Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Modelo para La Auditoría de La Seguridad Informática en La Red de Datos de La Universidad de Los Andes, Venezuela
Modelo para La Auditoría de La Seguridad Informática en La Red de Datos de La Universidad de Los Andes, Venezuela
Developing Entrepreneurial Engineers for the Sustainable Growth of Latin America and the Caribbean:
Education, Innovation, Technology and Practice
29 May 1 June 2007, Tampico, Mxico.
ReinaldoMayol,JacintoDvila
Resumen
En este artculo presentamos un modelo lgico para gestionar la auditoria de seguridad
informticadeunaInstitucinUniversitaria.Auditar,demaneracorrecta,losmecanismos
deseguridadutilizadosenelofrecimientodelosserviciosdeTecnologasdeInformacin
(IT)esunodeloselementosfundamentalesparaelxitodeestalabor.EltrminoAuditar
Correctamenteincluyevarioselementosimportantes,unodeellosescontarconunmodelo
deauditora completo, equilibrado ytcnicamentecorrecto.Estedocumentoproponeun
modelodeauditoradelaseguridadinformticaparaaquellosserviciosdeITqueseofrecen
porRedULAparalaUniversidaddeLosAndes,Venezuelayextensibleacualquierentidad
decaractersticassimilares.
Thispaperintroducesalogicalmodeltoguidetheprocessesofauditingtheinformation
servicesofanacademicinstitution.Auditingisacrucialelementtomaintainthelevelof
qualityandconfidenceontheinformationservicesprovidedbyanyinstitution.Weaimedto
produceawellorganized,modularsetofruletoperformauditingandweactuallytestedthis
model,aswecallit,forthedataservicesofUniversidaddeLosAndes,inVenezuelaorany
similarinstitution.
Fifth LACCEI International Latin American and Caribbean Conference for Engineering and Technology (LACCEI2007)
Developing Entrepreneurial Engineers for the Sustainable Growth of Latin America and the Caribbean:
Education, Innovation, Technology and Practice
29 May 1 June 2007, Tampico, Mxico.
Introduccin
Enesteartculopresentamosunmodelolgicoparagestionarlaauditoriadeseguridadinformtica
deunaInstitucinUniversitaria.LareddedatosdelaUniversidaddeLosAndes,RedULA,en
Venezuela,havenidocreciendodemanerasignificativaenlaltimadcada.Juntoconel
crecimientofsicodelared,lohanhechotambinlosserviciosqueseofrecenutilizndolacomo
plataformadetransporte.Conunaredtanextendida,tecnolgicamentediversayconunavariedad
significativadeactores,serviciosyusuarios,esfcilquecomiencenaocurrirerroresydesviaciones
quepuedencomprometerlapropiasubsistenciadelaredcomounentornoefectivodetrabajo.Esta
realidadimponelanecesidadderealizarprocesosdeauditoradelfuncionamientodelaredque
permitandetectarproblemasgraves,establecerpatronesdecomportamiento,realizarplanificacin
decrecimientoeinclusodetectarproblemasincipientesquepudiesenponerenriesgolaoperacin
futuradelared.
El uso de modelos durante el proceso de auditora es importante, no slo para garantizar la
consecucinderesultadoscorrectosycompletos,sinotambinparagarantizarqueunequipode
profesionales obtenga un resultado homogneo, reduciendo la importancia de los niveles de
pericia,instruccin,audacia,conocimientodelaorganizacinauditada,relacinconlosauditados,
experienciayotrosdelauditor.
Definicindelascondicionesparalaauditora.
Definicindelascaractersticastcnicas
Pruebasdepenetracin
Revisionesdelasconfiguraciones.
Definicin de
las
condiciones
Definicin de
las
caractersticas
tcnicas
Pruebasde
Penetracin
Revisiones
Fifth LACCEI International Latin American and Caribbean Conference for Engineering and Technology (LACCEI2007)
Developing Entrepreneurial Engineers for the Sustainable Growth of Latin America and the Caribbean:
Education, Innovation, Technology and Practice
29 May 1 June 2007, Tampico, Mxico.
Fifth LACCEI International Latin American and Caribbean Conference for Engineering and Technology (LACCEI2007)
Developing Entrepreneurial Engineers for the Sustainable Growth of Latin America and the Caribbean:
Education, Innovation, Technology and Practice
29 May 1 June 2007, Tampico, Mxico.
R
E
G
L
A
Ilustracin 2: Una seccin del modelo conformada por varias reglas y pruebas
Entotalexistenaproximadamente350pruebasagrupadasenlos4mdulosantessealados.
Fifth LACCEI International Latin American and Caribbean Conference for Engineering and Technology (LACCEI2007)
Developing Entrepreneurial Engineers for the Sustainable Growth of Latin America and the Caribbean:
Education, Innovation, Technology and Practice
29 May 1 June 2007, Tampico, Mxico.
Sehansubrayadolaspalabrasreservadasporellenguajeparaquenoseanconfundidasconpartedel
textodescriptivo.Lasaccionespuedenserreglasollamadasaotrasseccionesosimplementeuna
prueba.
Porobjetivoseentiendelametaquesebuscaalcanzaralrealizarunadeterminadaaccin. Una
condicin es uno o varios elementos que deben ser evaluados previamente y que definen el
ambientedeejecucindelasaccionesquesiguen.Unacondicinpuededefinirlapertinenciadela
ejecucin de una accin ulterior. Las conclusiones se refieren a las recomendaciones que el
resultadodelaejecucindeunaaccinindican y quedebenserpartedelinformefinal.Los
elementosencerradosentrecorchetessonopcionales.
Una accin pueden ser grupos de subtareas o acciones individuales. Las subtareas pueden
encontrarseinmediatamenteenlaseccinoserllamadasaotrasfuncionesinclusofueradelmdulo
queseejecuta.
Veamos nuevamente elejemplo utilizado anteriormente identificando cada unalas partes dela
sintaxisdescrita.
Objetivo
PARAVerificarlaefectividadyseguridaddelastcnicasdeprevencindeataquesdel
tipoDoS
VerificaropcinMaxDaemonChildren.SI"lapruebafalla"ENTONCESRecomendar
corregirestasituacin .
Accin
Condicin
Conclusin
Elobjetivoprincipaldeestemduloesdefinirlosdetallesdelprocesodeauditoraarealizar.Este
mdulo debesiemprerealizarseantesdeliniciodelprocesodeauditora. Cualquierprocesode
auditora debe comenzar definiendo los detalles que constituyen la salida de este mdulo. Al
ejecutarlolosresponsablesdeauditoradebensercapacesdedefinir:
Fifth LACCEI International Latin American and Caribbean Conference for Engineering and Technology (LACCEI2007)
Developing Entrepreneurial Engineers for the Sustainable Growth of Latin America and the Caribbean:
Education, Innovation, Technology and Practice
29 May 1 June 2007, Tampico, Mxico.
ObjetivosGenerales.
Alcance.
Necesidadesdeinformacinparaeliniciodelaauditora.
Conformacindelequipoauditor.
Requerimientostcnicosdelequipoauditor.
Conformacindelacontraparte.
Cronogramadeentregas.
Requisitosdeconfidencialidadyretornodeinformacin.
Condicionesdegarantadelosresultados.
Estaetapadelprocesodeauditoraesposiblementemsgerencialquetcnica,yesunadelasms
importantes. Una auditora de calidad debe enfocarse en criterios claramente definidos y
documentados.
Paraasegurarlaobjetividaddelprocesodeauditora,susresultadosycualquierconclusin,los
miembrosdelequipoauditordebenserindependientesdelasactividadesqueauditan,debenser
objetivos,ylibresdetendenciaoconflictodeinteresesduranteelproceso.[KLHCA]
Ademsdeladefinicindemetas,objetivosyelalcanceunodeloselementosfundamentalesque
debe salir de este mdulo es la conformacin del equipo auditor. Dicho equipo debe ser una
combinacinadecuadadeconocimientostcnicosyexperienciacomoauditor.
Elobjetivofundamentaldeestemduloesdefinirlosdetalles delaredqueserauditada.El
mismodeberealizarseANTESdeliniciodelaspruebasyrevisionesyDESPUSdehaberdefinido
lascaractersticasdelprocesodeauditora.
Comoresultadodelaejecucindelmdulo,elequipoauditordebeobtenerelinventariocompleto
delaarquitecturaquedeberserauditada,incluyendo:
Espaciodedirecciones
Mecanismosdedistribucindedirecciones
Descripcindeconexiones
Dispositivosdered
Servidores
Estacionesclientes
DispositivosdeSeguridad
Estemduloestcompuestoporlassiguientessecciones:
A)
B)
C)
D)
E)
F)
G)
CaracterizarelrangodeIPqueutilizalaorganizacin
DefinirlaformaenqueseasignanlasdireccionesIPdelaorganizacin
Definirlosdispositivosdered
Definirestructuradedominios
Caracterizarlosenlacesdecomunicacionesexistentes
Caracterizarcadaequiposervidor
Caracterizarequiposclientes
Fifth LACCEI International Latin American and Caribbean Conference for Engineering and Technology (LACCEI2007)
Developing Entrepreneurial Engineers for the Sustainable Growth of Latin America and the Caribbean:
Education, Innovation, Technology and Practice
29 May 1 June 2007, Tampico, Mxico.
Cada seccin de las mencionadas anteriormente est constituida por varias pruebas. Luego de
ejecutarelmdulo, elequipoauditordeberatenerunavisinmuycompleta,desdeelpuntode
vistatcnico,delsitioaauditar.Muchasvecesesteconocimientopermitevalidaroinclusodesechar
informacinofrecidaporelauditadoenelprimermdulo.Talfueelcasodelescenarioenquese
probelmodeloyqueserdescritomsadelanteenestedocumento.
La participacin del auditor en este mdulo es activa. Los resultados se obtienen realizando
pruebas,algunasdeellasinclusointrusivas,enlareddelauditado.
Estemdulodefinelasaccionesallevaracabopararealizarpruebasdepenetracinexternase
internassobrelaarquitecturabajoestudio.
Paralaejecucindelaspruebasdepenetracindebenseguirselassiguientesreglas[MSSPT]:
Lapruebadepenetracindeseguridadseiniciarecopilandotodalaposibleinformacin
relativaalainfraestructuraylasaplicacionesinvolucradas.Estepasoesfundamental,ya
que sin un conocimiento slido de la tecnologa subyacente, podran omitirse algunas
pruebasdurantelafasedepruebas.
Losauditoresdeberanintentarexplotartodaslasvulnerabilidadesdescubiertas.Ancuando
la explotacin falle, el auditor obtendra un mayor conocimiento del riesgo de la
vulnerabilidad.
Cualquierinformacinobtenidaverificandolasvulnerabilidades(porejemplo,erroresde
programacin,obtencindecdigofuente,uotrodescubrimientodeinformacininterna)
deberautilizarseparavolveraevaluarelconocimientogeneraldelaaplicacinycomose
ejecutasta.
Si,encualquierpuntodurantelaprueba,sedetectaunavulnerabilidadquepuedallevaral
compromisodelobjetivoopuedamostrarinformacincrticaparalaorganizacinauditada,
debeponerseencontactoinmediatamente conlacontraparte auditada yhacerquetome
concienciadelriesgoinvolucrado.
Esimportanteentenderlaposicindelauditordurantelaejecucindelaspruebasdepenetracin.
Elauditordebecomportarsecomounatacantequebuscaencontrarsitiospordondepenetrary
luegocomprometerlainfraestructuradeITdelaorganizacinauditada.Eneseprocesoobtenerla
mayorcantidadposibledeinformacindelaorganizacinnoesunprocesorepetitivo(tomandoen
cuenta los mdulos anteriormente ejecutados del modelo). Aqu el objetivo ylos mtodos son
diferentes.Sebuscaencontraraquelloqueunintrusopudiesellegaraconocerdelaorganizacin.
No debe olvidarse que el conocimiento detallado de la organizacin es uno de los primeros
elementosqueprocurarunatacante.Veamosunejemplo.Elatacantesabequelaorganizacinala
quedeseaatacartieneunservidorWEBpero,Queversinposeedeldemonioweb?Sepermite
quelosusuarioscoloquensuspropiaspginas?Qusistemaoperativoestcorriendoelservidor?
[SILHTCP][SHENS][MSSPT][FORUG].
Estossonalgunosdeloselementosqueelatacantedesearaconocerantesdecomenzarsuataque.
Otro ejemplo fue obtenido de la ejecucin de las pruebas del modelo: durante el proceso de
auditorasedescubrielrangodedireccionesprivadasdelsitioauditado,comoconsecuenciasde
Fifth LACCEI International Latin American and Caribbean Conference for Engineering and Technology (LACCEI2007)
Developing Entrepreneurial Engineers for the Sustainable Growth of Latin America and the Caribbean:
Education, Innovation, Technology and Practice
29 May 1 June 2007, Tampico, Mxico.
erroresenlaconfiguracindeservicioDNS.Estainformacinnohabasidosuministradaaliniciar
elprocesodeauditoraypermitiaccederdemaneramssencillaainformacinconfidencialdel
sitioauditado.
Unavezconocida,siguiendolosmtodosdeunatacante,lamayorcantidaddeinformacindela
empresaauditadaelsiguientepasoserverificarlasvulnerabilidadesyerroresdelasaplicaciones
queseidentifiquen.Enesteprocesoesmuyimportantedescartarfalsospositivosynegativos1.
Lasalidadelmdulodebeseruninventariocompletodelasvulnerabilidades(incluyendoelacceso
a informacin de la organizacin, los sistemas, etc...) y errores encontrados con sus
correspondientesnivelesdeponderacinyunglosariodelasevidenciasquesoportenloshallazgos
realizados.
Estemduloestcompuestoporlassiguientessecciones:
A)
B)
C)
D)
E)
F)
G)
H)
I)
DefinirarquitecturadeITsinconocimiento
GenerarcondicionesdeDoS2
EjecutarPruebascontraFirewalls
IdentificarvulnerabilidadesenServidoresWEB
IdentificarerroresbsicosdeconfiguracinenservidoresSMTP
Identificarerroresbsicosdeconfiguracinenambientesinalmbricos
IdentificarerroresdelaconfiguracinbsicadeservidoresUnixGNU/Linux
Fisgonearinformacinsensibleenlared
IdentificarerroresbsicosdelaconfiguracindeservidoresWindows
Dependiendodelascaractersticastcnicaspudiesenoaplicartodaslassecciones.Laseleccinde
losobjetivoshasidorealizadatomandoencuentalosserviciosdeRedULAypudiesenservirpara
lamayoradelasorganizaciones.
Aunquelarealizacindelaspruebasdepenetracinesun elementomuyimportanteydauna
visindeloqueunintrusopudiesehacer,noessuficiente.Existenotrasmuchascondicionesde
riesgo que no sern encontradas durante un proceso de intrusin y que sin embargo pudiesen
acarrearproblemasdeseguridad.Pongamosunejemplo:unaparticindediscodeunservidorcon
poco espacio, consecuencia de una mala planificacin de capacidades, pudiese significar la
paralizacindeunservicioperodifcilmenteserencontradaporunintruso.Supongamosqueun
intrusodeseaprobarelsistemadecorreodeunaorganizacin.Parahacerlogeneracorreoscon
direccionesfalsas(falsoelnombredeusuario,noeldominio).Encondicionesnormaleselsistema
reenviaraldominiodedestinoelmensajeyrecibirunmensajedequeelusuarionoexiste.Este
procesollevaraaumentareltamaodelascolasdecorreoyeventualmenteharcolapsaraun
sistema mal dimensionado. El atacante posiblemente buscaba otro objetivo pero consigui la
paralizacindelsistemadecorreo[ZWBIF].Ejemplosdeestetipoexistenmuchos.
1 Situaciones que parecen errores pero no lo son y viceversa, situaciones que parecen normales y que en realidad
esconden errores o vulnerabilidades serias.
2 Negacin de Servicios
Fifth LACCEI International Latin American and Caribbean Conference for Engineering and Technology (LACCEI2007)
Developing Entrepreneurial Engineers for the Sustainable Growth of Latin America and the Caribbean:
Education, Innovation, Technology and Practice
29 May 1 June 2007, Tampico, Mxico.
Porlaraznantesexpuestasehacenecesariountipodeauditorasistemtica,enlaqueelauditor
revisaungrupodeelementosadicionalesqueestnrelacionados.Encontrarestetipoderelaciones
eselobjetivodelmdulomsextensoycomplejoqueincluyeelmodelo:LasRevisiones.
Estemduloestcompuestoporlassiguientessecciones:
A)
B)
C)
D)
E)
F)
G)
H)
I)
RevisindelaSeguridadFsica
RevisindeServidoresUNIX
RevisindeServidoresyEstacionesWindows
RevisindeServidoresSendmail
RevisindeServidoresApache
Revisindelainfraestructurainalmbrica
RevisindelSistemadeDeteccindeIntrusos
RevisindeDispositivosFirewalls
RevisindelasPolticasdeSeguridad
Esteeselmdulomasextensoycomplejodelmodeloyreuneaproximadamenteel60%delas
reglasyaccionespresentesenelmismo.Lasalidadelmduloesuninventariocompletodelas
vulnerabilidades detectadas durante el proceso de revisin sistmica as como de las
recomendacionesparasuperarlascondicionesencontradas.Talcomoconlosotrosmdulos,cada
regla o prueba tiene asociado un nivel de ponderacin que permitir al auditor dar un valor
cuantitativo final del nivel de seguridad del auditado. A continuacin describiremos con ms
detallescadaunadelasseccionesqueconformanestemdulodelmodelo.
Fifth LACCEI International Latin American and Caribbean Conference for Engineering and Technology (LACCEI2007)
Developing Entrepreneurial Engineers for the Sustainable Growth of Latin America and the Caribbean:
Education, Innovation, Technology and Practice
29 May 1 June 2007, Tampico, Mxico.
fuentefuelaMetodologaAbiertaparaPruebasdeSeguridad[HMAST].
Alto
Primeras
Correc cion
es
R
I
E
S
G
O
Bajo
Baja
Prioridad
Alta
Las ponderaciones que se ofrecen en el modelo son puramente referenciales. El auditor tiene
capacidaddevariarlaponderacinsugeridaparaunapruebadebidoacondicionesespecficasdel
sitioaauditarodelaspropiascondicionesenqueseejecutalaprueba. Porejemplo,transmitir
datoscrticossincifraratravsdelaredpuedeconsiderarsecomounacondicindealtoimpacto
debidoalaposibilidaddequealguienaccedafsicamentealmedioyescuche,cambieodestruya
lainformacinmientrasviajaporlared.Sinembargo,estaponderacinpudiesevariarsiaccedera
losmediosdetransmisin,losextremosdecomunicacinocualquieradelaspartespordondeviaja
lainformacin es fsicamente prohibitivo. Laponderacin delosniveles seriesgohasido
establecidaporcadaprueba,entendiendoquelaponderacindelrestodelasunidadessuperioresen
quehasidodivididoelmodelo(mdulos, seccionesyreglas)puedeobtenerseapartirdeestas
sistemticamente.
Conclusiones y Recomendaciones
Eneltrabajopresentadosehaproducidounextensomodelolgico(aproximadamente250reglas)
paragestionarlaauditoriadeseguridadinformticadeunainstitucin,quecubrelasreasms
importantes para el desarrollo seguro de la Red de Datos de la Universidad de los Andes y
establecelosprocedimientosylosmecanismosgenricosparaauditarla.
Fifth LACCEI International Latin American and Caribbean Conference for Engineering and Technology (LACCEI2007)
Developing Entrepreneurial Engineers for the Sustainable Growth of Latin America and the Caribbean:
Education, Innovation, Technology and Practice
29 May 1 June 2007, Tampico, Mxico.
Elmodelofuesometidoaunava.lidacin.LaarquitecturadeTIydeseguridaddeladependencia
que se utiliz para realizar la prueba del modelo fueron modificadas para atender las
recomendaciones emanadasdelautilizacinqueseproponeenestetrabajo.Lautilizacindel
modelonoslopermitidetectarcondicionesderiesgoenlaplataformayaexistente,sinotambin
detectarinsuficienciasimportanteseneldimensionamientodelequipamientoycarenciasentemas
vitalescomolasPolticasdeSeguridadInformtica.
Alutilizarunmodeloqueofreceprocedimientosysalidasnormalizadoslosauditorespuedenvolver
aauditar,unavezrealizadaslascorrecciones,yverificarconmayorfacilidadquelascondicionesde
riesgodetectadashansidocorregidas.
Elmodelohasidodesarrolladoconunenfoqueintermedioentreunavisindealtonivel,muy
separadadelaarquitecturaquesoportalosserviciosyunaposicindemuybajonivelquehagael
modelomuydependientedelaarquitectura. Larazndehacerlodeestaformaesobteneruna
herramientatilparaelencargadodeauditoraperoqueasuvezpuedatrascendercambiossimples
delaarquitectura.
Elmodelopuedeserutilizadonosloparaauditar,puedeservistotambincomounaguade
mandatosbsicosparaasegurarunsitio.Enestemomentotambinestsiendoutilizadodeesa
formaporelequipodeSeguridadInformticadeRedULA.
Alcrearunmodeloqueincluyeunaseriedereglasquepuedenserutilizadascomocriteriosde
buenasprcticas deseguridadelmodeloigualmentepuedeserutilizadoparalainstruccin del
personaltcnicoenloselementosbsicosdeseguridadinformtica.
Portodosloselementosantesexpuestosquesehancumplidoconlosobjetivosplanteadosyhemos
creado una herramienta til y verstil para la auditora y otras funciones necesarias para la
seguridadinformticadelaReddeDatosdeLaUniversidaddeLosAndes.
ReferenciasBibliogrficas
[HMATS]HerzogP.,MetodologaAbiertadeTesteodeSeguridad2.1(2003),Institutefor
SecurityandOpenMethodologies.
[MSSPT]MainstreamSecurityINC,SecurityPenetrationTesting,URL:
http://www.mainstream.net/security_howto/security_penetration_testing.shtml
[SHENS]StuartMc.,HackingExposed:NetworkSecurity,4thedition,(2003),McGrawHill
[SILHTCP]SilesR.HackingTCP/IP,(2003)EE.UU,GNUFreeSoftwareFoundation
[ZWBIF]ZwickyT.BuildingInternetFirewalls,(2003),EE.UU:O'RellyMediaInc.
[KLHCA]KlarpJ.,HowtoConductaSecurityAudit.(2000),PCNetworkAdvisorURL:
http//www.itpjournal.com
[CRISPMS]CressonCh.,InformationSecurityPoliceMadeEasy,(2002)EE.UU,Pentasafe