SEGURIDAD DE REDES II

SERVIDOR DE AUDITORÍA

INTRODUCCIÓN A LA AUDITORÍA

• Un registro de auditoría registrará una entrada siempre que los usuarios realicen determinadas acciones que usted especifica. • La entrada de auditoría muestra la acción que se

ha llevado a cabo, la cuenta de usuario asociada y la fecha y hora de la acción. Puede auditar tanto los intentos correctos como incorrectos en las acciones.

• Hacer un seguimiento de los sucesos correctos o erróneos dentro de un dominio.• Identificar el uso no autorizado de recursos.• Ver registros de seguridad en el visor de sucesos.• Archivar registro para detectar tendencias• Acción realizada• Usuarios • Fecha y hora

OBJETIVOS

• Auditar sucesos de inicio de sesión de cuenta• Auditar la administración de cuentas• Auditar el acceso del servicio de directorio• Auditar sucesos de inicio de sesión• Auditar el acceso a objetos• Auditar el cambio de directivas• Auditar el uso de privilegios• Auditar el seguimiento de procesos• Auditar sucesos del sistema

VALORES DE AUDITORÍA

• Las vulnerabilidades, contramedidas y posibles impactos de todos los valores de configuración de auditoría son idénticos, por lo que sólo se detallan una vez en los siguientes párrafos. Debajo de esos párrafos se incluyen breves explicaciones de cada valor.• Las opciones para los valores de configuración

de auditoía son:• Correcto• Erróneo• Sin auditoría

DISEÑO DE UN PLAN DE AUDITORÍA

•Determinar los sucesos que se van auditar.•Determinar si se va a auditar el éxito o el fracaso.•Determinar si se necesita hacer seguimiento de las tendencias

CASO N°1

• En este caso el usuario Daniel Peña (DPeña) es un trabajador de la Empresa CEAC.• El administrador de dicha empresa observo una

inquietud del trabajador Daniel Peña que la hora de iniciar sesión ocurre seguidamente errores en digitar correctamente su contraseña.• El administrador ejecutó un seguimiento a las

horas que el usuario iniciaba y ocurria los errores de que se equivocaba en digitar la contraseña correctamente.• Auditando el inicio de sesión.

CASO N°2

• El administrador del la empresa CEAC se dio una sopresa al iniciar y ver el escritorio del servidor, que se encontraba un archivo del formato DOC que no le pertencia.• Encontrada esta sorpresa empleo un análisis a

dichos usuarios que tienen privilegio en acceder al servidor con el fin de encontrar el usuario responsable del aquel acto.• El administrador ejecutó un seguimiento de

aquellos usuarios con privilegio en acceder al servidor auditando el suceso de inicio de sesión y auditando al acceso a objetos.

CASO N°3

• El administrador recibio muchas quejas de los trabajadores/usuario de la empresa CEAC que al acceder a los directorios compratido se ejecuta un software malicioso y que las carpeta terminaban en el formato .EXE.• El administrado realiza auditoria del acceso al

objeto para realizar el seguimiento de la causa de dicho problema e identificar el responsable si es un trabajador interno de la empresa o alguien del exterio.