Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NDICE DE CONTENIDO
INTRODUCCIN .....................................................................
........................................................ 3 BENEFICIOS DE LAS AUD
ITORAS DE REDES .................................................................
................. 5 CULES SON LOS CONCEPTOS CLAVES EN LA AUDITORA DE REDES?........
................................ 6 TIPOS DE AUDITORAS DE REDES ..................
................................................................................
6 AUDITORA DE LA ARQUITECTURA DE REDES .........................................
.................................. 6 AUDITORA DE RENDIMIENTO DE REDES ...........
....................................................................... 7 AUDITO
RA DE LA DISPONIBILIDAD DE REDES ................................................
.......................... 8 TCNICAS QUE SE PUEDEN UTILIZAR PARA LA AUDITORA DE RE
DES .......................................... 9 HERRAMIENTAS SOFTWARE UTILIZADA
S ..............................................................................
........ 9 CASO PRCTICO..........................................................
................................................................. 10 PROPSITO ...
................................................................................
........................................... 10 CUESTIN DE FONDO .................
................................................................................
............. 10 EN QU CONSISTE?..................................................
.............................................................. 10 METODOLOGA.....
................................................................................
................................... 11 HALLAZGOS ...............................
................................................................................
.............. 12 ANLISIS .......................................................
........................................................................... 14 R
ECOMENDACIONES .................................................................
.............................................. 15 CONCLUSIN .....................
................................................................................
...................... 16 BIBLIOGRAFA ...........................................
................................................................................
... 17
NDICE DE TABLAS
Tabla 1: Aspectos tpicos de seguridad fsica para salas secundarias. ..............
.......................... 11 Tabla 2: Aspectos tpicos de seguridad fsica para sal
as principales........................................... 11 Tabla 3: Hallazgos
de ausencia de polticas y procedimientos para la administracin de la seguridad de
la red fsica.....................................................................
........................................ 12 Tabla 4: Hallazgos referentes a las
salas principales y secundarias. ........................................... 13
Tabla 5: Hallazgos identificados agrupados en categoras..........................
................................ 14 Tabla 6: Ponderacin de los hallazgos. .......
................................................................................
14
NDICE DE ILUSTRACIONES
Ilustracin 1: Anlisis de los hallazgos. ..........................................
............................................. 15
2
INTRODUCCIN
La infraestructura de las Tecnologas de la Informacin y de las Comunicaciones (TIC
) se ha convertido en un activo empresarial estratgico y la red constituye su ncle
o. Las redes de comunicaciones de las empresas e instituciones pblicas se han con
vertido en el sistema circulatorio de las mismas y, a travs de ellas, fluye la in
formacin de las empresas, su verdadero patrimonio informacional. Se puede definir
la auditora de redes como el conjunto de tcnicas y procedimientos de gestin, desti
nados al anlisis y control de los sistemas que componen una red, mediante los cua
les se pone a prueba una red informtica, evaluando su desempeo y seguridad, a fin
de lograr una utilizacin ms eficiente y segura de la informacin. Los sistemas que f
orman parte de una red son bsicamente: nodos de red, sistemas operativos y softwa
re bsico, software de uso especfico y sistemas de informacin (nodos de almacenamien
to masivo y base de datos). El objetivo fundamental de una auditora es la obtencin
de un juicio objetivo, independiente y desinteresado. En el caso concreto de la
auditora de redes es preciso el conocimiento detallado y preciso de las necesida
des de la empresa u organizacin cubierta por la red objeto de auditora. Dada su im
portancia de cara al correcto funcionamiento de las organizaciones, la seguridad
de estas redes es un factor clave. Ahora bien, slo con la implantacin de las nece
sarias medidas de seguridad no es suficiente, hay que auditar las redes para com
probar si, efectivamente, se cumplen y, en algunos casos, dentro de esas auditora
s habr que simular ataques a las mismas para detectar posibles agujeros en su seg
uridad. Tenemos que partir de la idea de que las redes son vulnerables y que las
amenazas que se ciernen sobre ellas son de distinto tipo como veremos a continu
acin. Para desarrollar estos conceptos seguiremos lo que dice el profesor Ribagor
da Garnacho: Vulnerabilidad es la susceptibilidad de un sistema o componente a su
frir daos por un ataque especfico, o equivalentemente una debilidad del sistema de
proteccin de un recurso que puede ser explotado por un ataque. Ejemplos de vulner
abilidades pueden ser: la implantacin en las redes de los sistemas abiertos, la e
xtensin de las mismas o la falta de preparacin especfica y experiencia de los usuar
ios. Por amenaza se entiende la violacin potencial de la seguridad de un sistema
a diferencia de ataque, que es la materializacin de una amenaza.
3
Las amenazas pueden ser de varios tipos: Pasivas, que son aquellas que atentan a
la confidencialidad de la informacin, pero no la alteran. Activas, que son aquel
las que cambian el estado de la informacin o del sistema y pueden ser: la interru
pcin, la modificacin y la generacin. o La interrupcin consiste en intermitir una tra
nsmisin, lo que significa una amenaza a la disponibilidad de la informacin. o La m
odificacin consiste en alterar un mensaje, lo que es una amenaza a su integridad.
o La generacin es la construccin de mensajes falsos, lo que, en definitiva, tambin
es una amenaza a la integridad de la informacin. En la auditora de redes se deben
revisar, entre otros, los siguientes puntos:
Tipos y red
de transacciones. Informacin u programas transmitidos. Uso del cifrado. Tipos de
terminales. Protecciones: fsicas y lgicas. Proteccin de fax y voz, en caso necesar
io. Transferencia de ficheros y controles existentes. Conexiones externas a travs
de pasarelas (gateway) y encaminadores (routers) y controles existentes. Separa
cin de dominios entre Internet e Intranet. Verificacin de accesos no justificados.
Utilizacin del correo electrnico. Proteccin de programas. Control de las pginas web
. Quin puede modificar las pginas web y hasta dnde. Cumplimiento de la LSSI. Cumpli
miento de LOPD. Verificacin de los accesos a redes exteriores registrados.
Con esto no pretendemos hacer una anlisis exhaustivo de lo que se debe tener en c
uenta en una auditora de redes, sino simplemente poner de relieve la importancia
que tienen stas en el funcionamiento normal de la empresa y, por lo tanto, la nec
esidad de verificar que se cumplen las medidas de seguridad propuestas respectos
a las mismas. La seguridad en el procesamiento de informacin, comunicaciones en
redes de rea local (LAN) y en redes de rea extensa (WAN) y en la transmisin de dato
s, es una premisa imprescindible en la mayora de las entidades, que avala las inv
ersiones realizadas de recursos tanto humanos como materiales. En muchas ocasion
es, los beneficios de una entidad empresarial no son susceptibles de incremento
mediante el aumento de ingresos, sino por la reduccin de costes. Y es precisament
e en este aspecto donde la auditora acta como elemento sinrgico del sistema de cont
rol interno de la entidad. 4
Mon: se trata de una herramienta integrada para la gestin de red, soportando mltip
les sistemas en los que, a travs de agentes, se pueden monitorizar las aplicacion
es de stos y su rendimiento. Tiene soporte SNMP y ofrece la posibilidad de defini
r muchos niveles de alertas, desde correo electrnico a notificaciones con voz en
tiempo real. Iptraf: es un monitor de red a nivel IP. Permite la obtencin del anc
ho de banda consumido, monitorizar todas las conexiones relativas a una mquina, c
omprobacin de checksums errors y detectar ciertas operaciones no permitidas por p
arte de los usuarios. 2. Para la realizacin de grficos y esquemas: Tkined: es la i
nterfaz grfica de la herramienta scotty. ArgoUML: software que facilita la comuni
cacin entre desarrolladores, clientes, analistas y dems personas que intervienen e
n un proyecto utilizando un lenguaje grfico denominado UML. Xfig: Herramienta de
dibujo vectorial en 2D. Dia: Herramienta de propsito general para la creacin de di
agramas.
CASO
Este
e la
doba
PRCTICO
informe contiene el resultado de la auditoria de redes fsicas realizada sobr
red de rea local de la Universidad Tecnolgica Nacional Facultad Regional de Cr
- Colombia.
PROPSITO
El propsito de esta auditora es evaluar los controles de seguridad para proteger l
os recursos de la red fsicas de la Universidad Tecnolgica Nacional, Facultad Regio
nal de Crdoba. Obtener una visin general de la ubicacin de todos los dispositivos d
e la red de rea local. Evaluar el ambiente de control fsico sobre los dispositivos
de la red de rea local.
CUESTIN DE FONDO
El funcionamiento de la Universidad se basa en su sistema de informtico. Este es
necesario para brindar servicios tanto a estudiantes como a empleados. Algunos d
e estos servicios son: Inscripciones, seguimiento de alumnos, dictado de clases,
servicio de comunicaciones, internet y otros.
EN QU CONSISTE?
Esta auditora est limitada a la seguridad fsica de la red de rea local de la Univers
idad Tecnolgica Nacional, Facultad Regional de Crdoba. Las actividades que protege
n el equipamiento de dao fsico son:
10
Permitir que solo los responsables de mantenimiento de los equipos de cmputos ing
resen a las salas de equipamiento. Proveer mecanismos de deteccin de fuego, humo,
agua, suciedad, etc. Almacenar materiales peligrosos, como qumicos de limpieza,
en lugares separados y alejados de los equipos de cmputos. Proveer de dispositivo
s reguladores de tensin y UPSs para salvar el equipamiento de daos producidos por
los niveles de tensin y cortes abruptos en el suministro elctrico. Planificar la m
anera de recomenzar con las operaciones despus de un fallo, incluyendo las copias
de seguridad de programas y datos.
METODOLOGA
Durante nuestra visita preliminar identificamos todas las salas donde se encuent
ra el equipamiento de cmputos y las clasificamos en principales y secundarias, entend
indose por principales aquellas donde se ubican los dispositivos ms importantes pa
ra la red tales como servidores, hubs, switch, etc. Es vlido resaltar que las sal
as principales deben contar con un mayor control de seguridad que las secundaria
s. La Tabla 1 y la Tabla 2 describen los aspectos tpicos a implementar para el co
ntrol fsico de la red en las salas principales y secundarias.
Para Salas Secundar
ias Escritura de estndares para la administracin de seguridad de los recursos de l
a red.
Para las Salas Principales (Adems de los aspectos necesarios para las salas secun
darias) Escritura de polticas y procedimientos para la realizacin y recuperacin de
copias de seguridad. Ubicacin de las salas en el interior del edificio. Y en lo p
osible sin ventanas ni puertas al exterior o patios internos.
Dispositivos alejados del piso. UPSs para asegurar la continuidad de las operaci
ones. Copias de seguridad ubicadas fuera de la sala y adecuadamente protegidas
Tabla 2: Aspectos tpicos de seguridad fsica para salas principales.
Para obtener una visin general de la ubicacin de todos los dispositivos de red, no
s contactamos con el personal encargado de las aulas G del edificio, el Laborato
rio de Sistemas y el centro de cmputos. Posteriormente visitamos cada una de esta
s salas para evaluar, los controles sobre la seguridad fsica, las condiciones amb
ientales y controles sobre las copias de seguridad e inventarios. Para esto nos
entrevistamos con los responsables de cada una de estas salas.
11
HALLAZGOS
Actualmente no existen polticas ni procedimientos escritos para la gestin de la se
guridad fsica de la red. Sino que, son los encargados de cada sala quienes llevan
adelante estas tareas a criterio propio y por lo tanto de manera heterognea. HAL
LAZGO DESCRIPCIN Debido a la ausencia de estos, el mantenimiento, lo realiza el e
ncargado de turno basndose en su experiencia. Adems tampoco se cuenta con procedim
ientos para el monitoreo de las conexiones de la red por lo que es difcil determi
nar el estado de los equipos. Por lo que no se conoce la disponibilidad de equip
os, su ubicacin, estado ni procedencia. No est disponible informacin referente a er
rores comunes y sus soluciones encontradas. Por lo que cada encargado debe, a ca
da error, encontrarle una nueva solucin aunque se trate de problemas recurrentes.
Tampoco es posible realizar un seguimiento de las fallas y sus causas, con el o
bjeto de implementar medidas correctivas. Esto genera la necesidad de la presenc
ia permanente del encargado. No se cuenta con una metodologa para el diagnstico de
fallas. No estn claramente definidas las responsabilidades del personal, lo que
ocasiona confusin acerca de las tareas que debe realizar cada persona.
No existen polticas ni procedimientos para Mantenimiento.
No existen polticas ni procedimientos para inventarios. No existen polticas ni pro
cedimientos para registros de errores y soluciones.
No existen polticas ni procedimientos para la asignacin de responsabilidades.
Tabla 3: Hallazgos de ausencia de polticas y procedimientos para la administracin
de la seguridad de la red fsica.
12
ANLISIS
Los hallazgos identificados, se han agrupado en categoras por su similitud. Para
permitir una visin ms global de los problemas. Esto se refleja en la siguiente tab
la: CATEGORA Ambiental PROBLEMAS
Tubos fluorescentes sin coberturas. Tomacorrientes instalados sobre muebles de c
ao. Problemas con Matafuego. Cables en el piso o junto a la red elctrica. Cielo ra
so en mal estado.
VISITADAS 5 5 5 5 5 5 5 5 3 3 3 3
CON PROBLEMA 5 5 4 3 2 5 5 3 3 2 2 3
Red Horizontal
Problemas con conectores. Problemas con cableado. Problemas con precintos.
Centro de Cableado
Dispositivos sin identificadores. Dispositivos accesibles a personas no autoriza
das. Centro de cableado en el piso. Centro de cableado mal ubicado.
Tabla 5: Hallazgos identificados agrupados en categoras.
Para un mejor anlisis de los riesgos se dio una ponderacin diferenciando los halla
zgos del centro del cableado del resto (ambientales y red horizontal), asignndole
s los valores de 1.0 y 0.6 respectivamente. Por otra parte, cada hallazgo fue po
nderado independientemente, utilizando una escala de 0.0 a 1.0. Reflejando los r
esultados en la siguiente tabla.
DESCRIPCION DEL PROBLEMA
Centro de cableado mal ubicado Dispositivos accesibles a personas no autorizadas
. Dispositivos sin identificadores. Problemas con conectores. Tomacorrientes ins
talados sobre muebles de cao. Problemas con cableado. Centro de cableado en el pi
so. Problemas con Matafuego. Tubos fluorescentes sin coberturas. Cables en el pi
so o junto a la red elctrica. Problemas con precintos. Cielo raso en mal estado.
CC 3 3 3
SALAS
PROBLEMAS 3 2 3 5 5 5 2 4 5 3 3 2
PP PC 100% 1.0 67% 1.0 100% 100% 100% 100% 67% 80% 100% 60% 60% 40% 1.0 0.6 0.6
0.6 1.0 0.6 0.6 0.6 0.6 0.6
PI 0.7 0.7 0.4 0.6 0.5 0.5 0.3 0.4 0.2 0.3 0.3 0.4
VR 70 47 40 36 30 30 20 19 12 11 11 10
5 5 5 3 5 5 5 5 5
Tabla 6: Ponderacin de los hallazgos.
14
CONCLUSIN
Nuestra opinin es que, los controles sobre los recursos de la red de rea local de
la universidad deben ser mejorados puesto que presenta importantes dificultades.
Esto se debe a la ausencia de lineamientos claros para su gestin.
16
BIBLIOGRAFA
DEL PESO NAVARRO, EMILIO (2003). Servicios de la Sociedad de la Informacin. Madri
d: Daz de Santos. DEL PESO NAVARRO, EMILIO; DEL PESO, MAR; PIATTINI VELTHUIS, MAR
IO G. (2008). Auditora de Tecnologas y Sistemas de Informacin. Mxico: Alfaomega Ra-M
a. DELGADO ROJAS, XIOMAR (1998). Auditora Informtica. Costa Rica: EUNED. DE MIGUEL
ALBITE, ENRIQUE (2005). Auditoras en Redes Telemticas.
17