WALC 2003

Auditora de Seguridad

25/10/2003

Reinaldo Mayol Arnao <mayol@ula.ve>

Quin es un Auditor de seguridad?

l

Un auditor en seguridad de sistemas de informacin es la persona a quien se le confa la evaluacin o anlisis de riesgo para determinar la efectividad de la seguridad implementada en las redes y sistemas. Un Auditor tambin es el responsable de recomendar la mayora de las soluciones para mejorar la seguridad de los datos.
Reinaldo Mayol Arnao <mayol@ula.ve>

25/10/2003

Cmo debe ser un auditor?

l

Ellos piensan como los hackers, de esta manera ellos pueden proteger los sistemas de las compaas de actividades ilcitas. A veces son llamados hackers de sombrero blanco. Ellos piensan como los empleados y gerentes para considerar como una medida de seguridad propuesta podra afectar la habilidad de un negocio para funcionar apropiadamente.
Reinaldo Mayol Arnao <mayol@ula.ve>

25/10/2003

Anlisis de Riesgos

25/10/2003

Reinaldo Mayol Arnao <mayol@ula.ve>

Etapas de un Anlisis de Riesgo: Descubrimiento

l

Durante esta etapa, se rastrearn y examinarn los sistemas para determinar la efectividad de la seguridad. Descubrir la red significa crear un mapa completo de la red para determinar la ubicacin de cada recurso, incluyendo direcciones IP, puertos abiertos, topologas, entre otros
Reinaldo Mayol Arnao <mayol@ula.ve>

25/10/2003

Etapas de un Anlisis de Riesgo: Penetracin

l

Este mtodo se basa en la capacidad de atravesar los mecanismos de control de acceso, tal como en un inicio de sesin al suministrar el nombre de una cuenta de usuario y su correspondiente contrasea. Tambin involucra los intentos por comprometer la confidencialidad e integridad de los datos al romper los mecanismos de cifrado, adems de negar servicios suministrados por la red.

25/10/2003

Reinaldo Mayol Arnao <mayol@ula.ve>

Etapas de un Anlisis de Riesgo: Control

l l

Control significa que una persona puede administrar efectivamente un servidor o una red. Un auditor nunca intenta controlar el servidor de red, pero demuestra que ha comenzado la fase de control y que podra tomar el control del servidor. Si un hacker puede tomar control, podra convertirse en un administrador ya que pudiera acceder a recursos, crear cuentas y manipular registros y bitcoras. Cuando se prepare un reporte, se debe demostrar como se puede prevenir que los hackers puedan obtener control de la red o de los sistemas.
Reinaldo Mayol Arnao <mayol@ula.ve>

25/10/2003

Labores en un Anlisis de Riesgo

1. 2.

3. 4.

5.

Analizar, categorizar y priorizar recursos. Evaluar el permetro de seguridad y la seguridad interna Considerar asuntos relacionados al negocio Uso de la arquitectura para administracin y control Revisin de las polticas de seguridad documentadas y de facto
Reinaldo Mayol Arnao <mayol@ula.ve>

25/10/2003

Anlisis de bitcoras(Logs)
l

Quizs uno de los aspectos ms desafiantes pero crticos de la auditoria de seguridad es el anlisis de los archivos de registros o bitcoras. Si se registran demasiadas actividades, la informacin que se pudiera llegar a necesitar puede verse perdida en un mar de registros. En caso contrario, si se registran muy pocas actividades del sistema, no se podr contar con informacin suficiente para detectar actividades sospechosas.
Reinaldo Mayol Arnao <mayol@ula.ve>

25/10/2003

Creacin de una lnea de base

l

El comienzo de un anlisis de bitcoras debe estar precedido por el desarrollo de una lnea de base, la cual puede ser un marco de referencias para actividades normales predefinidas que se llevan a cabo en la red. Se puede crear una lnea base al examinar cuidadosamente los registros o bitcoras por periodos extensos
Reinaldo Mayol Arnao <mayol@ula.ve>

25/10/2003

Bitcora de enrutadores y firewalls

l l l l

l l

Identificar las interfaces de fuente y destino. Descubrir los servidores de fuentes y de destino. Realizar seguimiento de los patrones de uso Descubrir protocolos usados: Bsqueda de uso de Internet de manera no productiva, el cual incluye trfico HTTP, trfico MP3, ICQ, RealPlayer, Messenger y trfico IRC. Implementar bsqueda de conexiones sospechosas ICMP, TCP y UDP. Bsqueda de conexiones realizadas por puertos sospechosos, como por ejemplo: el 12345 (puerto predeterminado de NetBus) y 31337 (puerto predeterminado de BackOrifice 2000).

25/10/2003

Reinaldo Mayol Arnao <mayol@ula.ve>

Bitcoras de sistemas operativos

l l

Bitcoras o registros en sistemas UNIX Los sistemas UNIX tienen varias herramientas nativas que ayudan a determinar la actividad pasada. Estas pueden ser:
l

l l

last: rastrea el archivo /var/log/lastlog para reportar informacin variada, incluyendo inicios de sesiones de usuarios, el terminal y ubicacin remota, informacin sobre el apagado y reinicio de sistemas, y los servicios que han sido manejados por sesin (Telnet, FTP, entre otros). lastb: Provee informacin sobre intentos de inicio de sesiones fallidas. lastlog: Provee informacin sobre usuarios que han iniciado sesin en el pasado. Adems suministra informacin sobre usuarios quienes nunca han iniciado sesin alguna.
Reinaldo Mayol Arnao <mayol@ula.ve>

25/10/2003

Bitcoras de Sistemas Operativos

l l

Bitcoras o regitros en sistemas Windows La utilidad nativa para el registro en la plataforma Windows 2000 en el Visor de sucesos. Este permite controlar el servicio EventLog. Windows 2000 divide su registro en las siguientes cuatro categoras:
l l

l l

System: Registra servicios iniciados y fallidos, apagado y reinicio de sistemas. Security: Registra eventos tales como las actividades de inicio de sesin, acceso y alteracin de los privilegios de usuarios, y acceso a objetos. Application: Registra las acciones de aplicaciones individuales y como ellas interactan con el sistema operativo. DNS Server: Si el servicio DNS est instalado, este registro o bitcora contiene todos los mensajes enviados por el.
Reinaldo Mayol Arnao <mayol@ula.ve>

25/10/2003

Auditora en Windows

25/10/2003

Reinaldo Mayol Arnao <mayol@ula.ve>

Filtrado de bitcoras o registros(Logs)

l

Los archivos de registros pueden crecen considerablemente, y ms un cuando no se han configurado apropiadamente los sistemas para registrar solamente los eventos importantes.
Reinaldo Mayol Arnao <mayol@ula.ve>

25/10/2003

Filtrado de Bitcoras en UNIX

l

l l l l l

last x: Despliega solo entradas concernientes a las eventos en los que se apaga o reinicia un sistema. last x reboot: Muestra cada reinicio del sistema. last x shutdown: Muestra cada cada o apagado del sistema. last a: Ubica toda la informacin del servidor en la ltima columna de la lectura. last d: Muestra todos los inicios de sesin remotos. last n: Permite controlar el nmero de lneas que sern visualizadas.
Reinaldo Mayol Arnao <mayol@ula.ve>

25/10/2003

Registros o bitcoras adicionales

l l l l l

Los registros (Logs) adicionales para consulta incluye los siguientes: Sistemas de deteccin de intrusos. Conexiones telefnicas (incluyendo registros de correo de voz). ISDN (Red Digital de Servicios Integrados) o conexiones frame relay. Registro de accesos de empleados (Registro de accesos fsicos).
Reinaldo Mayol Arnao <mayol@ula.ve>

25/10/2003

Almacenamiento de registro o bitcoras

l

Se debe tener en cuenta que siempre los hackers ubicarn como uno de sus principales objetivos las bitcoras o registros de auditora (logs). Un auditor siempre debe sugerir formas para asegurar los registros de auditora. Estas sugerencias incluyen:
l l l

Enviar los registros de auditora a diferentes mquinas para su almacenamiento. Replicar los registros de auditora a una unidad de CRROM. Programacin de respaldos en papel.
Reinaldo Mayol Arnao <mayol@ula.ve>

25/10/2003

Resultados de la Auditora

25/10/2003

Reinaldo Mayol Arnao <mayol@ula.ve>

Recomendaciones de la auditora
l

Recomendaciones de maneras especficas para continuar una auditora eficiente de tal manera que se pueda determinar fcilmente la brecha entre los requerimientos de la poltica de seguridad y las prcticas actuales. Recomendaciones para confrontar y corregir las infecciones de virus, gusanos y troyanos en el sistema y otras vulnerabilidades.

25/10/2003

Reinaldo Mayol Arnao <mayol@ula.ve>

Recomendaciones de Auditora cont

l

Recomendaciones sobre mejoras y cambios, las cuales podran incluir:

l l l l l l l l l l l l l

Cambios en la configuracin de enrutadores y/o topologa de la red. Aadir y/o cambiar reglas en firewalls. Actualizacin del nivel de parche para los sistemas operativos. Sustitucin de servicios y sistemas operativos menos seguros. Mejoramiento de mecanismos para auditar la red. Automatizacin y centralizacin de la administracin de la seguridad interna y el permetro de seguridad. Implantacin de aplicaciones para deteccin de intrusos. Mejoramiento de mecanismos para rastreos antivirus. Mejoramiento de los mecanismos de cifrado a nivel de usuario tales como PGP, y a nivel de red tales como IPSec. Eliminacin de cuentas innecesarias, aplicaciones, servidores y servicios. Identificar posibles cambios en las polticas de seguridad. Recomendaciones para capacitacin de usuarios finales y profesionales en el campo de la tecnologa de informacin. Informacin al cliente sobre mtricas existentes que indiquen el buen desempeo del trabajo de la auditora.

25/10/2003

Reinaldo Mayol Arnao <mayol@ula.ve>

Un reporte de auditora de seguridad debe incluir los siguientes elementos:

l l l

l l

l l l

Un esquema o bosquejo que indique el nivel de seguridad existente. Un estimado de cuando tiempo le tomara a un hacker aficionado, experimentado o profesional entrar al sistema. Un sumario breve de las recomendaciones ms importantes con material de soporte. (Por ejemplo: Reportes de escanners, enrutadores/firewalls, aplicaciones IDS, entre otros). Un esquema detallado de los procedimientos utilizados durante la auditora. Recomendaciones sobre los elementos de la red, incluyendo enrutadores, puertos, servicios, cuentas de usuarios, seguridad fsica, entre otros. Recomendaciones sobre la seguridad fsica.. Trminos y lenguajes utilizados en el campo de la auditora de seguridad informtica. Una explicacin clara sobre cmo los problemas deben ser reportados.

25/10/2003

Reinaldo Mayol Arnao <mayol@ula.ve>

Muchas Gracias!
Realizado por Reinaldo Mayol para WALC 2003

25/10/2003

Reinaldo Mayol Arnao <mayol@ula.ve>