Auditoria de Redes y

Base de Datos
Escalante
La Portilla
Mrquez

AUDITORIA DE RED
La globalizacin, la competencia y los avances
tecnolgicos estn aumentando la importancia
de las redes corporativas en todos los sectores
empresariales. Las empresas con mayor visin
deberan estar preparadas para una creciente
dependencia de sus redes y, en consecuencia,
para un crecimiento de red exponencial.
Adems, La infraestructura de las Tecnologas
de la Informacin y de las Comunicaciones (TIC)
se ha convertido en un activo empresarial
estratgico y la red constituye su ncleo.

CONCEPTO
Una Auditoria de Redes es, en esencia, una
serie de mecanismos mediante los cuales se
pone a prueba una red informtica, evaluando
su desempeo y seguridad, a fin de lograr una
utilizacin ms eficiente y segura de la
informacin. El primer paso para iniciar una
gestin responsable de la seguridad es
identificar la estructura fsica (hardware,
topologa) y lgica (software, aplicaciones) del
sistema (sea un equipo, red, intranet, extranet),
y hacerle una Anlisis de Vulnerabilidad, para
saber en qu grado de exposicin nos
encontramos;

CONCEPTO
As, hecha esta "radiografa" de la red, se
procede a localizar sus falencias ms
crticas, para proponer una Estrategia de
Saneamiento de los mismos; un Plan de
Contencin ante posibles incidentes; y un
Seguimiento Contnuo del desempeo del
sistema de ahora en ms.

Auditoria De La Red Fsica

Garantiza:
reas de equipo de comunicacin con control de
acceso.
Proteccin y tendido adecuado de cables y
lneas de comunicacin para evitar accesos
fsicos.
Control de utilizacin de equipos de prueba de
comunicaciones para monitorizar la red y el
trfico en ella.
Prioridad de recuperacin del sistema.
Control de las lneas telefnicas.

Comprobando:
El equipo de comunicaciones ha de estar en un lugar
cerrado y con acceso limitado.
La seguridad fsica del equipo de comunicaciones sea
adecuada.
Se tomen medidas para separar las actividades de los
electricistas y de cableado de lneas telefnicas.
Las lneas de comunicacin estn fuera de la vista.
Se d un cdigo a cada lnea, en vez de una descripcin
fsica de la misma.
Haya procedimientos de proteccin de los cables y las
bocas de conexin para evitar pinchazos a la red.

 Existan revisiones peridicas de la red

buscando pinchazos a la misma.
El equipo de prueba de comunicaciones ha de
tener unos propsitos y funciones especficas.
Existan alternativas de respaldo de las
comunicaciones.
Con respecto a las lneas telefnicas: No debe
darse el nmero como pblico y tenerlas
configuradas con retro-llamada, cdigo de
conexin o interruptores.

Auditoria De La Red Lgica

Manejar:
Se deben dar contraseas de acceso.
Controlar los errores.
Garantizar que en una transmisin, sta solo
sea recibida por el destinatario. Para esto,
regularmente se cambia la ruta de acceso de la
informacin a la red.
Registrar las actividades de los usuarios en la
red.
Encriptar la informacin pertinente.
Evitar la importacin y exportacin de datos.

Comprobar:

Inhabilitar el software o hardware con acceso libre.

Generar estadsticas de las tasas de errores y transmisin.
Crear protocolos con deteccin de errores.
Los mensajes lgicos de transmisin han de llevar origen,
fecha, hora y receptor.
El software de comunicacin, ha de tener procedimientos
correctivos y de control ante mensajes duplicados, fuera de
orden, perdidos o retrasados.
Los datos sensibles, solo pueden ser impresos en una
impresora especificada y ser vistos desde una terminal
debidamente autorizada.
Se debe hacer un anlisis del riesgo de aplicaciones en los
procesos.

 Se debe hacer un anlisis de la conveniencia de cifrar

los canales de transmisin entre diferentes
organizaciones.
Se debe hacer un anlisis de la conveniencia de cifrar
los canales de transmisin entre diferentes
organizaciones.
Asegurar que los datos que viajan por Internet vayan
cifrados.
Si en la LAN hay equipos con modem entonces se debe
revisar el control de seguridad asociado para impedir el
acceso de equipos forneos a la red.
Deben existir polticas que prohban la instalacin de
programas o equipos personales en la red.

 Los accesos a servidores remotos han de estar

inhabilitados.
La propia empresa generar propios ataques
para probar solidez de la red y encontrar
posibles fallos en cada una de las siguientes
facetas:
Servidores = Desde dentro del servidor y de la
red interna.

Servidores web.
Intranet = Desde dentro.
Firewall = Desde dentro.
Accesos del exterior y/o Internet.

ETAPAS A IMPLEMENTAR EN LA
AUDITORA DE REDES
Anlisis de Vulnerabilidad
ste es sin duda el punto ms crtico de toda la
Auditora, ya que de l depender directamente
el curso de accin a tomar en todas las
siguientes etapas y el xito de ste. Nuestro
equipo cuenta con la tecnologa y la capicidad
necesaria para elaborar detallados reportes
sobre el grado de vulnerabilidad del sistema, a
travs de anlisis remotos y locales.

Estrategia de Saneamiento
Identificadas las "brechas" en la red, se procede
a "parchearlas", bien sea actualizando el
software afectado, reconfigurndolo de una
mejor manera o removindolo para remplazarlo
por otro que consideremos ms seguro y de
mejor desempeo. En este sentido, 7 Espejos
no posee ningn acuerdo con ninguna
compaa de software, y probablemente le
ofrecer soluciones GNU, de alta performance y
muy bajo costo.

Las bases de datos, los servidores

internos de correo, las comunicaciones sin
cifrar, las estaciones de trabajo... todo los
puntos crticos deben reducir el riesgo. En
los casos ms extremos, la misma
infraestructura fsica de la red deber ser
replanteada, reorganizando y
reconfigurando los switches y routers de la
misma.

Plan de Contencin
La red ha sido replanteada, el software ha sido
reconfigurado (o rediseado) y el riesgo ha sido
reducido; an as, constamente se estn
reportando nuevos fallos de seguridad y la
posibilidad de intrusin siempre est latente. Un
disco rgido puede fallar, una base de datos
puede corromporse o una estacin de trabajo
puede ser infectada por un virus in the wild
(virus bien reciente de rpida propagacin); para
ello hay que elaborar un "Plan B", que prevea un
incidente an despus de tomadas las medidas
de seguridad, y que d respuesta a posibles
eventualidades.

Seguimiento Contnuo
Como seana Bruce Schneier, reconocido especialista
de esta rea, la seguridad no es un producto, es un
proceso. Como dijimos, constamente surgen nuevos
fallos de seguridad, nuevos virus, nuevas "herramientas"
(exploits) que facilitan la intrusin en sistemas, como as
tambin nuevas y ms efectivas tecnologas para
solucionar estos y otros problemas; por todo ello, la
actitud ante la seguridad de debe ser activa, procurando
estar "al corriente" de lo que est sucediendo en la
materia, para ir cubriendo las nuevas brechas que vayan
surgiendo y -cuando menos- para hacerle el trabajo ms
difcil a nuestros atacantes.

HERRAMIENTAS DE AUDITORIA
DE REDES

OpenBSD: El sistema operativo preventivamente seguro.

TCP Wrappers: Un mecanismo de control de acceso y registro clsico
basado en IP.
pwdump3: Permite recuperar las hashes de passwords de Windows
localmente o a travs de la red aunque syskey no est habilitado.
LibNet: Una API (toolkit) de alto nivel permitiendo al programador de
aplicaciones construir e inyectar paquetes de red.
IpTraf: Software para el monitoreo de redes de IP.
Fping: Un programa para el escaneo con ping en paralelo.
Bastille: Un script de fortalecimiento de seguridad Para Linux, Max Os X, y
HP-UX.
Winfingerprint: Un escner de enumeracin de Hosts/Redes para Win32.
TCPTraceroute: Una implementacin de traceroute que utiliza paquetes de
TCP.
Shadow Security Scanner: Una herramienta de evaluacin de seguridad nolibre.
pf: El filtro de paquetes innovador de OpenBSD.
LIDS: Un sistema de deteccin/defensa de intrusiones para el kernel Linux.

HERRAMIENTAS DE AUDITORIA
DE REDES

etherape: Un monitor de red grfico para Unix basado en etherman.

dig: Una til herramienta de consulta de DNS que viene de la mano con
Bind.
Crack / Cracklib: El clsico cracker de passwords locales de Alec Muffett.
cheops / cheops-ng: Nos provee de una interfaz simple a muchas utilidades
de red, mapea redes locales o remotas e identifica los sistemas operativos
de las mquinas.
zone alarm: El firewall personal para Windows. Ofrecen una versin gratuita
limitada.
Visual Route: Obtiene informacin de traceroute/whois y la grafica sobre un
mapa del mundo.
The Coroner's Toolkit (TCT): Una coleccin de herramientas orientadas
tanto a la recoleccin como al anlisis de informacin forenese en un
sistema Unix.
tcpreplay: una herramienta para reproducir {replay} archivos guardados con
tcpdump o con snoop a velocidades arbitrarias.
snoop: Tambin es un sniffer de redes que viene con Solaris.

Auditoria de Base de datos

El objeto fundamental de la auditoria
es obtener informacin de las
operaciones que cada usuario
realiza sobre los objetos de una
base de datos.

Auditoria de Base de datos

Aspectos a Evaluar
Administracin de la Base de Datos
Mantenimiento
Prevencin y Deteccin de Errores
Medio Ambiente
Recuperacin
Soporte del Proveedor
Seguridad
Documentacin

Niveles de Auditoria:
Niveles de Auditoria:
Agregada.
Censal.
Muestral.

Detallada.
Cambios
De contenido.
De estructura.
Accesos.
Operaciones de acceso a contenido.
Resultados de las operaciones de acceso.

Otros.
Copias de seguridad y recuperaciones.
Reconstruccin de un estado de los datos.

Agregada:
Estadsticas sobre el nmero de operaciones
realizadas sobre un objeto de Base de Datos,
por cada usuario. Como cualquier estadstica,
su medida puede hacerse con tcnicas
censales muestrales.
Censal: El gestor toma datos de todas las
operaciones que recibe, segn el gestor, esto se
ejecutar en paralelo a las operaciones auditadas.
Muestral: Peridicamente se toman una muestra
de datos .

Detallada:
Incluye todas las operaciones realizadas sobre
cada objeto.
Cambios.
El contenido de los datos. Debe contener la imagen de
los datos anteriores y posteriores a la operacin del
cambio.
La estructura de los objetos que componen la aplicacin.

Accesos. Limitada a las operaciones de acceso al

contenido de los datos y tiene dos niveles de detalle:
Operacin (sentencia SQL que se ejecut) y
Resultado (los datos que se vieron en la sentencia SQL
ejecutada).

Otros tipos:
Copias de Seguridad.
Reconstruccin de estados.

Principales SGBD
Situacin al 2005

Principales SGBD

Oracle

Oracle

Oracle
Oracle soporta tres tipos generales de
Auditoria:
Por sentencia.
Por Privilegios o Autorizaciones.
Objetos de un sistema.

Oracle
Auditoria de sentencias:

El objeto auditado es una sentencia SQL especfica, independientemente del

esquema.
Por cada operacin auditada, este gestor produce un registro en AUD$.
Las sentencias auditables son, por ejemplo:
INDEX (Create, alter, drop.).
NOT EXISTS (Todas las sentencias SQL que fallan al no existir el objeto
referenciado).
PROCEDURE (Create function, create pakage, )
PUBLIC SYNONYM (Create, drop.).
ROLE (Create, alter, drop.).
ROLL BACK (Create, alter drop)
SESSION (logons).
SYSNONYM (Create, drop.).
SYSTEM AUDIT (Audit sentencia SQL Nodudit Sentencia SQL).
SYSTEM GRANT (Grant privilegio o role, revoke).
TABLE (Create, drop, truncate, alter, delete).
TRIGGER (Create, alter, drop).
USER (Create, alter, drop.).
VEN (Create, drop.).
EXECUTE.

Oracle

Auditoria de privilegios o autorizaciones:

El objeto auditado es la realizacin de las acciones
correspondientes a determinados privilegios del sistema.
Algunos de esos privilegios son ALTER DATABASE, AUDIT
SYSTEM, ALTER SYSTEM, CREATE DATABASE LINK,
CREATE ROLE, CREATE/ALTER/DROP ANY ROLE,
CREATE/ALTER
/BACKUP/DELETE/DROP/INSERT/LOCK/UPDATE/SELECTA
NY TABLE, y muchos ms.

Auditoria de objetos de un Schema.

Se aplica sobre un particular objeto de un esquema, por ejemplo Audit
Select on Scott.emp.
Se parece a la auditoria por sentencia SQL, pero en este caso, se
especifica un esquema y un objeto, es decir, una tabla, una vista y una
funcin, etc.
Nmero de registros auditados puede ser muy numeroso. Conviene
limitar
por usuario o por objeto.
Se puede limitar por sesin (by Session), o generar un registro cada
vez
que se produzca un hecho a auditar (by Access).

Controlar los intentos de conexin fallidos

Controlar los intentos de conexin fallidos

Como implementar una Auditoria

de BD

Definir el Alcance de la auditoria:

Esta auditoria comprende solamente al rea de cetro de computo de la
municipalidad de mariscal nieto, con respecto al cumplimiento del
proceso "De Gestin administracin de la Base de Datos " de la de
manera que abarca la explotacin, mantenimiento, diseo carga, post
implementacin.

Como implementar una Auditoria

de BD
Definir el Objetivo

Verificar la responsabilidad de la
administracin del entorno de la base
de datos (administrador de la base de
datos)

Como implementar una Auditoria

de BD
checklist
1.
2.
3.
4.
5.
6.
7.

Los datos son cargados correctamente en la interfaz grafica

Existe personal restringido que tenga acceso a la BD
Existen procedimientos formales para la operacin del
SGBD?
Se verifican con frecuencia la validez de los inventarios de los
archivos magnticos?
Se tiene un responsable del SGBD?
Se ha investigado si ese tiempo de respuesta satisface a los
usuarios?

INFORME DE AUDITORIA
1.

Identificacin del informe

Auditoria de Base de Datos.
2. Identificacin del Cliente
El rea de Informtica
3. Identificacin de la Entidad Auditada
Municipalidad Provincial de Moquegua.
4. Hallazgos
La gerencia de Base de datos no tiene un plan que
permite modificar en forma oportuna el plan a
largo plazo de tecnologa, teniendo en cuenta
los posibles cambios tecnolgicos y el incremento
de la
base de datos.
.

INFORME DE AUDITORIA
5. Conclusiones:
El Departamento de centro de cmputo presenta deficiencias
sobre todo en el debido cumplimiento de Normas de seguridad
de datos y administracin de la Base de Datos.
..

6. Recomendaciones
Capacitar al personal al manejo de la BD.