P. 1
Auditoria de Redes y Telecomunicaciones

Auditoria de Redes y Telecomunicaciones

|Views: 3.708|Likes:
Publicado porxchelox

More info:

Published by: xchelox on May 29, 2011
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOCX, PDF, TXT or read online from Scribd
See more
See less

05/23/2015

pdf

text

original

AUDITORIA DE REDES Y TELECOMUNICACIONES

1. Introducción.Una Auditoría de Redes es, en esencia, es una serie de mecanismos mediante los cuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la información. El primer paso para iniciar una gestión responsable de la seguridad es identificar la estructura física (hardware, topología) y lógica (software, aplicaciones) del sistema (sea un equipo, red , intranet, extranet), y hacerle un Análisis de Vulnerabilidad para saber en qué grado de exposición nos encontramos; así, hecha esta "radiografía" de la red, se procede a localizar sus falencias más críticas, para proponer una Estrategia de Saneamiento de los mismos; un Plan de Contención ante posibles incidentes; y un Seguimiento Continuo del desempeño del sistema de ahora en más. La organización en la parte de las redes de comunicaciones de computadores es un punto de viraje bastante importante; es por e llo, que uno de los modelos de red más conocidos, es el modelo OSI. No importa lo que haga la empresa, siempre va a haber un punto de fallo, para adelantarse a intrusos, entonces se han ideado algunas herramientas para probar la eficacia de las políticas d e seguridad en red de la empresa, probando la buena fé de los usuarios mandándoles mensajes de la administración solicitando su contraseña a una especificada por la herramienta o probando contraseñas comunes o por defecto en muchos sistemas. 2. Objetivo.Socializar los métodos de control para la elaboración de una auditoria en sistemas en la red y telecomunicaciones, cumpliendo las normas ya establecidas de seguridad. 3. Metodología de Trabajo en Auditoria en Redes.Se debe cumplir las siguientes etapas:
y y y y y y

Definición de Alcance y Objetivos de la Auditoría Informática. Estudio inicial del entorno auditable. Determinación de los recursos necesarios para realizar la auditoría. Elaboración del plan y de los Programas de Trabajo. Actividades propiamente dichas de la auditoría. Confección y redacción del Informe Final.

1

controladores. terminales.1. y y y y La cual se debe comprobar: y y y El nivel de acceso a diferentes funciones dentro de la red. Planificación de cableado.. Los equipos y su conectividad. o o Uso de conexión digital con el exterior como Internet. La monitorización de las comunicaciones. Coordinación de la organización de comunicación de datos y voz.y Redacción de la Carta de Introducción o Carta de Presentación del Informe final. Instalación de equipos de escucha como Sniffers (exploradores físicos) o Traceadores (exploradores lógicos). La creación de estrategias de comunicación a largo plazo. donde detallaremos que actividades se debe realizar: 4. Han de existir normas de comunicación en: o o Tipos de equipamiento como adaptadores LAN. y 2 . Desarrollo de la auditoria . Autorización de nuevo equipamiento. Como objetivos e control debe estar: y Tener una gerencia de comunicaciones con plena autoridad de voto y acción. Mantener una vigilancia constante sobre cualquier acción en la red. Creación y aplicabilidad de estándares. y y y La responsabilidad en los contratos de proveedores. Registrar un coste de comunicaciones y reparto a encargados.Se debe supervisar lo si guiente: La gestión de red. Mejorar el rendimiento y la resolución de problemas presentados en la red. y y y y Auditoria de Comunicaciones.Para entender este punto del desarrollo de la auditoria informática en redes dividiremos en cuatro partes. como fuera de las horas laborales. Los planes de comunicación a alta velo cidad como fibra óptica y ATM ( técnica de conmutación de paquetes usada en redes MAN e ISDN). La revisión de costes y la asignación formal de proveedores. tanto dentro. 4. Llevar un registro actualizado de módems. líneas y todo equipo relacionado con las comunicaciones.

Vigilancia sobre toda actividad on -line. Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores. La facturación de los transportistas y vendedores ha de revisarse regularmente. Control de las líneas telefónicas. Haya procedimientos de protección de los cables y las bocas de conexión para evitar pinchazos a la red.y Planificación de la recuperación de las comunicaciones en caso de desastre. en vez de una descripción física de la misma. y y y y y y y y 3 . Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas. y y y Comprobando que: y El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. . mediante: Áreas de equipo de comunicación con control de acceso.En este veremos que se deben cumplir y y y y y 4. El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas. Se deben hacer pruebas sobre los nuevos equipos. Se dé un código a cada línea. Prioridad de recuperación del sistema. Auditoria De La Red Física. Ha de tenerse documentación sobre el diagramado de la red.2. Las líneas de comunicación estén fuera de la vista. diferentes normas priorizando el resguardo de la información. y Protección y tendido adecuado de cable s y líneas de comunicación para evitar accesos físicos. Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el trafico en ella. La seguridad física del equipo de comunicaciones sea adecuada. Existan revisiones periódicas de la red buscando pinchazos a la misma. Existan alternativas de respaldo de las comunicaciones.

c) Capa de transporte: Divide los datos en unidades más pequeñas y garantiza que tal información transmitida. crea una conexión de red distinta para cada conexión de transporte requerida. Lo anterior. Cumplimiento del modelo OSI. e) Capa de aplicación: Implementación de protocolos y transferencia de archivos. d) Capa de sesión: Maneja el sentido de transmisión de los datos y la sincronización de operaciones. Igualmente. evitando al máximo las congestiones. Capa de enlace: Garantiza que la línea o canal de transmisión. Capa de presentación: Se encarga de analizar si el mensaje es semántica y sintácticamente correcto.y Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retro llamada. nos permite describir 3 tipos de fallos en la seguridad de la red: Alteración de bits: Se corrige por código de redundancia cíclico.1. por ejemplo. debe velar por el tráfico de la red. b) Capa de red: Determina como se encaminan los paquetes. Analiza también. de la fuente al destino. si uno transmite.2. código de conexión o interruptores. el modelo OSI. es decir. regulando así el flujo de información. donde tras algún problema. el tipo de servicio que proporcionará la capa de sesión y finalmente a los u suarios de red. el otro se prepare para recibir y viceversa o Situaciones Commit. esté libre de errores. dado por capas. 4 . está dividido en: a) Capa física: Se encarga de garantizar la integridad de la información transmitida por la red. 4. llegu e correctamente a su destino. debe llevar un registro contable de los paquetes que transitan. De igual forma. se sigue tras ultimo punto de verificación. si se envía un 0. que llegue un 0 . Para ello. A grandes rasgos.

como por ejemplo. Alteración de la secuencia en la cual el receptor reconstruye mensaje. Los datos sensibles. Registrar las actividades de los usuarios en la red. 4. se debe tener un número de secuencia de tramas. se debe revisar que no acceda a ningún sistema sin autorización. las contraseñas no deben ser mostradas en pantalla tras digitarlas. Crear protocolos con detección de errores. Para esta situación cada área de sistemas debe cumplir diferentes normas de control las cuales deben estar documentados cuando se realiza las configuraciones de los equipos de telecomunicaciones. perdidos o retrasados. solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada.Se examina si está protegido de daños internos. Encriptar la información pertinente. hora y receptor. se debe obligar a los usuarios a cambiar su contraseña regularmente. se debe dar información sobre su última conexión a fin de ev itar suplantaciones. y y 5 . Los mensajes lógicos de transmisión han de llevar origen. El sistema pidió el nombre de usuario y la contraseña para cada sesión: y y y y En cada sesión de usuario. regularmente se cambia la ruta de acceso de la información a la red. Para esto. ha de tener procedimientos correctivos y de control ante mensajes duplicados. para ello. y y y y Inhabilitar el software o hardware con acceso libre. ésta solo sea recibida por el destinatario. El software de comunicación. fecha. Evitar la importación y exportaci ón de datos. Generar estadísticas de las tasas de errores y transmisión.3. para cada usuario. inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red. Garantizar que en una tran smisión.Ausencia de tramas: Las tramas se desaparecen por el ambiente o una sobrecarga del sistema. como ser: y y Controlar los errores. ha de inhabilitarse al usuario que tras un número establecido de veces erra en dar correctamente su propia contraseña. fuera de orden. Auditoria de la Red Lógica. .

aun si el intruso logra vencer otros métodos de 6 .3.. Asegurar que los datos que viajan por Internet vayan cifrados. o Intranet = Desde dentro. La clave debe guardarse y distribuirse con cuidado. así como los almacenados.4. parte de la clave.Se apoya en variaciones XOR entre cada par de bits.1. Existen 2 tipos de criptoanálisis: 4. Diferencial.y y Se debe hacer un análisis del riesgo de aplicaciones en los procesos. hasta que se logre obtener un único bit. Criptografía. Lineal. Esto.La criptografía se define como "las técnicas de escrituras tales que la información esté oculta de intrusos no autorizados".4. La propia empresa generará propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas: o Servidores = Desde dentro del servidor y de la red interna.Con variaciones de un bit en cada intento.4. y y y y y 4. 4. no incluye el criptoanálisis que trata de reventar tales técnicas para descubrir el mensaje oculto. o Servidores web. o Accesos del exterior y/o Internet. 4. Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos foráneos a la red.4. Deben existir políticas que prohíban la instalación de programas o equipos personales en la r ed. Puede usarse la encriptación para proteger los datos en tránsito. Uso de la encriptación para proteger la red. trata de averiguar la clave de descifrado del mensaje oculto.2. Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciones. La ventaja de usar encriptación es que. Los accesos a servidores remotos han de estar inhabilitados. o Firewall = Desde dentro.

periódicamente sus políticas de seguridad respecto a la criptografía para ver si han cambiado los objetivos y las circunstancias que perjudiquen su trabajo? ¿Qué personal puede realizar el trabajo de encriptación? ¿Quiénes tienen los paswords? ¿Cada cuanto se cambian los paswords? ¿Cómo lo hacen. Debido a que no se toman las medidas adecuadas con la frecuencia necesaria. los datos no tendrán significado para él. El hardware de encriptación por lo general se construye en torno a procesadores dedicados y es mucho más rápido que su equivalente en software. En la mayoría de los sistemas.4. contraseñas. las contraseñas pue den ser robadas y alguien puede imitar al usuario. Sin embargo.4.5. y quienes participan? 4.protección de datos (listas de control de acceso. Como Verificar los Sistemas de Autentificación La autentificación puede definirse como el proceso de proporcionar una identidad declarada a la satisfacción de una autoridad que otorga permisos. Existen muchos tipos de paquetes de encriptación. En otras palabras. 4. El propósito de la contraseña es verificar que el usuario sea quien dice ser. las contraseñas robadas son causa de gran número de brechas de seguridad en Internet.4. tanto en hardware como en software. Debemos hacer las siguientes preguntas: ¿Qué recursos está usted tratando de proteger encriptandolos? ¿De quiénes necesita proteger los recursos? ¿Qué tan posibles son las amenazas? ¿Qué tan importante es el recurso? ¿Qué medidas puede implementar para proteger sus bienes de forma económica y oportuna? ¿Examina. la contraseña actúa como mecanismo que autentifica al usuario. 7 . La criptografía en la auditoria de sistemas. permisos de archivo. etcétera). el usuario tiene que especificar la contraseña de su cuenta para que se le permita registrarse. Los paquetes de software de encriptación están disponibles en forma comercial o gratuita.

procedimientos de respaldo en caso de desastres y pólizas de seguro.La integridad. ubicación del Centro de 5. 5.. procedimientos y prácticas Computo: evitar las interrupciones . juega un papel muy importante dentro del área de sistemas. plan de 8 . Control Interno. Para un buen funcionamiento cada área de sistemas debe tener normas y procedimientos de control interno. verificar si tienen. que logra hacer efectivo un intento o un propósito. por lo que se revisara si tienen: y y y y Políticas adecuadas de vacaciones Políticas de rotación de personal Política de reemplazo Personal de confianza y motivación Seguridad Física. 5. cumpliendo la frase. seguridad del personal.3. si no la calidad de cada equipo adquirido. la cual desarr ollaremos parte por parte: 5. Normas y Procedimientos. Control sobre los extinguidores . Donde se revisara el procedimiento de adquisición. Políticas de mantenimiento a los equipos y sistemas Procedimientos de Respaldo en caso de Desastres. valorando las especificaciones técnicas y no solo basarse al precio más bajo.4.Debe tener políticas. se de berá examinar aleatoriamente si el funcionario tiene conocimiento de estas normas. ya que es un elemento muy importante... Eficaz.Se debe emergencia accesible que cumplan los 5.2. .Cada funcionario debe conocer las políticas de control de uso de equipos y sistemas. Seguridad en el personal. Fuentes de polvo y poseer detectores. efectivo.«. .1.Realizar.5.En las empresas tiene como finalidad ayudarles en la evaluación de la eficacia y eficiencia de su gestión administrativa. estabilidad y lealtad de personal. si cumplieron las normas administrativas de la empresa en base al del gobierno estatal . asimismo se verificara en forma escrita si cuenta con una: y y y y Política de Control de acceso a los programas Políticas respaldo de documentos y archivos Políticas de protección de la información confidencial.5. Seguridad en la utilización del Equipo. ingreso al centro computo .«. seguridad física seguridad en la utilización de equipos. ejecutar. para Construcción del edificio . .

requerimientos: Notificar.mx/Paginas/index. Conclusiones. es decir la documentación que respalde. Estado de todos los sistemas. Informar al directo r de informática.do/webcontraloria/index.html 9 ..En la auditoria en redes esta mas enfocando en tres puntos generales las cuales se debe dar buen énfasis.org/ES/ y Contraloría www.gov. 5. Pólizas de Seguro.6. ya que e n estas épocas se han establecido normas internacionales para el buen manejo dando así que el mismo fabricante de hardware debe cumplir.camtic..aspx y Tecnología República Comunicación . Bibliografía.itson. que es lo físico.contraloria. las falencias se encuentran se encuentran en la forma de manejar.y Instituto Cámara Tecnológico Costarricense General de de la de Sonora de de México Información Dominicana y - www. lógico y normativo. los equipos de telecomunicaciones y servidores ya que por el alto costo de cada una de ellas se pueden reponer inmediatamente. 6. Notificar a los proveedores . 7. recuperación de datos.www.Se debe considerar si el área de sistemas ha tomado la iniciativa de asegurar mediante pólizas.

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->