idea de si el cortafuegos está

funcionando correctamente. Además, los registros

también se creará si se utiliza un servicio que no

sabía es habilitado o que se utiliza en el sistema.

Al examinar los registros, esto puede ser detectado

y corregido.

Pruebas al Firewall · Determinar y realizar pruebas de servidor de

seguridad. El objetivo es tratar de penetrar en el

servidor de seguridad, así como para prescindir

de ella. Los problemas técnicos tales como

las vulnerabilidades conocidas, así como una

configuración errónea y mal implementado

políticas de seguridad son explotados, si es

posible.

Crear un plan de pruebas.


Riesgos del Firewall · Descargar y ejecutar cualquier o todos los

siguientes productos de seguridad contra el servidor

de seguridad:

- ISS

- SATAN

- TRIPWIRE,

- COPS.

· Evaluar los resultados de la exposición y

la vulnerabilidad.

Antes de intentar esto en contra de cualquier sistema

de producción es mejor probar en contra de un

sistema de prueba. El departamento de informática

debe ser consciente de que cualquier prueba de este

tipo que está pasando, ya que es posible hacer que el

sistema se bloquee.

Bibliografía

Fuentes: Documentación entregada por el profesor y bibliografía técnica.

Information Systems Audit and Control Association www.isaca.org

Networking AUDIT PROGRAM & INTERNAL CONTROL QUESTIONNAIRE

http://www.scribd.com/doc/6575883/Auditoria-de-Redes-y-Base-de-Datos

http://www.welivesecurity.com/la-es/2015/04/20/auditorias-de-redes/

http://datateca.unad.edu.co/contenidos/2150517/2150518_Temp/Material_apoyo1/



http://www.welivesecurity.com/la-es/2015/04/20/auditorias-de-redes/

Redes, Comunicaciones e internet · REDES COMUNICACIÓN E INTERNET-GESTIÓN DE ACTIVOS Índice...

Documents

Transcript of Redes, Comunicaciones e internet · REDES COMUNICACIÓN E INTERNET-GESTIÓN DE ACTIVOS Índice...