UNIVERSIDAD NACIONAL DE SAN MARTIN FACULTAD DE INGENIERÍA DE SISTEMAS E INFORMATICA
“
AUDITORÍA DE REDES DE COMPUTADORAS
”
INTEGRANTES: -
FLORES FLORES MAURO RUBEN
-
OLANO RAMIREZ ROSARIO MARUBI
-
VASQUEZ RIOS JAIR
-
VASQUEZ YLQUIMICHE PEDRO EVER
-
YDROGO ESPINOZA JIMY KEY
-
SINELY SABOYA GUERRA
-
JOHNNY RUIZ PINEDO
DOCENTE:
Ing. PEDRO ANTONIO GONZALES SÁNCHEZ. ASIGNATURA:
ADMINISTRACIÓN DE REDES TARAPOTO – PERÚ
1. AUDITORIA DE REDES DE COMPUTADORAS
a) CONCEPTO Es una serie de mecanismos mediante los cuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la información. b) TERMINOLOGIA BASICA ROUTER. Lee las direcciones que se escriben y las identifica, este a su vez pone los paquetes en otra red si es necesario. El Router es el que se encarga de organizar y contralar el tráfico.
DNS. Esto lo que hace es que identifica y busca los nombres de los “Domain” dominios. Se utiliza para buscar principalmente las direcciones IP.
PROXY. Es usado como intermediario; en muchas empresas lo utilizan como manera de seguridad. Este también tiene la función de establecer y compartir con todo los usuarios una única conexión de internet. El proxy abre la dirección web o URL, este aprueba o desaprueba los paquetes para luego enviarlos a internet.
FIREWALL. Tiene dos propósitos fundamentales: Prevenir intromisiones indeseables provenientes del internet y evitar que la información de importancia que existe en nuestra computadora sea enviada al internet.
c) METODOLOGÍA
Identificar: – Estructura Física (Hardware, Topología) – Estructura Lógica (Software, Aplicaciones)
d) ETAPAS
La Auditoria de Redes de Computadoras consta de 4 etapas:
1. Análisis de Vulnerabilidad Éste es sin duda el punto más crítico de toda la Auditoría, ya que de él dependerá directamente el curso de acción a tomar en las siguientes etapas y el éxito de éstas.
2. Estrategia de Saneamiento Se Identifican las "brechas" en la red y se procede a "parchearlas", ya sea actualizando el software afectado, reconfigurándolo de una manera mejor o removiéndolo para remplazarlo por otro software similar.
3. Plan de Contención Consta de elaborar un "Plan B", que prevea un incidente aún después de tomadas las medidas de seguridad, y que dé respuesta a posibles eventualidades.
4. Seguimiento Continuo del desempeño del Sistema. La seguridad no es un producto, es un proceso. Constantemente surgen nuevos fallos de seguridad, nuevos virus, nuevas herramientas que facilitan la intrusión en sistemas, como también nuevas y más efectivas tecnologías para solucionar estos y otros problemas
2. VULNERABILIDADES Y ATAQUES INFORMÁTICOS No es posible una aplicación racional de medidas de seguridad sin antes analizar los riesgos para, así implantar las medidas proporcionadas a estos riesgos, al estado de la tecnología y a los costos (tanto de la ausencia de seguridad como de las medidas a tomar). El análisis de vulnerabilidad representa un diagnostico de las debilidades que puedan tener o tienen las organizaciones en sus redes informáticas. Como es de suponerse no es lo mismo acceder a la Red durante unos minutos para recoger el correo, que permanecer conectados las 24 horas del día. En el mercado existen diferentes herramientas para analizar vulnerabilidades de una red. Estas herramientas son muy útiles, para los administradores de red preocupados por la seguridad e integridad de su red y la información que en ella manejan. Sin embargo, estas herramientas se convierten en armas de doble filo, pues pueden ser usadas con el objetivo de mejorar la seguridad de la red o pueden ser usadas por hackers con el objetivo de detectar vulnerabilidades y realizar ataques. Cada día aumentan los ataques contra redes y contra computadores conectados a la red. “La omnipresencia de Internet los está *virus+ volviendo pan de cada día y están aumentando su poder”. El nivel de sofisticación de estos ataques es cada vez mayor, lo
cual exige el desarrollo y actualización de herramientas pertinentes. Se puede por tanto evidenciar, la gran importancia de desarrollar mecanismos de autoprotección contra estos ataques, los cuales deben pasar por una fase de identific ación de los potenciales riesgos a los que se está expuesto, luego a una fase de análisis de las debilidades para posteriormente definir acciones de mejora y defensa así como planes de mitigación ante sucesos indeseables. En las etapas de identificación y análisis, los Analizadores de Vulnerabilidades como los que se desarrollan en el presente documento juegan un papel fundamental para una clara y eficaz detección de falencias en seguridad.
1. Análisis de Vulnerabilidades A través de un análisis de vulnerabilidades, un analista en seguridad puede examinar la robustez y seguridad de cada uno de los sistemas y dispositivos ante ataques y obtener la información necesaria para analizar cuáles son las contramedidas que se pueden aplicar con el fin de minimizar el impacto de un ataque. El análisis de vulnerabilidades debe realizarse:
Cuando ocurran cambios en el diseño de la red o los sistemas.
Cuando se realicen actualizaciones de los dispositivos.
Periódicamente.
2. Métodos CAJA NEGRA.
Al analista se le proporciona sólo la información de acceso a la red o al
sistema (podría ser sólo una dirección IP). A partir de esta información, el analista debe obtener toda la información posible CAJA BLANCA.
El analista de seguridad tiene una visión total de la red a analizar, así como
acceso a todos los equipos como super usuario. Este tipo de análisis tiene la ventaja de ser más completo y exhaustivo. Durante el test de penetración el analista de seguridad simula ser un atacante. Desde esta posición, se realizan varios intentos de ataques a la red, buscando debilidades y vulnerabilidades: TEST DE PENETRACIÓN.
Estudio de la red externa.
Análisis de servicios disponibles.
Estudio de debilidades.
Análisis de vulnerabilidades en dispositivos de red.
Análisis de vulnerabilidades de implementaciones y configuraciones.
Denegación de servicio
El resultado del test de penetración mostrará una idea general del estado de la seguridad de los sistemas frente a los ataques. Si se encontraran una o más vulnerabilidades, no se realiza su explotación. Como conclusión de este paso, se debe obtener un informe que indique:
Pruebas de seguridad realizadas en el test.
Lista de vulnerabilidades y debilidades encontradas.
Referencia técnica a estas vulnerabilidades y sus contramedidas.
Recomendaciones.
Las vulnerabilidades provienen de diferentes ámbitos y las podemos clasificar en:
Vulnerabilidades de implementación.
Vulnerabilidades de configuración.
Vulnerabilidades de dispositivo.
Vulnerabilidades de protocolo.
Vulnerabilidades de aplicación
Existen diversas herramientas que se pueden utilizar para realizar un análisis de vulnerabilidades:
Escaneo de puertos.
Detección de vulnerabilidades.
Analizador de protocolos.
Passwords crackers.
Ingeniería social.
Trashing
Existen sitios donde encontrará información muy diversa, desde publicaciones y bibliografía específica en seguridad, hasta repositorios de vulnerabilidades con sus exploits:
CERT – Computer Emergency Response Team SANS –SysAdmin, Audit, Network, Security NSA – National Security Agency NIST – National Institute of Standards and Technology
3. Pasos Para Análisis de Vulnerabilidades 3.1 Acuerdo de Confidencialidad entre las Partes Es importante realizar un acuerdo de confidencialidad entre todas las partes involucradas en el análisis. A lo largo del desarrollo del análisis se puede obtener información crítica para la organización analizada. Desde el punto de vista de la organización, debe existir confianza absoluta con la parte analizadora. Desde el punto de vista del analizador, el acuerdo de confidencialidad le ofrece un marco legal sobre el cual trabajar. Es un respaldo formal a su labor. 3.2 Establecer las Reglas del Juego Antes de comenzar con el análisis de vulnerabilidades es necesario definir cuáles van a ser las tareas a realizar, y cuáles serán los límites, permisos y obligaciones que se deberán respetar. Durante el análisis, deben estar informadas la menor cantidad de personas, de manera que la utilización de la red por parte del personal sea normal, se deben evitar cambios en la forma de trabajo. 3.3 Reunión de Información Un análisis de vulnerabilidades comienza con la obtención de información del objetivo. Si se ha seleccionado realizar un test por caja negra, el proceso de análisis será muy similar al proceso seguido por un atacante. Si utiliza un método de caja blanca, éste es el momento para recopilar la información de acceso a servicios, hosts y dispositivos, información de direccionamiento, y todo lo que considere necesario.
3.4 Test Interior El Test Interior trata de demostrar hasta donde se puede llegar con los privilegios de un usuario típico dentro de la organización. Para realizarlo se requiere que la organización provea una computadora típica, un nombre de usuario y una clave de acceso de un usuario común. Se compone de numerosas pruebas, entre las que podemos citar:
Revisión de Privacidad
Testeo de Aplicaciones de Internet
Testeo de Sistema de Detección de Intrusos
Testeo de Medidas de Contingencia
Descifrado de Contraseñas
Testeo de Denegación de Servicios
Evaluación de Políticas de Seguridad
3.4 Test Exterior El principal objetivo del Test Exterior es acceder en forma remota a los servidores de la organización y obtener privilegios o permisos que no deberían estar disponibles. El Test Exterior puede comenzar con técnicas de Ingeniería Social, para obtener información que luego se utilizará en el intento de acceso. Los pasos del estudio previo de la organización deben incluir:
Revisión de la Inteligencia Competitiva. Información recolectada a partir de la presencia en Internet de la organización.
Revisión de Privacidad. Es el punto de vista legal y ético del almacenamiento, transmisión y control de los datos basados en la privacidad del cliente.
Testeo de Solicitud. Es un método de obtener privilegios de acceso a una organización y sus activos preguntando al personal de entrada, usando las comunicaciones como un teléfono, e-mail, chat, boletines, etc. desde una posición “privilegiada” fraudulenta.
Testeo de Sugerencia Dirigida. En este método se intenta lograr que un integrante de la organización ingrese a un sitio o reciba correo electrónico, en este sitio o correo se podrían agregar herramientas que luego serán utilizadas en el intento de acceso.
Una vez que se recopiló esta información, se procede a realizar las siguientes pruebas:
Sondeo de Red
Identificación de los Servicios de Sistemas
Búsqueda y Verificación de Vulnerabilidades
Testeo de Aplicaciones de Internet
Enrutamiento
Testeo de Relaciones de Confianza
Verificación de Radiación Electromagnética (EMR )
Verificación de Redes Inalámbricas [802.11]
3.5 Documentación e Informe Como finalización del análisis de vulnerabilidades se debe presentar un informe donde se detalle cada uno de los tests realizados y los resultados. En este informe se debe especificar:
Lista de vulnerabilidades probadas
Lista de vulnerabilidades detectadas
Lista de servicios y dispositivos vulnerables
El nivel de riesgo que involucra cada vulnerabilidad encontrada en cada servicio y dispositivo
Como anexo se deben incluir los resultados de los programas utilizados.
3. AUDITANDO UNA RED FÍSICA La seguridad de los sistemas de información puede definirse como “la estructura de
control establecida para administrar la integridad, confidencialidad y la accesibilidad a los datos y recursos del sistema de información.” Existen dos tipos de controles de seguridad
que juntos pueden proteger los sistemas.
El Control Físico. Restringiendo el acceso a los recursos de los sistemas y protegiéndolos de los riegos del ambiente.
El Control Lógico. Permitiendo el acceso a los datos específicos únicamente a las personas autorizadas.
En general, muchas veces se parte del supuesto de que si no existe acceso físico desde el exterior a la red interna de una empresa las comunicaciones internas quedan a salvo. Debe comprobarse que efectivamente los accesos físicos provenientes del exterior han
sido debidamente registrados, para evitar estos accesos. Debe también comprobarse que desde el interior del edificio no se intercepta físicamente el cableado (“pinchazo”).
En caso de desastre, bien sea total o parcial, ha de poder comprobarse cuál es la parte del cableado que queda en condiciones de funcionar y qué operatividad puede soportar. Ya que el tendido de cables es una actividad irrealizable a muy corto plazo, los planes de recuperación de contingencias deben tener prevista la recuperación en comunicaciones. Ha de tenerse en cuenta que la red física es un punto claro de contacto entre la gerencia de comunicaciones y la gerencia de mantenimiento general de edificios, que es quien suele aportar electricistas y personal profesional para el tendido físico de cables y su mantenimiento. Se debe garantizar que exista:
Áreas de equipo de comunicación con control de acceso.
Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos.
Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el tráfico en ella.
Prioridad de recuperación del sistema.
Control de las líneas telefónicas.
Se debe comprobar que:
El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.
La seguridad física del equipo de comunicaciones sea adecuada.
Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas.
Las líneas de comunicación estén fuera de la vista.
Se dé un código a cada línea, en vez de una descripción física de la misma.
Haya procedimientos de protección de los cables y las bocas de conexión para evitar fallas en la red.
Existan revisiones periódicas de la red buscando errores y/o daños a la misma.
El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas.
Existan alternativas de respaldo de las comunicaciones.
Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retro llamada, código de conexión o interruptores.
4. AUDITANDO UNA RED LÓGICA Cada vez más se tiende a que un equipo pueda comunicarse con cualquier otro equipo, de manera que sea la red de comunicaciones el substrato común que les une. Si un equipo, por cualquier circunstancia, se pone a enviar indiscriminadamente mensajes (Mensaje de Broadcasting), puede ser capaz de bloquear la red completa y, por tanto, al resto de los equipos de la instalación. En ésta, debe evitarse un daño interno. Es necesario monitorizar la red, revisar los errores o situaciones anómalas que se producen y tener establecidos los procedimientos para detectar y aislar equipos en situación anómala. Ante estas situaciones anómalas se debe:
Dar contraseñas de acceso
Controlar los errores
Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la información a la red
Registrar las actividades de los usuarios en la red
Encriptar la información pertinente
Evitar la importación y exportación de datos
En general, si se quiere que la información que viaja por la red no pueda ser espiada, la única solución totalmente efectiva es la encriptación. Se debe comprobar si:
El sistema pidió el nombre de usuario y la contraseña para cada sesión: En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin autorización, ha de inhabilitarse al usuario que tras un número establecido de veces erra en dar correctamente su propia contraseña, se debe obligar a los usuarios a cambiar su contraseña regularmente, las contraseñas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar información sobre su última conexión a fin de evitar suplantaciones.
Inhabilitar el software o hardware con acceso libre.
Generar estadísticas de las tasas de errores y transmisión.
Crear protocolos con detección de errores.
Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.
El software de comunicación, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados.
Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada.
Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciones.
Asegurar que los datos que viajan por Internet vayan cifrados. Los datos confidenciales se cifran con un algoritmo de cifrado y una clave que los hace ilegibles si no se conoce dicha clave. Las claves de cifrado de datos se determinan en el momento de realizar la conexión entre los equipos. El uso del cifrado de datos puede iniciarse en su equipo o en el servidor al que se conecta. Conexiones de red admite dos tipos de cifrado: -
Microsoft MPPE, que utiliza cifrado RSA RC4.
-
Una implementación de Seguridad de Protocolo Internet (IPSec) que utiliza cifrado de Estándar de cifrado de datos (DES).
Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos foráneos a la red.
Deben existir políticas que prohíban la instalación de programas o equipos personales en la red.
Los accesos a servidores remotos han de estar inhabilitados. Ya que los servidores de acceso remoto controlan las líneas de módem de los monitores u otros canales de comunicación de la red para que las peticiones conecten con la red de una posición remota, responden llamadas telefónicas entrantes o reconocen la petición de la red y realizan los chequeos necesarios de seguridad y otros procedimientos necesarios para registrar a un usuario en la red.
La propia empresa generará propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas:
-
Servidores = Desde dentro del servidor y de la red interna.
-
Servidores Web.
-
Intranet = Desde dentro. Una Intranet, es una red de Área Local o LAN. La cual tiene la característica, de ser de exclusivo uso, de la empresa u organización que la ha instalado. Debido a ello, es que utiliza protocolos HTML y el TCP/IP. Protocolos que permiten la interacción en línea de la Intranet, con la Internet.
-
Cualquier Intranet, lleva consigo, distintos niveles de seguridad, según el usuario. Estos niveles de seguridad, son asignados, según la relevancia del puesto dentro de la organización, del usuario. Claro que existen niveles compartidos por todos. Ahora, los niveles básicos de seguridad, impiden la utilización de la Intranet, por parte de personas foráneas a la empresa o establecimiento educativo.
-
Firewall = Desde dentro. Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial.
-
Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC.
-
Accesos del exterior y/o Internet.