Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Mayol Reinaldo
Mayol Reinaldo
REPUBLICABOLIVARIANADEVENEZUELA
UNIVERSIDADDELOSANDES
FACULTADDEINGENIERA
MAESTRIAENCOMPUTACIN
MODELOPARALAAUDITORADELASEGURIDADINFORMTICAENLARED
DEDATOSDELAUNIVERSIDADDELOSANDES
TESISPRESENTADACOMOREQUISITOPARAOPTARALGRADODEMAGISTERENCOMPUTACIN
AUTOR:REINALDON.MAYOLARNAO
TUTOR:PROF.JACINTODAVILA,PhD
MERIDA,MARZO2006
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Amispadres,inmensocaudaldelquesedesprendielriachueloqueesmivida
ASolbeyyCamilaporserelvientoquemeempuja,porlaconfianza,porlafrescurayporelamor
GraciasaJacintoporlapacienciaylavoluntadcreadora.
Alautilidaddelavirtud
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
ndicedecontenido
Resumen................................................................................................................................................6
Introduccin..........................................................................................................................................7
Captulo1.PlanteamientodelProblema............................................................................................10
1.ObjetivoGeneralesdelaPropuesta......................................................................................10
2.ObjetivosEspecficosdelaPropuesta..................................................................................11
3.AlcancedelaPropuesta.......................................................................................................11
4.TrabajoEjecutado.................................................................................................................12
Captulo2.FundamentosTericosdelModeloPropuesto...............................................................13
1.SituacinActualdelaSeguridadInformticaenlaUniversidaddeLosAndes..................13
2.DescripcindelModeloPropuesto.....................................................................................15
2.1Estructuradetalladadelmodelo...........................................................................15
2.2PonderacindelosResultados............................................................................17
2.3Dellenguajeenquesehaescritoelmodelo........................................................21
2.4Descripcindelosmdulosqueconformanelmodelo.......................................24
2.4.2Mdulo:Definicindelascondiciones.................................................24
2.4.3Mdulodefinicindelascaractersticastcnicas.................................25
2.4.4MduloPruebasdePenetracin............................................................26
2.4.5MduloRevisionesdelasConfiguraciones.........................................29
A.RevisindelaSeguridadFsica............................................30
B.RevisindeServidoresbasadosenUnix..............................30
C.RevisindeServidoresyEstacionesbasadosenWindows .31
D.RevisindeServidoresSMTPbasadosenSendmail.............31
E.RevisindeServidoresApache..............................................32
F.RevisindelaInfraestructuraInalmbrica............................32
G.RevisindelaInfraestructuradeDeteccindeIntrusos.......33
H.RevisindeDispositivosFirewalls........................................33
I.RevisindelasPolticasdeSeguridadInformtica................34
Captulo3.ModelodeAuditoradeSeguridadparaRedULA...........................................................36
DesarrolloGeneral.................................................................................................................36
Definicininicialdelascondicionesdelprocesodeauditora..............................................37
Definicintcnicainicialdelsistema....................................................................................38
Pruebasdepenetracin............................................................................................................42
Revisionesdelasconfiguraciones..........................................................................................51
RevisindelaSeguridadFsica..................................................................................52
RevisindeServidoresUnix.......................................................................................54
RevisindeServidoresyEstacionesBasadosWindows............................................60
RevisindeServidoresSendmail................................................................................68
RevisindeServidoresApache..................................................................................72
RevisindelaInfraestructuraInalmbrica.................................................................75
3
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
RevisindeSistemasdeDeteccindeIntrusos........................................................78
RevisindeDispositivosFirewalls..............................................................................81
RevisindelasPolticasdeSeguridad.......................................................................84
Captulo4.ValidacinPrcticadelModelo......................................................................................90
1.Comparacinconelesquemaactual...................................................................................90
2.PruebasdelModelo..............................................................................................................91
1ArquitecturadelsitioAuditado..........................................................................................92
2ResultadosdelaEjecucindelMdulo3:PruebasdePenetracin....................................94
2.1Algunasevidenciasrecabadasdurantelaejecucindelaspruebasdepenetracin
..............................................................................................................................98
3.Resultadosdelaejecucindelmdulo:Revisiones..........................................................102
ConclusionesyRecomendaciones....................................................................................................107
Anexos...............................................................................................................................................109
AnexoUNIX1ProgramasSUID(ReferenciaparaDebianLinux)...................................109
AnexoWIN1PolticadeSeguridaddeContraseasparaWindows2000,2003yXP.......111
AnexoWin2PermislogaBsicaparasistemasbasadosenMSWindows.........................112
AnexoPROGRAMAINSEGURO........................................................................................122
AnexoFIREWALLS1DireccionesIPquedebenbloquearsesegnRFC1918.................123
AnexoFIREWALLS2.ServiciosqueporomisindebenbloquearseensentidoZona
ExternaaZonaInterna..................................................................................................124
AnexoPONDERACIN.Ponderacinreferencialdelaspruebasutilizadasenelmodelo.127
Referencias
....................................................................................................................................................148
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
ndicedeilustraciones
Ilustracin1:Mdulosqueconformanelmodelopropuesto..................................................................15
Ilustracin2:Estructuradeunmdulo....................................................................................................16
Ilustracin3:Unaseccindelmodeloconformadaporvariasreglasypruebas......................................17
Ilustracin4:Ponderacindelosresultadosysurelacinconelordendelascorrecciones..................18
Ilustracin5:Ejemplodelasintaxisutilizadaenelmodelopropuesto...................................................22
Ilustracin6:Esquemadelaarquitecturaderedesdelsitioauditadoconelmodelopropuesto.............93
Ilustracin7:Evidenciasrecabadasdurantelaejecucindelaspruebasdepenetracin.Puedenotarse
quesedifundenporDNSdireccionesprivadas......................................................................................98
Ilustracin8:Evidenciarecabadadurantelaspruebasdepenetracin.Carpetassinlospermisos
correctos..................................................................................................................................................99
Ilustracin9:Evidenciasobtenidasdurantelaspruebasdepenetracin.Unavezobtenidalaclavedel
administradordeldominioseinstaluntroyano.Utilizandoelmismosetomcontroldelosservidores
basadosenMSWindows.Lafiguramuestralaenumeracindelosusuarios.Seevidenciatambinla
existenciadeusuariossincontrasea.Estalaborfuerealizadadeformaremota.Sehaenmascaradola
informacinconfidencial.......................................................................................................................100
Ilustracin10:Extractodelreportedesalidadeunadelasherramientasdebsquedade
vulnerabilidadesutilizada.Seevidenciangrancantidadvulnerabilidadesdetectadas.Seha
enmascaradolainformacinconfidencial.............................................................................................101
ndicedetablas
Tabla1:SignificadodelosNivelesdeRiesgosreferencialesutilizadosenelmodelopropuesto...........20
Tabla2:Comparacincuantitativaentrelacantidaddecontrolesdelmodelopropuestoydequese
aplicaactualmente....................................................................................................................................91
Tabla3:ResumendelosresultadosfundamentalesdelaejecucindelMduloPruebasdePenetracin
..................................................................................................................................................................97
Tabla4:ResumendelosresultadosdelaejecucindelMduloRevisiones.........................................106
Tabla5:PermisologaBsicaparasistemasbasadosenMSWindows..................................................121
Tabla6:Cantidaddepruebasporniveldeimpactoenelmodelopropuesto.........................................128
Tabla7:PonderacinreferencialparalaSeccinPruebasdePenetracin.............................................133
Tabla8:PonderacinReferencialparalaseccin:RevisindelaSeguridadFsica.............................134
Tabla9:PonderacinReferencialparalaseccin:RevisindeServidoresbasadosenUnix................138
Tabla10:PonderacinReferencialparalaseccin:RevisindeservidoresbasadosenWindows........142
Tabla11:PonderacinReferencialparalaseccin:RevisindeSendmail...........................................144
Tabla12:PonderacinReferencialparalaseccin:RevisindeApache..............................................145
Tabla13:PonderacinReferencialparalaseccin:Revisindedispositivosdedeteccindeintrusos 147
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Resumen
Auditar,demaneracorrecta,losmecanismosdeseguridadutilizadosenelofrecimientodelosservicios
deTecnologasdeInformacin(IT)esunodeloselementosfundamentalesparaelxitodeestalabor.
EltrminoAuditarCorrectamenteincluyevarioselementosimportantes,unodeellosescontarconun
modelo de auditora completo, equilibrado y tcnicamente correcto. Este documento propone un
modelo de auditoradelaseguridadinformticaparaaquellos servicios deITqueseofrecen por
RedULA para la Universidad de Los Andes, extensible para cualquier entidad de caractersticas
similares.
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Introduccin
LareddedatosdelaUniversidaddeLosAndes(enlosucesivoRedULA)havenidocreciendode
manera significativa en la ltima dcada, hasta convertirse en patrn de referencia dentro de las
institucionesuniversitarias,nosloanivelnacionalsinotambinenelentornolatinoamericano.Junto
conelcrecimientofsicodelared,lohanhechotambinlosserviciosqueseofrecenutilizndolacomo
plataformadetransporte.Conunaredtanextendida,tecnolgicamentediversa yconunavariedad
significativadeactores,serviciosyusuarios,esfcilquecomiencenaocurrirerroresydesviaciones
quepuedencomprometerlapropiasubsistenciadelaredcomounentorno efectivodetrabajo.Esta
realidad impone la necesidad de realizar procesos de auditora del funcionamiento de la red que
permitandetectarproblemasgraves,establecerpatronesdecomportamiento,realizarplanificacinde
crecimientoeinclusodetectarproblemasincipientesquepudiesenponerenriesgolaoperacinfutura
delared.
Durantelosltimos18mesesRedULAhasidoobjetodeunprocesodeauditoraexternamediantela
cualsehahechoevidentequeeltemadeSeguridadInformticaesunodelosquemayorrepercusine
importanciatieneparalaoperacincotidiana.Desdelosprimerosprocesosdeauditorasedetectque,
entodaslasreasquefueronauditadas,lasituacinreferentea lascondicionesparaestablecerun
entornoadecuadodeSeguridadInformticaerandeficientesyesteacpitefuecatalogadocomounode
losmscrticosdelosauditados.
A la situacin expresada en el prrafo anterior debe sumrsele el incremento significativo de los
incidentesdeseguridadinformtica1aniveldetodalaInternet,sususuariosysusaplicaciones.Este
incrementopuedeachacrseleavariosfactores,ademsdelcrecimientodelareddedatos,elnmero
deserviciosylacantidaddeusuarios,tambinsonresponsableslasmalasprcticasdedesarrollode
software,lasinstalacionesdefectuosas,lasubestimacindelosriesgosrealesylasobrestimacinde
otros, la falta de compromiso organizacional con el mantenimiento de los niveles mnimos de
seguridadinformticaylaproliferacindesolucionespropietariasqueimponenestndaresdeuso,
desarrolloyexplotacinsintenerencuentaloselementosdeseguridad.
El incremento de los incidentes de seguridad informtica ha sido tal que, organizaciones como
ComputerEmergencyResponseTeam(CERT)handejadodepublicardesdeelao2003estadsticas
sobreelnmerodeincidentes,reconociendolaincapacidaddeofrecerdatosrealessobreeltema.En
1
Unincidentedeseguridadpuededefinirsecomounevento,quefueradelcontroldequienlopadece,poneenriesgola
integridad,confidencialidadodisponibilidaddelainformacin.Aunquenosuelemencionarse,debidoaqueseobtiene
comounsubproductodelosprocesosparagarantizarlosaspectosantessealados,laautenticidad(delainformacin,
delorigenydeldestinodelamismaylosactoresinvolucrados)esotrodeloselementosquedebenresguardarse.
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
RedULAsedetectandiariamenteunos22000intentosserios2deintrusindesdeelexterior.Sisetoman
comovlidoslosvalorescomnmenteaceptadossobrelaproporcindeincidentesdefuentesinternasy
externaspuedeestimarsequeelnmerototaldeincidentesdiariospuedeestarrondandolos100.000.
LaUniversidaddeLosAndesnoesnicaenestasituacin.Elmsrecienteinforme2004ECrimen
WatchSurvey[ECRIMW]reflejaquelasprdidasasociadasaincidentesdeseguridadenelao2003
llegaronalos600Millonesdedolares(sloenEE.UU).Otrosdatosimportantesdeesteinformeson
lossiguientes: el43%delasempresasencuestadashareportadounaumentodelosincidentesde
seguridadconrespectoalao2002,mientrasqueel70%delasempresasencuestadasreportaalmenos
unincidentedeseguridadenelao.
Lamismaencuestamencionadaanteriormentecategorizalosnivelesdeimpactodelasiguienteforma:
El56%delosencuestadosdeclarquelasmayoresprdidasestnasociadasafallasoperacionales,el
25%declaraprdidasfinancieras.Lamitaddelosencuestadosdeclarnoposeermecanismospara
cuantificarsusprdidasyel41%indicnoposeerplanesparaenfrentarincidentesasociadosala
seguridadinformtica.
Duranteelltimoao,elprocesodeauditoradelaSeguridadInformticadeRedULAsehallevadoa
cabo de manera ms bien emprica, por un equipo liderado parcialmente por el autor de este
documento, siguiendo mtodos que no se ajustan del todo a las necesidades, requerimientos y
particularidadesdelaorganizacin.Laausenciadeunmodeloslidamentedesarrolladotambinfrena
eldesarrollodelpropioproyectodeauditora,alimpedirsudiversificacinycrecimientodebidoala
dependencia losresultadosdelosconocimientos,experienciaymtodosdetrabajodelpersonalque
laboraenelproyecto.
MsdeunaodespusdehabercomenzadoelprocesodeauditoradelosserviciosdeRedULAse
hanobtenidograndesxitosalincidirenlasdecisionesdecorreccindesituacionescrticasenvarias
redesqueconformanRedULA,talescomolareddelRectorado.Sinembargo,tambinhanquedadoen
evidenciadeficienciasylimitacionesdelaformaenqueseauditaactualmente.
Eneltrabajo quesedescribeenestedocumento,sehacreado unmodelo parala auditorade
SeguridadInformticadelaReddeDatosdelaUniversidaddeLosAndesyalgunosdelosservicios
fundamentalesqueseofrecensobrelamisma(webhosting,conectividad,controldeacceso,correo
electrnico).Elmodeloconstadeunadescripcingeneraldelcmosedebeprocederparahaceruna
auditoradeseguridad,tomandoencuentalaspeculiaridadesdenuestraorganizacin.As,elmodelo
incluyereglasparaguiarlaconductadelpersonalenlaauditoradeotrosaspectosimportantescomo
laspolticasdeseguridad,lascondicionesdeseguridadfsica,laspruebasdepenetracinylossistemas
dedeteccindeintrusos.
2
Enestenmerosedescartanincidentesasociadosaerroresdeconfiguracin,virusinformticosomalaoperacindelos
mediosdecmputo.Estenmerosloserefiereaincidentescuyoobjetivopuedeserclaramenteestablecidocomoun
ataquealaconfidencialidad,disponibilidadyautenticidaddelosmediosdecmputoylosdatosquemanejan.Dato
tomadodelasestadsticasdelossistemasdedeteccindeintrusosdeRedULA.
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Estetrabajonopretendecubrirtodoslostemasquedebenserobjetodeesfuerzoparagarantizarun
entornosegurodeoperacionesenRedULA,comoprimerpasohemosescogidoaquellosaspectosque
ensondemayorrelevanciaeimpacto.Hablamosdeunmodeloynodeunametodologa,porqueno
hemos pretendido que la misma estrategia se pueda aplicar en cualquier otro caso o tipo de
organizacinsometidaaestetipodeauditoras.Loqueshemospretendido,ymostramosevidenciade
haberlologrado,esmejorarsignificativamentenuestracapacidadyaptitudinstitucionalparaauditarla
seguridadinformtica.
Estedocumentoseencuentradividoen4captulosyvariosanexos.Elprimercaptulodescribela
situacinquedioorigenalpresentetrabajo.Elcaptulo2sededicaaladescripcinfuncionaldel
modelopropuestoydecadaunodeloselementosqueloconforman.Elcaptulo3constituyeelcentro
deltrabajoysededicaalaexposicincompletadelmodelo.Enelcaptulo4serefierealapruebadel
modelopropuestoysucomparacinconelesquemadeauditoraqueactualmenteseutiliza,enelse
exponen los resultados obtenidosde laejecucindeunprocesode auditorautilizandoel modelo
propuesto.
Siellectorutilizaunaversindigitaldeestedocumentopodrutilizar hipervnculos.Hacindolo
podrmoverseentrelosdiferentesmdulosqueconformanelmodelo,entrelaexplicacindecada
mduloyelcdigodelmismoyhacialosanexosdeinformacincuandoestossonreferenciados.Los
anexostienennombresquepuedanayudarallectoraencontrarelobjetivodelosmismos,asenlugar
desimplementecolocarunnmero,ellectorencontrarnombrescomoFIREWALLS,identificando
queseserefiereaalgntemadeesatecnologa.
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Captulo1.PlanteamientodelProblema
La Corporacin Parque Tecnolgico de Mrida (en lo sucesivo CPTM) administra parte de la
infraestructuradeTecnologasdeInformacin(enlosucesivoTI)delaUniversidaddeLosAndes.
Buscando mejorar la calidad de los servicios ofrecidos se ha creado el Proyecto de Auditora
Informticael cual,entreotrosaspectos,deberealizarprocesosdeauditoraalaseguridadde los
serviciosdeTI.Parapoderrealizarunprocesodeauditorapermanente,independienteyestablees
necesario contar con un modelo de auditora que tome en cuenta los elementos particulares del
ambienteuniversitario,deltipodeservicioqueseofrece ydesusnecesidadesrealesdeseguridad
informtica.
Conestetrabajosehapretendido crearunmodelo deauditoradeseguridad informticaparalos
serviciosdeTecnologasdeInformacinofrecidosporlaCPTMalaUniversidaddeLosAndes.Eluso
demodelosduranteelprocesodeauditoraesimportante,nosloparagarantizarlaconsecucinde
resultadoscorrectosycompletos,sinotambinparagarantizarqueunequipodeprofesionalesobtenga
unresultadohomogneo,reduciendolaimportanciade los nivelesdepericia,instruccin,audacia,
conocimientodelaorganizacinauditada,relacinconlosauditados,experienciayotrosdelauditor.
Portalrazn,resultacomn elusodemodelos enempresasauditorasyconsultorasprofesionales,
desarrolladasporexpertos,paraconseguirresultadoshomogneosconequiposdetrabajoquenolo
son.
Otroelementoimportante afavordelusode los modelosdetrabajoenelcampodelaauditoraes
garantizarlaobtencinderesultadoscorrectosycompletosentiemposadecuadosdeacuerdoalas
condicionesenqueserealizalaauditora.
Enlaactualidadexisteunagrandiversidaddemodelosdeauditoradelaseguridadinformtica,todos
desarrollados para contextos particulares o de carcter tan general que slo constituyen un marco
referencialparaeldesarrollodeunprocesoauditor.Lasgrandesorganizacionesprivadasdeauditora
tienensiemprelossuyospropiosyestasconstituyenunpatrimonioimportantedelasmismas,elcual
resguardan celosamente de la competencia. En el mundo de la auditora de seguridad se dice
comnmentequeunaorganizacinesloquesusmetodologaslepermitenser.
RedULA,comohemosmencionadoanteriormente,noposeeunmodelodesarrolladoparaejecutarlos
procesosdeauditoraqueadelanta,deahlaimportanciadelmodeloqueseproponeenestetrabajo.
1. ObjetivoGeneralesdelaPropuesta
Disearunmodelopararealizarauditorasdeseguridadinformticaenambientesuniversitarios,y
probarelmodelosobrelainfraestructuradeteleinformacindelaUniversidaddeLosAndes.
10
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
2. ObjetivosEspecficosdelaPropuesta
Definirlasespecificidadesparalosambientespblicosyacadmicos,especficamentepara
RedULAdelosserviciosdeSeguridadInformticaafindeelegirlosserviciosylastecnologas
candidatasaintegrarelmodelodeauditora.
Disear el modelo de auditora para los servicios a ser auditados mediante revisiones de
servidoresyequiposdecomunicaciones.
Disear el modelo de auditora para los servicios a ser auditados mediante pruebas de
penetracin.
Disearlasreglasparaponderarreferencialmente(enelcapitulo2mencionaremoslosdetalles
tomadosencuentaparaelaborarlanecesariaponderacinparalaspruebas)laimportanciade
lascondicionesderiesgodetectadassegnsuniveldeimpactoyelactivoqueafecten.
Probarelmodeloenlaplataformauniversitaria.
3. AlcancedelaPropuesta
Elmodelogeneralqueseproponedebeserutilizadoparalaauditoradeseguridadinformticadelos
serviciosdeTIdelaUniversidaddeLosAndes,especficamenteparaaquellosqueofreceRedULAa
travsdelCPTM.
Elmodeloconstituyeunaguareferencialparalarealizacindeprocesosdeauditoraqueutilicenlas
siguientestiposdepruebas,loscuales,segnlaopininyexperienciadelautorsonlasmscomunes:
Revisiones:Serefiereaverificacionesdelosparmetrosdeseguridadrealizadasdirectamente
enlosservidores,estacionesdetrabajoyequiposdecomunicacionessinviolarlosmecanismos
deseguridad,buscandocondicionesdeinstalacinquepudiesenfavorecerlaconsumacinde
condicionesdeNegacindeServicios.Ej.:Espaciosdediscosinsuficientes,cargaselevadasde
usodememoriaoCPU,instalacionesincorrectasdeservicios,etc.
Entrevistas:Serefiereasondeosrealizadosausuariosyadministradoresparaencontrardentro
delaspolticas,normasyprocedimientos(formalmenteestablecidasodefacto)condiciones
quepudiesenproducirafectacinalaseguridadinformticadelosservicios.
PruebasdePenetracin:Serefierealconjuntodepruebasintrusivasrealizadasparatratarde
vulnerarlossistemasdeseguridad,escalarlosprivilegiosdeatacanteyeventualmenteponeren
riesgolaintegridad,confidencialidadydisponibilidaddelainformacinodelossistemasde
seguridaddelaorganizacin.Laspruebasdeseguridadserealizanendosescenarios:desdeel
interiordelaULA,enestecasosehabladepruebasinternasodesdeelexterior, pruebas
externas.
11
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Estapropuestanoincluyeeldiseodemodelosparalarealizacindeauditoraaserviciosofrecidospor
terceros, an cuando estos pudiesen ser utilizados para el acceso a los servicios de RedULA. Ej.
ProveedoresdeServiciosExternos,etc.
Comoresultadodelaejecucindeestetrabajosehaobtenidoungrupodereglasquesirvencomogua
metodolgicaparalaejecucindelosprocesosdeauditoraenlascondicionesquesehanexpuesto
anteriormente.
4. TrabajoEjecutado
DefinirlosserviciosdeTIcandidatosaserauditados.
Definirlosparmetrosdeseguridadinformticaaauditarenequiposservidores.
Definirlosparmetrosdeseguridadinformticaaauditarenequiposclientes.
Definirlosparmetrosdeseguridadinformticaaauditarenequiposdetelecomunicaciones.
Definirlosparmetrosaauditarenlosequiposdeseguridad.
Definirloselementosaevaluarmedianteentrevistasysondeosalosusuariosdelosserviciosde
TI.
Definir el alcance de los procesos de auditora para cada uno de los servicios de TI
seleccionados.
Disearelmodelodeauditoraparacadaunodelosserviciosaserauditadosenservidores.
Disearelmodelodeauditoraparacadaunodelosserviciosaserauditadosenestacionesde
trabajo.
Disearelmodelodeauditoraparacadaunodelosserviciosaserauditadosenequiposde
telecomunicaciones.
Disearelmodelodeauditoraparacadaunodelosserviciosaserauditadoslosequiposde
seguridad.
Establecerloscriteriosparalaponderacinreferencial delosresultadosdecadaprocesode
auditoradelosserviciosseleccionados.
Probarelmodelodiseado.
12
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Captulo2.FundamentosTericosdelModeloPropuesto.
1. SituacinActualdelaSeguridadInformticaenlaUniversidaddeLosAndes.
RedULAnofueconcebida,nihasidooperada(hastahacemuypoco),pensandoenlaseguridaddesus
componentes o las aplicaciones que sobre ella se ejecutan. Durante mucho tiempo, el nfasis del
desarrollodelared,comodelamayoradelasredesdesutipoanivelinternacional,estuvocentradoen
sucrecimiento.Estasituacinseagravasisetomaencuentalascaractersticasdeusodelared,enla
cualdebencoexistirserviciosadministrativosfundamentalesparaeldesarrollodelavidauniversitaria
ylosnecesariosprocesosdeexperimentacin,investigacinydesarrollopropiosdeunainstitucin
acadmica.
ElproblemamscomnquedebenenfrentarlosadministradoresdelaseguridaddeRedULAesla
incidenciadevirusinformticoscuyascaractersticasafectandirectamenteelcomportamientodelared
(ej.generandograndescantidadesdedatosquedegradanelrendimientodelared.).Estasituacines
realmentegraveyseenfatizaporlascostumbresdeuso,eltipodesistemaoperativoylacantidadde
equiposclientesexistentesenlauniversidadeinterconectadosporRedULA.RedULAtomaenestos
momentosalgunasmedidasparaintentarminimizarlaincidenciasdevirus(yplaneaotrasamediano
plazo).Sinembargo,dichasmedidasnadapuedenhacerparaimpedirqueloscomputadorespersonales
secontineninfectandopormediosdiferentesalaredyterminenafectndola.Esdeesperarqueconel
aumentodesistemasoperativosdistintosaWindows disminuyaelefectodelosvirus.Sinembargo,
todavezque sureemplazoporotroslossistemasoperativosnohaceimposiblelaproliferacinde
virus,estanopuedesertomadacomounasolucindefinitivaaesteproblema.
Otroproblemacomnsedebeaintrusionesenlasestacionesdetrabajodelosusuariosyenservidores
dbilmenteconfigurados.Enestesentidounadelaslaboresfundamentalesdelosadministradoresde
seguridadconsistenosloendetectarydetenerlasintrusionessinoenincidirdirectamentesobrela
causadelproblema,comohemosdicho:lafaltadeculturaypericiadequienescomoadministradoreso
comosimplesusuariosusanlossistemas.
Laadministracindelarednoestexentadeestascarenciasdepensamientosyhabilidadesreferentesa
laseguridad,portalrazntambinlossistemasoperadosporRedULAsehanvistoafectadoseincluso
todavanosetienenencuentamuchoselementosdeseguridadalestableceryoperaralgunosservicios.
Laplataformadeseguridadestodavaincipienteeinestable.Slounospocosserviciosysitiosson
supervisados de forma continua y completa y pocos son los sitios de control establecidos.
Adicionalmente existe una inmensa plataforma de equipos de comunicaciones ( routers, switches,
concentradores,equiposinalmbricos,etc)instaladosyoperadossincumplirconlosrequerimientosde
seguridad,lamayoradeellosincluso,incapacestcnicamentedehacerlo.
13
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Muchosdelosserviciosacadmicosyadministrativosqueseofrecentienenseriasdeficienciasdesdeel
puntodevistadeseguridad. Cadavezms,nuevosserviciosseestablecenutilizandolaredcomo
mecanismodetransporte.Ya,dentrodelauniversidad,sehanvividoexperienciasdelimpactoque
puedetenersobreunservicioelnoprotegerloadecuadamenteonotomarencuentaloselementosde
seguridadensudiseo,implantacinyexplotacin.Siunimoslatendenciacrecienteaaumentarlos
serviciosenredconunatendenciasimilaraaumentarlosincidentesdeseguridad,elnicocaminoes
comenzarapreocuparseyactuarenfuncindemejorarlascondicionesdeseguridaddeRedULA.
ActualmenteRedULArecibeunagrancantidaddeataquesdesdeelexterior,unaproporcinanmayor
ocurrendesdeelinteriordelapropiared.Amododeejemplo,talycomosemencionanteriormente,
losserviciosdefiltradodebordeactualmentedetectancercade22000intentosdeaccionesquepueden
considerarseintrusivas.Entrelasmssignificativasseencuentranlosintentosdeenumeracindela
red,deunservidoroservicioespecfico,losintentosdeaccesoconidentidadesfalsasydeadivinanza
decontraseasylastentativasderealizaroperacionesanmsagresivascomoataquesdeNegacinde
Serviciosodeexplotacindedebilidadesdelossistemasinstalados. Otrodatoesreveladordela
situacinenseguridadinformticadelauniversidad;enpromedio,diariamenteunaestacinclienteda
seales de haber sido comprometida por atacantes externos o internos. El trmino comprometida
significaqueexistenevidenciassuficientesdequeelsistemaoperativohasidoviolentadoylaestacin
respondeahoraalasrdenesdelatacante,lohacedemaneraanrquicaoinclusosehaperdidola
informacincontenidaenella.
Anteestarealidadhayvarioscaminosnoexcluyentesaseguir.Elprimeroescrearlaculturadela
seguridad no slo entre quienes tienen que encargarse de la administracin de los servicios, sino
tambinentrelosusuariosdelosmismos.Otralaboresmejorarlascondicionesenqueenlaactualidad
seadministranydiseanlossistemasy,obviamente,corregirlascondicionesdeficientesdeseguridady
velarporquealhacerlonosecreenotrascondicionesderiesgo.Paraestaltimalaborlasfuncionesde
auditorasonimprescindibles.
Pero para que un proceso de auditora tenga resultados completos, normalizados y correctos debe
contar con una gua metodolgica [HMATS]. Como hemos mencionado actualmente se utiliza un
esquemadepruebas quenohasidoconcebidoniadecuadaalasnecesidadesycaractersticasde
RedULA. Como resultado de esto gran cantidad de elementos importantes no son auditados, los
resultadosnosonhomogneosylarelacindelequipodeserviciosconelauditorpuedeinfluirenlos
resultadosEnelcapitulo4semuestraunacomparacincuantitativaentreelmodeloqueseproponecon
estetrabajoyelqueseutilizaenlaactualidad.
ElmodeloqueseproponehasidoconcebidoteniendoencuentatantolascaractersticasdeRedULA,
como los servicios ms importantes y vulnerables. La siguientes secciones describen las
caractersticasgeneralesdelmodelopropuesto,ellenguajeenquehasidoescritoylaformadeusodel
mismo.
14
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
2. DescripcindelModeloPropuesto.
Como dijimos, el modelo es una descripcin general del cmo se debe proceder para hacer una
auditora de seguridad y, consecuentemente, est constituido por grupos de reglas agrupadas en
mdulos,paraguiarlaconductadelpersonalencargadodelaauditora.Acontinuacinseledescribe
endetalle:
2.1Estructuradetalladadelmodelo
La estructura delmodelopropuestohasidoestablecidasiguiendolaformacomnderealizar un
procesodeauditora,especficamenteunodeSeguridadInformtica.Existen4mdulos.Estosson:
A)
B)
C)
D)
Definicindelascondicionesparalaauditora.
Definicindelascaractersticastcnicas
PruebasdePenetracin
Revisionesdelasconfiguraciones.
Enelacpite2.4deestecaptulodetallaremoslosobjetivosyelalcancedecadamdulo.Mientrasnos
concentraremosenlosdetallesdelaestructuradelmismo.
Definicinde
las
condiciones
Definicinde
las
caractersticas
tcnicas
Pruebasde
Penetracin
Ilustracin1:Mdulosqueconformanelmodelopropuesto.
Revisin
tiempo
Todoslosmdulosfuncionancomounsistema,dandodeconjuntounavisingeneraldelaseguridad
informticadelsitioauditado.Cadamduloestcompuestoporsecciones.Lasseccionesasuvezse
conformanporreglas.Unareglaestespecificadaporunconjuntodepruebas.Elordenenquese
ejecuten las secciones dentro de un mdulo normalmente no es significativo, cuando no lo es, el
sistemaexplcitamentesealaloselementosprelatorios.Elordenenqueseejecutanlaspruebasylas
reglasdentrodeunaseccinsuelesersignificativo.Dentrodeunmduloelauditortienelibertadde
ejecutaronounaseccindeacuerdoa variosfactores,entreelloselobjetivodelaauditoraolas
15
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
caractersticastcnicasdelaplataformaqueseaudita.
Mdulo
Seccin1
Seccin2
Regla1
Regla2
Prueba1
Prueba2
...............
.
......
.......
Seccinn
Reglan
Prueban
Ilustracin2:Estructuradeunmdulo
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
significarunadetrescosas:
Laspruebasnofueronejecutadasapropiadamente.
Laspruebasnoseaplicaban.
Losdatosresultantesdelaspruebasseanalizaroninapropiadamente.
PARADefinirarquitecturasinconocimientodesdelaInternet
R
E
G
L
A
1.Utilizandoherramientasdebsquedaautomatizadadefinir
1.1SIesposibleidentificarPuntosdeconexindelaredconel
exteriorENTONCESRecomendarrevisarlaspolticasdecontrolde
accesoytransferenciadeinformacinvaICMP,SNMP,etc...
1.2SIesposibleidentificarServidoresvisiblesdesdeelexterior
ENTONCES
PARAcaracterizarservidoresvisiblesdesdeelexterior
DefinirVersindelosserviciosvisiblesdesdeelexterior. PRUEBA
DefinirServiciosqueseofrecen.
DefinirInformacindelaorganizacinobtenibleapartirdelos
serviciosqueseofrecen
Buscarserviciosquenodebiesenserexpuestosalexterior.
SIesposibleidentificarRangodedireccionesdisponibles
ENTONCESRecomendarrevisarlaspolticasdecontroldeaccesoy
transferenciadeinformacinvaICMP,SNMP,etc...
SECCIN
Ilustracin3:Unaseccindelmodeloconformadaporvariasreglasypruebas
Elmodelofluyedesdeelmduloinicialhastacompletarelmdulofinalypermitelaseparacinentre
recoleccindedatosypruebasdeverificacindeysobrelosdatosrecolectados.Cadamdulopuede
tenerunarelacinconlosmdulosadyacentes.Cadaseccinpuedeteneraspectosinterrelacionadosa
otrosmdulosyalgunasseinterrelacionancontodaslasotrassecciones.Durantelaejecucindecada
regla,oincluidodeunaprueba, sevanemitiendolasrecomendacionesqueconformarnelinforme
final.Porejemploenelsegmentodecdigomostradoenelejemplodelailustracin3puedeleersela
siguienterecomendacin:Recomendarrevisarlaspolticasdecontroldeaccesoylatransferenciade
informacin...
17
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
2.2PonderacindelosResultados
Unaentidadauditadaestarmuyinteresadaenobtener,comoresultadodelprocesodeauditora,un
listadocompletodelascondicionesderiesgoalasqueestsometidasuinfraestructuradeinformacin.
Sin embargo, es tambin muy importante definir cuantitativamente el peso especfico de cada
condicin hallada. Como es de suponer no todos las vulnerabilidades, errores y otras condiciones
significanigualnivelderiesgoparalaintegridad,disponibilidadyconfidencialidaddelainformacin
ylosmediosquelasoportan.
Esta ponderacin es de suma importancia para la definicin del necesario proceso ulterior de
correcciones,todavezquesiempredebecomenzarseporaquellascondicionesqueimpliquenmayor
nivelderiesgo. Lailustracinno.4 muestralarelacinentreelordenenquedebenejecutarselas
correccionesyelnivelderiesgoquelasvulnerabilidadesencontradastienen.Comosemuestraenla
ilustracin las vulnerabilidades ( marcadas como puntos blancos) que se encuentran dentro del
rectngulorojodebenserlasprimerasasercorregidastodavezconstituyenlosmayoresriesgos.
Establecernivelesdeponderacin paracadapruebasueleserunprocesomascomplejodeloque
pareceaprimeravista,debidoalniveldesubjetividadquepuedeacarrearylalosmltiplesfactoresque
debentomarseencuenta(porejemploloqueesmuycrticoparaunaorganizacinpuedenoserlopara
otra).Parahacerlonoshemosbasadoendosfuentesytratadodeconjugarsusresultados.Laprimera
hasidolacategorizacinde losresultadosquecomnmentehacenlasherramientasdebsquedade
vulnerabilidadesautomatizadas(alto,medioybajo).LasegundafuentefuelaMetodologaAbierta
paraPruebasdeSeguridad[HMAST].
Alto
Primeras
Correccione
s
R
I
E
S
G
O
Bajo
Baja
Prioridad
Alta
Ilustracin4:Ponderacindelosresultadosysurelacinconel
ordendelascorrecciones
18
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Siguiendoamboscriterioshemoscategorizadolosriesgos(noelimpactodel cualhablaremosms
adelante)siguiendoelsiguienteesquema[HMAST]:
Vulnerabilidades:Serefiereaunafallainherentealascaractersticasdediseoocreacinal
propiosistemaynoachacableamalaimplantacinomanejoporpartedecualquiera.
Debilidad:Serefiereaunafallanoachacablealproductoqueseevalasinoalambienteque
losostieneoquecohabitaconl.
FiltradodeInformacin:Serefiereaunafallainherenteenelmecanismodeseguridadmismo
quepermiteelaccesoprivilegiadoainformacinsensibleoprivilegiadaacercadedatos.
Preocupacin: Se refiere a un evento de seguridad que puede resultar al no seguir las
prcticasrecomendadasdeseguridad,yqueporelmomentonosepresentecomounpeligro
real.
Otrofactorimportantehasidotomadoencuentaobtenerunresultadofinaldeponderacin:Elriesgo
realqueunadeterminadacondicinproduzcasobrelaconfidencialidad,integridadydisponibilidadde
lainformacinolasaplicacionesquelasoportan.Antesdecontinuaresnecesariodardefinicionesde
loqueaafectodeestedocumentosignificanestostrestrminos.
Confidencialidad: Laconfidencialidadoprivacidad[...]serefiereaquelainformacinslo
puedeserconocidaporindividuosautorizados.Existeninfinidaddeposiblesataquescontrala
privacidad,especialmenteenlacomunicacindelosdatos.Latransmisinatravsdeunmedio
presenta mltiples oportunidades para ser interceptada y copiada: las lneas "pinchadas" la
intercepcinorecepcinelectromagnticanoautorizadaolasimpleintrusindirectaenlos
equiposdondelainformacinestfsicamentealmacenada.[BORCSI]
Integridad:Laintegridadserefierealaseguridaddequeunainformacinnohasidoalterada,
borrada,reordenada,copiada,etc.,bienduranteelprocesodetransmisinoensupropioequipo
deorigen.Esunriesgocomnqueelatacantealnopoderdescifrarunpaquetedeinformacin
y,sabiendoqueesimportante,simplementelointercepteyloborre.
Disponibilidad: La disponibilidad de la informacin se refiere a la seguridad de que la
informacinpuedaserrecuperadaenelmomentoquesenecesite,estoes,evitarsuprdidao
bloqueo,bienseaporataquedoloso,malaoperacinaccidentalosituacionesfortuitasode
fuerzamayor.
Asociadoaestostresconceptosbsicosestel deautenticidadyrelacionadoaesteeltrminono
repudio.Laautenticidadpuededefinirsecomolaseguridadqueelorigenodestinodelainformaciny
la informacin misma no han sido alterados y que existen mecanismos para detectar de manera
inequvocaunasuplantacinyaseadelainformacinodelosactoresqueparticipanenelactode
comunicacin,distribucinoalmacenamientodelamisma. Eltrminonorepudioserefiere a la
capacidaddedeterminardemanerainequvocalaautoradeunadeterminadaaccin.
19
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Conestoselementoshemosdecididocategorizar laimportanciadelascondicionesderiesgodela
siguienteforma:
NiveldeRiesgo
Significado
Bajo
Serefiereelementosqueseubiquendentrodela
categoradePreocupacinyquedematerializarse
noponganenriesgoreallaintegridad,
confidencialidadydisponibilidaddela
informacin.Ej.Utilizacindeprotocolosde
cifradodbilesparacomunicacionesnocrticas.
Medio
Serefiereaelementosqueseubiquenenlas
categorasFiltradodeInformacinDebilidad,
siempreycuandonoproduzcandemanera
inmediatacondicionesqueponganenriesgola
integridad,confidencialidadydisponibilidaddela
informacin.Ej.Dispositivosconlacomunidadde
lecturaSNMP3disponible,todavezquesetrata
slodelecturayrequieredispositivosy
habilidadesespecialesparasuexplotacinadems
depoderserlimitadosualcanceporotrasvas.
Alto
Serefierealelementosqueseubiquenen
cualquieradelas4categoras(Vulnerabilidad,
DebilidadFiltradodeInformacin
Preocupacin),siempreycuandoproduzcande
manerainmediatacondicionesqueponganen
riesgolaintegridad,confidencialidady
disponibilidaddelainformacin.Ej.contraseas
dbilesparaelaccesoadispositivosde
comunicacionescrticos.
Tabla1:SignificadodelosNivelesdeRiesgosreferencialesutilizadosenelmodelopropuesto
VeamosunejemplotomadodelaseccinSendmaildelmduloRevisiones:
1 PARA
VerificarlaefectividadyseguridaddelastcnicasdeprevencindeataquesdeltipoDoS
1.1VerificaropcinMaxDaemonChildren.SI"lapruebafalla4"ENTONCESRecomendarcorregir
estasituacin.
3
4
SNMP:SimpleNetworkManagementsProtocol.
Falladelapruebasignificaqueelnmerodedemoniosquemanejansendmailnoestdeacuerdoalflujorealde
mensajesdelservidor.
20
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
EstapruebaserefierealacantidaddeprocesoshijosqueiniciaelservidorSMTP 5(Sendmaileneste
caso),esteparmetroesesencialparaevitarataquesdeNegacindeServicios6.Comoquieraquelos
resultadosdeagotarlosrecursosdelsistemallevanasuparalizacin,sepuederealizarconmedios
sencillos(enestecasobastaunsimpleprogramaquedemanerainsidiosayregulargenerecorreos)y
nohacenfaltaconocimientosespecialesdelaarquitecturadelsitioauditadoniherramientasopericias
especiales;lacondicinderiesgoquedescribeestapruebahasidocatalogadadeALTORIESGO.
Lasponderacionesqueseofrecenenelmodelo(puedenencontrarselasponderacionesdecadaprueba
enelanexo PONDERACION)sonpuramentereferenciales.Elauditortienecapacidaddevariarla
ponderacinsugeridaparaunapruebadebidoacondicionesespecficas delsitioaauditarodelas
propiascondicionesenqueseejecutalaprueba. Porejemplo,transmitirdatoscrticossincifrara
travsdelaredpuedeconsiderarsecomounacondicindealtoimpactodebidoalaposibilidaddeque
alguienaccedafsicamentealmedioyescuche,cambieodestruyalainformacinmientrasviajapor
la red, sin embargo, estaponderacinpudiese variar siacceder a los medios detransmisin, los
extremosdecomunicacinocualquieradelaspartespordondeviajalainformacinesfsicamente
prohibitivo.Laponderacindelosnivelesseriesgohasidoestablecidaporcadaprueba,entendiendo
quelaponderacindelrestodelasunidadessuperioresenquehasidodivididoelmodelo(mdulos,
seccionesyreglas)puedeobtenerseapartirdeestas.
2.3Dellenguajeenquesehaescritoelmodelo
Asabiendasdequelabaseconceptualesamplia,lacantidaddereglasesextensaymuchasveces
requiereconocimientosespecficosdeherramientas,tcnicaseinclusociertoniveldeexperienciay
habilidades,hemostratadodemantenerellenguajeconlamayorsencillezposible.
Elmodeloestformadonoporunaseriedeaccionesquesedebenseguircomounareceta,sinoporun
conjuntodefuncionesindividuales,casisiemprecorrespondientesaunaseccinoinclusoaunaregla
quepuedenserutilizadoslibrementeporelauditor,siempreycuandocumplalosrequerimientosde
entradadedatosdelafuncin.
5
6
SMTP:SimpleMailTransferProtocol
AtaquesdeNegacindeServicios(DoSenIngls)Esteeseltipodeataquemspeligrosoydifcildedeteneraquese
puedeenfrentarunadministradordeseguridad.Sebasaenagotarlosrecursosdelsistemaatacadosolicitandoms
serviciosque los que esteestpreparadopara entregar.Comomuchas veces setratade peticiones idnticas alas
legitimasesmuydifcilsepararlasqueformanpartedelataquedelasqueno.
21
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Lasintaxisutilizadaeslasiguiente:
PARAObjetivoacciones
SI Condicin ENTONCES Acciones o Conclusiones [DE LO CONTRARIO Acciones o
Conclusiones]
Sehansubrayadolaspalabrasreservadasporellenguajeparaquenoseanconfundidasconpartedel
texto descriptivo.Las acciones puedenser reglasollamadas aotrassecciones osimplemente una
prueba.
Por objetivo se entiende la meta que se busca alcanzar al realizar una determinada accin. Una
condicinesunoovarioselementosquedebenserevaluadospreviamenteyquedefinenelambientede
ejecucin delasaccionesquesiguen.Unacondicinpuededefinirlapertinenciadelaejecucinde
unaaccinulterior.Lasconclusionesserefierenalasrecomendacionesqueelresultadodelaejecucin
de una accinindican y que deben ser partedel informe final.Los elementos encerrados entre
corchetessonopcionales.
Unaaccinpuedensergruposdesubtareasoaccionesindividuales.Lassubtareaspuedenencontrarse
inmediatamenteenlaseccinoserllamadasaotrasfuncionesinclusofueradelmduloqueseejecuta.
Veamosnuevamenteelejemploutilizadoanteriormenteidentificandocadaunalaspartesdelasintaxis
descrita.
Objetivo
PARAVerificarlaefectividadyseguridaddelastcnicasdeprevencindeataquesdel
tipoDoS
VerificaropcinMaxDaemonChildren.SI"lapruebafalla"ENTONCESRecomendar
corregirestasituacin .
Accin
Condicin
Conclusin
Ilustracin5:Ejemplodelasintaxisutilizadaenelmodelopropuesto
Especialatencinmerecelaexpresinsilapruebafalla.Cadapruebadefinecondicionesdiferentes
paralafallaoxitodelamisma.Elmodelodefinecondicionespositivasynegativas,esdecirsebusca
guiaralauditorparaverificarlaexistenciadeloselementosmnimosimprescindiblesparagarantizarla
seguridadyasuvezdescartarelementosquenodebenestarpresentes.Portalrazn,lascondiciones
22
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
sonparticularesparacadaprueba.Todaslascondicionesdeestetipotienenunareferenciaqueda
algunoscriteriosparaqueelauditordefinaelxitoonodelaprueba.Sivolvemosalejemploquenos
haservidodereferenciapodemosverquelareferenciadice: Falladelapruebasignificaque el
nmerodedemoniosquemanejasendmailnoestdeacuerdoalflujorealdemensajesdelservidor.
Como puede observarse, los criterios que se dan para definir la falla o no de una prueba son
referenciales.Nopuedeserdeotraforma. Lasvaloresquesirvenparaunacondicinpueden ser
insuficientesparaotra.Poresaraznnoshemoslimitado,enlamayoradeloscasos,adarloscriterios
paraqueseaelauditorquiendefina,deacuerdoamltiplesfactoresquedependendelascondiciones
enqueejecutalaauditora.
Existeotrotipodereferenciasmsespecficas.PorejemploenlamismaseccinSendmaildelmdulo
Revisioneslareferencianmero183dice:Cualquierversinanteriora8.9.3debesercompletamente
sustituida,novalelapenaauditar.Enestecasolareferenciaestableceunacondicinobligatoriaque
debeserseguidaporelauditoryquenopuedesercambiadaporningunacondicinespecial;toda
versin de Sendmail anterior a 8.9.3 tiene suficientes errores como para que la recomendacin
inmediataeineludibleseasusustitucin.
Elusodereferenciasfacilitalasencillezdellenguajeenquesehaescritoelmodelosinpermitirquese
pierdariquezayprofundidadenloscriteriosqueayudenalauditor.Nohayqueolvidarqueelmodelo
nopretendeserunarecopilacincompletadeconocimientosniunarecetaexactaydebajonivel de
auditora,sinounaguaparalaejecucindeprocesosdeauditorahomogneosytilesquepuedaser
modificada de acuerdo a las condiciones especiales en que se ejecute e incluso a los cambios
tecnolgicos. Elauditornodebeesperarqueelmodelosustituyasu experiencia,su intuicinyel
anlisisdelascondicionesespecialesdecadasitioauditado,porelcontrarioelmodelosebasaenellos
y solo establece un patrn a seguir para obtener resultados acordes a las necesidades de una
organizacincomolaUniversidaddeLosAndes.
23
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
2.4Descripcindelosmdulosqueconformanelmodelo
Comohemosdefinidoanteriormenteelmodelopropuestoestconstituidopor4mdulos.Estosson:
A)
B)
C)
D)
Definicindelascondiciones
Definicindelascaractersticastcnicas
PruebasdePenetracin
Revisiones
Enestaseccindefiniremosmsendetallelosobjetivosdecadamdulo,elporqudesuseleccin,as
comodelasseccionesquelocomponen.
2.4.2Mdulo:Definicindelascondiciones
Elobjetivoprincipaldeestemduloesdefinirlosdetallesdelprocesodeauditoraarealizar.Este
mdulo debe siempre realizarse antes del inicio del proceso de auditora. Cualquier proceso de
auditoradebecomenzardefiniendolosdetallesqueconstituyenlasalidadeestemdulo.Alejecutarlo
losresponsablesdeauditoradebensercapacesdedefinir:
ObjetivosGenerales.
Alcance.
Necesidadesdeinformacinparaeliniciodelaauditora.
Conformacindelequipoauditor.
Requerimientostcnicosdelequipoauditor.
Conformacindelacontraparte.
Cronogramadeentregas.
Requisitosdeconfidencialidadyretornodeinformacin.
Condicionesdegarantadelosresultados.
Definiremos cada una de esas unidades de informacin al momento de presentar las reglas que
producenacadaunaenestemdulo.
Estaetapadelprocesodeauditoraesposiblementemsgerencial quetcnica,yesunadelasms
importantes. Una auditora de calidad debe enfocarse en criterios claramente definidos y
documentados.Segn[HMATS] Laauditorasolamentesellevaacabosi,luegodeconsultarconel
cliente,esopinindelauditorlderque:
Existeinformacinsuficienteyapropiadasobreeltemaaauditar
Existenrecursosadecuadosquerespaldenyavalenelprocesodelaauditora.
24
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Existeunacooperacinadecuadaporpartedelauditado.
Para asegurar la objetividad del proceso de auditora, sus resultados y cualquier conclusin, los
miembros del equipo auditor deben ser independientes de las actividades que auditan, deben ser
objetivos,ylibresdetendenciaoconflictodeinteresesduranteelproceso.[KLHCA]
Ademsdeladefinicindemetas,objetivosyelalcanceunodeloselementosfundamentalesquedebe
salirdeestemduloeslaconformacindelequipoauditor.Dichoequipodebeserunacombinacin
adecuadadeconocimientostcnicosyexperienciacomoauditor.
2.4.3Mdulodefinicindelascaractersticastcnicas
Elobjetivofundamentaldeestemduloesdefinirlosdetallesdelaredqueserauditada.Elmismo
debe realizarse ANTES del inicio de las pruebas y revisiones y DESPUS de haber definido las
caractersticasdelprocesodeauditora.
Comoresultadodelaejecucindelmdulo,elequipoauditordebeobtenerelinventariocompletodela
arquitecturaquedeberserauditada,incluyendo:
Espaciodedirecciones
Mecanismosdedistribucindedirecciones
Descripcindeconexiones
Dispositivosdered
Servidores
Estacionesclientes
DispositivosdeSeguridad
Estemduloestcompuestoporlassiguientessecciones7:
A)
B)
C)
D)
E)
F)
G)
CaracterizarelrangodeIPqueutilizalaorganizacin
DefinirlaformaenqueseasignanlasdireccionesIPdelaorganizacin
Definirlosdispositivosdered
Definirestructuradedominios
Caracterizarlosenlacesdecomunicacionesexistentes
Caracterizarcadaequiposervidor
Caracterizarequiposclientes
Cadaseccindelasmencionadasanteriormenteestconstituidaporvariaspruebas.Luegodeejecutar
elmdulo,elequipoauditordeberatenerunavisinmuycompleta,desdeelpuntodevistatcnico,
delsitioaauditar.Muchasvecesesteconocimientopermitevalidaroinclusodesecharinformacin
ofrecidaporelauditadoenelprimermdulo.Talfueelcasodelescenarioenqueseprobelmodeloy
7
Siellectorutilizaunaversindigitaldeestedocumentopodrutilizarloshiperenlacesestablecidosencadaseccinpara
revisardirectamenteelcdigocorrespondienteenelmodeloqueseencuentraenelsiguientecaptulo.
25
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
queserdescritomsadelanteenestedocumento.
Laparticipacindelauditorenestemduloesactiva.Losresultadosseobtienenrealizandopruebas,
algunasdeellasinclusointrusivas,enlareddelauditado.
Elmdulopudieseserdivididoen2grandesgruposdereglas.Lasprimerastienencomoobjetivola
caracterizacindelosrangosdedireccionesIP(Ipv4Ipv6)queutilizaelsitioauditado,incluyendo
direccionesvirtuales,direccionesprivadasydireccionesfijas,ascomoelmecanismoporelcualestas
direccionessonasignadas.Elsegundogrupodereglasestnpensadasparacaracterizartcnicamente
losequiposquesernauditados,incluyendoequiposdecomunicaciones,servidores,estacionesclientes
ycualquierdispositivocapazdemanejarinformacinyqueseencuentredentrodelosobjetivosdela
auditora.
Comoresultadodeesteprocesopudiesesernecesarioreevaluarlosresultadosdelprimermdulo,al
descubrir el equipo auditor condiciones tcnicas no declaradas que cambien el alcance u otros
elementosdesalidadelmdulo1.
2.4.4MduloPruebasdePenetracin
Estemdulodefinelasaccionesallevaracabopararealizarpruebasdepenetracinexternaseinternas
sobrelaarquitecturabajoestudio.AntesdecontinuaresnecesariodefinirqueseentiendeporPruebas
dePenetracin.Lasiguientedefinicin[SHENS]esmuycompleta:
Las pruebas de penetracin o "ethical hacking", son un conjunto de metodologas y tcnicas
para realizar una evaluacin integral de las debilidades de los sistemas informticos.
Consisteenunmodeloquereproduceintentosdeaccesoacualquierentornoinformticodeunintruso
potencialdesdelosdiferentespuntosdeexposicinqueexistan,tantointernoscomoexternos.
Paralaejecucindelaspruebasdepenetracindebenseguirselassiguientesreglas[MSSPT]:
Lapruebadepenetracindeseguridadseiniciarecopilandotodalaposibleinformacinrelativa
alainfraestructuraylasaplicacionesinvolucradas.Estepasoesfundamental,yaquesinun
conocimientoslidodelatecnologasubyacente,podranomitirsealgunaspruebasdurantela
fasedepruebas.
Losauditoresdeberanintentarexplotartodaslasvulnerabilidadesdescubiertas.Ancuandola
explotacinfalle,elauditorobtendraunmayorconocimientodelriesgodelavulnerabilidad.
Cualquier informacin obtenida verificando las vulnerabilidades (por ejemplo, errores de
programacin, obtencin de cdigo fuente, u otro descubrimiento de informacin interna)
deberautilizarseparavolveraevaluarelconocimientogeneraldelaaplicacinycomose
ejecutasta.
Si, en cualquierpuntodurantelaprueba,sedetectaunavulnerabilidadquepueda llevar al
compromisodelobjetivoopuedamostrarinformacincrticaparalaorganizacinauditada,
26
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
debe ponerse en contacto inmediatamente con la contraparte auditada y hacer que tome
concienciadelriesgoinvolucrado.
Esimportanteentenderlaposicindelauditordurantelaejecucindelaspruebasdepenetracin.El
auditordebecomportarsecomounatacantequebuscaencontrarsitiospordondepenetraryluego
comprometerlainfraestructuradeITdelaorganizacinauditada. Eneseprocesoobtenerlamayor
cantidadposibledeinformacindelaorganizacinnoesunprocesorepetitivo(tomandoencuentalos
mdulosanteriormenteejecutadosdelmodelo).Aquelobjetivoylosmtodossondiferentes.Sebusca
encontraraquelloqueunintrusopudiesellegaraconocerdelaorganizacin.Nodebeolvidarsequeel
conocimientodetalladodelaorganizacinesunodelosprimeroselementosqueprocurarunatacante.
Veamosunejemplo.ElatacantesabequelaorganizacinalaquedeseaatacartieneunservidorWEB
pero, Que versin posee del demonio web? Se permite que los usuarios coloquen sus propias
pginas?Qusistemaoperativoestcorriendoelservidor?[SILHTCP][SHENS][MSSPT][FORUG]
Estossonalgunosdeloselementosqueelatacantedesearaconocerantesdecomenzarsuataque.Otro
ejemplofueobtenidodelaejecucindelaspruebasdelmodelo:duranteelprocesodeauditorase
descubrielrangodedireccionesprivadasdelsitioauditado,comoconsecuenciasdeerroresenla
configuracindeservicioDNS.Estainformacinnohabasidosuministradaaliniciarelprocesode
auditoraypermitiaccederdemaneramssencillaainformacinconfidencialdelsitioauditado.
Unavezconocida,siguiendolosmtodosdeunatacante, lamayorcantidaddeinformacindela
empresaauditadaelsiguientepasoserverificarlasvulnerabilidadesyerroresdelasaplicacionesque
seidentifiquen.Enesteprocesoesmuyimportantedescartarfalsospositivosynegativos8.
Lasalidadelmdulodebeseruninventariocompletodelasvulnerabilidades(incluyendoelaccesoa
informacindelaorganizacin,lossistemas,etc...)yerroresencontradosconsuscorrespondientes
nivelesdeponderacinyunglosariodelasevidenciasquesoportenloshallazgosrealizados.
Estemduloestcompuestoporlassiguientessecciones:
A)
B)
C)
D)
E)
F)
G)
H)
I)
8
DefinirarquitecturadeITsinconocimiento
GenerarcondicionesdeDoS
9
EjecutarPruebascontraFirewalls
IdentificarvulnerabilidadesenServidoresWEB
IdentificarerroresbsicosdeconfiguracinenservidoresSMTP
Identificarerroresbsicosdeconfiguracinenambientesinalmbricos
IdentificarerroresdelaconfiguracinbsicadeservidoresUnixGNU/Linux
Fisgonearinformacinsensibleenlared
IdentificarerroresbsicosdelaconfiguracindeservidoresWindows
Situacionesqueparecenerroresperonolosonyviceversa,situacionesqueparecennormalesyqueenrealidadesconden
erroresovulnerabilidadesserias.
NegacindeServicios
27
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Dependiendodelascaractersticastcnicaspudiesenoaplicartodaslassecciones.Laseleccindelos
objetivoshasidorealizadatomandoencuentalosserviciosdeRedULAypudiesenservirparala
mayoradelasorganizaciones.
28
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
2.4.5MduloRevisionesdelasConfiguraciones
Aunquelarealizacindelaspruebasdepenetracinesunelementomuyimportanteydaunavisinde
loqueunintrusopudiesehacer,noessuficiente.Existenotrasmuchascondicionesderiesgoqueno
sernencontradasduranteunprocesodeintrusinyquesinembargopudiesenacarrearproblemasde
seguridad. Pongamos un ejemplo: una particin de disco de un servidor con poco espacio,
consecuencia de una mala planificacin de capacidades, pudiese significar la paralizacin de un
servicioperodifcilmenteserencontradaporunintruso.Supongamosqueunintrusodeseaprobarel
sistemadecorreodeunaorganizacin.Parahacerlogeneracorreoscondireccionesfalsas (falsoel
nombredeusuario,noeldominio).Encondicionesnormaleselsistemareenviaraldominiodedestino
elmensajeyrecibirunmensajedequeelusuarionoexiste.Esteprocesollevaraaumentareltamao
de las colasdecorreoyeventualmentehar colapsaraunsistemamaldimensionado.El atacante
posiblementebuscabaotroobjetivoperoconsiguilaparalizacindelsistemadecorreo.Ejemplosde
estetipoexistenmuchos.
Porlaraznantesexpuestasehacenecesarioun tipodeauditorasistemtica,enlaqueelauditor
revisaungrupodeelementosadicionalesqueestnrelacionados.Encontrarestetipoderelacioneses
elobjetivodelmdulomsextensoycomplejoqueincluyeelmodelo:LasRevisiones.
Porlaextensinycomplejidaddeestemduloharemosunrevisinmsdetalladadecadaunadelas
seccionesquelocomponen.
Estemduloestcompuestoporlassiguientessecciones:
A)
B)
C)
D)
E)
F)
G)
H)
I)
RevisindelaSeguridadFsica
RevisindeServidoresUNIX
RevisindeServidoresyEstacionesWindows
RevisindeServidoresSendmail
RevisindeServidoresApache
Revisindelainfraestructurainalmbrica
RevisindelSistemadeDeteccindeIntrusos
RevisindeDispositivosFirewalls
RevisindelasPolticasdeSeguridad
Lasalidadelmduloesuninventariocompletodelasvulnerabilidadesdetectadasduranteelproceso
derevisinsistmicaascomodelasrecomendacionesparasuperarlascondicionesencontradas.Tal
comoconlosotrosmdulos,cadareglaopruebatieneasociadounniveldeponderacinquepermitir
al auditor dar un valor cuantitativo final del nivel de seguridad del auditado. A continuacin
describiremosconmsdetallescadaunadelasseccionesqueconformanestemdulodelmodelo.
29
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
A.RevisindelaSeguridadFsica
Elresultadodeestaseccinesencontrarcondicionesquedentrodelainfraestructurafsica,nodeIT,
pudiese influir en la seguridad de esta ltima [GPMASF]. Entre las condiciones que se busca
verificarseencuentran:
Losmecanismosdecontroldeaccesofsicoalasinstalacionesquealbergancomponentesdel
sistemadeIT.
Queexistanmecanismosderespuestaautomticaanteintrusionesosituacionesanmalas.Ej.
aumentodetemperatura,fuego,temblores.
Queexistanmecanismosadecuadosdeproteccinderespaldosydelosequiposanteamenazas
dehurtoodestruccinaccidental.
Queexistanmecanismosadecuadosdecontroldelascondicionesambientalesquepudiesen
influirenelfuncionamientodelatecnologa,mediosdealmacenamientouotros.
Queexistanmedidasdecontingenciaantesriesgosfsicosyqueestosestnacordesalas
condicionesdellugaryqueelpersonalhasidoentrenadoylosconoce.
Queexistanfuentesadicionalesdesuministroelctrico.
Quelosequiposdesuministroelctricoestnadecuadamentedimensionadosyprotegidos.
B.RevisindeServidoresbasadosenUnix.
El objetivo de esta seccin es encontrar condiciones de riesgo en equipos que utilicen sistemas
operativos basados en Unix ( incluyendo GNU/Linux) siguiendo a
[CEUSC][BAMLSS][GAPUIS][UWUSS]. Entre las condiciones que se busca revisar estn las
siguientes:
VerificarSeguridaddelSistemadeArchivos
Verificar los procesos activos, su forma de inicio y la seguridad bsica de los
mismos
VerificarlaSeguridaddeContraseas
Verificarlaseguridaddelsistemademanejodeusuarios
Verificarlaefectividadyseguridaddelsistemaderespaldos
Verificarlaefectividadyseguridaddelsistemadedeteccindeintrusos
Verificarlaefectividadyseguridaddelsistemadebitcoras
Verificarlaefectividadyseguridaddelsistemadecontroldeacceso
VerificarlaefectividadyseguridaddelsistemadedirectoriosNFS
30
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
C.RevisindeServidoresyEstacionesbasadosenWindows
El objetivo de esta seccin es encontrar condiciones de riesgo en equipos que utilicen sistemas
operativos de la familia Microsoft Windows[CEWCG][WISCO][SMITSW][MICTHGO]. Entre las
condicionesquesebuscarevisarestnlassiguientes:
Verificarlaseguridaddelsistemacontroldeusuariosycontraseas
VerificarlosatributosdeActiveDirectory(
AD
)
Verificarlaexistenciadep
ermisologamnima
Verificarlaseguridaddelaconfiguracinbsicalosserviciosylasactualizaciones
VerificarlaproteccindelstackTCPIP
Verificarlaefectividadyseguridaddelsistemadeauditorainterna
Verificarlaseguridaddelaconfiguracinbsicadecontroladoresdedominios
VerificarlaefectividadyseguridaddelosservidoresDNS
VerificarlaseguridaddelaconfiguracinbsicadelservicioTerminalServer(TS)
VerificarseguridaddelaconfiguracinbsicadelosservidoresDHCP
VerificarseguridaddeservidoresWINS
D.RevisindeServidoresSMTPbasadosenSendmail
Verificarquelaversinutilizadanocontengaerroresinsuperables
Verificarlascondicionesgeneralesdefuncionamientodelservicio
VerificarlaefectividadyseguridaddelastcnicasAntiRelay
Verificarexistenciadeserviciosdeautentificacin
VerificarlaefectividadyseguridaddelastcnicasdeprevencindeataquesdeltipoDoS
31
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Verificarlaseguridaddeotrasopciones
E.RevisindeServidoresApache
ContrarioaloquesucedeconSendmail,Apache[APASF][FORUG][RISASE]eselservidordeWEB
quedominanosloparasistemasbasadosenUnixGNULinuxsinoinclusoenelmundoWindows.
ApesardequeMicrosoftproducesupropioservidorweb(InternetInformationServer)estenotiene
lasprestacionesdesdeelpuntodevistadeseguridaddeApache.ApacheeselservidorWebutilizado
porRedULA.Porestasrazones,ApachehasidoseleccionadocomoservidorWebparaelmodelode
auditora.
Estaseccincubrelossiguientesaspectos:
VerificarlaSeguridaddelascondicionesgeneralesdelainstalacin
VerificarlaSeguridaddelambientedeejecucindeCGI
VerificarlaSeguridaddelesquemadeproteccingeneral
F.RevisindelaInfraestructuraInalmbrica
Actualmenteeldesarrolloinalmbricoesunodelosaspectosquedistingueelcrecimientodelasredes
dedatos.RedULAsehaenfrascadoenesecamino.Porotrolado,sibienlautilizacindetecnologas
inalmbricaspermiteampliareldesarrollodelasredesdedatosyamplasucampodeincidencia,trae
consigoungrupoimportantederiesgos[FNWSC][CCWSC][SCANS][[FOLVIW].Porejemplounared
malconfiguradapermitiraelaccesodesdesitiosremotos.Enlaterminologadeseguridadsellamaa
esas redes redes dulces. El centro de la ciudad de Mrida es un ejemplo de lo que hemos
mencionado.Variasredesinalmbricacoexistenenesteambientesinproteccinporloqueesposible
conectarseamuchasdeellaseinclusoaccederalosrecursosinternosdelasorganizaciones.
Lossiguientesaspectossoncubiertosporestaseccin:
Verificarlaseguridaddelesquemadeautentificacinycontroldeacceso
VerificarlaseguridaddelsistemaDHCP
Verificarlosmecanismosdecontroldeintegridadyconfidencialidad
VerificarlaSeguridaddelentorno
32
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
G.RevisindelaInfraestructuradeDeteccindeIntrusos
Unodeloselementosqueconformanactualmentecualquiersistemadeproteccinsonlosdetectoresde
intrusos. Como los programas antivirus, un detector de intrusos busca patrones que puedan ser
identificadosenestascircunstanciasnocomovirus,sinocomointrusiones,trficonopermitidoofuera
derango,comportamientoanmalodelossistemas,etc.
Existenvariassubdivisionesdelossistemasdedeteccindeintrusos[SILHTCP].Aqunosreferiremos
alasdosmscomunes. Ladivisinentreellossebasaenelsitiodonderealizanlabsquedade
patrones.Losdetectoresdeintrusosbasadosenredbuscanpatroneseneltrficoentiemporealque
circulaporlared.Losdetectoresdeintrusosbasadosenservidoresrealizansufuncinbuscandoenlas
bitcorasdelossistemasqueprotegen.
Elxitodeunsistemadedeteccindeintrusossebasaenlacorrectaconfiguracindelosfiltrosde
trfico.Unfiltromuyestrictogenerartantasalarmasqueserpocoutilizableyserdifcilencontrar
informacinrealmentetildentrodeunagrancantidadderegistrosdealarmaspocosignificativas.Lo
contrarioocurresilosfiltrossonmuydbiles,enestecasonoseregistrarnlasalarmasnecesarias.
Otroaspectoesqueeldetectordeintrusosverifiquetodoslossitiosdeaccesooservidores.
Estaseccincubrelossiguientesaspectos:
VerificarlaconfiguracinbsicadeseguridaddeunDetectordeIntrusosBasadoenred
(NDIS)
VerificarlaseguridaddelsistemalosSistemasdeDeteccindeIntrusosbasadosenhost
H.RevisindeDispositivosFirewalls
Losdispositivoscortafuegos(firewalls)sonunodelosbaluartesdecualquiersistemadeseguridad.
Muchossonlosaspectosquedebentomarseencuentaparaqueundispositivofirewallsearealmenteun
dispositivo til [ZWBIF][TCHRFC]. Hemos seleccionados aquellos ms importantes y que estn
directamente relacionados conelcumplimientode las funcionesde seguridadinformtica para las
cualesunaorganizacincolocaundispositivofirewallensured:
Verificarefectividaddelasreglasdefiltrado
33
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Verificarefectividaddelaspolticasdemantenimientodelaconfiguracin
Verificarconfiguracinyseguridaddelsistemadebitcoras
I.RevisindelasPolticasdeSeguridadInformtica
Aunquemuchasvecessuelesubestimarsesuimportancia,laexistenciadePolticasdeSeguridaddentro
deunaorganizacinesunodeloselementosesencialesparaquelasmetasdeseguridadinformtica
puedan ser cumplidas adecuadamente.
Existenmuchosdocumentosquetratansobrecomoimplantarcorrectamenteunapolticadeseguridad
organizacional y que elementos debe contener esta. El documento que casi todos los expertos
reconocencomolaguafundamentaleselISO17799[CRISPMS][ISO17799].Estaltimasesindel
modeloestbasadoenl.ElISOestcompuestopor10captulos:
CAP1DelaPropiaPolticadeSeguridad
CAP2SeguridadOrganizacional
CAP3ClasificacinyControldeActivos
CAP4SeguridadPersonal
CAP5SeguridadFsicayAmbiental
CAP6GestindeOperacionesyComunicaciones
CAP7ControldeAcceso
CAP8DesarrolloyMantenimientodeSistemas
CAP9GestindelaContinuidaddeNegocio
CAP10CumplimientodelMarcoJurdico
Deigualmanerahansidoorganizadoslosaspectosdentrodeestaseccindelmodelo:
VerificarelcumplimientodelosobjetivosdelCap1ISO17799
VerificarelcumplimientodelosobjetivosdelCap2ISO17799
VerificarelcumplimientodelosobjetivosdelCap.3,ISO17799
VerificarelcumplimientodelosobjetivosdelCap4ISO17799
VerificarelcumplimientodelosobjetivosdelCap.5ISO17799
VerificarelcumplimientodelosobjetivosdelCap6ISO17799
VerificarelcumplimientodelosobjetivosdelCap7ISO17799
34
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
VerificarelcumplimientodelosobjetivosdelCap8ISO17799
VerificarelcumplimientodelosobjetivosdelCap.9ISO17799
VerificarelcumplimientodelosobjetivosdelCap10ISO17799
Enestecaptulohemosdescritolaarquitecturageneraldenuestromodelodeauditoriaqueest
compuestopor4mdulosogruposfuncionales.Enelcaptulosiguientesedesglosanlosdetallesde
cadaunodeesosmdulosalniveldeseccionesyluegodelasreglasdelcmoprocederencada
seccin.
35
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Captulo3.ModelodeAuditoradeSeguridadparaRedULA
Eltrabajodeauditoraconsistedelaejecucindelprocedimientoquesemuestraacontinuacin:
DesarrolloGeneral
PARARealizarunprocesodeauditoradeseguridad{
I. Definicindelascondicionesdelprocesodeauditora
II. SI Se realiz Definicin de las condiciones del proceso de auditora ENTONCES
Definicininicialdelascaractersticastcnicasdelsistema
III.SISerealizaronIyIIYEsrequerido10ENTONCESPruebasdePenetracin
IV.SISerealizaronIyIIYEsrequerido11ENTONCESRevisiones
}
Desdeluego,esteeselmsaltoniveldeabstraccindelproceso.Acontinuacin,desglosamoslos
detalles:
10
11
SerefiereaquelafuncinDefinicinInicialdeloscondicionesdelprocesodeauditoraproduzcalanecesidadde
realizarpruebasdepenetracinsinconocimientoparalaejecucindelprocesodeauditora.Laspruebasdepenetracin
puedenrealizadasporseparado,sinnecesidadderealizarotraspruebas.
SerefiereaquelafuncinDefinicinInicialdeloscondicionesdelprocesodeauditoraproduzcalanecesidadde
realizarRevisiones.Porreglagenerallasrevisionessonsiemprerequeridasanoserquesetratedeunejercicioslode
PruebasdePenetracin.
36
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Definicininicialdelascondicionesdelprocesodeauditora
Objetivodeestemdulo: Definirlosdetallesdelprocesodeauditoraarealizar.Estaseccindebe
realizarseANTESdeliniciodelprocesodeauditora.
Salida:Definicindelosdetallesdelproceso.Asaber,
ObjetivosGenerales.
Alcance.
Necesidadesdeinformacinparaeliniciodelaauditora.
Conformacindelequipoauditor.
Requerimientostcnicosdelequipoauditor.
Conformacindelacontraparte.
Cronogramadeentregas.
Requisitosdeconfidencialidadyretornodeinformacin.
Condicionesdegarantadelosresultados.
1. PARADefinicinInicialdelascondicionesdelprocesodeauditora
1.1Identificarlosobjetivosgeneralesdelprocesodeauditora
1.2Definirelalcancedelprocesodeauditora
1.3Definirlainformacinquedebeserentregadaporelauditadoparacomenzarelprocesode
auditora
1.4Deacuerdoalosobjetivosdelaauditora,definirconformacindelequipoauditor
1.5Deacuerdoalosobjetivosdelaauditoradefinirlosrequerimientostcnicos
1.6Definir con el auditado los detalles de la conformacin del equipo profesionales que
acompaaralequipoauditorylosmecanismosdecomunicacinentreellos
1.7Definirconelauditadoelcronogramadeentregas
1.8Definirconelauditadolosrequerimientosdeconfidencialidad,losmecanismosdeentrega
deinformacinyderetornodelainformacinentregadaaliniciodelproceso
1.9Definirconelauditadolosdetallessobreelprocesodegarantadelosresultadosunavez
concluidalaauditora.
37
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Definicintcnicainicialdelsistema.
Objetivodeestaseccin:Definirlosdetallesdelaredqueserauditada.Estaseccindeberealizarse
ANTESdeliniciodelaspruebasyrevisionesyDESPUESdehaberdefinidolascaractersticas del
procesodeauditora.
Salida:Inventariocompletodelaarquitecturaquedeberserauditada,incluyendo:
Espaciodedirecciones
Mecanismosdedistribucindedirecciones
Descripcindeconexiones
Dispositivosdered
Servidores
Estacionesclientes
DispositivosdeSeguridad
DESARROLLO:
PARACaracterizarTcnicamenteelSistemaaAuditar{
I. CaracterizarelrangodeIPqueutilizalaorganizacin
II. DefinirlaformaenqueseasignanlasdireccionesIPdelaorganizacin
III.Definirlosdispositivosdered
IV.Definirestructuradedominios
V. Caracterizarlosenlacesdecomunicacionesexistentes
VI.Caracterizarcadaequiposervidor
VII.Caracterizarequiposclientes}
1. PARACaracterizardelrangoIPqueutilizalaorganizacin
1.1SI
"elrangodedireccionesinternasesprivado"ENTONCES
1.1.1PARADefinirelesquemadenumeracindelasdireccionesIP
encontrando:
1.1.1.1DireccionesVIP(VirtualIP)(externas)
1.1.1.2Mapasdetraduccindedirecciones
1.1.1.3Rangos de direcciones de salida especificando
direccionesquecorrespondenacadaVIPyalpoolde
lared.
1.1.1.4FormaenqueseasignanlasdireccionesIP(estticas
oporDHCP)
1.2SI"elrangodedireccionesinternasespblico"ENTONCESDefinirquien
38
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
eselproveedoroficialdelrangodedireccionesyconquienessecomparte(
vecinosmascercanosenambossentidos)
2 PARA
DefinirlaformaenqueseasignandireccionesIPparalaorganizacin
2.1SI
"las direcciones son asignadas dinmicamente" ENTONCES Definir
cualessonlosservidoresDHCP
2.1.1.1Porcadaunoencontrarlosparmetrosdeasignacin
delasdireccionesIPestableciendo,comomnimo:
2.1.1.2Rangodedireccionesasignables
2.1.1.3Asignacinestticadedirecciones
2.1.1.4DNSasignados
2.1.1.5Rutasporomisin
2.1.1.6Impresorasdered
2.1.1.7ServidoresWINS
2.1.1.8ServidoresdeDominio
2.2DELOCONTRARIODefinirelmapacompletoderangosdedirecciones
asignadasencontrando:
2.2.1Direcciones12asignadasaservidores
2.2.2Direcciones asignadas a dispositivos de
telecomunicaciones
2.2.3Direccionesasignadasadispositivosdeofimtica
2.2.4Direcciones asignadas a estaciones clientes y otros
dispositivos
2.2.5Direccioneslibres
2.2.6Mecanismo gerencial de asignacin de direcciones ( si
existealgnprotocoloparalaasignacin)
3 SI
"existeunambientehbrido13ENTONCESDefinirparacadaambienteloestablecido
enlospuntos1y2.
3.1Establecerelpuntodeunindeambosambientes
3.2Definirlapolticadepertenenciaacadaambiente
4 PARADefinirlosdispositivosdered14queexisten
4.1DefinirFuncin
4.2DefinirMarca,modeloyfabricante
4.3DefinirSistemaOperativo,versinyparches(siaplica)
4.4DefinirRelacindedependenciaconotrosdispositivos
12
13
14
AefectosesencillezsehacolocadosloeltrminodireccinIP.Sesobreentiendequeserefieretambinalamscara
IPencadacaso.
Porhbridoseentiendecualquiercombinacindelasestablecidasanteriormente.ej.Existendireccionesprivadasy
pblicas,lasdireccionesseasignanporDHCPydeformaesttica"
Routers,VPNGateways,firewalls,NIDS
39
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
4.5DefinirServiciosqueejecutan15
4.6DefinirComunidadesSNMP
5 SI
existendominios16ENTONCES
5.1PARA
Definirestructuradelosdominios
5.1.1Definirintegracindelosmismos17
5.1.2Definirestructurajerrquicadelosmismosylafuncinde
cadaniveldelaestructura
5.1.3Definirresponsablesdecadadominio
5.1.4Definirfuncionesdecadadominio
5.1.5Definirladelegacindedominios
6 PARA
Caracterizarlosenlacesdecomunicacionesexistentes
6.1DefinirRedesqueinterconectan
6.2DefinirDispositivosinvolucrados
6.3DefinirAnchodebanda
6.4DefinirTecnologa
6.5DefinirCaractersticasdeseguridadqueseutilizan18
6.6DefinirPolticadeusodelmedio19
6.7DefinirProveedordeservicios
7 PARACaracterizarcadaequiposervidor
7.1DefinirModelo
7.2DefinirSistemaOperativo
7.3DefinirVersin
7.4DefinirServiciosqueseejecutan
7.5DefinirVersindelosservicios
7.6DefinirNiveldeactualizaciones
7.7DefinirLocalizacinfsica
7.8DefinirResponsable
7.9DefinirDispositivosconectados
7.10DefinirArquitectura(cantidaddememoria,tamaodedisco)
7.11DefinirSistemasdeproteccinelctrica
7.12DefinirSistemasAntivirus
7.13DefinirSistemasdeSeguridad
8 PARACaracterizarlosequiposclientes20
15
16
17
18
19
20
PorServiciosseentiende:HTTP,HTTPS,SMTP,SNMP,etc...
LDAP,AD,DNS,NIS
Serefierealaintegracinoperativa,porejemploentreDNSyLDAPAD
Ej:VPN,Cifradosimpledelainformacin,autentificacindelosbordesdelaconexin
ControldeProtocolos,enlacesP2P,controldeanchodebandaporperodosdetiempo,etc..
Enestecasoseestimadefinirlaarquitecturatpicamasgeneral
40
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
8.1DefinirModelo
8.2DefinirSistemaOperativo
8.3DefinirVersin
8.4DefinirServiciosqueseejecutan
8.5DefinirVersindelosservicios
8.6DefinirNiveldeactualizaciones
8.7DefinirLocalizacinfsica
8.8DefinirResponsable
8.9DefinirDispositivosconectados
8.10DefinirArquitectura(cantidaddememoria,tamaodedisco)
8.11DefinirSistemasdeproteccinelctrica
8.12DefinirSistemasAntivirusutilizados
8.13DefinirSistemasdeSeguridadutilizados
41
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Pruebasdepenetracin
DESARROLLO:
PARARealizarPruebasdePenetracin{
I. DefinirarquitecturadeITsinconocimiento
21
II. GenerarcondicionesdeDoS
III.EjecutarPruebascontraFirewalls
IV.IdentificarvulnerabilidadesenServidoresWEB
V. IdentificarerroresbsicosdeconfiguracinenservidoresSMTP
VI.Identificarerroresbsicosdeconfiguracinenambientesinalmbricos
VII.IdentificarerroresdelaconfiguracinbsicadeservidoresUnixGNU/Linux
VIII.Fisgonearinformacinsensibleenlared
IX.IdentificarerroresbsicosdelaconfiguracindeservidoresWindows}
1 PARA
Definirarquitecturasinconocimiento22desdelaInternet23
1.1Utilizandoherramientasdebsquedaautomatizadarastrearpuntosdeconexindelaredconel
exterior,servidoresvisiblesdesdeelexterior,rangodedireccionesdisponibles,anunciosdeDNS.
1.1.1SI
esposibleidentificarPuntosdeconexindelaredconelexterior ENTONCES
Recomendar revisar las polticas de control de acceso y transferencia de informacin va
ICPM,SNMP,etc...
1.1.2SIesposibleidentificarServidoresvisiblesdesdeelexteriorENTONCES
1.1.2.1PARA
caracterizarservidoresvisiblesdesdeelexterior
1.1.2.1.1DefinirVersindelosserviciosvisiblesdesdeelexterior.
1.1.2.1.2DefinirServiciosqueseofrecen.
1.1.2.1.3DefinirInformacindelaorganizacinobtenibleapartirdelosserviciosquese
ofrecen
1.1.2.1.4Buscarserviciosquenodebiesenserexpuestosalexterior.
1.1.3 SI esposibleidentificarRangodedireccionesdisponibles ENTONCES Recomendar
revisarlaspolticasdecontroldeaccesoytransferenciadeinformacinvaICPM,SNMP,
etc...
1.1.4SI
esposibleidentificaranunciosdeDNSENTONCESDefinirzonas
1.1.4.1SI
selograhacer transferenciasdezonas satisfactorias ENTONCES Recomendar
revisarlaseguridaddelosserviciosDNS.
21
22
23
NegacindeServicios
Serefierealarealizacindelaspruebassinconocimientosespecialesdelaarquitecturadelsitioauditadomsallde
queseaposibleobtenerdelainformacinpblicadelaorganizacin.
SeutilizaeltrminogenricoInternetparareferirseacualquierredfueradelpermetrodelaredauditada.
42
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
1.1.4.2SI
sepuedenhacerhacersolicitudesdedireccionesquenodeberanestarexpuestas 24
ENTONCESRecomendarrevisarlaspolticasdeinscripcinenDNS.
1.1.4.3UtilizandolainformacinrecabadadelDNSutilizarunaherramientadeenumeracin
paraobtenerellistadodeservidoresyhacerlacoincidirconlosservidoresidentificadosen
elpaso1.1.2
1.1.5 Ejecutarunrastreocompletodelrangodedireccionesdefinidasanteriormenteutilizando
soloSNMP25
1.1.5.1SI
selogranidentificarequiposutilizandoSNMPENTONCESRecomendarrevisin
delosparmetrosdeconfiguracindelosequiposidentificados
1.1.5.1.1Recomendarrevisindelaspolticasdefiltradodeinformacindelared.
1.1.5.1.2Tratardeidentificarlafuncindecadadispositivo.
1.2Utilizandolainformacindeobtenidaenelpaso1tratardearmarunmapalomsdetallado
posibledelaredaauditar.
1.3Utilizarvariasherramientasdebsquedadevulnerabilidadesyhacerunlistadocompletodelas
vulnerabilidades detectadas, eliminando aquellas que puedan ser determinadas como falsos
positivos.
2 PARAGenerarcondicionesdenegacindeservicios26
2.1SI
existenservidoresWEB ENTONCES Realizar pruebasdestressaumentandoelnivelde
cargaenhaciaelservidorparaencontrarelpuntodeinflexinderendimientodelservidorcontra
cargagenerada27.
2.2SI
existenservidoresdeCORREO ENTONCES Realizar pruebasdestressaumentandoel
nivel de cargaenhaciaelservidorparaencontrarelpuntodeinflexinderendimientodel
servidorcontracargagenerada28.
2.3SobrelosequiposdeCOMUNICACIONEScomenzaragenerartrficohaciaellos 29variando
eltipodetrfico,eltamaodelospaquetesylavelocidaddetransferencia.
2.4Generartrficohacaelbroadcast30delared.
2.4.1SI
serecibenmensajesderespuesta ENTONCES Recomendarrevisarlaspolticasde
filtradodetrficoenelrouterdebordeespecialmentelaprohibicindeenvo/recepcinde
paquetesenviados/dirigidosdesde/haciaelbroadcastdelasredesdetrsdelrouter.
2.5GenerartrficoSYNhaciaobjetivosseleccionadosenlaredbajoprueba.
2.5.1SI
selogragenerarcondicionesaltasdetrficoquecomprometanelfuncionamientodel
sistemaENTONCES SIElnivelcrticoselogradoconbajoniveldetrficoENTONCES
24
25
26
27
28
29
30
Ej.Estacionesclientes,direccionesprivadas,routers,firewalls,equiposdecomunicaciones
Utilizarlascomunidadesporomisinyaquellosnombresquepudiesenestarrelacionadosconlaorganizacinysu
entorno.
Estaspruebasdebernserrealizadasdesdeelexterioreinteriordelared.Cuandolaspruebasserealicendesdeel
exteriorytenganxitohabrqueRecomendarlarevisindelaspolticasdefiltradoycontroldeacceso.
Luegoestosvaloresdebersercomparadosconlasdimensionesdelapoblacinesperadaqueusenelservicio
Luegoestosvaloresdebersercomparadosconlasdimensionesdelapoblacinesperadaqueusenelservicio
Debesertrficoquepuedasermedidoenelpuntodeorigen.ICMPesunaexcelenteopcin.
Estapruebadeberserrealizadaconsumocuidadopuespuedeprovocarlacadadelsistemaauditor.
43
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Recomendar:
Ampliareltamaodelascoladeconexinenlosdispositivosafectados.
Disminuirelperododeestablecimientodelaconexin.
2.5.2Buscarevidenciasdedeteccindeltrficoanormal.
2.5.2.1SINoseencuentranevidenciasdequeeltrficohayasidodetectadoENTONCES
Recomendarimplantacindesistemasdedeteccindeintrusosbasadosenred.(NIDS).Y
recomendaraplicarlasactualizacionesnecesariasparapararydetectarInundacinSYN.
2.6Identificar los servidores DNS e intentar introducir datos falsos en los mapas durante las
transferenciasdezona31.
2.6.1SI
se logra falsear informacin ENTONCES Recomendar revisar la polticas de
seguridaddelservidorDNSeinstalarlasactualizalosserviciosDNS.
2.7UtilizarunprogramaSMBdie32paragenerarcondicionesdecadaalosservidoresWindowsX.
2.7.1Silapruebatienexito33ENTONCESRecomendaractualizarlosservidoresafectadosy
lapolticadefiltradoNETBIOSdesdeelexterior.
2.8SI
existen sistemas identificados como WINDOWS NT ENTONCES Generar trfico mal
formadodesdedireccionesescogidasdeformaaleatoriaycambianteyverificarnivelesdeCPU
de los sistemas atacados. SI la prueba tiene xito34 ENTONCES Recomendar evaluar la
necesidad de dimensionar adecuadamente las capacidades de procesamiento de los equipos
sometidosaprueba.
2.9Identificar servidores WEB que realicen autentificacin de entrada. Introducir contraseas
largas35. SI la prueba tiene xito36 ENTONCES Recomendar redisear las rutinas de
autentificacinparaquedetectenestacondicin.
3 PARA
Ejecutarpruebascontralosfirewalls
3.1SI
existenfiltrosdepaquetes ENTONCES Identificaridentificarlasreglasdefiltrado SI
lapruebatienexito37ENTONCESIdentificarreglasqueafectendirectamentelacapacidaddel
firewalldedarinformacinsobresimismo.
3.1.1.1Identificarreglasquelimitenelaccesoaserviciosinternos.
3.1.1.2Identificarfaltasenlareglasdefiltrado,especialmentedeterminandolaexistenciade
reglastolerantes.
3.1.1.3RecomendarelbloqueodepaquetesconICMPTTLEXPIRED
3.2Verificar la posibilidad de atravesar el firewall utilizando paquetes ICMP ECHO, ECHO
REPLAYyUDP.SIlapruebatienexitoENTONCES
Alertarsobrelaposibilidaddepasarelfirewallencapsulandotrficoenesosprotocolos.
31
32
33
34
35
36
37
UtilizandounatcnicadehombreenmedioentrelosservidoresDNS.
MicrosoftSecurityBulletinMS02045
xitoparaestapruebasignificaquelosservidoressecaen
xitoparaestapruebasignificaquelosservidoresaumentanlosnivelesdecargadeCPU
40000caracteresoms.
xitoparaestapruebasignificaquelosservidoresaumentanlosnivelesdecargadeCPU
xitoenestapruebasignificaquesepuedanidentificarqueserviciosestsiendofiltradosporelfirewall.
44
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Recomendarelbloqueoodesvodetrficocomoelsealado.
3.3Generar trfico segmentado hacia dentro de la red y verificar la poltica de control de
fragmentosdelfirewall.
3.3.1SI
elfirewalldetienesloelprimerpaqueteENTONCESAlertarsobrelaposibilidadde
pasartrficohacialaredutilizandoelrestodelosfragmentos.
3.3.2SI
elfirewalllosdetienetodos ENTONCES Alertarsobrelaposibilidaddeataquesde
DoS.
3.4SIexistenservidoresproxyENTONCESVerificarelaccesoannimodesdeelexterior.
4 PARA
IdentificarvulnerabilidadesenServidoresWEB
4.1Utilizar una herramienta especializada para la bsqueda de vulnerabilidades en servidores
WEB.
4.2SI
existenservidoresqueautentifiquenalosusuariosENTONCESEjecutarpruebasdefuerza
brutaydiccionariosparaencontrarclavesdbiles
4.2.1Obtenerelarchivo.htaccess(oelequivalente)utilizarunaherramienta 38 pararomperlas
contraseas almacenadas.Si lapruebatienexito ENTONCES Recomendarmejoradela
polticadecontraseas.
4.2.1.1Seleccionarlascontraseasencontradasypenetrarelsistema.
4.3PARA
IdentificarvulnerabilidadesenservidoresqueutilicenIIS
4.3.1ExplorarlaposibilidaddeutilizarcdigosASPdeejemplo39paraexplorarcdigofuentede
otrasaplicaciones.SIlapruebatienexito40ENTONCESRecomendarladesinstalacinde
loscdigosdeejemploaspeinstalarlosparchesdelfabricante.
4.3.2SI
esposibledescargararchivosutilizandolacadena::DATAENTONCESRecomendar
actualizacindeIIS.
4.3.3Enviar secuencia GET solicitando un archivo al servidor terminada por la sentencia
traslade:f. SI esposibleobtener unarchivo ENTONCES Recomendaractualizacin del
servidorweb.
4.3.3.1Verificarsidentrodelosarchivosobtenidosseencuentranclavesuotrainformacin
relevante. SI lapruebatienexito ENTONCES Recomendarrediseodelaaplicacin
paraocultarestetipodeinformacin.
4.3.4SI
existenformulariossinsistemasdeautentificacincapchaENTONCESRecomendar
elrediseodetodoslosformulariosparaincluirestetipodeelementos.
4.3.5 Explorar la posibilidad de utilizar aplicaciones tipo ISSHack para ejecutar comandos
remotos a travs del servidor.41 SI la prueba tiene xito42 ENTONCES Recomendar
actualizarelservidor.
4.4Utilizarunmotordebsquedasparadesitosdeadministracinincorrectamenteindexados. 43SI
38
39
40
41
42
43
Ej:JhontheRipper
showcode.aspycodebrws.asp
Utilizandoestasaplicacionessepuedeexplorarelcdigodeotrasaplicacionescomoboot.init
http://www.technotronics.com
xitoenestapruebasignificaquesepuedainstalarunprogramaenelservidor.
ej./admin,/password,/password.txt,type=hiddenname=price,etc...
45
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
lapruebatienexito44ENTONCESRecomendarrevisarcompletamentelaestructuradelsitio
WEBcomprometido.
4.5Generar procesos de inyeccin SQL contra el servidor45. SI la prueba tiene xito46
ENTONCES Recomendarredisearlosmecanismosdevalidacindeentradasiguiendoreglas
msestrictas.
5 PARAIdentificarerroresbsicosdeconfiguracinenservidoresSMTP
5.1Conectndosealpuerto25tratarde:
5.1.1Pasarsinhelo.SIlapruebatienexitoENTONCESRecomendarreconfigurarelservidor
decorreoparaquesolicitesiempreelcomandohelo.
5.1.2 Enviarcomandohelosinnombredemquina. SI lapruebatienexito ENTONCES
Recomendarreconfigurarelservidordecorreoparaquesolicitesiempreelnombre dela
mquina
5.1.3EnviarcomandoMAILFROM:conunnombrealeatoriosindominio.SIlapruebatiene
xito ENTONCES Recomendar reconfigurar el servidor de correo para que solicite el
dominio
5.1.4EnviarcomandoMAILFROM:utilizandoundominioquenoexista. SIlapruebatiene
xitoENTONCESRecomendarreconfigurarelservidordecorreoparaqueverifiquesiempre
laresolucindenombresdeldominiodeorigen.
5.1.5EnviarcomandoRCPTTO:utilizandounusuarionolocal. SI lapruebatienexito
ENTONCES Recomendarreconfigurarelservidordecorreoparaqueimpidaserutilizado
comoRELAY.
5.2Generarcorreoshaciaelinteriordelaorganizacinconattachnormalmentenoaceptados47SI
lapruebatienexito ENTONCES Recomendarreconfigurarelservidordecorreoparaque
filtrelosarchivosadjuntos.
5.3Generarcorreoshaciaelinteriordelaorganizacinconattachnormalmentenoaceptados 48SI
lapruebatienexito ENTONCES Recomendarreconfigurarelservidordecorreoparaque
filtrelosarchivosadjuntos.
5.4Generar correos hacia el interior de la organizacin desde direcciones reconocidas como
generadoresdeSPAM. SI lapruebatienexito49 ENTONCES Recomendar reconfigurar el
servidordecorreoparaquefiltrelasfuentesreconocidascomoSPAM.
6 PARA
Identificarerroresbsicosdeconfiguracindeambientesinalmbricos
6.1Utilizar herramientas de wardriving para identificar los puntos de acceso inalmbricos,
modelos, direcciones IP, tipos de cifrado. SI se detectan que existe control por MAC
ENTONCESclonarladireccinMACdelasestacinclienteyconectarsealared.Recomendar
queelfiltradoMACnoesunasolucinsatisfactoriadecontroldeacceso.
44
45
46
47
48
49
xitoenestapruebasignificaquesepuedaencontrarsitioscomolossealadosen24.
UtilizarunaherramientaautomatizadacomoWpoison.
xitoenestapruebasignificaseencuentrenvulnerabilidadesquepermitanefectuarlainyeccinSQL.
ej.Programasejecutables,archivosinfectadosconvirus,etc...
Paraestecasodetamaosvariablesysiempreincremental
TenerxitoenestapruebasignificaqueloscorreoslleguenalosusuariossinmarcasdeSPAMhechasporelservidor.
46
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
6.2SI
seutilizaWEPcomoelementodecifrado ENTONCES utilizaralgunaherramientapara
romperlascontraseas.SIlapruebatienexito50ENTONCES.SIeltamaodelasclavesno
esmximo ENTONCES RecomendaraumentartamaodelasclavesDELOCONTRARIO
Recomendarcambiarelprotocolodecifradoutilizado.
6.3Utilizarherramientas51parasuplantareinyectartramascompletasgenerandosuficientetrfico
parabajar elrendimientodelared52. SI lapruebatienexito53 ENTONCES Recomendar
instalarmecanismosdecontroldetrfico.
7 PARA
IdentificarerroresdelaconfiguracinbsicadeservidoresUNIXGNU/Linux
7.1Ejecutarpruebasdefuerzabruta54paraencontrarcontraseasdbilesutilizadasenlosservicios
disponibles. SI la prueba tiene xito55 ENTONCES Recomendar redefinir la poltica de
contraseasydecontroldeintentos.
7.2Verificar si pueden establecerse sesiones de canal trasero. SI la prueba tiene xito56
ENTONCES:
Recomendarcerrarenambossentidoslasconexionesparaimpedirconexionesquese
originendesdeelservidor(es).
existenserviciosXRecomendareliminarlosserviciosXdelservidor(es)
SI
Recomendarlarevisindelospermisosdeloscomandosutilizadosporelservicioque
seutilizparaestablecerelcanaltrasero.
7.3Utilizarunaherramientaderastreodepuertosparabuscarpuertosaltosasociadosaservicios
RPC. SIlapruebatienexito57ENTONCESRecomendardesactivartodoslosserviciosRPC
nonecesarios.
7.4Utilizarunaherramientadebsquedadevulnerabilidadesparaencontrarerroresexplotables
asociadosaRPC.
7.5SI
existeunservicioFTPannimoENTONCEStratardeejecutarsiteexeccomousuario
annimo. SI la prueba tiene xito58 ENTONCES Recomendar Actualizar la versin del
demonioFTPqueseutiliza.
7.6Buscarexportacionesdesubdirectoriosconpermisologaincorrecta.SIlapruebatienexito59
50
51
52
53
54
55
56
57
58
59
Tenerxitoenestapruebasignificaqueselogranobtenerlasclavesdecifradoutilizadas.Estapruebapuedeimplicar,
enfuncindelniveldetrficoenlared,muchotiempoderecoleccindedatos.
AirJackesunadeellas.
Contraestetipodeataquenohaysolucinefectiva
Queselograintroducirtrficoenlaredhastahacerlacolapsar
Estapruebaesaltamenteintrusivaypuedeprovocarlacadadelsistema,elbloqueodecuentasyelcondicionesdecarga
elevadaenlaredylosservicios.
Tenerxitoenestapruebasignificaqueselogranobtenerlasclavesdeaccesoutilizadas.Estapruebapuedeimplicar,
enfuncindelniveldetrficoenlared,muchotiempoderecoleccindedatos.
Tenerxitoenestapruebasignificaqueselogranestablecersesionesbackendodecanaltraserodebidoaerroresde
configuracindelsistemadefiltrado.
Tenerxitoenestapruebasignificaqueselogranobtenerlasclavesdecifradoutilizadas.Estapruebapuedeimplicar,
enfuncindelniveldetrficoenlared,muchotiempoderecoleccindedatos.
TenerxitoenestapruebasignificaqueselograejecutarcomandosdemaneraannimaenelservidorFTP.
Posiblementeselogreescaladadeprivilegios.
TenerxitoenestapruebasignificaqueselogranmontarsubdirectoriosvaNFSincorrectamentepermisados.
47
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
ENTONCESRecomendarrevisarlapolticadeexportacin.
7.6.1SI
elmontajeserealizdesdeelexteriorENTONCESRecomendarmodificarlaformade
exportacin para inhabilitar exportaciones simples hacia el exterior de la red y revisar la
polticadefiltrado.
7.7SI
existenservidoresconserviciosXhabilitadosENTONCEShacerunrastreodeservidores
conxhost+habilitado.
7.7.1SI
lapruebatienexito60 ENTONCES RecomendardesactivartodoslosserviciosXen
losservidores.
7.8 SI existen servidores DNS ENTONCES ejecutar herramientas de bsquedas de
vulnerabilidadesdeDNSparaencontrarsituacionescrticas.
7.8.1SI
la prueba tiene xito61 ENTONCES Recomendar reparar condiciones de riesgo
encontradas.
7.9SI
existen servidores SSH ENTONCES ejecutar herramientas de bsquedas de
vulnerabilidadesdeSSHparaencontrarsituacionescrticas.
7.9.1SI
la prueba tiene xito62 ENTONCES Recomendar reparar condiciones de riesgo
encontradas.
7.10SI
existen servidores APACHE ENTONCES ejecutar herramientas de bsquedas de
vulnerabilidadesdeAPACHEparaencontrarsituacionescrticas.
7.10.1SI
la prueba tiene xito63 ENTONCES Recomendar reparar condiciones de riesgo
encontradas
7.11SI
existen servidores en modo promiscuo ENTONCES Recomendar que no se utilicen
programassniffersenservidores.
8 PARA
Fisgonearinformacinsensibledelared
8.1Instalarunequipoconprogramassniffersparacapturarinformacindelared64.
8.2Seleccionarpaquetesquepudiesecontenerinformacinsensibledeusuarios
8.2.1SI
8.2hatenidoxito65 ENTONCES Recomendarrevisarlaformaenquesetransfiere
informacinclasificadaporlared.
9 PARA
IdentificarerroresbsicosdeconfiguracinenservidoresWindows
9.1Utilizarunaherramientadeaccesodirectoparabuscarusuariossincontraseas.SIlaprueba
tiene xito66 ENTONCES Recomendar redefinir la poltica de contraseas y de control de
intentos.
60
61
62
63
64
65
66
Tenerxitoenestapruebasignificaqueselogranobtenerservidoresconlaopcinxhost+habilitada.
TenerxitoenestapruebasignificaqueseencuentranvulnerabilidadesexplotablesdelservicioDNS
TenerxitoenestapruebasignificaqueseencuentranvulnerabilidadesexplotablesdelservicioSSH
TenerxitoenestapruebasignificaqueseencuentranvulnerabilidadesexplotablesdelservicioHTTPmanejadopor
APACHE
Buscarinformacincomocontraseas,transferenciasdezonaDNS,datossincifrar,etc...
Tenerxitoenestapruebasignificaquesepuedencapturarpaquetesdeinformacinidentificablesycondatos
sensibles.
Tenerxitoenestapruebasignificaqueselogranobtenerlasclavesdeaccesoutilizadas.Estapruebapuedeimplicar,
enfuncindelniveldetrficoenlared,muchotiempoderecoleccindedatos.
48
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
9.2Utilizarherramientasespecializadasparaprobarlapolticadebloqueodecuentasporintentos
nosatisfactoriosdeacceso.
9.3SI
de 9.19.2 se ha realizado desde el exterior de la organizacin ENTONCES proponer
revisarlapolticadefiltradoparaimpedirelpasodeprotocolosdeSMByNetBIOShaciael
exteriordelared.
9.4Instalarunprogramasnifferespecializadoencontraseas.
9.4.1Capturarcontraseas(hash)ysometerlasaunesfuerzodefuerzabruta. SI lapruebaha
tenidoxitoENTONCESRecomendarrevisaryajustarlaspolticasdecontraseas.
9.4.1.1SI
lapruebahatenidoxitoyseharealizadosobreWINDOWS2000,XP2003
ENTONCESRecomendardeshabilitarelusodeLM.
9.5SI
existeIISENTONCES Realizarunasolicitudutilizandolaextensin+.htr.SIlaprueba
tiene xito67 ENTONCES Recomendar redefinir la poltica de contraseas y de control de
intentos.
9.5.1SI
seencuentradatossensiblesenlosarchivosdescargados ENTONCES Recomendar
revisarlosarchivosparaeliminardeellosinformacinconfidencial
9.5.2Utilizar una herramienta de bsqueda de vulnerabilidades para encontrar situaciones
errneasenlainstalacindeIIS.
9.5.3SI
la prueba tiene xito68 ENTONCES Recomendar reparar condiciones de riesgo
encontradas.
9.5.4Utilizarunaherramienta69quepermitaescalarprivilegios.
9.5.5SI
lapruebatienexitoENTONCESRecomendaractualizarelservidorIIS.
9.5.6Utilizarunaherramienta70quepermitagenerarcondicionesdebufferoverflow.
9.5.7SI
lapruebatienexitoENTONCESRecomendaractualizarelservidorIISydesactivar
losarchivosdeextensinISAPInoutilizados.
9.5.8SI
sehalogradocapturarcontraseasdeusuarios ENTONCES Realizarunaconexin
localutilizandolacuentacomprometidayejecutarprogramas71paralaescaladadeprivilegios.
Escalarunacuentaconprivilegiosadministrador.
9.5.9SI
la prueba tiene xito72 ENTONCES Recomendar instalar los parches
correspondientes.
9.5.9.1Utilizar una herramienta73 para obtener los hash de las contraseas y utilizar una
herramienta de rompimiento de claves para obtener claves del sistema. SI se logran
obtenerlasclavesRecomendarmejorasenlapolticadeasignacindecontraseas.
9.5.9.2Utilizarunaherramienta74paraaccederalosvaloresguardadosenLSASecret.SIse
logranobtenerclavesENTONCESRecomendaractualizarelSistemaOperativo.
67
68
69
70
71
72
73
74
Tenerxitoenestapruebasignificaqueselograobtenerelcdigofuentedelosarchivosaspsolicitados
TenerxitoenestapruebasignificaqueseencuentranvulnerabilidadesexplotablesdelservicioIIS.
Ej:ispc
Ej:jill
Ej:hk,pipeupadmin
Tenerxitoenestapruebasignificaquesepuedaescalarlosprivilegiosdelusuarioseleccionadodentrodelsistema.
Ej:pwdump2pwdump3e
Ej:LSADump2
49
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
9.5.10Utilizarunaherramientadeaccesoremotoparaabrirunainterfazdecomandoen los
servidoresbajoestudio.
9.5.10.1SI
lapruebatienexitoENTONCESRecomendarrevisarlapolticadefiltradoy
serviciosactivos.
9.5.10.1.1Instalarunaherramienta75enlosservidoresbajoestudioparaaccesodesesiones
grficas.Recomendarrevisarlapolticadefiltradoyserviciosactivos.
75
Ej:VNC,PCAnyWhere,etc.
50
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Revisionesdelasconfiguraciones
I. PARARealizarRevisiones
a. SI
Esrequerido76RevisindelaSeguridadFsica
b. SI
Esrequeridoyaplica77RevisindeServidoresUNIX
c. SI
Esrequeridoyaplica78RevisindeServidoresyEstacionesWindows
d. SI
Esrequeridoyaplica79RevisindeServidoresSendmail
e. SI
Esrequeridoyaplica80RevisindeServidoresApache
f. SI
Esrequeridoyaplica81#0.0.0.RevisindelaInfraestructuraInalmbrica|outline
g. SI
Esrequeridoyaplica82RevisindelSistemadeDeteccindeIntrusos
h. SI
Esrequeridoyaplica83RevisindeDispositivosFirewalls
i. SI
Esrequerido84RevisindelasPolticasdeSeguridad
76
77
78
79
80
81
82
83
84
SerefiereaquelafuncinDefinicinInicialdeloscondicionesdelprocesodeauditoraproduzcalanecesidadde
realizarestetipoderevisiones.Nodependedeningnotrotipodecondiciones.
SerefiereaquelafuncinDefinicinInicialdeloscondicionesdelprocesodeauditoraproduzcalanecesidadde
realizarestetipoderevisiones.AplicasiexistenservidoresUNIXLinux.
SerefiereaquelafuncinDefinicinInicialdeloscondicionesdelprocesodeauditoraproduzcalanecesidadde
realizarestetipoderevisiones.AplicasiexistenservidoresestacionesWindows.
SerefiereaquelafuncinDefinicinInicialdeloscondicionesdelprocesodeauditoraproduzcalanecesidadde
realizarestetipoderevisiones.AplicasiexistenservidoresSendmail.
SerefiereaquelafuncinDefinicinInicialdeloscondicionesdelprocesodeauditoraproduzcalanecesidadde
realizarestetipoderevisiones.AplicasiexistenservidoresApachecualquieraseasuversin.Laversinesimportante
pueslosservidoresApachev2tienencaractersticasdiferentesaloscorrespondientesacualquieradelassubversiones1.
SerefiereaquelafuncinDefinicinInicialdeloscondicionesdelprocesodeauditoraproduzcalanecesidadde
realizarestetipoderevisiones.Aplicasiexistenserviciosinalmbricos.
SerefiereaquelafuncinDefinicinInicialdeloscondicionesdelprocesodeauditoraproduzcalanecesidadde
realizarestetipoderevisiones.AplicasiexistenDetectoresdeIntrusosbasadosenhostenred(HostDISNDIS)
SerefiereaquelafuncinDefinicinInicialdeloscondicionesdelprocesodeauditoraproduzcalanecesidadde
realizarestetipoderevisiones.Aplicasiexistendispositivosfirewallsgateways.Noserefiereafirewallspersonalesque
seauditanenlaseccinRevisindeServidoresyEstacionesWindows.
SerefiereaquelafuncinDefinicinInicialdeloscondicionesdelprocesodeauditoraproduzcalanecesidadde
realizarestetipoderevisiones.AplicasiexistenPolticasdeSeguridaddefacto,establecidas,nocumplidas,
completasoincompletas.
51
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
RevisindelaSeguridadFsica.
Objetivo de esta seccin: Realizar revisin de las condiciones fsicas que pudiesen influir en la
continuidadoperativadelasfuncionesdeIT.
Salida:Inventariocompletodelasvulnerabilidadesencontradasyrecomendacionesdesolucin.
DESARROLLO:
1. PARA
Verificarlaseguridadfsicadelambientedecmputoycomunicaciones
1.1Verificar que los equipos se encuentren en ambientes adecuados en cuanto a: control
temperatura y humedad, limpieza, aislamiento de cargas electrostticas, proteccin contra
descargaselctricas,proteccincontrasismos.
1.2SI
lapruebafalla85ENTONCESRecomendarcorregirlascondicionesderiesgosencontradas.
1.3VerificarsiexistenmedidasparaRestringirycontrolarelaccesoalosdispositivosdecmputo
centralydecomunicaciones,cualquierasealaplataformadeprocesamiento.
1.4SI
lapruebafalla86ENTONCESRecomendarcorregirlascondicionesderiesgosencontradas.
1.5Verificar si existen equipos que permitan respuesta automtica ante condiciones de riesgos
comointrusionesfsicas,incendios,temblores,aumentosbuscosdelatemperatura.
1.6SI
lapruebafalla87ENTONCESRecomendarcorregirlascondicionesderiesgosencontradas.
1.7Verificarqueexistanmecanismosparaprotegerfsicamente88losrespaldosdeinformacin.
1.8SI
lapruebafalla89ENTONCESRecomendarcorregirlascondicionesderiesgosencontradas.
1.9Verificar si existen planes de contingencia para el mantenimiento operativo ante la
materializacindesituacionesderiesgofsicocomolasmencionadasenlosacpitesanteriores.
1.10SI
la prueba falla90 ENTONCES Recomendar corregir las condiciones de riesgos
encontradas.
1.11Verificarqueexistanmecanismosadicionalesparalacontinuidaddelsuministroelctricoalos
centrosdecargaprincipalesyqueestossistemasfuncionenadecuadamente.
1.12SI
la prueba falla91 ENTONCES Recomendar corregir las condiciones de riesgos
encontradas.
85
86
87
88
89
90
91
Falladelapruebasignificaquealgunodelosparmetrosquesemencionanenesteacpitenosecumple.
Falladelapruebasignificaquealgunodelosparmetrosquesemencionanenesteacpitenosecumple.
Falladelapruebasignificaquealgunodelosparmetrosquesemencionanenesteacpitenosecumple.
Protegerlosrespaldossignificaevitarsudestruccinparcialototaldemaneraaccidental,poraccindeelementos
ambientalesoporaccionesdeliberadamentemalintencionadas.
Falladelapruebasignificaquealgunodelosparmetrosquesemencionanenesteacpitenosecumple.
Falladelapruebasignificaquenoexistenplanesdecontinuidadoperativaoestosnosoncorrectosocompletos.
Falladelapruebasignificaquealgunodelosparmetrosquesemencionanenesteacpitenosecumple.
52
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
1.13Verificarqueexistenplanesdeevacuacinanteemergenciasdelpersonalyresguardodelos
equiposprincipalesantelaocurrenciadeimprevistosqueloameriten.
1.14SI
la prueba falla92 ENTONCES Recomendar corregir las condiciones de riesgos
encontradas.
1.15Verificarqueelpersonalconoceyhasidoentrenadoparautilizarlosplanesdecontingencia
mencionadosenelno.5.
1.16SI
la prueba falla93 ENTONCES Recomendar corregir las condiciones de riesgos
encontradas.
1.17Verificarquelossistemasdesuministroelctricoseencuentrenadecuadamentedimensionados
yprotegidos.
1.18SI
la prueba falla94 ENTONCES Recomendar corregir las condiciones de riesgos
encontradas.
92
93
94
Falladelapruebasignificaquealgunodelosparmetrosquesemencionanenesteacpitenosecumple.
Falladelapruebasignificaquealgunodelosparmetrosquesemencionanenesteacpitenosecumple.
Falladelapruebasignificaquealgunodelosparmetrosquesemencionanenesteacpitenosecumple.
53
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
RevisindeServidoresUnix
Objetivodeestaseccin:RealizarrevisindelaconfiguracindeservidoresUnixyLinuxqueafecten
condicionesderiesgodeseguridad.
Durante esta revisinsebuscancondiciones deriesgosquepudieronnoser develadasdurante las
pruebasdepenetracin.
Salida:Inventariocompletodelasvulnerabilidadesencontradasyrecomendacionesdesolucin.
DESARROLLO:
I. PARARealizarRevisindeSistemasBasadosenUnix
A. Porcadaservidoroestacinaauditar{
i. VerificarSeguridaddelSistemadeArchivos
ii. Verificarlosprocesosactivos,suformadeinicioylaseguridadbsicadelosmismos
iii. VerificarlaSeguridaddeContraseas
iv. Verificarlaseguridaddelsistemademanejodeusuarios
v. Verificarlaefectividadyseguridaddelsistemaderespaldos
vi. Verificarlaefectividadyseguridaddelsistemadedeteccindeintrusos
vii.Verificarlaefectividadyseguridaddelsistemadebitcoras
viii.Verificarlaefectividadyseguridaddelsistemadecontroldeacceso
ix. SI
seutilizaNFS ENTONCES Verificarlaefectividadyseguridaddelsistemade
directoriosNFS}
1 PARA
VerificarSeguridaddelSistemadeArchivos
1.1VerificarquelasopcionesdemontajedelsistemadeArchivosimpidaquecualquierusuario
pueda montar o desmontar otros sistemas de archivos. SI "la prueba falla95" ENTONCES
Recomendarurgentementecorregirlaconfiguracinpermisosdemontaje.
1.2BuscarprogramasconSUIDoSGIDactivadosycompararconlistadeprogramaspermitidos
(VERANEXOUNIX1).
95
Falladelapruebasignificaquecualquierusuariosinpermisosespecialespuedamontar/desmontarotrossistemasde
archivos.
54
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
1.3SI"lapruebafalla96"ENTONCESRecomendarrevisarlarazndelaumentodepermisologade
losprogramasdetectados.
1.4Verificarpermisologadeprogramasdeconfiguracinen/etc,/usr/local.
1.5SI
"la prueba falla97" ENTONCES Recomendar corregir los errores de asignacin de
permisologa
1.6Verificar permisologa de los directorios home de cada usuario. SI "la prueba falla98"
ENTONCESRecomendarcorregirloserroresdeasignacindepermisologa
1.7SI
eldearchivosadmiteelusodeACLENTONCESVerificarsiexistenlistasdeaccesopara
programas de administracin principales y son correctas. SI "la prueba falla99" ENTONCES
Recomendarcorregirloserroresdeasignacindepermisologa
1.8Verificarsiseutilizaelcomandoumaskysilapermisologaasignadaescorrecta.SI"laprueba
falla100"ENTONCESRecomendarcorregirloserroresdeasignacindepermisologa
1.9Verificarquenoexistan shell scripts conpermisologaSUIDoSGID. SI "lapruebafalla101"
ENTONCES Recomendar corregir los errores de asignacin de permisologa de los scripts
detectados.
2 PARAVerificarlosprocesosactivos,suformadeinicioylaseguridadbsicadelosmismos
2.1Verificarqueprocesosseestnejecutandoslolosprocesosqueseajustanalasfuncionesdel
servidor. SI "la prueba falla102" ENTONCES Recomendar mantener ejecutndose slo los
serviciosnecesarios.
2.2 Verificar que el proceso de inicio de los procesos sea correcto. SI "la prueba falla103"
ENTONCESRecomendarrevisarlosscriptsdearrancadaseservicios.
2.3Verificarquelosscriptsdearrancadatengalapermisologacorrectaynopuedanserinvocados
porusuariosnormales.SI"lapruebafalla104"ENTONCESRecomendarverificarlapermisiloga
delosscriptsdearrancada.
2.4 Verificar que los usuarios no pueden ejecutar servicios sin control del administrador del
sistema. SI "la prueba falla105" ENTONCES Recomendar ajustar los niveles de control para
impedirestasituacin.
96
97
98
99
100
101
102
103
104
105
FalladelapruebasignificaqueseencuentrenprogramasconpermisosSUID/SGIDquenojustifiquenesta
permisloga.Esimportantequelaguaquesemuestraalfinaldeestaseccinseutiliceslocomoreferencia.
Falladelapruebasignificaqueseencuentrenenlossubdirectoriosdondeexistanarchivosdeconfiguracinpermisos
errneosquepermitan
Falladelapruebasignificaqueseencuentrenenlossubdirectorioshomecuyapermislogaseaincorrecta.
Falladelapruebasignificaqueseencuentrenlistasdeaccesoincorrectamenteconfiguradas.
Falladelapruebasignificaqueseumaskasigneporomisinpermisosenexceso.
FalladelapruebasignificaqueseencuentrenshellsscriptsconpermisosSUID.
Falladelapruebasignificaqueseencuentrenserviciosactivosquenosonnecesarios.
Falladelapruebasignificaqueseencuentrenerroresoirregularidadesenlosscriptsdearrancadadelosservicios.
Falladelapruebasignificaqueseencuentrenerroresenlapermislogadelosscriptsdearrancada..
Falladelapruebasignificaquecualquierusuariopuedemontarunserviciosincontroldeladministrador.
55
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
2.5PORCADAServicio_Activo106
2.5.1Verificarelmecanismodeinvocacin
2.5.1.1 SI Mecanismo_Invocacin es Inetd ENTONCES verificar que se utilicen las
opcionesadecuadasdeseguridad.SI"lapruebafalla107"ENTONCESRecomendarajustar
losparmetrosdeejecucindeldemonio.
2.5.2 VerificarqueVersinactualselaVersinmasactualizadadisponibledeacuerdoalas
polticasdeusodelsitioauditado.SI"lapruebafalla108"ENTONCESRecomendaractualizar
laversindelservicio.
2.5.3Verificarqueexistacontroldeaccesoalservicio(pormediodeACL, Wrappers uotro
mecanismo).SI"lapruebafalla109"ENTONCESRecomendaractualizarlosnivelesdecontrol
deacceso.
2.5.4 Verificar que no tenga shell vlido SI "la prueba falla110" ENTONCES Recomendar
cambiarelshellanovlido.
2.5.5 Verificarquenotengahomevlido. SI "lapruebafalla111" ENTONCES Recomendar
borrareldirectorio$HOMEnoexistente.
3 PARAVerificarlaSeguridaddeContraseas
3.1Verificarsiexistenpolticasdeconformacindecontraseas.
3.2Verificarsiexistenpolticasdehistorialdecontraseas
3.3Verificarsiexistenpolticasdeduracin(mximaymnima)decontraseas
3.4Verificarsiexisteshadowpassword
3.5Verificarsitodoslosusuariosposeencontraseasseguras112
3.6Verificarquetodosquienesusanelservidortienensupropiacuenta
3.7Verificarsiexistenprogramasdecontroldecalidaddecontraseas
3.8Verificarsiexistenmecanismosadicionalesdecontroldeacceso113
106
Serefierealosserviciosqueseestnejecutandoenelmomentoderealizarlaauditora
Falladelapruebasignificalosparmetrosdeseguridadnoseutilicenparalosdemoniosmanejadosporinetd.Vlido
paraxinetd.
108
Falladelapruebasignificaquenoseutilizalaversinmsactualizadasincriteriosvlidos.Estaaccinslodebe
recomendarsesilaversinqueseejecutaposeevulnerabilidades.
109
Falladelapruebasignificaqueseencuentrenserviciosactivosquenosonnecesarios.
110
Falladelapruebasignificaqueelusuarioconquecorreeldemoniotieneen/etc/passwdunshellquepermiteaun
usuariotomarsuidentidadyejecutarcomandos.
111
Falladelapruebasignificaqueelusuarioconquecorreeldemoniotieneen/etc/passwdunsubdirectorio$HOME
existente.>$HOME:/dev/null/$SHELL:sbin/nologin
112
Utilizarunprogramapararompimientodeclaves
113
OTP,smartcard,certificacindigital
107
56
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
3.9SI
"lapruebafalla114"ENTONCESRecomendarrevisarlapolticadecontraseas.
4 PARAVerificarlaseguridaddelsistemademanejodeusuarios
4.1VerificarquevariosusuariosnocompartenelmismoUID
4.2Verificarquelacuentarootnoseutilizaparaactividadesregulares
4.3Verificarsiexistenrestriccionesalusodelcomandosu
4.4Verificarquienespertenecenalgrupo0
4.5Verificarquelosusuariosnotienenarchivos./rhost115
4.6Verificarqueel.116noseencuentraenlavariable$PATH
4.7Verificarsiexistenrestriccionesalusodelcomandosudo
4.8Rastrearlosarchivosdebitcorasenbsquedadeintentosdeescaladadeprivilegios
4.9Verificarquenoexistancuentasdormidashabilitadas.
4.10SI
"lapruebafalla117"ENTONCESRecomendarrevisarlapolticadeseguridaddeusuarios.
4.11SI
se utiliza LDAP ENTONCES verificar se utilice Kerberos MD5 Hash como
mecanismosdeautenticacin.
4.11.1SI
"lapruebafalla118" ENTONCES Recomendarrevisarlapolticadeautentificacin de
usuarios.
4.12SI
seutilizaLDAP ENTONCES Verificarlainformacinentreclientesyservidoresviaje
cifrada.
4.12.1SI
"la prueba falla119" ENTONCES Recomendar utilizar mecanismos de cifrado de la
informacinqueincluyanelpasodecredencialesentreclientesyservidores.
5 PARA
Verificarlaefectividadyseguridaddelsistemaderespaldos
5.1Verificarregularidaddelosrespaldos
5.2Verificarpolticaderespaldos
5.3Verificarsiserespaldanlosarchivosimportantesdelsistema
114
115
116
117
118
119
Falladelapruebasignificaqueseencuentrandeficienciasenalgunodelosparmetrosrevisadosenlosacpitesdel3.1
al3.8
Especialmenteroot
Serefierealdirectorioactual.
Falladelapruebasignificaqueseencuentrandeficienciasenalgunodelosparmetrosrevisados.
FalladelapruebasignificaqueseseutilizanPLAINLOGINcomovasdeautentificacin.
Falladelapruebasignificanosecifraelcanaldedatosnosecifranlascredencialesentreclientesyservidores.
57
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
5.4Verificarsilapolticaderespaldoincluyelaverificacindelosmismos
5.5Verificarpolticadealmacenamientoycuidadoderespaldos
5.6Verificarsiexistenvariasformasderespaldodelainformacincompleta
5.7SI
"lapruebafalla120"ENTONCESRecomendarrevisarlapoliticaderespaldos.
6 PARA
Verificarlaefectividadyseguridaddelsistemadedeteccindeintrusos
6.1VerificarsiexistenprogramasIDSTarget,siseejecutanconregularidadysisusresultados
son atendidos correctamente. SI "la prueba falla121" ENTONCES Recomendar revisar la
deteccindeintrusos.
6.2SI
existen programas IDS Target ENTONCES Verificar que se protejan los archivos
adecuados. SI "la prueba falla122" ENTONCES Recomendar revisar la configuracin de los
sistemasdedeteccindeintrusos.
6.3VerificarsiexistenprogramasIDSHost,siseejecutanconregularidadysisusresultadosson
atendidoscorrectamente.SI"lapruebafalla123"ENTONCESRecomendarrevisarladeteccinde
intrusosaniveldehosts.
6.4SI
existenprogramasIDShostENTONCESVerificarqueserevisenlosarchivosadecuados.
SI "la prueba falla124" ENTONCES Recomendar revisar la configuracin de los sistemas de
deteccindeintrusos.]
7 PARA
Verificarlaefectividadyseguridaddelsistemadebitcoras
7.1Verificarqueexistaeladecuadoniveldebitcoras
7.2Comprobarsilasbitcorasestndebidamenteprotegidas
7.3Comprobarsitodoslosserviciostienenserviciosdebitcoras
7.4Verificarsilasbitcorasserotan
7.5Verificarsilasbitcorasserespaldanenotrosservidores(syslog)
7.6Verificarsisellevaregistrosobrelosaccesoalasbitcoras
7.7SI"lapruebafalla125"ENTONCESRecomendarrevisarlapolticadebitcoras.
8 PARA
Verificarlaefectividadyseguridaddelsistemadecontroldeacceso
120
121
122
123
124
125
Falladelapruebasignificaqueseencuentrandeficienciasenalgunodelosparmetrosrevisados.
Falladelapruebasignificaqueseencuentrandeficienciasenalgunodelosparmetrosrevisados.
Falladelapruebasignificaqueseencuentrandeficienciasenalgunodelosparmetrosrevisados.
Falladelapruebasignificaqueseencuentrandeficienciasenalgunodelosparmetrosrevisados.
Falladelapruebasignificaqueseencuentrandeficienciasenalgunodelosparmetrosrevisados.
Falladelapruebasignificaqueseencuentrandeficienciasenalgunodelosparmetrosrevisados.
58
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
VerificarlaefectividadyseguridaddelsistemadedirectoriosNFS
9.1 Verificar que todas las exportaciones del sistema de archivos se realizan hacia destinos y
usuarios estrictamente definidos. SI "la prueba falla131" ENTONCES Recomendar ajustar el
sistemadeexportacinparaevitarestasituacin.
9.2Verificarqueelsistemaobligaalosclientesausarpuertosprivilegiados.SI"lapruebafalla132"
ENTONCESRecomendarrevisarlaconfiguracindelsistemaNFS.
9.3VerificarqueelsistemautilizalasopcionescrosscheckPTRyADDRhostnamelookups133.SI
"lapruebafalla134"ENTONCESRecomendarrevisarlaconfiguracindelsistemaNFS.
10PARA
VerificarlaefectividadyseguridaddelsistemaNIS
10.1Verificar si slo se exportan mapas a estaciones de confianza. SI "la prueba falla135"
ENTONCESRecomendarrevisarlaconfiguracindelsistemaNIS.
10.2Verificarsiseutiliza+:enlugarde+::0:0:::comomarcaenelarchivodepasswords.SI
"lapruebafalla136"ENTONCESRecomendarreajustarelparmetroenelarchivopassword.
10.3Verificar que los mapas NIS sean slo modificables por el root. SI "la prueba falla137"
ENTONCESRecomendarajustarlapermisologadelosarchivos.
126
127
128
129
130
131
132
133
134
135
136
137
firewallslocales
wrappers,inetd.
Falladelapruebasignificaqueseencuentrandeficienciasenalgunodelosparmetrosrevisados.
Falladelapruebasignificaqueseencuentrandeficienciasenalgunodelosparmetrosrevisados.
Falladelapruebasignificaqueseencuentrandeficienciasenalgunodelosparmetrosrevisados.
Falladelapruebasignificaqueseencuentranen/etc/fstabpartesdelsistemadearchivosexportadosaeveryone.
Falladelapruebasignificaqueseencuentrandeficienciasenalgunodelosparmetrosrevisados.
ImpidenDNSspoofing
Falladelapruebasignificaqueseencuentrandeficienciasenalgunodelosparmetrosrevisados.
Falladelapruebasignificaqueseencuentrandeficienciasenalgunodelosparmetrosrevisados.
Falladelapruebasignificaqueselamarcaincorrectaenelarchivomencionado
Falladelapruebasignificaquelosmapasmaestrospuedansermodificadossinpermislogaroot.
59
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
RevisindeServidoresyEstacionesBasadosWindows
Objetivodeestaseccin: Realizarrevisindelaconfiguracindelasestacionesyservidorescon
sistemasoperativosdelafamiliaWindows.
Durante esta revisinsebuscancondiciones deriesgosquepudieronnoser develadasdurante las
pruebasdepenetracin.
Salida:Inventariocompletodelasvulnerabilidadesencontradasyrecomendacionesdesolucin.
DESARROLLO:
I. PARA
RevisarServidoresyEstacionesbasadasenWindows
A. Porcadaestacinservidoraauditar{
i. Verificarlaseguridaddelsistemacontroldeusuariosycontraseas
Directory(
AD
)
iii. Verificarlaexistenciadepermisologa
mnima
iv. Verificarlaseguridaddelaconfiguracinbsicalosserviciosylasactualizaciones
v. VerificarlaproteccindelstackTCPIP
vi. Verificarlaefectividadyseguridaddelsistemadeauditorainterna
vii.SIesunservidoryelservidoresunservidordedominiosENTONCESVerificarla
seguridaddelaconfiguracinbsicadecontroladoresdedominios
viii.SI
es un servidor y el servidor es un servidor DNS ENTONCES Verificar la
efectividadyseguridaddelosservidoresDNS
ix. SI
es un servidor y el servidor es Terminal Server ENTONCES Verificar la
seguridaddelaconfiguracinbsicadelservicioTerminalServer(TS)
x. SIesunservidoryelservidoresDHCPServerENTONCESVerificarseguridadde
laconfiguracinbsicadelosservidoresDHCP
xi. SI
esunservidoryelservidoresWINSServerENTONCES Verificarseguridadde
servidoresWINS}
60
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
1 PARA
Verificarlaseguridaddelsistemacontroldeusuariosycontraseas
1.1Verificarquenoseutilizancuantasadministrativasparatrabajocotidiano.
1.2Verificarlaexistenciadeusuariossincontraseas.SIlapruebafalla138ENTONCESRecomendar
ajustarurgentementelaspolticasdecontraseasdeusuariosparaevitarlasituacindetectada.
1.3Verificar la existencia de usuarios que nunca han usado su cuenta. SI la prueba falla139
ENTONCESRecomendarajustarurgentementelaspolticasdecontraseasdeusuariosparaevitar
lasituacindetectada.
1.4SI
lapruebafalla140ENTONCESRecomendarcorregirestasituacin.
1.5SI
VersindelSO >=windowsnt4SP2Yelsistemaesunservidorcrtico ENTONCES
Verificarusosyskeyennivelessuperioresa1. SI lapruebafalla141 ENTONCES Recomendar
utilizarsyskeynivel23.
1.6SI
VersiondelSO<windowsnt4SP2 ENTONCES Recomendaractualizacinurgenteque
permitaelusodesyskey142.
1.7Verificar que no se asignan permisos directamente a las cuentas. SI la prueba falla143
ENTONCESRecomendarutilizargruposenlugardecuentasindividuales.
1.8Verificar Privilegios de usuarios buscando privilegios mnimos. SI la prueba falla144
ENTONCESRecomendarajustarurgentementelosprivilegiosdeusuariosparaevitarlasituacin
detectada.
1.9VerificarDerechosdeIniciode Sesin. SI lapruebafalla145 ENTONCES Recomendarajustar
urgentementelosprivilegiosdeusuariosparaevitarlasituacindetectada.
1.10Verificar(rompiendo)longitudycalidaddelascontraseas.SIlapruebafalla146ENTONCES
Recomendarajustarurgentementelapolticadecontraseas (VERANEXO WIN1)de usuarios
paraevitarlasituacindetectada.
1.11Verificarlaexistenciadeerroresenlapolticadecontraseas.SIlapruebafalla147ENTONCES
138
139
140
141
142
143
144
145
146
147
Falladelapruebasignificasehanencontradousuariossinclaves.
Falladelapruebasignificasehanencontradousuariosquenuncahanaccesadosucuenta.
Falladelapruebasignificaseencuentraalmenosunequipoenelcuallosusuariosutilizanlacuentasconpermisos
administrativosparatrabajoregular.
Falladelapruebasignificaquesloseutilizasyskey1(valorporomisinparaelambiente)
Syskeyseutilizadesdeelservicespack2deWindowsNT.
Falladelapruebasignificaquenoseutilizangruposparalaasignacindeprivilegios.
Falladelapruebasignificasehanencontradousuariosconprivilegiosnoadecuadosalafuncinquerealizan.
Falladelapruebasignificaquesehandetectadousuariosqueposeenpermisosdeiniciodesesinquenodeberan.Ej.
usuariosdelsistema,usuariosquenopertenecenalaorganizacin,usuariosdeotrosdominios,unidadesorganizativas,
etc...
Falladelapruebasignificasehanencontradousuariosconcontraseasdbiles.Pararealizarestaaccinesconveniente
utilizarunaherramientaespecializadaderompimientodecontraseas.EjLC4ypwdump(verseccindePruebasde
Penetracin).
Falladelapruebasignificaqueseencuentreerrorescomo:Nosemantienehistorialdelascontraseas,lascontraseas
notienedefinidostiemposdevida(mximoymnimo),tamaomnimo,conformacindelacontrasea
61
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Recomendarajustarurgentementelaspolticasdecontraseasdeusuariosparaevitarlasituacin
detectada.
1.12Verificarquenoseutilicen algoritmosdehashdeLM148. SI lapruebafalla149 ENTONCES
RecomendarajustarurgentementelapolticadeautentificacinyutilizarNTLMv2.
1.13SI
laversindeSOes200X150XPENTONCESVerificarsiseutilizaKerberos.
1.13.1SI
lapruebafallaENTONCESVerificarsiesposibleutilizarKerberos151.
1.13.2 SI la prueba falla152 ENTONCES Recomendar ajustar urgentemente la poltica de
autentificacinyutilizarKerberos.
1.13.3Verificarniveldecachedecontraseas.SIlaredesdealtaseguridadyelniveldecachees
diferentede0.ENTONCESRecomendarllevarelniveldecachea0.
2 PARAVerificarlosatributosdeActiveDirectory(AD)
2.1Verificar que no se utilicen permisos a grupos locales de dominio. SI la prueba falla153
ENTONCESRecomendarasignarlospermisosatodoelbosquemediantegruposuniversales.
2.2Verificar quienes tiene acceso como Administradores del bosque y validar que no se tienen
permisos excesivos a este nivel. SI la prueba falla154 ENTONCES Recomendar ajustar
urgentementelapolticadeasignacindepermisos.
2.3Verificarqueexisteproteccinfsicaparaloscontroladoresdedominorazdelbosque. SI la
pruebafalla155ENTONCESRecomendarcorregirurgentementelapolticadeproteccinfsicade
loscontroladoresdedominioraz.
2.4SI
se requiere aislamiento discreto de funciones y existe un slo bosque ENTONCES
Recomendarutilizarvariosbosques.
2.5Verificar si los administradores de AD utilizan estaciones de trabajo particulares para las
funcionesdeadministracin. SI lapruebafalla156 ENTONCES Recomendarcorregirlaprctica
detectada.
148
149
150
151
152
153
154
155
156
Puedeserquepornecesidaddemantenercompatibilidadconaplicacionesantiguasseannecesariomantener
LanManager,sinembargoestasituacindebeserespecialmenteevualuada.
FalladelapruebasignificaquenoexistenjustificacionesparamantenercontraseasLM
Windows20002003
KerberosslopuedeserutilizadosisetieneunambientecompletoenXP200X
FalladelapruebasignificaquenoexistenjustificacionesparanousarKerberos
Falladelapruebasignificalospermisosseotorganagruposlocalesdeldominioqueslosonvlidosenesecontexto.
Falladelapruebasignificaquelosadministradoresdebosquestienetambienpermisosenotrasunidadesdelaestructura
deAD.
Falladelapruebasignificaquepuedesercomprometidalaseguridadfsicadeloscontroladoresdedominioraz,locual
podraimplicarlaprdidadetodoslosdominioshijosdelservidorquepuedasercomprometido.
Falladelapruebasignificaquelosadministradoresnoutilizanestacionesparticularesysegurasparafuncionesde
administracin,hacindosevulnerablesaataquesenalasestacionesclientesqueutilizan
62
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Verificarlaexistenciadepermisologamnima.
3.1Verificarlospermisosmnimossegnlafuncin.SIlapruebafalla161ENTONCESRecomendar
corregirlaprcticadetectada.
3.2Verificar si se utilizan mecanismos de cifrado para la data sensitiva. SI la prueba falla162
ENTONCESRecomendarcorregirlaprcticadetectada.
3.3Verificarlospermisosdelregistrodelsistema. SI lapruebafalla163 ENTONCES Recomendar
corregirloserroresdepermisologaencontrados.
4 PARA
Verificarlaseguridaddelaconfiguracinbsicalosserviciosylasactualizaciones
4.1Verificarquenoexistanserviciossuperfluosonoconvencionalesejecutndose. SI laprueba
falla164ENTONCESRecomendarcorregirloserroresdepermisologaencontrados.
4.2Verificar si se han instalado los parches ms recientes. SI la prueba falla165 ENTONCES
Recomendarcorregirloserroresdepermisologaencontrados
5 PARA
VerificarlaproteccindelstackTCP/IP
5.1SI
elSOesWindows2000WindowsXPWindows2003ENTONCES
5.1.1Enelregistrodelsistemaverificar
5.1.1.1EnableICMPRedict=0
157
158
159
160
161
162
163
164
165
Falladelapruebasignificaqueelmanejodepermisosserealizademaneraindividualynoutilizandolasfuncionesde
delegacindeprivilegios.
FalladelapruebasignificaelDNSseutilizademaneraseparadadelAD,locualreducelaseguridaddelservicio.
FalladelapruebasignificaqueseseutilizanPLAINLOGINcomovasdeautentifiacin.
Falladelapruebasignificanosecifraelcanaldedatosnosecifranlascredencialesentreclientesyservidores.
Falladelapruebasignificaquesehanencontradoplantillasdepermisosmaspermisivasquelasplanteadasenelanexo
W1
Falladelapruebasignificalainformacinsensiblequepuedaestarcontenidaenalgnservidornoescifrada.
Falladelapruebasignificaquelospermisosdelregistrodewindowsnocumplenconlosrequerimientosmnimos.
Falladelapruebasignificaexistenserviciosquenodeberanestarejecutndoseocuyafuncinnopuedeserestablecida
Falladelapruebasignificaqueexistenequiposnoactualizados.
63
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
5.1.1.2SynAttackProtect=2
5.1.1.3TCPMaxConnectResponseRetransmition=2
5.1.1.4TCPMaxHalfOpen=50
5.1.1.5TCPMaxHalfOpenRetired=400
5.1.1.6TCPMaxPortsExhauted=5
5.1.1.7TCPMaxDataRetransmitions=3
5.1.1.8EnableDeagGWDetect=0
5.1.1.9EnablePMTUDiscovery=0
5.1.1.10DisableIPSourceRouting=2
5.1.1.11NoNameReleaseonDemand=1
5.1.1.12PerfomRouterdiscovery=0
5.1.2SI
5.1.1falla166ENTONCESRecomendarcorregirlaconfiguracinerrnea.
5.2SI
SOesWindows2000WindowsXPWindows2003 Y estnhabilitados los
serviciosFTPHTTPENTONCES
5.2.1Enelregistrodelsistemaverificar:
5.2.1.1EnableDynamicBacklog=1
5.2.1.2dynamicBlacklogGrowthDelta=10
5.2.1.3MinimumdynamicBlacklog=20
5.2.1.4MaximunDynamicBlacklog=20.000
5.2.2SI
5.2.1falla167ENTONCESRecomendarcorregirlaconfiguracinerrnea.
6 PARA
Verificarlaefectividadyseguridaddelsistemadeauditorainterna
6.1SI
SO>WindowsNTENTONCESVerificasilaspolticasdeauditoraestnhabilitadas.
6.2SI
Lapruebafalla168ENTONCESRecomendarcorregirlaconfiguracinerrnea
6.3DELOCONTRARIO
ENTONCES
6.3.1VerificarSI
6.3.1.1Seauditan169sucesosdeiniciodesesino
166
167
168
169
FalladelaPruebasignificaquealgunodelosparmetrosevaluadostieneunvalorincorrectoyquenopuedeser
justificadoporlasnecesidadesoperativasdelosequipos.
FalladelaPruebasignificaquealgunodelosparmetrosevaluadostieneunvalorincorrectoyquenopuedeser
justificadoporlasnecesidadesoperativasdelosequipos.
FalladelaPruebasignificanoseencuentranhabilitadaslosprocesosdeauditoradelSistemaOperativo.
Aqusedebeauditarnosloloseventosexitosossinotambinlosintentosinfructuososderealizarlaaccin.Vlido
paratodaslascomprobacionesdeestaseccin.
64
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
6.3.1.2Seauditalaadministracindecuentaso
6.3.1.3Seauditaelaccesoalosserviciosdedirectorioso
6.3.1.4SeauditanaccesoaobjetosdeSO
6.3.1.5Seauditaelcambiodedirectivas
6.3.1.6Seauditaelusodeprivilegios
6.3.1.7Seauditaelseguimientodeprocesos
6.3.1.8Seauditansucesosdelsistema
6.3.2SI
lapruebafalla170ENTONCESRecomendarcorregirlasconfiguracionesincorrectas.
7 PARA
Verificarlaseguridaddelaconfiguracinbsicadecontroladoresdedominios
7.1Verificarquenoseutilicenaplicacionesconcontraseascifradasconalgoritmosdedobleva.
7.2SI
Lapruebafalla171ENTONCESRecomendarcorregirlaconfiguracinerrnea.
7.3SI
existenmsdeuncontroladordedominios ENTONCES verificarquetodospertenezcana
unaunidadorganizativacomn.
7.3.1SI
Lapruebafalla172ENTONCESRecomendarcorregirlaconfiguracinerrnea
7.4Verificar si existe una plantilla de seguridad de lnea base y si esta se aplica a la unidad
organizativaalaquepertenecenlosservidoresdedominio.SILapruebafalla173ENTONCES
Recomendarcorregirlaconfiguracinerrnea
7.5Verificarsilasplantillasdeseguridadsonalmacenadasdeformasegura.SILapruebafalla174
ENTONCESRecomendarcorregirlaconfiguracinerrnea
8 PARA
VerificarlaefectividadyseguridaddelosservidoresDNS
8.1VerificarsiexistenzonasintegradasaAD.(verpunto2.7)
8.2Verificarsilosservidoresinternosyexternossonindependientes.
8.3SI
Lapruebafalla175ENTONCESRecomendarcorregirlaconfiguracinerrnea
170
171
172
173
174
175
Falladelapruebasignificaquealgunodeloselementosdeautoranoseregistranosuregistroesincorrecto.
FalladelaPruebasignificalascontraseaspuedenserdescifradasutilizandoDESenlugardetenerqueseradivinadas
utilizandounprocesodefuerzabruta.
FalladelaPruebasignificaquesehancreadovariosbosquessinunpuntocomndeunin,locualdificultala
administracinyladifusindepolticas.
FalladelaPruebasignificaquesenosehanaplicadolasmedidasmnimasdeseguridadrecomendadasporel
fabricante.
FalladelaPruebasignificaquelasplantillasdeseguridadnosonprotegidasdecambiosydestruccinaccidentalomal
intencionada.Unaplantillamodificadapodrarelajarloscontrolesdetodalared,entorpecersufuncionamientoo
inclusodejarlainoperativa.
FalladelaPruebasignificanoexistedivisinentrelosservidoresqueanuncianlaredhaciaelmundoyaquellosque
realizanlafuncininternamente.Estaconfiguracinfacilitalaenumeracindelareddesdeelexterior.
65
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
8.4Verificarsiexistenrestriccionesalastransferenciasdezonas.
8.5SI
Lapruebafalla176ENTONCESRecomendarcorregirlaconfiguracinerrnea
8.6VerificarquienesyporquepertenecenalgrupoDNSAdmin.SILapruebafalla177ENTONCES
Recomendarcorregirlaconfiguracinerrnea
9 PARA
VerificarlaseguridaddelaconfiguracinbsicadelservicioTerminalServer(TS)
9.1VerificarsilaplantilladeseguridadNotssid.infestaplicadaservidoresconpermisoscompatibles
con Terminal Server 4.0. SI La prueba falla178 ENTONCES Recomendar corregir la
configuracinerrnea.
9.2VerificarqueseharestringidolasaplicacionesdisponiblesparausuariosdeTS.SILaprueba
falla179ENTONCESRecomendarcorregirlaconfiguracinerrnea
9.3VerificarquenoesthabilitadoelcontrolremotoenlosservidoresdeTS.SILapruebafalla180
ENTONCESRecomendarcorregirlaconfiguracinerrnea
9.4Verificar que est habilitado High Encryption Pack. SI La prueba falla181 ENTONCES
RecomendaraumentarelniveldecifradodelasoperacionesdeTS.
10PARA
VerificarseguridaddelaconfiguracinbsicadelosservidoresDHCP
10.1VerificarquenoexistalacuentadelservidorenelgrupoDNSUpdateProxy. SI La prueba
falla182ENTONCESRecomendarcorregirlaconfiguracinerrnea
10.2VerificarquenoseutilicendireccionesasignadasporDHCPparaservidores. SI La prueba
falla183ENTONCESRecomendarcorregirlaconfiguracinerrnea
10.3VerificarquienesyporqupertenecenalgrupoAdministradoresDHCP.SILapruebafalla184
ENTONCESRecomendarcorregirlaconfiguracinerrnea
176
177
178
179
180
181
182
183
184
FalladelaPruebasignificanoexisterestriccionesalastransferenciasdezonasdeDNSloquefacilitalaenumeracinde
lareddesdeelexterior.
FalladelaPruebasignificaexistenusuariosdentrodelgrupoDNSAdminquepudiesencambiaraccidentalomal
intencionadamentelaconfiguracindeDNSsincontroldeladministradordelsistema.
FalladelaPruebasignificaelservicioTerminalServeresvulnerableavariosataquesporaplicacinerrneadela
permislogadeusuarios.
FalladelaPruebasignificanoexisterestriccionesaloquelosusuariosdeaccesoremotopuedenhacer.Debidoala
debilidadintrnsecadeesteservicioserecomiendarestringirexplcitamenteloquesepermitehaceralosusuariosdel
mismo.
FalladelaPruebasignificaqueestnhabilitadasfuncionesoprogramasdecontrolremoto.Todasestasaplicacionesson
norecomendadasanoserqueseutilicensobrecanalessegurosdecomunicacintalescomoVPN.Anenelltimocaso
debetenersecuidadoalusarsepuespodradejarinoperativoelservidor.
FalladelaPruebasignificaquenoseimplementacifradooesteesmuydbilparaconsiderarseseguro.
FalladelaPruebasignificaqueelservidorpertenecealgruposealadolocualimpidequeelservidortomeposesinde
losregistrosqueincorporealDNS.EstasituacinesslovlidasiexistenmasdeunservidorDHCPeneldominio.
FalladelaPruebasignificalosservidorespodrncambiarsusdireccionesIPalcambiarlaasignacinqueseleshaceva
DHCP.
FalladelaPruebasignificaexistenusuariosdentrodelgrupoAdministradoresDHCPquepudiesencambiaraccidentalo
malintencionadamentelaconfiguracindeDNSsincontroldeladministradordelsistema.
66
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
VerificarseguridaddeservidoresWINS
11.1Verificar la necesidaddemantener servidoresWINS dentrodeldominio186. SI La prueba
falla187ENTONCESRecomendarcorregirlaconfiguracinerrnea
11.2SIesnecesariomantenerWINSENTONCESRecomendarqueexistaelnmeromnimode
servidoresWINSdentrodeldomino.
11.3Verificar las replicaciones entre servidores WINS. SI La prueba falla188 ENTONCES
Recomendarcorregirlaconfiguracinerrnea
185
186
187
188
FalladelaPruebasignificaqueelserviciodeauditoranoregistraloseventosdelservidorDHCP.
WINSesunprotocoloobsoletoyendesuso.ADsuintegracinconDNSlohaceninnecesario.
FalladelaPruebasignificanoexistenjustificacionesvlidasparamantenerWINSfuncionando.WINSesunservicio
arcaicoyhasidosuplantadoporAD.
FalladelaPruebasignificaqueseencuentranservidoresWINSquenoregistransusoperacionesenelrestodelos
servidoresWINS.
67
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
RevisindeServidoresSendmail
Objetivodeestaseccin: Realizarrevisindelaconfiguracindeservidoresqueejecutensendmail
comodemoniomanejadordecorreoelectrnico.
Durante esta revisinsebuscancondiciones deriesgosquepudieronnoser develadasdurante las
pruebasdepenetracin.
Salida:Inventariocompletodelasvulnerabilidadesencontradasyrecomendacionesdesolucin.
I. PARA
RevisarServidoresSendmail{
A. Verificarquelaversinutilizadanocontengaerroresinsuperables
B. Verificarlascondicionesgeneralesdefuncionamientodelservicio
C. VerificarlaefectividadyseguridaddelastcnicasAntiRelay
D. Verificarexistenciadeserviciosdeautentificacin
E. VerificarlaefectividadyseguridaddelastcnicasdeprevencindeataquesdeltipoDoS
F. Verificarlaseguridaddeotrasopciones
1 PARA
Verificarquelaversinutilizadanocontengaerroresinsuperables
1.1SI
Versindelsendmail<=8.9.3ENTONCESAbortarAuditora189yRecomendaractualizar
demanerainmediataelsendmail.
1.2SI
Versin_Demonio < versin_mas_actualizada_estable ENTONCES Recomendar
Actualizacindelaversin.
2 PARAVerificarlascondicionesgeneralesdefuncionamientodelservicio
2.1Verificarconqueusuariocorreeldemonio.190yVerificarquenadiemaspertenecealgrupo.SI
"lapruebafalla191"ENTONCESRecomendarurgentementecorregirlasituacin.
2.2Verificarqueelusuariodesendmailnotieneshellvlido.SI"lapruebafalla192" ENTONCES
Recomendarurgentementecorregirlasituacin.
2.3Verificarpermisologa193bsicadelosarchivosdeconfiguracinycolasdesendmail.
189
190
191
192
193
Cualquierversinanteriora8.9.3debesercompletamentesustituida,novalelapenaauditar
Debesersmmsp:smmsp(osimilar)
Falladelapruebasignificaquealguienmspertenecealgrupodelusuarioconquecorresendmail.
Falladelapruebasignificaqueelusuarioconquecorreeldemoniotieneen/etc/passwdunshellquepermiteaun
usuariotomarsuidentidadyejecutarcomandos.
EstarevisinseharealizadoenlaseccinRevisindeServidoresUNIX.
68
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
VerificarlaefectividadyseguridaddelastcnicasAntiRelay201
3.1VerificarquenoexistaFEATURE('relay_entire_domain').SI"lapruebafalla202"ENTONCES
Recomendarcorregirestasituacin.
3.2VerificarquenoexistaFEATURE(`promiscuous_relay'). SI "lapruebafalla203" ENTONCES
Recomendarcorregirestasituacin.
3.3VerificarquenoexistaFEATURE(`relay_based_on_MX').SI"lapruebafalla204"ENTONCES
evaluar la necesidad de esta configuracin y de no poder ser justificada Recomendar su
eliminacin.
3.4Verificar que no exista FEATURE(`relay_local_from') SI "la prueba falla205" ENTONCES
Recomendarcorregirestasituacin.
3.5SI
firewall no bloquea acceso desde el exterior ENTONCES Verificar que no exista
FEATURE(`accept_unresolvable_domains').
3.6SI
"lapruebafalla206"ENTONCESRecomendarcorregirestasituacin.
3.7Verificar que no exista FEATURE(`accept_unqualified_senders').SI "la prueba falla207"
ENTONCESRecomendarcorregirestasituacin.
194
195
196
197
198
199
200
201
202
203
204
205
206
207
Redireccionesaprogramasnomanejadosoficialmenteporelsistema,usuariosnoconocidosporlaorganizacin,
programasquenopuedangarantizarlaintegridaddesusdatos.etc..
Falladelapruebasignificaquesehanencontradoentraen/etc/aliasesquenopuedenserjustificadas.
Falladelapruebasignificaquesehanencontradoprogramasquepuedenserejecutadosporsendmailquenopuedenser
justificadosoquenosuperanlaspruebasestablecidasenlaseccinProgramasPeligrosos.
Nodebenserescribiblesporelgrupootodoelmundo.Eldirectoriotampoco
Falladelapruebasignificaquesehanencontradoarchivosforwardquepuedensermodificadosporotrosusuarioso
cuyosdueosnocorrespondenconquiendebeser.
RevisaropcinPrivacyOptions=restrctmailq,restrictqrun.
Falladelapruebasignificanoseencuentrahabilitadalaopcin11.
ElRelayporomisinestbloqueado,poresaraznlamayoradelasopcionesposiblessonpararelajarloscontroles
Falladelapruebasignificaquesepuedehacerrelayadominiosenteros.
Falladelapruebasignificaqueseencuentrahabilitadalaopcin
Falladelapruebasignificaqeseencuentrahabilitadalaopcinsinjustificacinvlida.
Falladelapruebasignificaqueseencuentrahabilitadalaopcin
Falladelapruebasignificaqueseencuentrahabilitadalaopcinlocualimplicaquenosevalidanlaexistenciadel
dominiodequienenva.
Falladelapruebasignificaqueseencuentrahabilitadalaopcinlocualimplicaquenosesolicitanlosdominiosde
quienenvaenelcomandohelo.
69
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Verificarexistenciadeserviciosdeautentificacin
4.1VerificarsiexisteFEATURE(`STARTTLS').SI"lapruebafalla210"ENTONCESRecomendar
corregirestasituacin.
4.2VerificarqueexistalaopcinSMTP_AUTH.SI"lapruebafalla211"ENTONCESRecomendar
corregirestasituacin.
4.3Verificarquesendmailobliguelaautentificacindelosusuariosqueenvanemail.SI"laprueba
falla212"ENTONCESRecomendarcorregirestasituacin.
5 PARA
VerificarlaefectividadyseguridaddelastcnicasdeprevencindeataquesdeltipoDoS
5.1VerificaropcinMaxDaemonChildren.SI"lapruebafalla213"ENTONCESRecomendarcorregir
estasituacin.
5.2VerificaropcinMaxMessageSize. SI "lapruebafalla214" ENTONCES Recomendarcorregir
estasituacin.
5.3Verificar max_connection_rate ,max_connections ,wait_for_client ,wait_for_server. SI "la
pruebafalla215"ENTONCESRecomendarcorregirestasituacin.
5.4VerificarDelayLA.SI"lapruebafalla216"ENTONCESRecomendarcorregirestasituacin.
5.5VerificarMaxRecipientsMessage.SI"lapruebafalla217"ENTONCESRecomendarcorregiresta
situacin.
208
209
210
211
212
213
214
215
216
217
Falladelapruebasignificaquesenoencuentrahabilitadalaopcinlocualimplicaquenochequeaalremitentepara
verificarsihasidodeclaradoSPAM.
Falladelapruebasignificaquesenoencuentrahabilitadalaopcinlocualimplicaquenochequeaalremitentepara
verificarsihasidodeclaradoSPAM.
Falladelapruebasignificaquenosehabilitanopcionesadicionalesdeautentificacin,enespecialparaelusodePKI.
EstopuedenoserunerrorsinoexisteningunaPKIabiertaconquevalidarloscertificadosquesepresente,
Falladelapruebasignificaquenosehabilitanopcionesadicionalesdeautentificacin,enespecialpermitedefinir
procesosdeautentificacinmedianteotrosmecanismostalescomoretosMD5,kerberos,etc...
Falladelapruebasignificaquenosehabilitanopcionesadicionalesdeautentificacinparausuarioslocales.
Falladelapruebasignificaelnmerodedemoniosquemanejansendmailnoestdeacuerdoalflujorealdemensajes
delservidor.
Falladelapruebasignificaeltamaomximodelosmensajesnoestacordealasnecesidadesdelaorganizacin.
FalladelapruebasignificaellostiemposespecificadospuedenfavorecerunataquedeDoS.
FalladelapruebasignificaellostiemposespecificadospuedenfavorecerunataquedeDoS.
FalladelapruebasignificalacantidaddereceptoresdeunmensajedefinidapuedenfavorecerunataquedeDoS.
70
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Verificarlaseguridaddeotrasopciones
6.1VerificarsinoestnactivadaslasopcionesVRFYyEXPN.SI"lapruebafalla219"ENTONCES
Recomendarcorregirestasituacin.
6.2Verificarelniveldebitcorasqueseutiliza.SI"lapruebafalla220"ENTONCESRecomendar
corregirestasituacin.
218
219
220
FalladelapruebasignificalacantidadintentosdedeclararusuariosdedestinofavoreceunataquedeDoSola
enumeracindeusuariosdelsistema.
FalladelapruebasignificaquesesolicitanestoscomandosdurantelaconversacinSMTP.Estopuedeserutilizado
pararealizarenumeracindeusuarios.
Falladelapruebasignificaqueseutilizaunniveldelogsinferiora9.
71
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
RevisindeServidoresApache.
Objetivodeestaseccin: RealizarrevisindelaconfiguracindeservidoresAPACHEqueafecten
condicionesderiesgodeseguridad.
Durante esta revisinsebuscancondiciones deriesgosquepudieronnoser develadasdurante las
pruebasdepenetracin.
Salida:Inventariodelasvulnerabilidadesencontradasyrecomendacionesdesolucin.
DESARROLLO:
I. PARA
RevisarServidoresApache{
A. VerificarlaSeguridaddelascondicionesgeneralesdelainstalacin
B. VerificarlaSeguridaddelambientedeejecucindeCGI
C. VerificarlaSeguridaddelesquemadeproteccingeneral}
1 PARA
VerificarlaSeguridaddelascondicionesgeneralesdelainstalacin
1.1VerificarSI$ServerRootDirectorytienepermisos511.
1.2SI
pruebafallaENTONCESRecomendarajustarlospermisosalvalorestablecidoenlaregla.
1.3VerificarSI$ServerRootDirectoryespropiedaddelroot(root:root).
1.4SI
prueba falla ENTONCES Recomendar ajustar la propiedad del subdirectorio al valor
establecidoenlaregla.
1.5VerificarSIelejecutable221deldemonioespropiedaddelroot.
1.6SI
prueba falla ENTONCES Recomendar ajustar la propiedad del subdirectorio al valor
establecidoenlaregla.
1.7SI
"elservidorutiliza"SSI222ENTONCESVerificarSIlacargadeCPUnoseincrementa.223
1.7.1SI
pruebafalla224ENTONCESRecomendarlaevaluacindelanecesidaddelSSI.
1.7.2SI
Usuarios pueden ejecutar CGI Propias o pginas con elementos SSI
ENTONCESVerificarqueelwrappersuEXECestconfigurado225.
1.7.2.1SI
"lapruebafalla" ENTONCES Recomendarlahabilitacinyconfiguracin
delwrappersuEXEC.
1.7.2.2VerificarquenoesthabilitadoSSI.PARAarchivos.htmlo.htm.
1.7.2.2.1.1SI
"lapruebafalla226" ENTONCES Recomendardiferenciarlaspginasque
221
222
223
224
225
226
Revisartambineldirectorioquecontienealejecutable.
ServerSideInclude
PararealizarestapruebahabrquecompararlacargadeCPUconelSSIhabilitadoyluegodehaberlodeshabilitado.
FalladelapruebasignificaquehayunincrementosignificativodelacargadelCPU
Debeestarconfiguradoparausarunusuariodiferentequeelusadoparacorrereldemoniohttpdyqueeseusuariono
tengapermisosexcesivos.
FalladelapruebasignificaquenosemarquendiferenciadamentelaspginasqueposeanelementosSSI.
72
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
usanSSIdelasquenolohacen.
2 PARA
"VerificarlaSeguridaddelambientedeejecucindeCGI"
2.1Verificar que los usuarios no pueden ejecutar programas CGI almacenados en cualquier
directorio.
2.2SI
"lapruebafalla227" ENTONCES Recomendarrevisarlapoliticadepermisosparaejecutar
CGI228.
2.3SI
"sepermite~/public_html/cgibin/"ENTONCESverificarquelosCGInoponenenriesgo
laseguridad(VERANEXOPROGRAMASEGURO).
3 PARA
"VerificarlaSeguridaddelesquemadeproteccingeneral"
3.1Verificarqueporomisinslosedaaccesoalosdirectorioscorrectosyseniegalaresto.
3.2SI
"lapruebafalla229"ENTONCESRecomendarcorregirinmediatamentelaconfiguracin.
3.3VerificarqueVersin_actual=Versin_mas_actualizada.
3.4SI
"lapruebafalla230"ENTONCESRecomendarctualizarservidorApache.
3.5SI"SIseutilizacontroldeacceso231"ENTONCESVerificarfortalezasdelascontraseas232
3.5.1SI
"lapruebafalla233"ENTONCESRecomendarrevisarlapoliticadecontraseas.
3.5.2Verificarpermisosdelarchivohtaccess.
3.5.3SI
"lapruebafalla234"ENTONCESRecomendarrevisarlapoliticadepermisos
3.5.4Verificar que los permisos de los archivos .htaccess no sobreescriban los permisos
generalesdelservidor.235
3.5.5SI
"lapruebafalla236" ENTONCES Recomendarrevisarladepermisosparaevitaresta
situacin.
3.6SI
sepermitepublic_htmlENTONCESVerificarpermisosdearchivos.
3.6.1SI
"lapruebafalla237"ENTONCESRecomendarrevisarlapoliticadepermisos
3.7SI
EXISTEUsuario_del_demonioENTONCESVerificarquenotengashellvlido.
3.7.1SI"lapruebafalla238"ENTONCESRecomendarcambiarelshellanovlido.
3.7.2Verificarquenotengahomevlido.
3.7.3SI
"lapruebafalla239"ENTONCESRecomendarborrareldirectorio$HOMEnoexistente.
227
228
229
230
231
232
233
234
235
236
237
238
239
FalladelapruebasignificaquelosusuariospuedenejecutarCGIencualquierdirectorio.
Estaopcindeberdependerdelnivledeconfianzaqueseposeaenlosusuarios.Poromisinnoserecomienda
permitir.
FalladelapruebasignificaquelosusuariospuedenejecutarCGIencualquierdirectorio.
Falladelapruebasignificaquelosusuariospuedenmoverseconlibertadportodalaestructuradelsistemadearchivos
delservidor
Serefiereacontrolatravsdemedioscomolosarchivos.htaccessequivalentes.
Verseccindepruebasdepenetracin
Falladelapruebasignificaqueselograndescifraramenosunacontrasea.
Falladelapruebasignificaquelospermisospermitenquecualquierusuariomodifique(borre)elarchivo.htaccess
Verificar AllowOverride None
Falladelapruebasignificaquelospermisospermitenquecualquierusuariomodifiquelospermisosdadosalservidor.
Falladelapruebasignificaquelospermisospermitenquecualquierusuariomodifique(borre)elarchivodirectorio
public_html.
Falladelapruebasignificaqueelusuarioconquecorreeldemoniotieneen/etc/passwdunshellquepermiteaun
usuariotomarsuidentidadyejecutarcomandos.
Falladelapruebasignificaqueelusuarioconquecorreeldemoniotieneen/etc/passwdunsudbirectorio$HOME
existente.Validoparanota18y19>$HOME:/dev/null/$SHELL:sbin/nologin
73
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
3.7.4Verificarqueelservicioseejecutebajoelusuarioroot.
3.7.5SI
"lapruebafalla"ENTONCESRecomendarinmediatamentecambiarusuarioconquese
ejecutaeldemonio.
3.7.6Verificarquesloseentregelainformacinnecesariasobreelservidor240.
3.7.7SI
"la prueba falla" ENTONCES Recomendar inmediatamente cambiar el valor de
configuracin.
3.7.8Verificarqueexistanysemantenganbitcorasdelservidor.
3.7.9SI
"la prueba falla"241 ENTONCES Recomendar inmediatamente cambiar el valor de
configuracin.
240
241
VerficarServerSignatureOffServerTokensProd=off.
Fallaenlapruebasignificaquenoseencuentrenbitcoras.
74
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
RevisindelaInfraestructuraInalmbrica
Objetivodeestaseccin:Realizarrevisindelaconfiguracindelossistemasinlambricos
Durante esta revisinsebuscancondiciones deriesgosquepudieronnoser develadasdurante las
pruebasdepenetracin.
Salida:Inventariodelasvulnerabilidadesencontradasyrecomendacionesdesolucin.
DESARROLLO:
I. PARA
RevisarlaSeguridaddelaInfraestructuraInalmbrica{
A. Verificarlaseguridaddelesquemadeautentificacinycontroldeacceso
B. VerificarlaseguridaddelsistemaDHCP
C. Verificarlosmecanismosdecontroldeintegridadyconfidencialidad
D. VerificarlaSeguridaddelentorno}
1 PARA
Verificarlaseguridaddelesquemadeautentificacinycontroldeacceso
1.1VerificarsisedivulgaelSSIDporbroadcast.
1.2SI
lapruebafalla242ENTONCESRecomendarinhabilitarestaconfiguracin
1.3VerificarquenoseutilicenlosSSIDporomisin.
1.4SI
lapruebafalla243ENTONCESRecomendarinhabilitarestaconfiguracin
1.5PARA
FalladelapruebasignificaqueunoomspuntosdeaccesoradiansuSSIDacualquierestacin.
FalladelapruebasignificaqueunoomspuntosdeaccesoutilizanelSSIDdelfabricanteporomisin.
FalladelapruebasignificaqueunoomspuntosdeaccesoutilizanelSSIDdelfabricanteporomisin.
FalladelapruebaimplicaqueesfactibleelcontroldeaccesopordireccionesMAC
Falladelapruebasignificanoexisteunaarquitecturadeautentifiacin
75
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Verificarsiseutilizancontraseasseguras.
1.6.2.1.1SI
lapruebafalla247 ENTONCESRecomendarurgentementeaumentarelnivel
deseguridaddelascontraseas.
1.6.2.1.2Verificarsiseutilizancontraseasdecambiosperidicos.
1.6.2.1.3SI
lapruebafallaENTONCESRecomendarutilizarcontraseasperidicas
1.6.2.2 SI se utiliza secreto compartido ENTONCES Verificar si las contraseas son
robustas.
1.6.2.2.1SI
lapruebafalla248ENTONCESRecomendarurgentementeaumentarelnivel
deseguridaddelascontraseas.
2 PARA
VerificarlaseguridaddelsistemaDHCP
2.1SiseutilizaDHCP ENTONCES VerificarquelasopcionesdelmbitoDHCPnodivulgue
informacindelared.
2.1.1.1SI
la prueba falla249 ENTONCES Recomendar redefinir las opciones de DHCP
Verificarquelostiemposdeasignacindeconfiguracinseanloscorrectos.
2.1.1.2SI
lapruebafalla250ENTONCESRecomendarreconfigurarestopcin.
3 PARAVerificarlosmecanismosdecontroldeintegridadyconfidencialidad
3.1Verificarsiseutilizaalgnesquemadecifrado.
3.1.1SI
seutilizaWEPENTONCESVerificarsiseutilizaTKIP.
3.1.1.1SI
lapruebafalla251ENTONCESRecomendarelusodeTKIP.
3.1.2VerificarsiseutilizaWPAWPA2.
3.1.2.1SI
lapruebafalla252ENTONCESRecomendarelusodeWPA(12).
3.2Verificaquelosusuariosnopuedenelegirmodosdetrasmisininseguros.
3.2.1SI
la prueba falla253 ENTONCES Recomendar urgentemente corregir cualquier
configuracinquepermitaalosusuariosutilizarmodosnoseguros(planos)detransmisin.
4 PARA
VerificarlaSeguridaddelentorno
247
248
249
250
251
252
253
Falladelapruebasignificaquelascontraseassoninseguras(triviales,sencillas,fcilmenterompibles.
Falladelapruebasignificaquelascontraseassoninseguras(triviales,sencillas,fcilmenterompibles.
FalladelapruebasignificaqueunoomspuntosdeaccesootorganconfiguracionesporDHCPquede
FalladelapruebasignificaquelostiemposdeentregadelasconfiguracionesIPexcedenlosvaloresrecomendadospara
laarquitecturaqueseanaliza.
FalladelapruebasignificaquealmenosunodelosdispositivosinvolucradosenlaredinalmbricanoutilizanTKIPlo
quehacealesquemadecifradovulnerable.
InclusosiseutilizaWEPdebevalorarselaopcindeescalaraWPA.
Falladelapruebasignificaquealmenosunodelospuntosdeaccesoqueformanlaredpermiteelaccesonoseguroala
misma.
76
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
4.1Verificarsilospuntosdeaccesoinalmbricossonaccesiblesdesdefueradelaorganizacin.
4.1.1SI
la prueba falla254 ENTONCES Recomendar corregir la configuracin para evitar
conexionesdesdeelexterior.
4.2Verificarquelasreglasdefiltradoqueseaplicanalaredinalmbrica255
4.2.1SI
lapruebafalla256ENTONCESRecomendarcorregirlapolticadefiltradoparaincluir
alaredinalmbrica.
4.3Verificarquelasreglasdeteccindeintrusosqueseaplicanalaredinalmbrica257
4.3.1SI
lapruebafalla258ENTONCESRecomendarcorregirlapolticadefiltradoparaincluir
alaredinalmbrica.
254
255
256
257
258
Falladelapruebasignificaquesepuedeaccederyconectardesdeafuera
Verseccindechequeodefirewallsparaverificarestsreglasconlasqueseaplicanalaredinalmbrica.
Falladelapruebasignificaquelaredinalmbricaseencuentradesprotegida.
VerseccindechequeodeIDSparaverificarestsreglasconlasqueseaplicanalaredinalmbrica.
Falladelapruebasignificaquenosehacechequeodeintrusosenlaredinalmbrica.
77
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
RevisindeSistemasdeDeteccindeIntrusos.
Objetivodeestaseccin:Realizarrevisindelaconfiguracindelossistemasdedeteccindeintrusos
basadosenredyhosts
Durante esta revisinsebuscancondiciones deriesgosquepudieronnoser develadasdurante las
pruebasdepenetracin.
Salida:Inventariodelasvulnerabilidadesencontradasyrecomendacionesdesolucin.
DESARROLLO:
I. PARA
RevisarlaSeguridadlosSistemasdeDeteccindeIntrusos{
A. VerificarlaconfiguracinbsicadeseguridaddeunDetectordeIntrusosBasadoenred
(NDIS)
B. VerificarlaseguridaddelsistemalosSistemasdeDeteccindeIntrusosbasadosenhost
1. PARAVerificarlaconfiguracinbsicadeseguridaddeunDetectordeIntrusosBasadoenred
(NDIS)
1.1 SI
los NDIS generan alarmas ENTONCES Verificar niveles de alerta y atencin de las
alarmas259DELOCONTRARIORecomendarajustedelosnivelesdealertas.
1.2 SI
ExistenAlertasperonosoncorrectossusniveles ENTONCES Recomendarajustedelos
nivelesdealertas.
1.3 SIExistenfirmasnuevasENTONCESverificarladistribucindelasfirmaspasadas5m,12h
y24h.
1.3.1.SI
lasalertasnosehandifundidoenalosumoen24hENTONCESRecomendarAjustey
verificacindelsistemadeactualizacindefirmas.
1.4 Generandotrficopseudohostil260,yquepuedaserdetectadoporelNDIS
1.4.1.SI
lasbitcorasdelNDISsellenanENTONCES
1.4.1.1. SI eldesbordamientodelasbitcorasocurridebidoapocoespacioenlasmismas
ENTONCESRecomendarampliacindeltamaodelasbitcorasincluyendolaposibilidadde
centralizacinytrasmisinseguradelasmismas.
1.4.1.2. SI eldesbordamientodelasbitcorasocurridebidoaexcesodealertasregistradas
ENTONCESRecomendarajustedelosnivelesdeRegistrodeAlertaseIncidentes.
1.4.2. Verificar que la informacin almacenada en las bitcoras sea correcta y completa para
reconocerefectivamenteunataque261
259
260
261
Aquienlellegan,queinformacin,porquemediosyenquetiempo.
Trficogeneradoconunprogramadebsquedaautomticadevulnerabilidades
Reconocerunataquesignifica:OrigenReal,Objetivodelataque,mtodoutilizado
78
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
1.4.3.SI
lapruebafalla262ENTONCESRecomendarAjustedelosnivelesdeRegistrodelNDIS
1.4.4.SINDISesActivoENTONCESVerificarquelasaccionesprovocadasporlosmandatosdel
NDISseanadecuadas263DELOCONTRARIORecomendarajusteseneltipodeaccionesdel
NDIS.
1.5 Generatrficohostil264
1.5.1.SI
NDISnoescapazdedetectartrficoconvariacionesdelatazadeenvosENTONCES
RecomendarajustesenlasfirmasdelNDIS.
1.5.2.SI
NDIS no es capaz de detectar cambios en las direcciones IP de origen (spoofing)
ENTONCESRecomendarajustesenlasfirmasdelNDIS.
1.5.3.SI
NDISnoescapazdedetectarataquesencapsuladosenotrosprotocolos ENTONCES
RecomendarajustesenlasfirmasdelNDIS.
1.6 RevisarlasbitcorasdelosNDIS
1.6.1.Verificarsisehanregistradolasaccionesrealizadasporlaspruebas.
1.6.2.SI
lapruebafalla265 ENTONCES Tratardeencontrarlarazndelerrory Recomendar
ajustes.
1.7 VerificarsielNDIScubretodoslossitiosenlareddondeesimportantequesecapturetrfico.
1.7.1.SI
lapruebafalla266ENTONCES RecomendarRediseodellaarquitecturademonitoreo
paratomarencuentatodoslospuntoscrticos.
1.8 Verificarsiencadapuntodecapturadedatossecapturalainformacincompleta.
1.9 SI
lapruebafalla267 ENTONCES Recomendar ajustedelos mirror o taps delospuntosde
capturadeinformacin.
2. SI Existen IDS Basados en Hosts268 ENTONCES Verificar si todos los servidores crticos
poseanIDS.
2.1 SI
lapruebafalla269ENTONCESRecomendarlaampliacindelaplataformadeIDSparaque
cubratodoslosServidores.
2.2 VerificarquetodoslosservicioscrticosposeanIDS.
2.2.1.SI
lapruebafalla270ENTONCESRecomendarlaampliacindelaplataformadeIDSpara
quecubratodoslosServicios.
2.3 Verificarsilainformacinguardadaenlasbitcorasdelosservidorespermiteelfuncionamiento
adecuadodelosIDS.
2.3.1.SI
lapruebafalla271ENTONCESRecomendarmejorasenelsistemasdebitcoras272.
262
263
264
265
266
267
268
269
270
271
272
Lafalladelapruebaimplicaquelainformacinguardadaenlasbitcorasnoessuficienteparadefinirunrastrodel
atacanteylaformaenqueserealizelataque.
Adecuadassignifica:Eliminenominimicenelataquesinponerenriesgooparalizarotrasoperaciones
Trficogeneradoconfirmasespecificasdeataquessegneltipodelosmismos
Falladelapruebaimplicaquenosehanregistradolosataquesrealizados.
Falladelapruebaimplicaquenoserevisantodoslossitiosimportantesdelared.
Falladelapruebaimplicaquelainformacinquesecapturanoescompleta.
AefectodeestedocumentosenombrarnsimplementeIDS.EnlasseccionesrevisindeservidoresUnixyRevisinde
servidoresWindowsseharevisandoenprofundidadestepunto.
Falladelapruebaimplicaquenoserevisantodoslosservidoresimportantesdelared.
Falladelapruebaimplicaquenoserevisantodoslosserviciosimportantesdelared.
FalladelapruebaimplicaqueconlainformacinguardadaelIDSnopuededetectarposiblesataques
Syslogoequivalente
79
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
2.4 SI
ExistenserviciosderotacindebitcorasENTONCES
2.4.1.VerificarsinointerfierenconelfuncionamientodelIDS.
2.4.2.SI
lapruebafalla273ENTONCESRecomendarajustesenlapolticaderotacindebitcoras
273
FalladelapruebaimplicaquelarotacindebitcorasimpideelfuncionamientocorrectodelIDS.
80
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
RevisindeDispositivosFirewalls
Objetivodeestaseccin:Realizarrevisindelaconfiguracindedispositivosfirewallsdered.
Durante esta revisinsebuscancondiciones deriesgosquepudieronnoser develadasdurante las
pruebasdepenetracin.
Salida:Inventariodelasvulnerabilidadesencontradasyrecomendacionesdesolucin.
DESARROLLO:
I. PARA
RevisarlaSeguridadlosSistemasdeDeteccindeIntrusos{
A. Verificarefectividaddelasreglasdefiltrado
B. Verificarefectividaddelaspolticasdemantenimientodelaconfiguracin
C. Verificarconfiguracinyseguridaddelsistemadebitcoras}
1 PARA
Verificarefectividaddelasreglasdefiltrado
1.1Verificarquelasreglasdefiltradodelfirewallsiganelsiguienteorden:
1. Filtrosantispoofing274 (blockedprivateaddresses,internaladdressesappearingfromthe
outside
2. Reglaspermisivasdelosusuarios.
3. Reglasparaelmanejodelainfraestructura.
4. Descargadeprotocolos275
5. Reglasdebloqueoyalerta
6. Reglasdebloqueoyalmacenamientoenbitcoras.
1.1.1SI
lapruebafalla276ENTONCESRecomendarajustarpolticadefiltradoparaejecutarse
segnelordenquesehasealado
1.2VerificarquelasreglasseanadecuadamenteestablecidasenfuncindeIPdeorigenydestino,
puertosdeorigenydestinoytiemposmximosdeespera(timeouts).
1.2.1SI
lapruebafalla277ENTONCESRecomendarajustarpolticadefiltrado.
1.3Verificarquelasreglasdefiltradoexistenenambossentidosparacadaunadelasinterfacescon
quecuenteelfirewall.
1.3.1SI
lapruebafalla278 ENTONCESRecomendarajustarpolticadefiltradoparafiltraren
ambossentidoseltrficonopermitido.
274
275
276
277
278
Bloqueodedireccionesinternasqueaparecenenlazonaexternaoviceversa
Ej.PaquetesOSPF,transferenciasdezona.etc.
Falladelapruebaimplicaerroresenlapolticadefiltrado,temasnotomadosencuenta,cambiodelapolticapor
omisin,etc.
Falladelapruebaimplicaerroresenlapolticadefiltradoqueimpliquerelajamientodelasreglas.
Falladelapruebaimplicaerroresenlapolticadefiltradoquenocierranenambossentidoseltrficonopermitido.Esto
favoreceataquesdeltipoblackend
81
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
1.4Verificarlaexistenciadezonadefinidasporelfirewall.
1.4.1SI
lapruebafalla279ENTONCESRecomendarajustarpolticadefiltradoparacrearzonas
diferentesenfuncindeltipodeaccesoquedebentenercadauna.
1.5Verificar que las direcciones definidas en RFC 1918 est bloqueadas (VER ANEXO
FIREWALLS1)desdeelexterioraelrestodelaszonas.
1.5.1SI
lapruebafalla280ENTONCESRecomendarajustarpolticafiltrado.
1.6VerificarquelospuertosqueseenumeranenANEXOFIREWALLS2sonbloqueadosdesdela
zonaexternahacialazonainterna281.
1.6.1SI
lapruebafalla282ENTONCESRecomendarajustarpolticadefiltradoparafiltrarlos
puertosquesemencionan.
1.7VerificarqueexistanreglasdefiltradoparaeltrficoICMPtipo8,11,3.
1.7.1SI
la prueba falla283 ENTONCES Recomendar ajustar poltica de filtrado para filtrar tipos de
serviciosICMPquesemencionan.
1.8Verificarsielfirewallesstateful.
1.8.1SI
lapruebafalla284ENTONCESRecomendarajustarpolticadefiltradoparaevitarque
elfirewallacepteconexionesnoestablecidasatravsdel.
1.9SI
existenreglasde redireccin ENTONCES Verificarquelasdireccionesinternasnoson
mostradasenelexterior.
1.9.1SI
lapruebafalla285ENTONCESRecomendarajustarpolticadefiltradoparaevitaresta
situacin.
1.10Verificarqueslosepermitetrficogeneradoenlazonainterna286.
1.10.1SI
lapruebafalla287 ENTONCES Recomendarajustarpolticadefiltradoparaimpedir
quesepermitatrficoservidorhacialazonainterna.
1.11Verificarqueexplcitamenteseniegatodotrficodesdelazonaexternahacialosservidores
crticosqueseencuentrenenlazonainterna.
1.11.1SI
lapruebafalla288 ENTONCES Recomendarajustarpolticadefiltradoparaimpedir
quesepermitahacialosservidoresqueseencuentrenenlazonainternayqueseancrticos.
2 PARA
Verificarefectividaddelaspolticasdemantenimientodelaconfiguracindelosfirewalls
2.1Verificarsiexistenpolticasdemantenimientodelaconfiguracindelfirewall.
2.2SI
la pruebafalla289 ENTONCES Recomendar crear unapoltica demantenimiento de la
279
280
281
282
283
284
285
286
287
288
289
Falladelapruebaimplicalainexistenciadealgunadelaszonasmnimas(externaDMZinterna)
FalladelapruebaimplicaincumplimientodelaRFC.
Silapolticaporomisineslacorrectaestospuertosestnimplcitamentecerrados.
Falladelapruebaimplicaquealgunodelospuertosquesemencionasemantienenabiertossinjustificacindeuso.
FalladelapruebaimplicaquealgunodelostiposdeservicioICMPsepermitenquepasendesdeelexteriorhacia
cualquieradelaszonas.
FalladelapruebaimplicaqueelfirewallnochequealbitdeACKdelasconexionesTCPorecuerdalasconexionesen
elcasodelUDP.Posiblementeestacondicinimpliquelarecomendacindecambiodelfirewall.
Falladelapruebaimplicaquelasdireccionesdelaredinternasonanunciadasalexterior.
SerefiereimpedirtrficogeneradoenlazonaexternaoDMZycuyodestinosealazonainterna.
Falladelapruebaimplicalaposibilidaddeaccederamquinasenlazonainternaquedenalgnservicio.
Falladelapruebaimplicalaposibilidaddeaccederaservidorescrticosqueseencuentrenenlazonainternadesdeel
exterior.
Falladelapruebaimplicalainexistenciadepolticasderespaldo,actualizacin,reajustedelasreglasdefiltrado.
82
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
configuracindelfirewall.
3 PARA
Verificarconfiguracinyseguridaddelsistemadebitcoras
3.1Verificarsiexistenbitcorasdelfuncionamientodelfirewallydelasaplicacionesdelasreglas
defiltrado.
3.1.1SI
la prueba falla290 ENTONCES Recomendar crear urgentemente una poltica de
bitcoras.
290
Falladelapruebaimplicalainexistenciadepolticasdebitcorasdelfuncionamientodelfirewall.
83
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
RevisindelasPolticasdeSeguridad
Objetivodeestaseccin:Realizarrevisindelaconfiguracindelaspolticadeseguridadexistentes
enlaempresa(establecidasformalmenteyde facto).Duranteestarevisinsebuscancondicionesde
riesgosquepudieronnoserdevaladasdurantelaspruebasdepenetracin.
Salida:Inventario completolosaspectosquecubrelapolticadeseguridad(siexiste)yaquellos
elementosquenosontomadosencuentaporlapoltica.
LaevaluacinestbasadaenlasrecomendacionesdelISO17799,elcualposee10captulos:
CAP1DelaPropiaPolticadeSeguridad
CAP2SeguridadOrganizacional
CAP3ClasificacinyControldeActivos
CAP4SeguridadPersonal
CAP5SeguridadFsicayAmbiental
CAP6GestindeOperacionesyComunicaciones
CAP7ControldeAcceso
CAP8DesarrolloyMantenimientodeSistemas
CAP9GestindelaContinuidaddeNegocio
CAP10CumplimientodelMarcoJurdico
DESARROLLO:
I. PARA
RevisarlaSeguridadlosSistemasdeDeteccindeIntrusos{
A. VerificarelcumplimientodelosobjetivosdelCap1ISO17799
B. VerificarelcumplimientodelosobjetivosdelCap2ISO17799
C. VerificarelcumplimientodelosobjetivosdelCap.3,ISO17799
D. VerificarelcumplimientodelosobjetivosdelCap4ISO17799
E. VerificarelcumplimientodelosobjetivosdelCap.5ISO17799
F. VerificarelcumplimientodelosobjetivosdelCap6ISO17799
G. VerificarelcumplimientodelosobjetivosdelCap7ISO17799
84
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
H. VerificarelcumplimientodelosobjetivosdelCap8ISO17799
I. VerificarelcumplimientodelosobjetivosdelCap.9ISO17799
J. VerificarelcumplimientodelosobjetivosdelCap10ISO17799
1. PARA
VerificarelcumplimientodelosobjetivosdelCap.1ISO17799
1.1VerificarsilaGerenciaconoceyapoyalapolticadeseguridad(PS)establecida
1.2Verificarquelapolticaestcorrectamentealmacenadayestdisponibleparalosmiembros
delaorganizacin.
1.3Verificarquelapolticadeseguridadesconocidaporlosmiembrosdelaorganizacin.
1.4VerificarquelaPSincluyeunadeclaracinde:
Apegoalanormativalegalyrequerimientosvigentes
Requerimientosdeeducacinenseguridad
Usoindebidodelosactivosdeinformacin
Accesoalsistema
Prevencinydeteccindesoftwaremalicioso
Gestindelacontinuidaddelnegocio
Consecuenciasysancionesdelasviolacionesalaspolticasdeseguridad
Unadefinicinespecificandolasresponsabilidadesgeneralesyespecficaspor
lagestindelaseguridaddelainformacin,incluyendoelreportedeincidentes
deseguridad.
Unadefinicinespecificandolasresponsabilidadesgeneralesyespecficaspor
lagestindelaseguridaddelainformacin,incluyendoelreportedeincidentes
deseguridad.
DefinicindeResponsabilidades
1.4.1SI
LaPruebaFalla291 ENTONCES Recomendarcorregirlosaspectosdeficientes
detectados en la poltica de seguridad en la forma en que esta es aplicada en la
organizacinbajoprueba.
2 PARA
VerificarelcumplimientodelosobjetivosdelCap.2,ISO17799
291
FalladelaPruebasignificaquealgunodeloselementosdefinidosporelCap.1delISO17799nohasidocorrectamente
abordadoenlapolticaexistenteosimplementehasidopasadoporaltoenlamisma.
85
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
2.1Verificarquelapolticaestablecelamanerade:
Estableceunforodegestindeseguridaddelainformacin
Define y delimita roles y responsabilidades en cuanto a la seguridad de la
informacin
Establece procedimientos de autorizacin para la adopcin de facilidades de
procesamientodeinformacin
Designaunconsejeroespecialistaenseguridaddelainformacin
Promuevelacooperacinentreorganizaciones
Aseguralarevisinindependienteoexternadelaimplementacindelaspolticas
deseguridaddelainformacin.
2.1.1SI
LaPruebaFalla292 ENTONCES Recomendarcorregirlosaspectosdeficientes
detectados en la poltica de seguridad en la forma en que esta es aplicada en la
organizacinbajoprueba.
3 PARA
VerificarelcumplimientodelosobjetivosdelCap.3,ISO17799
3.1Verificarquelapolticaestablecelamanerade:
Mantenerunaproteccinadecuadadelosactivosdelaorganizacin
Asegurarquelosactivosdeinformacinrecibenunnivelapropiadodeproteccin.
3.1.1SI
LaPruebaFalla293 ENTONCES Recomendarcorregirlosaspectosdeficientes
detectados en la poltica de seguridad en la forma en que esta es aplicada en la
organizacinbajoprueba.
4 PARA
VerificarelcumplimientodelosobjetivosdelCap.4ISO17799
4.1Verificarquelapolticaestablecelamanerade:
292
293
Reducirlosriesgosdeerrorhumano,hurto,fraudeomalusodelasfacilidades
queprocesaninformacin.
Asegurarquelosusuariossonconscientesdelasamenazasalaseguridaddela
informacin,quedebeninvolucrarseensuproteccinyquesonpreparadosy
equipadosparacumplirconlapolticadeseguridadcorporativadentrodesus
actividadesdiariaseneltrabajo.
Minimizar el dao provocado por incidentes de seguridad o por mal
funcionamientodelossistemasyaprenderdetalesincidentes.
FalladelaPruebasignificaquealgunodeloselementosdefinidosporelCap.2delISO17799nohasidocorrectamente
abordadoenlapolticaexistenteosimplementehasidopasadoporaltoenlamisma.
FalladelaPruebasignificaquealgunodeloselementosdefinidosporelCap.3delISO17799nohasidocorrectamente
abordadoenlapolticaexistenteosimplementehasidopasadoporaltoenlamisma.
86
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
4.1.1SI
LaPruebaFalla294 ENTONCES Recomendarcorregirlosaspectosdeficientes
detectados en la poltica de seguridad en la forma en que esta es aplicada en la
organizacinbajoprueba.
5 PARAVerificarelcumplimientodelosobjetivosdelCap.5ISO17799
5.1Verificarquelapolticaestablecelamanerade:
Preveniraccesosnoautorizados,daoseinterferenciasalasposesionesyactivos
delaorganizacin.
Prevenir prdida, dao o compromiso a los activos de informacin y la
interrupcindelasactividadesdelnegocio.
Prevenir el compromiso o robo de la informacin y de las facilidades de
procesamientodelainformacin.
5.1.1SI
LaPruebaFalla295 ENTONCES Recomendarcorregirlosaspectosdeficientes
detectados en la poltica de seguridad en la forma en que esta es aplicada en la
organizacinbajoprueba.
6 PARA
VerificarelcumplimientodelosobjetivosdelCap.6ISO17799
6.1Verificarquelapolticaestablecelamanerade:
Asegurarlaoperacincorrectayseguradelasfacilidadesdeprocesamientode
informacin
Minimizarelriesgodefalladelsistema
Protegerlaintegridaddelsoftwareydelainformacin
Mantenerlaintegridadydisponibilidaddelosserviciosdeprocesamientodela
informacinycomunicacin
Asegurarlaproteccindelainformacindentrodeambientesderedesydesu
infraestructuradesoporte
Prevenirdaoalosactivosdeinformacinylainterrupcindelasactividades
delnegocio
Prevenir prdida, modificacin o manejo inadecuado de la informacin
intercambiadaentreorganizaciones
6.1.1SI
LaPruebaFalla296 ENTONCES Recomendarcorregirlosaspectosdeficientes
294
295
296
FalladelaPruebasignificaquealgunodeloselementosdefinidosporelCap.4delISO17799nohasidocorrectamente
abordadoenlapolticaexistenteosimplementehasidopasadoporaltoenlamisma.
FalladelaPruebasignificaquealgunodeloselementosdefinidosporelCap.5delISO17799nohasidocorrectamente
abordadoenlapolticaexistenteosimplementehasidopasadoporaltoenlamisma.
FalladelaPruebasignificaquealgunodeloselementosdefinidosporelCap.6delISO17799nohasidocorrectamente
abordadoenlapolticaexistenteosimplementehasidopasadoporaltoenlamisma.
87
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
VerificarelcumplimientodelosobjetivosdelCap.7ISO17799
7.1Verificarquelapolticaestablecelamanerade:
Controlarelaccesoalainformacin
Preveniraccesosnoautorizadosalossistemasdeinformacin
Preveniraccesosdeusuariosnoautorizados
Asegurarlaproteccindeserviciosdered
Preveniraccesosnoautorizadosalosequiposdecmputo
Detectaractividadesnoautorizadas
7.1.1SI
LaPruebaFalla297 ENTONCES Recomendar corregir losaspectosdeficientes
detectados en la poltica de seguridad en la forma en que esta es aplicada en la
organizacinbajoprueba.
8 PARA
VerificarelcumplimientodelosobjetivosdelCap.8ISO17799
8.1Verificarquelapolticadeseguridadestablececomo:
8.1.1SI
LaPruebaFalla298 ENTONCES Recomendarcorregirlosaspectosdeficientes
detectados en la poltica de seguridad en la forma en que esta es aplicada en la
organizacinbajoprueba.
9 PARA
VerificarelcumplimientodelosobjetivosdelCap.9ISO17799
9.1Verificarquelapolticadeseguridadestablececomo:
297
298
FalladelaPruebasignificaquealgunodeloselementosdefinidosporelCap.7delISO17799nohasidocorrectamente
abordadoenlapolticaexistenteosimplementehasidopasadoporaltoenlamisma.
FalladelaPruebasignificaquealgunodeloselementosdefinidosporelCap.8delISO17799nohasidocorrectamente
abordadoenlapolticaexistenteosimplementehasidopasadoporaltoenlamisma.
88
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Identificarypriorizarlosprocesoscrticosdelnegociodeacuerdoasuimpacto
enlacontinuidaddelnegocio
Considerarlaadquisicindeunsegurocontrasiniestrosadecuado
Formularydocumentarunaestrategiadecontinuidaddelnegociobasadaenlos
objetivosyprioridadesdelnegocio
Formularydocumentarplanesdecontingenciaenconcordanciaconlaestrategia
acordada
Realizarpruebasperidicasyajustesdelosplanesyprocesosformulados
Asegurar que la gestin de la continuidad del negocio forme parte de la
estructurayprocesosdelaorganizacin
9.1.1SI
LaPruebaFalla299 ENTONCES Recomendarcorregirlosaspectosdeficientes
detectados en la poltica de seguridad en la forma en que esta es aplicada en la
organizacinbajoprueba.
10PARA
VerificarelcumplimientodelosobjetivosdelCap.10ISO17799
10.1Verificarquelapolticadeseguridadestablececomo:
Asegurarquelossistemascumplenconlaspolticasyestndaresdeseguridaddela
organizacin
Maximizarlaefectividadyminimizarlainterferenciaenlosprocesosdeauditoradelos
sistemas
10.1.1SI
LaPruebaFalla300 ENTONCES Recomendarcorregirlosaspectosdeficientes
detectados en la poltica de seguridad en la forma en que esta es aplicada en la
organizacinbajoprueba.
FINDELASREGLASQUECONTITUYENELMODELO.
299
300
FalladelaPruebasignificaquealgunodeloselementosdefinidosporelCap.9delISO17799nohasidocorrectamente
abordadoenlapolticaexistenteosimplementehasidopasadoporaltoenlamisma.
FalladelaPruebasignificaquealgunodeloselementosdefinidosporelCap.10delISO17799nohasido
correctamenteabordadoenlapolticaexistenteosimplementehasidopasadoporaltoenlamisma.
89
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Captulo4.ValidacinPrcticadelModelo
En este captulo describiremos las pruebas y anlisis realizados para la validacin del modelo.
Primeramentesemostrarunacomparacinentreelmodelopropuestoentrabajoyelconjuntode
pruebasqueseejecutanactualmente.Posteriormentemostraremoslosresultadosobtenidosduranteun
procesodeauditorautilizandoelmodeloqueproponemos.
1. Comparacinconelesquemaactual
Elmodelopropuestofuecomparadoconelconjuntodepruebasutilizadoactualmenteparaauditar.La
primeragrandiferenciaesqueactualmentenoseutilizaunmodelonormalizadosino unconjunto
empricodepruebasquesesiguensinunordenestablecidoeinclusocambiandevezenvezquese
ejecuta una auditora, lo cual dificulta enormemente la comparacin del estado ( evolucin o
involucin) deunsitioluegodehabersidoauditadomsdeunavez.Igualmentesucedeconlas
recomendaciones.
Lasegundagrandiferenciaescualitativatalycomomuestralasiguientetabla(tabla2)elnmerode
pruebas se ha incrementado de manera significativa ( 355 % ). Un elemento importante para
comprenderelsignificadorealdeesteincrementoesentendercomohansidoseleccionadaslaspruebas
queconstituyenelmodelopropuesto:laseleccindepruebasfuerealizadatomandoencuentalas
necesidadesrealesdeRedULA(lascualesnodebendiferirsignificativamentedelasnecesidadesde
cualquierentidaddesutipo,debidoalasimilituddearquitectura,tecnologas,actoresyriesgos).Nose
tratasolodeincrementodelnmerodepruebassinodeunaseleccincuidadosamenterealizadaenlas
primerasetapasdeconcepcindelmodelo,paraasegurarqueelmismorespondaalasnecesidadesy
caractersticasdelsitiodondeserprincipalmenteutilizado.
90
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
CantidaddePruebas
Categora
ModeloPropuesto
EsquemaActual
%deIncrementode
lacantidadde
Pruebas
PruebasdePenetracin
82
36
227,78%
SeguridadFsica
900,00%
RevisindeServidores 61
Unix
17
358,82%
RevisindeServidores 69
yEstacionesWindows
985,71%
RevisindeServidores 19
Apache
475,00%
RevisindeServidores 28
Sendmail
10
280,00%
Revisindela
Infraestructura
Inalmbrica
15
250,00%
RevisindelSistemade 18
DeteccindeIntrusos
300,00%
RevisindeDispositivos 13
Firewalls
260,00%
RevisindelasPolticas 55
deSeguridad
12
458,33%
TOTALES
104
354,81%
369
Tabla2:Comparacincuantitativaentrelacantidaddecontrolesdelmodelopropuestoydequeseaplicaactualmente
2. PruebasdelModelo
Talycomofuedeclaradoenlapropuestaquedioorigenaestetrabajo,elmodelofueprobadopara
corregir los detalles que el criterio verificador de la prctica indicase: incorporar elementos que
pudiesenhabersidopasadosporaltooeliminaraquellosquenofueseprcticoejecutarenlaprctica
cotidianadeauditoraoenalgunacircunstanciaparticular.
Tomandoencuentaelcarcterpblicodeestedocumentoylanecesariaprivacidadyproteccindelos
91
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
datosemanadosdelprocesodeauditora,sehatomadoladecisindeprotegertodoaquellainformacin
quepudiesedevelardatoscrticosdelsitioauditado.Laproteccinsehaestablecidodelasiguiente
forma:
LasdireccionesIP,pblicasyprivadas301,hasidocambiadas.
Losdominioshansidomodificadosafindenoserreconocibles.
Losnombresdemquinas,tantodeservidorescomodeestaciones,hansidomodificados
LosnombresydireccionesIPdelossitiosconlosqueestablececonexioneselsitioauditado
hansidomodificados.
Elnombre,personal,localizacinfsicayproveedoresdeservicioshansidomodificados.
1 ArquitecturadelsitioAuditado.
Ladependenciaescogidaparahacerlapruebadelmodelosolicit,debidoaseriasdudassobreelestado
delaseguridaddesuplataformadeITrealizarunaauditoradelaseguridaddesussistemasyla
posteriorcorreccindelascondicionesderiesgoencontradas,afindepoderparapoderejecutaruna
rigurosaplanificacindecapacidadesycrecimiento.
Comoresultadodelaejecucindelmdulo1sedeterminqueelequipoauditorestaraformadopor2
personas,lascualesrealizaranconjuntamentelosmdulosPruebasdePenetracinyRevisiones. Se
determinadicionalmentequeeltiempoparaejecutarlaspruebasyrevisionesserade1semana,por
ltimoseescogieronaloscontactosdeambaspartesysedeterminelalcancedelejerciciodela
siguientemanera:Sedebanauditartodoslosserviciosqueseofrecen,fuesenvisiblesonodesdeel
exterior,deberaauditarseadems5mquinasclientes.Enelprocesodeauditorasedeberaincluira
losdispositivosdecomunicacionesyseguridadexistentes.
Noseplanificaronpruebasderobodeinformacinenlared(fisgoneo).
Comoresultadolalaejecucindelmdulo2seobtuvieronlossiguientesresultados:
Rangodedireccionesprivadas:192.168.123.0/24
Rangodedireccionespblicas:150.189.200.225/29
CantidaddeServidoresdeCorreo:1
301
DemoniodeCorreo:Sendmail
Enteoralasdireccionesprivadaspudiesenserdivulgadassinmayorpeligro.Sinembargo,erroresenlaconfiguracin
delosserviciosdenombrespermitenencontrardireccionesdelaszonasprivadashaciendorequerimientosnormalesde
DNS.Esasituacincrticahasidocorregidagraciasalprocesodeauditora.
92
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
SistemaOperativodelServidor:RedHat9.0
ServidoresWEB:1
DemonioWeb:Apache1
SistemaOperativodelServidor:Windows2000
OtrosServicios:DNS:Bindv.4.9.11
OtrosServicios:WebMail:Squirrelmail1.4.5
Elsitioauditadotenaunaarquitecturasimilaralaqueseindicaenlafigurasiguiente.
Ilustracin6:Esquemadelaarquitecturaderedesdelsitio
auditadoconelmodelopropuesto
93
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
2 ResultadosdelaEjecucindelMdulo3:PruebasdePenetracin
A continuacin se destacan los resultados ms significativos de las pruebas realizadas. Se han
resumidolosresultadosentendindosequeelobjetivodesupresentacinesdemostrarlacorrectituddel
modelodeauditora.Sehandivididolosresultadosporsecciones,siguiendoestrictamenteelordenen
elqueaparecenenelmodelo.LosresultadossepresentanresumidosensiguientetablaJuntoacada
hallazgoseestablecemediantequeprueba(s)delmodelo,fueobtenido.Enlaseccin2.1semuestran
algunasevidenciasrecabadasdurantelaejecucindelaspruebasdepenetracin.
94
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Seccin
Hallazgos
Definirlaarquitectura
sinconocimiento
1Seidentificaronlospuntosdeaccesoalexterior,pudindoseidentificar
lamarcadelosequipos,sistemaoperativo,saltosdelasrutas(Prueba1.1)
2SereconocitodoelrangodedireccionesIPprivadasdesdeelexterior
(pruebas1.1.3,1.1.4.3)
3SeidentificaronporprocesosautomatizadosderastreolasdireccionesIP
delosservidores,elsistemaoperativoylasversionesdecadademonio
(pruebas1.1.2.1a1.1.2.1.4)
4Seencontraronserviciosinternos(NetBEUI)visiblesdesdeel
exterior.(pruebas1.1.2.1a1.1..2.1.4)
5LosequiposdeborderespondieronaconsultasSNMPdesdeelexterior
utilizandolosnombredecomunidadporomisin.(Prueba1.1.5)
6Seidentificaronlasdireccionespblicasdisponiblesmediante
solicitudesICMP.((Prueba1.1.3)
7SeobtuvieronvaDNStransferenciasdezonasconteniendodirecciones
privadas.(Prueba1.1.4.3)
8Selograrmarunmapadelareddesdeelexterior.(Prueba1.2)
9Seencontraronserviciosconmltiplesvulnerabilidadesysistemasno
actualizados.(Prueba1.3)
NIVELDERIESGO:ALTO
Generarcondicionesde
NegacindeServicios.
1SelogrenviarmensajesICMPaladireccindedifusin(broadcast)de
laredauditadadesdeelexterior.Estacondicinpuedeutilizarsepara
provocarataquestiposmurf.(Prueba2.1)
2Losservidoresdecorreosfueronafectadosporpruebasdestresscon
tamaosdecorreossignificativos(Prueba2.2).
3ElservidorWEB(Apachesobrewindows2000)sevioafectadopor
inundacinSYN.(Prueba2.1)
NIVELDERIESGO:ALTO
Pruebascontrafirewalls
1Aparentemente,enestemomentosolosehacerpruebasdepenetracin,la
polticaporomisindelfirewallesAceptartodoloquenoest
explcitamenteprohibidooexisteunareglaextremadamentepermisivaenel
inicio.(Pruebas3.1y3.2)
2Sepudoidentificarlasinterfacesymodelodefirewallhaciendo
solicitudesSNMPyconexionesdirectasalmismo.(Prueba3.1.1)
3LospaquetesICMPatraviesanelfirewallylleganalosdispositivosde
laszonasprotegidas.(Prueba3.2)
NIVELDERIESGO:ALTO
95
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Seccin
Hallazgos
Identificar
vulnerabilidadesen
ServidoresWEB
1LosservidoresWebseencontrabandesactualizadosconversiones
vulnerablescuyosexploitsestndisponiblesenInternet.(Prueba4.1)
2Aparentementelosservidoresexploradosestnconfiguradosconlas
opcionesporomisin.
NIVELDERIESGO:MEDIA.
Identificarerrores
1Selogrenviarcorreosdesdedireccionesycondestinosfalsos.Locual
bsicosdeconfiguracin implicaqueelservidorpuedeserutilizadocomorelay(Prueba5.1)
enservidoresSMTP
2Seenviaronadjuntosnormalmentenopermitidos(ej.imgenesgif)
(Prueba5.2)
3Seenviaronadjuntosdecualquiertamao.(Prueba5.3)
NIVELDERIESGO:ALTA
Identificarerrores
NoAplica.Elsitioauditadonoposeeinstalacionesinalmbricas.
bsicosdeconfiguracin
deambientes
inalmbricos
Identificarerroresdela
configuracinbsicade
servidoresUNIX
GNU/Linux
1Seencontraronvariascontraseasdbilesenlascuentasdecorreo.Se
sembraronalgunasbanderas302paraservirdeevidencia.(Prueba7.1)
2SelograronestablecerconexionesXalservidorconSORedHat9.0
(Prueba7.2)
3Seencontraronmltiplesvulnerabilidadesasociadasala
desactualizacindelsistemaoperativoylasaplicacionesquese
ejecutan.(Prueba7.4)
CONDICIONDERIESGO:ALTA
Fisgonearinformacin
sensibledelared
Noaplica,debidoalascondicionesenquesedisearonlaspruebasenel
mdulo1.
Identificarerrores
1Seconsiguieronusuariosconclavesmuydbilesquefueronrotascon
bsicosdeconfiguracin sencillez.(Prueba9.1)
enservidoresWindows 2Noexistenpolticasdebloqueodecuentas.(Prueba9.2)
3Selogrinstalaruntroyanoysetomcontroldemquinas
clientes.(Prueba9.3)
4Seencontraronunidadescompartidassinseguridadadecuada.(Prueba
9.3)
302
Porreglageneralalejecutarestetipodepruebassedejanarchivoscomoevidenciadelaposibilidaddeescribirenel
sitiopenetrado(poderescribirimplicatambinpodercambiarinformacinyposiblementeinclusoborrarla).Estetipo
deevidenciadejadaporelauditorsedenominabandera.
96
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Seccin
Hallazgos
5Selogrobtenerlaclavedeadministradordeldominio.Estaesla
condicinmscrticaobtenida.(prueba9.3)
CONDICIONDERIESGO:ALTA
Tabla3:ResumendelosresultadosfundamentalesdelaejecucindelMduloPruebasdePenetracin
97
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
2.1Algunasevidenciasrecabadasdurantelaejecucindelas
pruebasdepenetracin
Ilustracin7:Evidenciasrecabadasdurantelaejecucindelaspruebasdepenetracin.Puedenotarsequesedifundenpor
DNSdireccionesprivadas
98
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Ilustracin8:Evidenciarecabadadurantelaspruebasdepenetracin.Carpetassinlospermisoscorrectos
99
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Ilustracin9:Evidenciasobtenidasdurantelaspruebasdepenetracin.Unavezobtenidalaclavedeladministrador
deldominioseinstaluntroyano.UtilizandoelmismosetomcontroldelosservidoresbasadosenMSWindows.La
figuramuestralaenumeracindelosusuarios.Seevidenciatambinlaexistenciadeusuariossincontrasea.Esta
laborfuerealizadadeformaremota.Sehaenmascaradolainformacinconfidencial.
100
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Ilustracin10:Extractodelreportedesalidadeunadelasherramientasdebsquedadevulnerabilidadesutilizada.
Seevidenciangrancantidadvulnerabilidadesdetectadas.Sehaenmascaradolainformacinconfidencial.
101
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
3. Resultadosdelaejecucindelmdulo:Revisiones.
Acontinuacinseofrece unresumen deloshallazgosmssignificativos, loscualesfueron todos
encontradosutilizandoelmodeloqueseproponeenestetrabajo.ComoenelcasodelasPruebasde
Penetracin,partedelainformacinhasidoomitidaocambiadatomandoencuentalanecesidadde
mantenersuconfidencialidad. Unavezterminadoelejerciciodeauditora,elsitobajoestudiofue
sometidoaunintensotrabajodecorreccionesdelascondicionesencontradas.Estetrabajoincluyla
reinstalacin de la mayora de los servidores, la instalacin de un nuevo dispositivo firewall, la
instalacin de varios sistemas de deteccin de intrusos y el replanteamiento de la forma en que
informacinconfidencialsetransferadesdeyhacialaorganizacin.
102
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Seccin
SeguridadFsica
RevisindeServidoresbasados
enUnix
Hallazgosmassignificativos.
1. Losequiposnoencuentranenambientesadecuadosen
cuantoa:controltemperaturayhumedad,limpieza,
aislamientodecargaselectrostticas,proteccincontra
descargaselctricas,proteccincontrasismos.(Regla1.2)
2. NoexistenmedidasparaRestringirycontrolarelaccesoa
losdispositivosdecmputocentralydecomunicaciones,
cualquierasealaplataformadeprocesamiento.(Prueba1.3)
3. Noexistenequiposquepermitanrespuestaautomticaante
condicionesderiesgoscomointrusionesfsicas,incendios,
temblores,aumentosbuscosdelatemperatura.(Regla1.5)
4. Noexistenmecanismosparaprotegerfsicamentelos
respaldosdeinformacin.(Prueba1.7)
5. Noexistenplanesdecontingenciaparaelmantenimiento
operativoantelamaterializacindesituacionesderiesgo
fsicocomolasmencionadasenlosacpitesanteriores.
(Regla1.9)
6. Verificarqueexistenplanesdeevacuacinanteemergencias
delpersonalyresguardodelosequiposprincipalesantela
ocurrenciadeimprevistosqueloameriten.(Prueba1.13)
7. Elpersonalnoconocenihasidoentrenadoparautilizar
losplanesdecontingenciamencionadosenelno.5
8.
NIVELDERIESGO:ALTO
1. Seencontraronproblemaslapermisologadeprogramasde
configuracin(Reglas1.3y1.4)
2. Noexistenlistasdeaccesoparaprogramasde
administracinprincipalesysoncorrectas(Regla1.7)
3. Noseutilizaelcomandoumaskparanormalizarla
permisologadelosarchivos.(Prueba1.8)
4. Seencontraronvariosprocesoscorriendoquenoson
utilizados(NFS,fetchmail).(Regla2.1)
5. Todoslosserviciosyelpropiosistemaoperativonohan
sidoactualizadosdesdesuinstalacin.(Prueba2.5.2)
6. Noseutilizanwrappersparafiltrarelaccesoalas
aplicaciones.(Regla2.5.3)
7. Noexistenpolticasdeconformacindecontraseas.
(Prueba3.1)
8. Noseutilizanhistorialesdelusodecontraseas.(Regla
3.2)
103
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Seccin
Hallazgosmassignificativos.
9. Noseutilizantiemposdevidadelascontraseas.(Prueba
3.3)
10. Existenvariosusuariosconcontraseasdbiles(Prueba
3.4)
11. Nohayprogramasdecontroldelacalidaddelas
contraseas.(Prueba3.7)
12. Lacuentarootseutilizaparatrabajoscotidianos.(Prueba
4.1)
13. Seencontraronenlasbitcorasintentosfructferosde
intrusin.(Prueba4.8)
14. Nohaypolticasderespaldosregulares(Prueba5.1)
15. Noseverificanlosrespaldosunavezrealizados.(Prueba
5.4)
16. Noexistensistemasdedeteccindeintrusos(Prueba6.1a
6.4)
17. Lossistemasdebitcorasestnconfiguradosporomisiny
nosonregularmentefiscalizados.(Prueba7.1a7.7)
18. Noexistenfiltrosdepaquetes(iptables)nianivelde
aplicacionesquecontrolenelaccesoalasmismas.(Prueba
8.1y8.2)
NIVELDERIESGO:ALTO
RevisindeServidoresbasados
enWindows
1. Lacuentadeadministradorseutilizaparalaborescotidianas
enelservidor.(Prueba1.1)
2. Elsistemacontroldeusuariosycontraseasest
configuradoporomisin.Nohayhistorialdecontraseas,ni
polticasdeconformacinoduracindelasmismas.
(Pruebas1.2a1.11)
3. Cualquierusuariopuedeiniciarsesinenlosservidores.
(Prueba3.1)
4. Existenvariosserviciosejecutndosenonecesariosparalas
funcionesdelosservidores.(Prueba4.1)
5. Elsistemanoestactualizado(Prueba4.2)
6. Noexisteserviciodeauditorainternaniserviciosde
tercerosactivadosparaesafuncin(Pruebas6.1a6.3)
104
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Seccin
Hallazgosmassignificativos.
NIVELDERIESGO:ALTO
RevisindeServidoresSendmail
1. LaopcinFEATURE(`promiscuous_relay')esthabilitada
permitiendorelay,elcualhabasidoprobadodurantelas
pruebasdepenetracin.(Prueba3.2)
2. LaopcinEATURE(`accept_unresolvable_domains')se
encuentrahabilitada.(Prueba3.5)
3. LaopcinFEATURE('accept_unqualified_senders')se
encuentrahabilitada.(Prueba3.7)
4. LaopcinFEATURE(`blacklist_recipients')noseencuentra
habilitada.(Prueba3.8)
5. LaopcinFEATURE(`dnsbl')noseencuentrahabilitada.
(Prueba3.9)
6. Noseautentificanalosusuarioscuandoenvancorreos
(Pruebas4.1a4.3)
7. LaopcinMaxMessageSizenoestestablecida.(Prueba
5.2)
8. LaopcinMaxRecipientsMessagenoestestablecida.
(Prueba5.5)
9. LaopcinBadRcptThrottlenoestestablecida.(Prueba5.6)
NIVELDERIESGO:ALTO
RevisindeServidoresApache
1. Noseencontraronserviciosdefiltradodeacceso(Apache
Mod.Security)(Prueba3.7.6)
NIVELDERIESGO:BAJO
RevisindelaInfraestructura
Inalmbrica
1. NoAplica.Elsitioauditadonoposeeconexiones
inalmbricas.
RevisindelosSistemasde
DeteccindeIntrusos
1. Elsistemadefirewallsposeeunsistemadedeteccinde
intrusosbasadosenred(NIDS),sinembargoestenoest
habilitado.(Pruebas1.1a1.9)
2. Noexistenotrossistemasdedeteccindeintrusos(Pruebas
2.1a2.4).
NIVELDERIESGO:ALTO
Revisindedispositivos
firewalls
1. Elsitioauditadoposeeunfirewallperolapolticapor
omisinespermitirtodo.(Todaslasreglasfallanapartirde
estedescubrimiento)
NIVELDERIESGO:ALTO
105
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Seccin
RevisindelasPolticasde
Seguridad
Hallazgosmassignificativos.
1. Elsitioauditadonoposeepolticasdeseguridadni
establecidasformalmentenidefacto.(Todaslasreglas
fallanapartirdeestedescubrimiento)
NIVELDERIESGO:ALTO
EVALUACIONGENERAL
NIVELDELRIESGO:ALTO
Tabla4:ResumendelosresultadosdelaejecucindelMduloRevisiones
106
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
ConclusionesyRecomendaciones
Hemoscumplidoconlosobjetivosplanteadosaliniciodeltrabajo.Sehaobtenidounmodeloextenso,
quecubrelasreasmsimportantesparaeldesarrollosegurodelaReddeDatosdelaUniversidadde
losAndesyestablecelosprocedimientosylosmecanismosgenricosparaauditarla.
Para escoger los tpicos que conformaran el modelo fue necesario definir con detalle aquellos
serviciosqueseranauditados,elestadodelartedelosmismos,suscondicionesdeexplotacinyotros
aspectosimportantes,afindehacerqueel modelocubrieselosaspectosmssignificativosparala
seguridadinformticadeRedULA.
LaarquitecturadeTIydeseguridaddeladependencia queseutilizpararealizarlapruebadel
modelofueron modificadasparaatenderlasrecomendaciones emanadasdelautilizacinquese
proponeenestetrabajo.Lautilizacindelmodelonoslopermitidetectarcondicionesderiesgoen
laplataformayaexistente,sinotambindetectarinsuficienciasimportanteseneldimensionamientodel
equipamientoycarenciasentemasvitalescomolasPolticasdeSeguridadInformtica.
Ademsdeladependenciadondefueprobadoelmodeloreportadaencaptulo4,lareddelRectorado
delaUniversidaddeLosAndesfueauditadarecientementeutilizandoelmodelopropuestoeneste
trabajo. Como resultado se encontraron varias condiciones de riesgo significativas que fueron
corregidas.Luegodehaberrealizadolascorreccionesdevenidasdelautilizacindelmodeloseobtuvo
(demostradosconlasestadsticasdelaarquitecturademonitoreodelared)mejorasenlascondiciones
deseguridad.
Alutilizarunmodeloqueofreceprocedimientosysalidasnormalizadoslosauditorespuedenvolvera
auditar,unavezrealizadaslascorrecciones,yverificarconmayorfacilidadquelascondicionesde
riesgodetectadashansidocorregidas.
Elmodelohasidodesarrolladoconunenfoqueintermedioentreunavisindealtonivel,muyseparada
delaarquitecturaquesoportalosserviciosyunaposicindemuybajonivelquehagaelmodelomuy
dependientedelaarquitectura.Larazndehacerlodeestaformaesobtenerunaherramientatilpara
elencargadodeauditoraperoqueasuvezpuedatrascendercambiossimplesdelaarquitectura.
Elmodelopuedeserutilizadonosloparaauditar,puedeservistotambincomounaguademandatos
bsicosparaasegurarunsitio.Enestemomentotambinestsiendoutilizadodeesaformaporel
equipodeSeguridadInformticadeRedULA.
Alcrearunmodeloqueincluyeunaseriedereglasquepuedenserutilizadascomocriteriosdebuenas
prcticasdeseguridadelmodeloigualmentepuedeserutilizadoparalainstruccindelpersonaltcnico
enloselementosbsicosdeseguridadinformtica.
Portodosloselementosantesexpuestos quesehancumplidoconlosobjetivosplanteadosyhemos
creadounaherramientatilyverstilparalaauditorayotrasfuncionesnecesariasparalaseguridad
informticadelaReddeDatosdeLaUniversidaddeLosAndes.
107
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
108
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Anexos
AnexoUNIX1ProgramasSUID(ReferenciaparaDebanLinux)
PROGRAMASQUEDEBENTENERPERMISOSSUID
/etc/cupos
/etc/cups/ppd
/etc/ppp/peers
/etc/chatscripts
/var/cache/man
/var/cache/man/fsstnd
/var/cache/man/cat1
/var/cache/man/cat2
/var/cache/man/cat3
/var/cache/man/cat4
/var/cache/man/cat5
/var/cache/man/cat6
/var/cache/man/cat7
/var/cache/man/cat8
/var/cache/man/cat9
/var/cache/man/oldlocal
/var/cache/man/local
/var/cache/man/X11R6
/var/cache/man/X11R6/cat1
/var/cache/man/X11R6/cat4
/var/cache/man/X11R6/cat5
/var/cache/man/X11R6/cat7
/var/cache/man/opt
/var/local
/var/log/news
/var/spool/postfix/public
/var/mail
/usr/share/cups/model
/usr/bin/wall
/usr/bin/newgrp
/usr/bin/chage
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/expiry
/usr/bin/gpasswd
/usr/bin/passwd
/usr/bin/at
/usr/bin/bsd-write
/usr/bin/crontab
/usr/bin/dotlockfile
/usr/bin/mutt_dotlock
/usr/bin/mtr
/usr/bin/ssh-agent
109
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
/usr/bin/sudo
/usr/bin/sudoedit
/usr/bin/cardinfo
/usr/bin/screen
/usr/bin/procmail
/usr/bin/lockfile
/usr/bin/fileshareset
/usr/bin/kgrantpty
/usr/bin/kpac_dhcp_helper
/usr/bin/lppasswd
/usr/bin/kdesud
/usr/bin/kppp
/usr/bin/klaptop_acpi_helper
/usr/bin/pmount
/usr/bin/pumount
/usr/bin/slocate
/usr/lib/pt_chown
/usr/lib/ssh-keysign
/usr/lib/hal/hal-dmiwrapper
/usr/lib/libfakeroot-tcp.so.0.0.1
/usr/lib/libfakeroot-sysv.so.0.0.1
/usr/sbin/arping
/usr/sbin/traceroute6
/usr/sbin/postdrop
/usr/sbin/postqueue
/usr/sbin/pppd
/usr/src
/usr/local/share/fonts
/usr/local/share/sgml
/usr/local/share/sgml/stylesheet
/usr/local/share/sgml/misc
/usr/local/share/sgml/entities
/usr/local/share/sgml/dtd
/usr/local/share/sgml/declaration
/usr/local/share/xml
/usr/local/share/xml/schema
/usr/local/share/xml/misc
/usr/local/share/xml/entities
/usr/local/share/xml/declaration
/usr/local/share/texmf
/usr/local/lib/python2.4
/usr/local/lib/python2.4/site-packages
/usr/local/lib/site_ruby/1.8/i386-linux
/usr/local/lib/python2.3
/usr/local/lib/python2.3/site-packages
/usr/X11R6/bin/X
/usr/X11R6/bin/xterm
/bin/su
/bin/mount
/bin/umount
/bin/ping
/bin/ping6
110
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
/sbin/unix_chkpwd
/sbin/cardctl
AnexoWIN1PolticadeSeguridaddeContraseasparaWindows2000,
2003yXP
AcontinuacinsemuestranlaspolticasmnimasdecontraseasparaequiposbasadosenWindows.
SINTAXIS
Directiva
Configuracinpredeterminada
Configuracinmnimarecomendada
Forzarelhistorialdecontraseas
1contrasearecordada
24contraseasrecordadas
Vigenciamximadelacontrasea
42das
42das
Vigenciamnimadelacontrasea
0das
2das
Longitudmnimadelacontrasea
0caracteres
8caracteres
Lascontraseasdebencumplirlosrequisitosdecomplejidad
Deshabilitado
Habilitado
Almacenarcontraseausandocifradoreversibleparatodoslosusuariosdeldominio
Deshabilitado
Deshabilitado
111
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
AnexoWin2PermislogaBsicaparasistemasbasadosenMSWindows
112
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Creador/Propietario Usuarios
Usuarios
Avanzados
%programfiles%
FullControl
Read&
Execute,
FullControl
List
FullControl (subfoldersandfiles
Modify
Folder
only)
Contents,
Read
%systemdrive%\
IO.SYS
FullControl
(thisfolder
only)
FullControl
(thisfolder
only)
Read&
Execute(this
folderonly)
Read&
Execute,
List
Folder
Contents,
Read(this
folder,
subfolders
,and
files)
%systemdrive%
FullControl
FullControl
Modify
FullControl (subfoldersandfiles
(subfolders
Create
only)
andfilesonly)
Files
(subfolder
sonly)
Create
Folders
(this
folderand
subfolders
only)
%systemdrive%\
autoexec.bat
FullControl
FullControl
Read&
Execute(this
folderonly)
%systemdrive%\
boot.ini
FullControl
FullControl
Read&
Execute(this
folderonly)
113
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
%systemdrive%\
Documentsand
Settings
Usuarios
Avanzados
Read&
Execute(this
folderonly)
FullControl
FullControl
FullControl
Traverse
Folder/Ex
Traverse
ecuteFile,
Folder/Execute
FullControl
List
File,List
FullControl (subfoldersandfiles Folder
Folder
only)
Contents
Contents(this
(this
folderonly)
folder
only)
%systemdrive%\
Documentsand
FullControl
Settings\Administrator
%systemdrive%\
Documentsand
Settings\AllUsers
Creador/Propietario Usuarios
FullControl
FullControl
FullControl
Read&
Execute,
List
Folder
Contents,
Read
Read&
Execute,List
Folder
Contents,Read
Readand
Execute,
List
Folder
Contents,
Read
Readand
Execute,List
Folder
Contents,Read
%systemdrive%\
Documentsand
Settings\DefaultUser
FullControl
FullControl
%systemdrive%\
MSDOS.SYS
FullControl
(thisfolder
only)
FullControl
(thisfolder
only)
Read&
Execute(this
folderonly)
%systemdrive%\
ntbootdd.sys
FullControl
(thisfolder
only)
FullControl
(thisfolder
only)
Read&
Execute(this
folderonly)
%systemdrive%\
ntdetect.com
FullControl
(thisfolder
only)
FullControl
(thisfolder
only)
Read&
Execute(this
folderonly)
114
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Creador/Propietario Usuarios
Usuarios
Avanzados
FullControl
%systemdrive%\ntldr (thisfolder
only)
FullControl
(thisfolder
only)
%systemdrive%\Temp FullControl
Traverse
Folder/Ex
Traverse
ecuteFile,
Folder/Execute
Create
File,Create
Files/Writ
Files/Write
FullControl
eData,
Data,Create
FullControl (subfoldersandfiles Create
Folders/Appen
only)
Folders/A
dData(this
ppend
folderand
Data(this
subfolders
folderand
only)
subfolders
only)
%systemdrive%\
addins
FullControl
Read&
Execute(this
folderonly)
Read&
Execute,List
Folder
Read& Contents,Read
Execute, (thisfolder,
FullControl
subfolders,and
List
FullControl (subfoldersandfiles
files)
Folder
only)
Contents,
Read
Modify(this
folderand
subfolders
only)
%systemroot%
FullControl
FullControl FullControl
Read&
(subfoldersandfiles Execute,
only)
List
Folder
Modify
Contents,
(subfolders
Read(this
andfilesonly)
folder,
subfolders
,and
files)
115
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Creador/Propietario Usuarios
Usuarios
Avanzados
Create
Files
(subfolder
sonly)
Create
Folders
(this
folderand
subfolders
only)
%systemroot%\
$NtServicePackUninsta FullControl
ll$
FullControl
FullControl
Read&
Execute,List
Folder
Contents,Read
FullControl
FullControl
Read&
Execute,List
Folder
Contents,Read
%systemroot%\Cluster FullControl
FullControl
%systemroot%\
Application
CompatibilityScripts
%systemroot%\
AppPatch
FullControl
%systemroot%\Config FullControl
%systemroot%\
ConnectionWizard
%systemroot%\
ConnectionWizard
FullControl
FullControl
FullControl
Read&
Execute,List
Folder
Contents,Read
FullControl
Read&
Execute,List
Folder
Contents,Read
FullControl
Read&
Execute,List
Folder
Contents,Read
116
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
FullControl
%systemroot%\debug FullControl
%systemroot%\
Debug\UserMode
FullControl
Creador/Propietario Usuarios
Usuarios
Avanzados
FullControl
Read&
Execute,
FullControl
List
FullControl (subfoldersandfiles
Folder
only)
Contents,
Read
FullControl
Read&
Execute,List
Folder
Contents,Read
Traverse
Folder/Ex
ecuteFile, Traverse
List
Folder/Execute
Folder/Re File,List
adData, Folder/Read
Create
Data,Create
Files/Writ Files/Write
eData
Data(this
(this
folderonly)
folder
only)
Create
Files/Writ Create
eData, Files/Write
Create
Data,Create
Folders/A Folders/Appen
ppend
dData(files
Data(filesonly)
only)
%systemroot%\Driver
FullControl
Cache
FullControl
%systemroot%\Help
FullControl
FullControl
117
Read&
Execute,
List
Folder
Contents,
Read
Read&
Execute,List
Folder
Contents,Read
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
%systemroot%\inf
%systemroot%\
installer
%systemroot%\java
FullControl
FullControl
FullControl
%systemroot%\media FullControl
Creador/Propietario Usuarios
FullControl
Read&
Execute,
List
Folder
Contents,
Read
Usuarios
Avanzados
Read&
Execute,List
Folder
Contents,Read
Read&
Execute,List
Folder
Contents,Read
FullControl
FullControl FullControl
Read&
Execute,List
Folder
Read& Contents,Read
Execute, (thisfolder,
List
subfolders,and
Folder
files)
Contents,
Read
Modify
(subfolders
andfilesonly)
FullControl
Read&
Execute,
List
Folder
Contents,
Read
Read&
Execute,List
Folder
Contents,Read
Read&
Execute,List
Folder
Contents,Read
Read
%systemroot%\
msagent
FullControl
FullControl
Read&
Execute,
List
Folder
Contents,
Read
%systemroot%\
Registration
FullControl
FullControl
Read
%systemroot%\repair FullControl
FullControl
List
Modify
contents
118
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Creador/Propietario Usuarios
Usuarios
Avanzados
(this
folder
only)
Read&
Execute,
List
Folder
Contents,
Read
Read&
Execute,List
Folder
Contents,Read
Read&
Execute,List
Folder
Contents,Read
%systemroot%\
security
FullControl
FullControl
%systemroot%\
ServicePackFiles
FullControl
FullControl
FullControl
Read&
Execute,
FullControl
List
FullControl (subfoldersandfiles
Folder
only)
Contents,
Read
%systemroot%\
system32\appmgmt
FullControl
FullControl
Read&
Execute,
List
Folder
Contents,
Read
%systemroot%\
system32\Netmon
FullControl
FullControl
%systemroot%\
system32\
%systemroot%\
FullControl
system32\GroupPolicy
FullControl
%systemroot%\
system32\ias
FullControl
FullControl (subfoldersandfiles
only)
FullControl
119
Read&
Execute,
List
Folder
Contents,
Read
Read&
Execute,List
Folder
Contents,Read
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
%systemroot%\
system32\config
FullControl
Creador/Propietario Usuarios
Usuarios
Avanzados
Read&
Read&
Execute
FullControl
Execute(this
(this
FullControl (subfoldersandfiles
folderand
folderand
only)
subfolders
subfolders
only)
only)
%systemroot%\
FullControl
system32\NTMSData
FullControl
%systemroot%\
system32\spool\printer FullControl
s
Traverse
Folder/Ex
Traverse
ecuteFile,
Folder/Execute
Read
File,Read
Attributes
Attributes,
,Read
ReadExtended
FullControl
Extended
Attributes,
FullControl (subfoldersandfiles Attributes
Create
only)
,Create
Folders/Appen
Folders/A
dData(this
ppend
folderand
Data(this
subfolders
folderand
only)
subfolders
only)
%systemroot%\Temp
FullControl
Traverse
Folder/Ex
Traverse
ecuteFile,
Folder/Execute
Create
File,Create
Files/Writ
Files/Write
FullControl
eData,
Data,Create
FullControl (subfoldersandfiles Create
Folders/Appen
only)
Folders/A
dData(this
ppend
folderand
Data(this
subfolders
folderand
only)
subfolders
only)
c:\autoexec.bat
FullControl
(thisfolder
FullControl
(thisfolder
120
Read&
Execute(this
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Creador/Propietario Usuarios
Usuarios
Avanzados
only)
only)
folderonly)
c:\boot.ini
FullControl
(thisfolder
only)
FullControl
(thisfolder
only)
Read&
Execute(this
folderonly)
c:\config.sys
FullControl
(thisfolder
only)
FullControl
(thisfolder
only)
Read&
Execute(this
folderonly)
c:\ntbootdd.sys
FullControl
(thisfolder
only)
FullControl
(thisfolder
only)
Read&
Execute(this
folderonly)
c:\ntdetect.com
FullControl
(thisfolder
only)
FullControl
(thisfolder
only)
Read&
Execute(this
folderonly)
c:\ntldr
FullControl
(thisfolder
only)
FullControl
(thisfolder
only)
Read&
Execute(this
folder)
Tabla5:PermisologaBsicaparasistemasbasadosenMSWindows
121
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
AnexoPROGRAMAINSEGURO
Unprogramaesinsegurosi,cumplealgunadelassiguientescondiciones:
1. Tieneasignadosmsprivilegiosquelosnecesarios
2. SI
SUID=1ENTONCES{
2.1ElprogramahacemsfuncionesparalasquenosenecesitaSUID.
2.2ElprogramapermiteescapesalShell
2.3ElprogramaesunShellscript
2.4InvocaaprocesosexternossindespojarsedelSUID}
3. NopermiteutilizarACL
4. Nopermiteutilizarwrappers
5. Estescritoenunlenguajequenochequeloslmites(ejC)(ej.funcionescomostrcpy(),
strcat(),sprintf(),gets()permitenescribirenmemoriasinlimites)
6. Lagestindearchivospermiteataquesderacecondition
7. SIutilizatemporalesENTONCES{
8.1Nolosborraalterminar
8.2Nosecontrolaeltamao
8.3Nosehaceseleccincorrectadelosnombres}
8. Sepermitelibrementelacreacindecore
9. Elumaskheredadohacequelosarchivoscreadosporelprogramaestnsobreprivilegiados
10. SiseinvocaalShellsinfijarpreviamentelevalordelasvariablesdeentorno
11. Nosevalidanlosvaloresdeentradadesdelosusuarios.
12. Invocaaotrosprogramassobrelosquenosetienecontrol.
13. Sedependedelaejecucindeotrosprogramas,peronosetienenmedidasparamanejar
condicionesanmalasdeterminacinobloqueodelosmismos.
14. Elprogramanodejarastros(logs)desufuncionamiento
122
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
AnexoFIREWALLS1DireccionesIPquedebenbloquearsesegnRFC
1918
255.255.255.255
127.0.0.0
Private(RFC1918)addresses
10.0.0.010.255.255.255
172.16.0.0172.31.255.255
192.168.0.0192.168.255.255
Reservedaddresses
240.0.0.0
Illegaladdresses
0.0.0.0
UDPecho
ICMPbroadcast(RFC2644)
123
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
AnexoFIREWALLS2.Serviciosqueporomisindebenbloquearseen
sentidoZonaExternaaZonaInterna
SINTAXIS
Service
PortType
PortNumber
DNSZoneTransfersexceptodesdeservidoresDNSsecundariossiexisten.
TCP
53
TFTPDaemon
UDP
69
Link
TCP
87
SUNRPC
TCP&UDP
111
BSDUNIX
TCP
512514
LPD
TCP
515
UUCPD
TCP
540
OpenWindows
TCP&UDP
2000
NFS
TCP&UDP
2049
XWindows
TCP&UDP
60006255
Smallservices
TCP&UDP
124
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
20andbelow
FTP
TCP
21
SSHYTELNET
22,23
SMTP(exceptosiexistenmailrelaysexternos)
TCP
25
NTP
TCP&UDP
37
Finger
TCP
79
HTTP(exceptoparaservidoresexternosexternos)
TCP
80
POP
TCP
109&110
NNTP
TCP
119
NTP
TCP
123
NetBIOSinWindowsNT
TCP&UDP
135
NetBIOSinWindowsNT
UDP
137&138
NetBIOS
TCP
139
IMAP
TCP
143
SNMP
TCP
125
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
161&162
SNMP
UDP
161&162
BGP
TCP
179
LDAP
TCP&UDP
389
SSL(exceptoparaservidoresexternosexternos)
TCP
443
NetBIOSinWin2k
TCP&UDP
445
Syslog
UDP
514
SOCKS
TCP
1080
CiscoAUXport
TCP
2001
CiscoAUXport(stream)
TCP
4001
Lockd(LinuxDoSVulnerability)
TCP&UDP
4045
CiscoAUXport(binary)
TCP
6001
CommonhighorderHTTPports
TCP
8000,8080,8889
126
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
AnexoPONDERACIN.Ponderacinreferencialdelaspruebasutilizadas
enelmodelo.
Latablanmero5muestralacantidaddepruebasencadaseccindeacuerdoasunivelderiesgo
mientrasquelastablasdela6ala12muestranlaclasificacinreferencialderiesgoasignadaacada
prueba. ComosemencionenelCaptulo2cadareglaoinclusoprueba,tieneasociadounvalor
ponderadoderiesgoafindequetantoauditadocomoauditorpuedanestablecerunordendeprioridad
enlascorreccionesquedebernrealizarunavezconcluidoelprocesodeauditora.
Laclasificacindecadareglasegnsunivelderiesgohasidorealizadadeacuerdoaloscriteriosque
fueronestablecidosenelacpite2.2,Ponderacindelosresultados,delcapitulo2.Nuevamentees
importantedefinirelcarcterreferencialdelasponderacionespropuestas,todavezquedebeserel
auditorelqueenltimainstanciaytomandoencuentamltiplesfactoresparticularesdelsitioauditado
ydeltipodepruebaqueseejecuta,definaelnivelderiesgorealquedebeserconsiderado.
ComofuemencionadoenelCaptulo2laponderacinfuerealizadautilizandovarioscriteriosentrelos
queseincluyenelementoscomoelimpactorealdelamaterializacindevulnerabilidades,lafacilidad
delarealizacin.
127
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Seccin
NiveldeRiesgo
Bajo
Medio
Alto
PruebasdePenetracin
18
61
SeguridadFsica
RevisindeServidores 5
Unix
20
36
RevisindeServidores 12
yEstacionesWindows
25
32
RevisindeServidores 1
Apache
13
RevisindeServidores 1
Sendmail
11
16
Revisindela
Infraestructura
Inalmbrica
10
RevisindelSistemade 1
DeteccindeIntrusos
12
RevisindeDispositivos 1
Firewalls
RevisindelasPolticas 0
deSeguridad
55
Tabla6:Cantidaddepruebasporniveldeimpactoenelmodelopropuesto
128
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Prueba(PRUEBASDEPENETRACIN)
NiveldeRiesgo
DefinicindelaArquitecturasinconocimientosdesdeInternet
Verificarsiposibleidentificar"Puntosdeconexindelaredconel
exterior"
Alto
Verificarsisepuedendescubrirlaversindelosserviciosvisiblesdesdeel Alto
exterior.
Verificarsisepuedendescubririnformacinvaliosadelaorganizacina
travsdelosserviciosvisiblesdesdeelexterior.
Alto
Buscarserviciosquenodebiesenserexpuestosalexterior.
Alto
Verificarsiesposibleidentificarrangodedireccionesdisponibles
Alto
VerificasiesposibleidentificaranunciosdeDNS
Alto
Verificarsisepuedendefinicionesdezonas
Alto
Verificarsiselograhacertransferenciasdezonassatisfactorias
Alto
Verificarsisepuedenhacerhacersolicitudesdedireccionesqueno
deberanestarexpuestas
Alto
VerificarsiselogranidentificarequiposutilizandoSNMP
Alto
RecoleccindelosparmetrosdelasMIBdelosequiposdescubiertosva Alto
SNMP
Identificacindelafuncindecadadispositivo
Alto
Utilizandolainformacindeobtenidatratardearmarunmapaloms
detalladoposibledelaredaauditar
Alto
tilizarvariasherramientasdebsquedadevulnerabilidadesyhacerun
listadocompletodelasvulnerabilidadesdetectadas,eliminandoaquellas
quepuedanserdeterminadascomofalsospositivos
Alto
Clasificacindelasvulnerabilidades
Alto
DoS
Realizarpruebasdestressaumentandoelniveldecargaenhaciael
servidorWEBparaencontrarelpuntodeinflexinderendimientodel
servidorcontracargagenerada
Alto
Realizarpruebasdestressaumentandoelniveldecargaenhaciael
servidorSMTPparaencontrarelpuntodeinflexinderendimientodel
servidorcontracargagenerada
Alto
Generartrficohacialosequiposdecomunicacionesvariandoeltipode
trfico,eltamaodelospaquetesylavelocidaddetransferencia
Alto
129
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Prueba(PRUEBASDEPENETRACIN)
NiveldeRiesgo
Generartrficohacaenbroadcastdelared
Alto
GenerartrficoSYNhaciaobjetivosseleccionadosenlaredbajaprueba
Alto
Buscarevidenciassobrecargaenlaredproductodeltrficogenerado
Alto
Buscarevidenciasdedeteccindeltrficoanormal
Alto
IdentificarlosservidoresDNSeintentarintroducirdatosfalsosenlos
mapasdurantelastransferenciasdezona
Alto
UtilizarunprogramaSMBdieparagenerarcondicionesdecadaalos
servidoresWindowsX
Alto
EnlosservidoresWindows.Generartrficomalformadodesde
Alto
direccionesescogidasdeformaaleatoriaycambianteyverificarnivelesde
CPUdelossistemasatacados.
IdentificarservidoresWEBquerealicenautentificacindeentrada.
Introducircontraseaslargas
Medio
Pruebascontralosfirewalls
Utilizandofirewalkidentificarlasreglasdefiltradodelfirewall
Alto
Identificarreglasqueafectendirectamentelacapacidaddelfirewalldedar Medio
informacinsobresimismo
Identificarreglasquelimitenelaccesoaserviciosinternos
Alto
Identificarfaltasenlareglasdefiltrado,especialmentedeterminandola
existenciadereglastolerantes
Alto
VerificarlaposibilidaddepasarelfirewallutilizandopaquetesICMP
ECHO,ECHOREPLAYyUDP
Medio
Generartrficosegmentadohaciadentrodelaredyverificarlapolticade Medio
controldefragmentosdelfirewall
Verificarelaccesoannimodesdeelexterioraservidoresproxy
Medio
PruebascontraservidoresWEB
UtilizarunaherramientaespecializadacomoNiktoparalabsquedade
vulnerabilidadesenservidoresWEB
Alto
Ejecutarpruebasdefuerzabrutaydiccionariosparaencontrarclaves
dbiles
Alto
Obtenerelarchivo.htaccess(oelequivalente)utilizarunaherramienta
pararomperlascontraseasalmacenadas
Alto
ExplorarlaposibilidaddeutilizarcdigosASPdeejemploparaexplorar
Medio
130
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Prueba(PRUEBASDEPENETRACIN)
NiveldeRiesgo
cdigofuentedeotrasaplicaciones.
Verificarsiesposibledescargararchivosutilizandolacadena::DATA
Alto
EnviarsecuenciaGETsolicitandounarchivoalservidorterminadaporla Alto
sentenciatraslade:f.
Verificarsidentrodelosarchivosobtenidosseencuentranclavesuotra
informacinrelevante
Alto
Verificarexistenformulariossinsistemasdeautentificacincapcha
Medio
ExplorarlaposibilidaddeutilizaraplicacionestipoISSHackparaejecutar Alto
comandosremotosatravsdelservidor.
Utilizarunmotordebsquedasparadesitosdeadministracin
incorrectamenteindexados.
Medio
GenerarprocesosdeinyeccinSQLcontraelservidor
Medio
PruebascontralosservidoresSMTP
Pasarsinhelo
Medio
Enviarcomandohelosinnombredemquina
Medio
EnviarcomandoMAILFROM:conunnombrealeatoriosindominio
Alto
EnviarcomandoMAILFROM:utilizandoundominioquenoexista
Alto
EnviarcomandoRCPTTO:utilizandounusuarionolocal
Alto
Generarcorreoshaciaelinteriordelaorganizacinconattach
normalmentenoaceptados
Alto
Generarcorreoshaciaelinteriordelaorganizacinconattachdetamao
normalmentenoaceptados
Medio
Generarcorreoshaciaelinteriordelaorganizacindesdedirecciones
reconocidascomogeneradoresdeSPAM
Medio
Pruebascontralosambientesinalmbricos
Utilizarherramientasde"wardriving"paraidentificarlospuntosde
accesoinalmbricos,modelos,direccionesIP,tiposdecifrado
Bajo
ClonarladireccinMACdelasestacinclienteyconectarsealared
Medio
UtilizaralgunaherramientapararomperlascontraseasWEP
Alto
Utilizarherramientasparasuplantareinyectartramascompletas
generandosuficientetrficoparabajarelrendimientodelared
Medio
PruebascontraservidoresUNIX
131
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Prueba(PRUEBASDEPENETRACIN)
NiveldeRiesgo
Ejecutarpruebasdefuerzabrutaparaencontrarcontraseasdbiles
utilizadasenlosserviciosdisponibles
Alto
Verificarsipuedenestablecersesesionesdecanaltrasero
Medio
VerificarsiexistenserviciosXenservidoresnoprotegidos
Medio
Verificarsisepuedeejecutar"siteexec"comousuarioannimo(FTP)
Bajo
Utilizarunaherramientaderastreodepuertosparabuscarpuertosaltas
asociadosaserviciosRPC
Bajo
Utilizarunaherramientadebsquedadevulnerabilidadesparaencontrar
erroresexplotablesasociadosaRPC.
Alto
Buscarexportacionesdesubdirectoriosconpermislogaincorrecta.
Alto
Hacerunrastreodeservidoresconxhost+habilitado
Alto
EjecutarherramientasdebsquedasdevulnerabilidadesdeDNSpara
encontrarsituacionescrticas
Alto
EjecutarherramientasdebsquedasdevulnerabilidadesdeSSHpara
encontrarsituacionescrticas
Alto
EjecutarherramientasdebsquedasdevulnerabilidadesdeAPACHEpara Alto
encontrarsituacionescrticas
Verificarsiexistenservidoresenmodopromiscuo
Medio
CapturadeInformacinenlaRed
Seleccionarpaquetesquepudiesecontenerinformacinsensiblede
usuarioscapturadosmedianteunprogramasniffer.
Alto
PruebascontraservidoresWindows
Utilizarunaherramientadeaccesodirectoparabuscarusuariossin
contraseas
Alto
Utilizarherramientasespecializadasparaprobarlapolticadebloqueode Alto
cuentasporintentosnosatisfactoriosdeacceso.
RevisindelapolticadefiltradodetrficoNetBIOS
Alto
Instalarunprogramasnifferespecializadoencontraseas.Capturar
contraseas(hash)ysometerlasaunesfuerzodefuerzabruta
Alto
Realizarunasolicitudutilizandolaextensin+.htrenservidoresIIS
Alto
Utilizarunaherramientadebsquedadevulnerabilidadesparaencontrar
situacioneserrneasenlainstalacindeIIS
Alto
132
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Prueba(PRUEBASDEPENETRACIN)
NiveldeRiesgo
UtilizarunaherramientaquepermitaescalarprivilegiosenIIS
Alto
Utilizarunaherramientaquepermitagenerarcondicionesdebuffer
overflow
Alto
Realizarunaconexinlocalutilizandolacuentacomprometidayejecutar Alto
programasparalaescaladadeprivilegios
Utilizarunaherramientaparaobtenerloshashdelascontraseasyutilizar Alto
unaherramientaderompimientodeclavesparaobtenerclavesdelsistema
UtilizarunaherramientaparaaccederalosvaloresguardadosenLSA
Secret.
Alto
Utilizarunaherramientadeaccesoremotoparaabrirunainterfazde
comandoenlosservidoresbajaestudio
Alto
Instalarunaherramientaenlosservidoresbajaestudioparaaccesode
sesionesgrficas
Alto
Tabla7:PonderacinreferencialparalaSeccinPruebasdePenetracin
133
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Prueba(REVISINDELASEGURIDADFSICA)
NiveldeRiesgo
Verificarquelosequiposseencuentrenenambientesadecuadosencuanto Alto
a:controltemperaturayhumedad,limpieza,aislamientodecargas
electrostticas,proteccincontradescargaselctricas,proteccincontra
sismos.
VerificarsiexistenmedidasparaRestringirycontrolarelaccesoalos
dispositivosdecmputocentralydecomunicaciones,cualquieraseala
plataformadeprocesamiento.
Alto
Verificarsiexistenequiposquepermitanrespuestaautomticaante
condicionesderiesgoscomointrusionesfsicas,incendios,temblores,
aumentosbuscosdelatemperatura.
Alto
Verificarqueexistanmecanismosparaprotegerfsicamentelosrespaldos
deinformacin.
Medio
Verificarsiexistenplanesdecontingenciaparaelmantenimientooperativo Medio
antelamaterializacindesituacionesderiesgofsicocomolas
mencionadasenlosacpitesanteriores
Verificarqueexistanmecanismosadicionalesparalacontinuidaddel
Alto
suministroelctricoaloscentrosdecargaprincipalesyqueestossistemas
funcionenadecuadamente.
Verificarqueexistenplanesdeevacuacinanteemergenciasdelpersonaly Medio
resguardodelosequiposprincipalesantelaocurrenciadeimprevistosque
loameriten
Verificarqueelpersonalconoceyhasidoentrenadoparautilizarlosplanes Medio
decontingenciamencionadosenelno.5
Verificarquelossistemasdesuministroelctricoseencuentren
adecuadamentedimensionadosyprotegidos
Tabla8:PonderacinReferencialparalaseccin:RevisindelaSeguridadFsica
134
Medio
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Prueba(REVISINDESERVIDORESBASADOSENUNIX)
NiveldeRiesgo
SistemadeArchivos
VerificarquelasopcionesdemontajedelsistemadeArchivosimpidaque
cualquierusuariopuedamontarodesmontarotrossistemasdearchivos.
Alto
BuscarprogramasconSUIDoSGIDactivadosycompararconlistade
programaspermitidos
Alto
Verificarpermislogadeprogramasdeconfiguracin
Alto
Verificarpermislogadelosdirectorioshomedecadausuario
Medio
Verificarsiexistenlistasdeaccesoparaprogramasdeadministracin
principalesysoncorrectas
Bajo
Verificarsiseutilizaelcomandoumaskysilapermislogaasignadaes
correcta
Bajo
VerificarquenoexistanshellscriptsconpermislogaSUIDoSGID
Medio
ProcesosActivos
Verificarqueprocesosseestnejecutandoslolosprocesosqueseajustan Alto
alasfuncionesdelservidor
Verificarqueelprocesodearrancadadelosprocesosseacorrecto
Medio
Verificarquelosscriptsdearrancadatengalapermislogacorrectayno
puedanserinvocadosporusuariosnormales
Alto
Verificarquelosusuariosnopuedenejecutarserviciossincontroldel
administradordelsistema
Alto
Verificarelmecanismodeinvocacin
Medio
INETD:verificarqueseutilicenlasopcionesadecuadasdeseguridad
Medio
VerificarqueVersinactualselaVersinmasactualizadadisponible
Medio
Verificarqueexistacontroldeaccesoalservicio(pormediadeACL,
Wrappersuotromecanismo)
Alto
Verificarquelosusuariosqueseutilizanparalosserviciosnotenganshell Medio
vlido
Verificarquelosusuariosqueseutilizanparalosserviciosnotenganhome Medio
vlido
Contraseas
Verificarsiexistenpolticasdeconformacindecontraseas.
Alto
Verificarsiexistenpolticasdehistorialdecontraseas
Bajo
135
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Prueba(REVISINDESERVIDORESBASADOSENUNIX)
NiveldeRiesgo
Verificarsiexistenpolticasdeduracin(mximaymnima)decontraseas Medio
Verificarsiexisteshadowpassword
Medio
Verificarsitodoslosusuariosposeencontraseasseguras
Alto
Verificarquetodosquienesusanelservidortienensupropiacuenta
Bajo
Verificarsiexistenprogramasdecontroldecalidaddecontraseas
Medio
Verificarsiexistenmecanismosadicionalesdecontroldeacceso
Alto
SeguridaddeUsuarios
VerificarquevariosusuariosnocompartenelmismoUID
Medio
Verificarquelacuentarootnoseutilizaparaactividadesregulares
Alto
Verificarsiexistenrestriccionesalusodelcomandosu
Alto
Verificarquienespertenecenalgrupo0
Medio
Verificarquelosusuariosnotienenarchivos./rhost
Alto
Verificarqueel.noseencuentraenlavariable$PATH
Medio
Verificarsiexistenrestriccionesalusodelcomandosudo
Alto
Rastrearlosarchivosdebitcorasenbsquedadeintentosdeescaladade
privilegios
Alto
Verificarquenoexistancuentasdormidashabilitadas.
Bajo
VerificarseutiliceKerberosMD5Hashcomomecanismosde
autenticacin
Medio
Verificarlainformacinentreclientesyservidoresviajecifrada
Alto
Respaldos
Verificarregularidaddelosrespaldos
Alto
Verificarpolticaderespaldos
Alto
Verificarsiserespaldanlosarchivosimportantesdelsistema
Alto
Verificarsilapolticaderespaldoincluyelaverificacindelosmismos
Medio
Verificarpolticadealmacenamientoycuidadoderespaldos
Alto
Verificarsiexistenvariasformasderespaldodelainformacincompleta
Medio
DeteccindeIntrusos
Verificarsiexistenprogramas"IDSTarget",siseejecutanconregularidad Alto
ysisusresultadossonatendidoscorrectamente.
136
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Prueba(REVISINDESERVIDORESBASADOSENUNIX)
NiveldeRiesgo
Verificarqueseprotejanlosarchivosadecuados
Alto
VerificarsiexistenprogramasIDSHost,siseejecutanconregularidadysi Alto
susresultadossonatendidoscorrectamente.
Verificarqueserevisenlosarchivosadecuados
Alto
Bitcoras
Verificarqueexistaeladecuadoniveldebitcoras
Alto
Comprobarsilasbitcorasestndebidamenteprotegidas
Alto
Comprobarsitodoslosserviciostienenserviciosdebitcoras
Alto
Verificarsilasbitcorasserotan
Alto
Verificarsilasbitcorasserespaldanenotrosservidores(syslog)
Medio
Verificarsisellevaregistrosobrelosaccesoalasbitcoras
Alto
ControldeAcceso
Verificarsiexistenfiltradopaquetesdeniveldeaplicaciones
Alto
Revisarquelosmecanismosestablecidosfiltrenadecuadamenteelaccesoa Alto
lasaplicaciones.
Revisarquelosmecanismosestablecidosregistrenadecuadamentelos
intentosdeaccesotantosatisfactorioscomofallidos
Alto
NFS
Verificarquetodaslasexportacionesdelsistemadearchivosserealizan
haciadestinosyusuariosestrictamentedefinidos
Medio
Verificarqueelsistemaobligaalosclientesausarpuertosprivilegiados
Alto
VerificarqueelsistemautilizalasopcionescrosscheckPTRyADDR
hostnamelookups
Alto
NIS
Verificarsisloseexportanmapasaestacionesdeconfianza.
Alto
Verificarsiseutiliza"+:"enlugarde"+::0:0:::"comomarcaenelarchivo Medio
depasswords.
VerificarquelosmapasNISseanslomodificablesporelroot
Tabla9:PonderacinReferencialparalaseccin:RevisindeServidoresbasadosenUnix
137
Alto
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Prueba(REVISINDESERVIDORESYESTACIONESBASADOSEN NiveldeRiesgo
WINDOWS)
RevisindeCuentasdeUsuariosyContraseas
Verificarquenoseutilizancuantasadministrativasparatrabajacotidiano
Alto
Verificarusosyskeyennivelessuperioresa1.
Medio
Verificarquenoseasignanpermisosdirectamentealascuentas
Bajo
VerificarPrivilegiosdeusuariosbuscandoprivilegiosmnimos.
Alto
VerificarDerechosdeIniciodeSesin.
Alto
Verificar(rompiendo)longitudycalidaddelascontraseas
Alto
Verificarlaexistenciadeusuariossincontraseas.
Alto
Verificarlaexistenciadeusuariosquenuncahanusadosucuenta.
Alto
Verificarlaexistenciadeerroresenlapolticadecontraseas.
Alto
VerificarquenoseutilicenalgoritmosdehashdeLM.
Medio
VerificarsiseutilizaKerberos.
Bajo
VerificarsiesposibleutilizarKerberos
Bajo
Verificarniveldecachedecontraseas.
Bajo
AtributosdeAD
Verificarquenoseutilicenpermisosagruposlocalesdedominio.
Alto
VerificarquienestieneaccesocomoAdministradoresdelbosqueyvalidar Alto
quenosetienenpermisosexcesivosaestenivel.
Verificarqueexisteproteccinfsicaparaloscontroladoresdedominoraz Alto
delbosque.
Verificarserequiereaislamientodiscretodefuncionesyexisteunslo
bosque
Medio
VerificarsilosadministradoresdeADutilizanestacionesdetrabaja
particularesparalasfuncionesdeadministracin
Bajo
Verificarsisedeleganautoridadessobrelasunidadesorganizativas(u
objetos)enlugardedesignarpermisosespecficosparacadauna.
Bajo
VerificarsiseutilizaDNSintegradoaA.D.
Alto
VerificarseutiliceKerberosMD5Hashcomomecanismosde
autenticacin.
Bajo
Verificarlainformacinentreclientesyservidoresviajecifrada.
Medio
138
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Prueba(REVISINDESERVIDORESYESTACIONESBASADOSEN NiveldeRiesgo
WINDOWS)
VerificacindePermisloga
VerificarlospermisosmnimosenelsistemadeArchivos
Alto
Verificarlospermisosdelregistrodelsistema.
Alto
ServiciosyActualizaciones
Verificarquenoexistanserviciossuperfluosonoconvencionales
ejecutndose.
Alto
Verificarsisehaninstaladolosparchesmsrecientes.
Alto
ProteccindelstackTCP/IP
VerificarEnableICMPRedict=0
Bajo
VerificarSynAttackProtect=2
Alto
VerificarTCPMaxConnectResponseRetransmition=2
Alto
VerificarTCPMaxHalfOpen=50
Medio
VerificarTCPMaxHalfOpenRetired=400
Medio
VerificarTCPMaxPortsExhauted=5
Medio
VerificarTCPMaxDataRetransmitions=3
Medio
VerificarEnableDeagGWDetect=0
Medio
VerificarEnablePMTUDiscovery=0
Medio
VerificarDisableIPSourceRouting=2
Medio
VerificarNoNameReleaseonDemand=1
Medio
VerificarPerfomRouterdiscovery=0
Medio
VerificarEnableDynamicBacklog=1
Medio
VerificardynamicBlacklogGrowthDelta=10
Medio
VerificarMinimumdynamicBlacklog=20
Medio
VerificarMaximunDynamicBlacklog=20.000
Medio
AuditoraInterna
Verificasilaspolticasdeauditoraestnhabilitadas
Medio
Verificarsiseauditansucesosdeiniciodesesin
Bajo
Verificarsiseauditalaadministracindecuentas
Alto
Verificarsiseauditaelaccesoalosserviciosdedirectorios
Alto
139
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Prueba(REVISINDESERVIDORESYESTACIONESBASADOSEN NiveldeRiesgo
WINDOWS)
VerificarsiseauditanaccesoaobjetosdeSO
Alto
Verificasiseauditaelcambiodedirectivas
Alto
Verificarsiauditaelusodeprivilegios
Alto
Verificarsiseauditaelseguimientodeprocesos
Alto
Verificarsiseauditansucesosdelsistema
Alto
Seguridadenloscontroladoresdedomino
Verificarquenoseutilicenaplicacionesconcontraseascifradascon
algoritmosdedobleva.
Medio
Verificarquetodospertenezcanaunaunidadorganizativacomn
Bajo
Verificarsiexisteunaplantilladeseguridaddelneabaseysiestaseaplica Medio
alaunidadorganizativaalaquepertenecenlosservidoresdedominio
Verificarsilasplantillasdeseguridadsonalmacenadasdeformasegura.
Alto
SeguridaddeServidoresDNS
VerificarsiexistenzonasintegradasaAD
Alto
Verificarsilosservidoresinternosyexternossonindependientes.
Medio
Verificarsiexistenrestriccionesalastransferenciasdezonas.
Medio
VerificarquienesyporquepertenecenalgrupoDNSAdmin.
Alto
SeguridadparaTerminalServices
VerificarsilaplantilladeseguridadNotssid.infestaplicadaservidores
conpermisoscompatiblesconTerminalServer4.0.
Medio
Verificarqueseharestringidolasaplicacionesdisponiblesparausuariosde Alto
TS.
VerificarquenoesthabilitadoelcontrolremotoenlosservidoresdeTS.
Alto
VerificarquehabilitadoHighEncryptionPack.
Medio
SeguridadparaservidoresDHCP
VerificarquenoexistalacuentadelservidorenelgrupoDNSUpdateProxy. Medio
VerificarquenoseutilicendireccionesasignadasporDHCPpara
servidores.
Bajo
VerificarquienesyporqupertenecenalgrupoAdministradoresDHCP.
Alto
VerificarqueesthabilitadalaauditoradeDHCP.
Alto
140
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Prueba(REVISINDESERVIDORESYESTACIONESBASADOSEN NiveldeRiesgo
WINDOWS)
SeguridaddeServidoresWINS
VerificarlanecesidaddemantenerservidoresWINSdentrodeldominio.
Bajo
VerificarlasreplicacionesentreservidoresWINS.
Alto
Tabla10:PonderacinReferencialparalaseccin:RevisindeservidoresbasadosenWindows
141
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Pruebas(REVISIONDESERVIDORESSMTPSENDMAIL)
NiveldeRiesgo
RevisindeVersiones
VerificarsiVersindelsendmail<=8.9.3
Alto
Verificarsiversin_Demonio<versin_mas_actualizada_estable
Medio
CondicionesGenerales
Verificarconqueusuariocorreeldemonio.
Alto
Verificarquenadiemaspertenecealgrupoconquecorreeldemonio
Alto
Verificarqueelusuariodesendmailnotieneshellvlido.
Alto
Verificarpermislogabsicadelosarchivosdeconfiguracinycolasde
sendmail.
Alto
ChequearAliasbuscandoentradassospechosas.
Medio
VerificarlosprogramasquepuedenserutilizadosporelMTAenelsmrsh.
Alto
Verificarpermisosdearchivosforward.
Alto
Verificarquecualquierusuarionopuedaverelestadodelascolasdecorreos. Alto
TcnicasAntiRelay
VerificarquenoexistaFEATURE('relay_entire_domain')
Alto
VerificarquenoexistaFEATURE(`promiscuous_relay').
Alto
VerificarquenoexistaFEATURE(`relay_based_on_MX'),
Medio
VerificarquenoexistaFEATURE(`relay_local_from'),
Bajo
VerificarquenoexistaFEATURE(`accept_unresolvable_domains').
Alto
VerificarquenoexistaFEATURE(`accept_unqualified_senders')
Alto
VerificarsiexisteFEATURE(`blacklist_recipients').
Medio
VerificarsiexisteFEATURE(`dnsbl').
Medio
Autentificacin
VerificarsiexisteFEATURE(`STARTTLS').
Medio
VerificarqueexistalaopcinSMTP_AUTH.
Alto
Verificarquesendmailobliguelaautentificacindelosusuariosqueenvan
email.
Alto
PrevencindeDoS
VerificaropcinMaxDaemonChildren.
Alto
VerificaropcinMaxMessageSize.
Alto
142
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Pruebas(REVISIONDESERVIDORESSMTPSENDMAIL)
NiveldeRiesgo
Verificarmax_connection_rate,max_connections,wait_for_client
,wait_for_server.
Medio
VerificarDelayLA.
Medio
VerificarBadRcptThrottle.
Medio
Miscelneos
VerificarsinoestnactivadaslasopcionesVRFYyEXPN.
Medio
Verificarelniveldebitcorasqueseutiliza.
Medio
Tabla11:PonderacinReferencialparalaseccin:RevisindeSendmail
143
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Prueba(REVISIONDESERVIDORESAPACHE)
NiveldeRiesgo
CondicionesGeneralesdeInstalacin
Verificarsi"$ServerRootDirectorytienepermisos511"
Alto
Verificarsi"$ServerRootDirectoryespropiedaddelroot(root:root)".
Alto
Verificarsi"elejecutabledeldemonioespropiedaddelroot"
Alto
VerificarSIlacargadeCPUnoseincrementaalutilizarSSI
Medio
VerificarqueelwrappersuEXECestconfigurado
Alto
VerificarquenoesthabilitadoSSIparaarchivos.htmlo.htm
Bajo
AmbientedeEjecucinCGI
VerificarquelosusuariosnopuedenejecutarCGIencualquierdirectorio.
Alto
VerificarquelosCGInoponenenriesgolaseguridad
Alto
ProteccinGeneral
Verificarqueporomisinslosedaaccesoalosdirectorioscorrectosyse
niegalaresto.
Alto
VerificarqueVersin_actual=Versin_mas_actualizada.
Medio
Verificarfortalezasdelascontraseassiseutilizacontroldeacceso
Medio
Verificarpermisosdelarchivohtaccess.
Alto
Verificarquelospermisosdelosarchivos.htaccessnosobreescribanlos
permisosgeneralesdelservidor.
Alto
Verificarpermisosdearchivospublic_html
Medio
Verificarqueelusuariodeldemonionotengashellvlido
Alto
Verificarqueelusuariodeldemonionotengahomevlido
Alto
Verificarqueelservidornoseejecutebajaelusuarioroot.
Alto
Verificarquesloseentreguelainformacinnecesariasobreelservidor.
Medio
Verificarqueexistanysemantenganbitcorasdelservidor.
Alto
Tabla12:PonderacinReferencialparalaseccin:RevisindeApache
144
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Prueba(REVISIONDEDISPOSITIVOSDEDETECCIONDE
INTRUSOS)
NiveldeRiesgo
NDIS
VerificarnivelesdealertayatencindelasalarmasendispositivosNDIS
Alto
VerificarnivelesdeAlertas
Alto
Verificarladistribucindelasfirmaspasadas5m,12hy24h.
Medio
VerificarposibilidaddellenarbitcorasdelNDISgenerandotrficohostil Alto
debidoapocoespacio
VerificarposibilidaddellenarbitcorasdelNDISgenerandotrficohostil Alto
debidoaexcesodealertas
Verificarquelainformacinalmacenadaenlasbitcorasseacorrectay
completaparareconocerefectivamenteunataque
Alto
VerificarquelasaccionesprovocadasporlosmandatosdelNDISsean
adecuada
Medio
VerificarsielNDISnoescapazdedetectartrficoconvariacionesdela
tazadeenvos
Medio
VerificarsiNDISnoescapazdedetectarcambiosenlasdireccionesIPde Alto
origen(spoofing)
VerificarsiNDISnoescapazdedetectarataquesencapsuladosenotros
protocolos
Alto
Verificarsisehanregistradolasaccionesrealizadasporlaspruebas
anteriores
Alto
VerificarsielNDIScubretodoslossitiosenlareddondeesimportante
quesecapturetrfico
Alto
Verificarsiencadapuntodecapturadedatossecapturalainformacin
completa.
Alto
IDSbasadosenhost
VerificarsitodoslosservidorescrticosposeanIDS
Alto
VerificarquetodoslosservicioscrticosposeanIDS
Medio
Verificarsilainformacinguardadaenlasbitcorasdelosservidores
permiteelfuncionamientoadecuadodelosIDS.
Alto
VerificarquelasaccionesprovocadasporlosmandatosdelNDISsean
adecuada
Bajo
Verificarladistribucindelasfirmaspasadas5m,12hy24h
Medio
145
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Tabla13:PonderacinReferencialparalaseccin:Revisindedispositivosdedeteccindeintrusos
146
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
Referencias
[ECRIMW]2004ECrimeWatchSurveyShowsSignificantIncreaseinElectronicCrimesURL:
http://www.cert.org/about/ecrime.html
[APASF]TheApacheSoftwareFoundation,SecurityTipsforServerConfiguration,URL:
http://httpd.apache.org/docs/1.3/misc/security_tips.html
[FORUG]ForumUnderground,DesencriptandoPasswords(.htaccess),URL:
http://www.forounderground.com/index.php
[RISASE]RisticI.(2005).ApacheSecurity.EE.UU:O'RellyMediaINC
[CEWCG]CERTCoordinationCenter.WindowsNTConfigurationGuidelines,URL:
http://www.cert.org/tech_tips/win_configuration_guidelines.html
[WISCO]WindowsSecurity.Com.IPSecurityforWindows2000,URL:
http://www.windowsecurity.com/whitepaper/windows_security/IP_Security_for_Microsoft_Windows_
2000_Server.html
[SMITSW]SmithB.,SeguridadenMicrosoftWindows:KitdeRecursos,(2003),MacGrawHill
Interamericana
[MICTHGO]MicrosoftTech,guadeOperacionesdeSeguridadURL:
http://www.microsoft.com/Latam/technet/home.asp
[CEUSC]CERTCoordinationCenter.UnixSecurityChecklistv.2.0,URL:
http://www.cert.org/tech_tips/win_configuration_guidelines.html
[BAMLSS]BauerM.LinuxServerSecurity.(2005)EE.UU:O'RellyMediaINC
[GAPUIS]GarfinkelS.PracticalUnixandInternetSecurity2ndEdition.(1996)O'RellyandAssociates,
Inc
[UWUSS]UniversityofWashington,UnixSystemSecurityChecklist,URL:
http://staff.washington.edu/dittrich/R870/securitychecklist.html
[FNWSC]FortifiedNetworks,Inc.,WirelessSecurityChecklist,URL:
http://www.fortified.com/html/wireless_checklist.html
147
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
[CCWSC]CoreCompetence,Inc.,WirelessSecurityChecklistforSmallanMediumBusinessesURL:
http://hhi.corecom.com/wirelesschecklistforsmbs.htm
[SCANS]StallingW.CryptographyandNetworkSecurity2ndedition,(2001)PrenticeHall
[HMATS]HerzogP.,MetodologaAbiertadeTesteodeSeguridad2.1(2003),InstituteforSecurity
andOpenMethodologies.
[BCBSI]BradanovicT.ConceptosBsicosdeSeguridadInformtica,URL:
http://www.bradanovic.cl/pcasual/ayuda3.html
[MSSPT]MainstreamSecurityINC,SecurityPenetrationTesting,URL:
http://www.mainstream.net/security_howto/security_penetration_testing.shtml
[SHENS]StuartMc.,HackingExposed:NetworkSecurity,4thedition,(2003),McGrawHill
[SILHTCP]SilesR.HackingTCP/IP,(2003)EE.UU,GNUFreeSoftwareFoundation
[FOLVIW]FundacinOWASP,OWASP:ListadeVerificacinparaIntrusinenAplicacionesWeb
Versin1.1.17(2004),URL:http://www.owasp.org.
[NGSSO]NeilG.SendmailSecurity,Sendmail.Org.URL:www.sendmail.com
[SHSSV]Somehelpfulsecuritysendmailconfigurationoptions.,URL:http://www.pantz.org
[ZWBIF]ZwickyT.BuildingInternetFirewalls,(2003),EE.UU:O'RellyMediaInc.
[TCHRFC]TechRepublic,FirewallsChecklist,URL:http://www.techrepublic.og
[GPMASF]GobiernoProvinciadeMenzona,Argentina.LINEAMIENTOSSOBRESEGURIDAD
FSICA,URL:http://www.comip.mendoza.gov.ar/Normas/
[BORCSI]BorgeloC.,SeguridadInformtica,(2001),ArgentinaURLhttp://www.cfbsoft.com.ar
[KLHCA]KlarpJ.,HowtoConductaSecurityAudit.(2000),PCNetworkAdvisorURL:
http//www.itpjournal.com
[CRISPMS]CressonCh.,InformationSecurityPoliceMadeEasy,(2002)EE.UU,Pentasafe
[ISO17799]InternationalStandarsOrganization,ISO17799
148
ModeloparalaAuditoradeSeguridadInformticaenlaReddeDatosdelaUniversidaddeLosAndes
149