Auditoría de

Redes y
Comunicaciones
Parte I
Aspectos
Generales
Ing. Boris Landero

©B.Landero UTP-FISC-MASECI EvalSegComTelco 8/31/2022 1

 Información Básica
+ Políticas y Procedimientos
Gestión de Red, Dispositivos Móviles, Acceso Remoto, otros
+ Diagramas de Red Actualizados
Información de Enlaces, Proveedores, Capacidad, nombre equipos, no IPs
+ Inventarios de Hardware con Información detallada
Nombres, fabricante, modelo, sistema operativo y versión, ubicación, administrador,
con garantía?, con soporte?, plan de soporte, ultima actualización?
+ Inventario de Software con Información detallada
+ Lista de Administradores y Roles
+ Archivos de Configuración
+ Métodos de Acceso (WEB GUI, Linea de commandos, Remoto)

©B.Landero UTP-FISC-MASECI EvalSegComTelco 8/31/2022 2

 1. Revisar los controles en torno al desarrollo y
mantenimiento de configuraciones.
+ Aborda la gestión de la configuración, el
concepto general de configuración
segura de la red.
+ Si no se mantiene una configuración
segura, es posible que se produzcan
fallas en la tecnología o en los procesos
que afecten la seguridad de su red.
+ Revise los cambios en los dispositivos de
red para asegurarse de que el cambio
no haya degradado involuntariamente el
rendimiento o la seguridad de la red.
©B.Landero UTP-FISC-MASECI EvalSegComTelco
+ ¿Cómo?
+ Analice las prácticas de gestión de
cambios con los administradores de red.
+ Asegúrese de que los cambios estén
planificados, programados,
documentados (incluido el propósito del
cambio) y aprobados antes de la
implementación.
+ Asegúrese de que se sigan las políticas y
los procesos de gestión de cambios de
configuración de la empresa
8/31/2022 3
 1. Revisar los controles en torno al desarrollo y
mantenimiento de configuraciones.
+ Las listas de correo de seguridad son monitoreadas.
+ Los últimos parches se aplican en un ciclo de parches de rutina bajo la guía de políticas y
procedimientos escritos y acordados.
+ Existe una guía de configuración para el equipo en el entorno y se sigue estrictamente. Las
excepciones se documentan y mantienen cuidadosamente.
+ Se lleva a cabo una exploración periódica de vulnerabilidades desde perspectivas tanto
internas como externas para descubrir rápidamente nuevos riesgos y probar los cambios
planificados en el entorno.
+ Se realizan revisiones internas periódicas de la configuración para comparar la
infraestructura existente con la guía de configuración.
+ Se emiten informes de estado regulares a la alta gerencia que documentan la postura
general de seguridad de la red.

©B.Landero UTP-FISC-MASECI EvalSegComTelco 8/31/2022 4

 1. Revisar los controles en torno al desarrollo y
mantenimiento de configuraciones.

+ Tener un estándar de configuración sólido es

fundamental para una red segura.
+ Numerosas guías de configuración y refuerzo de
seguridad están disponibles para dispositivos de red.

©B.Landero UTP-FISC-MASECI EvalSegComTelco 8/31/2022 5

 2. Asegúrese de que se implementen los controles
apropiados para cualquier vulnerabilidad asociada
con la versión actual del software.
+ Estos controles pueden incluir + ¿Cómo?
actualizaciones de software, cambios de
configuración u otros controles de + Discuta la información de la versión del
compensación. software con el administrador de la red y
el estado de los parches o
+ Este paso va más allá de los cambios de actualizaciones pendientes.
configuración y apunta específicamente
a las actualizaciones de software y las + Compruebe el software y la versión con
vulnerabilidades asociadas. el NVD. Tenga en cuenta y discuta
cualquier problema potencial con el
+ Tenga en cuenta que no es necesario administrador de la red.
instalar todas y cada una de las
actualizaciones, pero por lo general
debe mantener su equipo de red
actualizado

©B.Landero UTP-FISC-MASECI EvalSegComTelco 8/31/2022 6

 3. Verifique que todos los servicios innecesarios estén
deshabilitados.
+ La ejecución de servicios innecesarios
puede dejarlo susceptible a riesgos
relacionados con el rendimiento y la
seguridad.
+ Esto se aplica a cualquier host o
dispositivo y se suma a la superficie de
ataque disponible para posibles
atacantes.
©B.Landero UTP-FISC-MASECI EvalSegComTelco
+ ¿Cómo?
+ Pregunte por el mapa de protocolos y
puertos permitidos
+ Discuta los servicios innecesarios con el
administrador de la red y revise la
configuración del dispositivo.
+ Analice cualquier excepción con el
administrador y determine qué
exposición de riesgo adicional podría
existir y si las excepciones son
necesarias.
+ Evaluar si hay necesidad legitima
8/31/2022 7
 4. Asegúrese de que se sigan las buenas prácticas de
gestión de SNMP.
+ El Protocolo simple de administración
de redes (SNMP) representa una forma
que a menudo se pasa por alto para
obtener acceso administrativo completo
a un dispositivo de red.
+ ¿Esta habilitado?
©B.Landero UTP-FISC-MASECI EvalSegComTelco
+ ¿Cómo?
+ Analice las prácticas de administración
de SNMP con su administrador de red.
+ SNMP 1 y 2 malos. Mejor SNMP 3
+ Pero todos han sido vulnerados.
+ Aplique los controles de compensación.
+ Las contraseñas deben cumplir con la
política y frecuencia estándar.
+ La gestión debe estar restringida con
ACL y acceso de red interno.
8/31/2022 8
 5. Revisar/evaluar procedimientos para crear cuentas. Las cuentas se creen
solo cuando exista una necesidad legítima. Revise/evalúe los procesos para
eliminar o deshabilitar cuentas de manera oportuna en caso de terminación o
cambio de trabajo.

+ Cubre todo los controles sobre el uso y + ¿Cómo?

la administración de la cuenta.
+ Uso inapropiado proporciona un fácil
acceso al dispositivo de red, eludiendo
otros controles de seguridad adicionales
+ Solo los administradores autorizados
puedan iniciar sesión en un dispositivo
de red y tener el nivel de privilegio
adecuado
+ Los procedimientos de inicio de sesión
deben cumplir con autenticación,
autorización y contabilidad sólidas (AAA
©B.Landero UTP-FISC-MASECI EvalSegComTelco
+ Hable con el administrador y verifique
con la ayuda del administrador que
existen políticas y procedimientos
apropiados para agregar y eliminar el
acceso a la cuenta del dispositivo
+ Las cuentas no utilizadas, deben
eliminarse de la configuración
+ También revise el proceso para eliminar
cuentas cuando ya no se necesita acceso
+ Las cuentas NUNCA se comparten.
+ Se deben crear identificaciones
individuales para cada persona. Roles.
8/31/2022 9
 6. Asegúrese de que se utilicen los controles de
contraseña apropiados.
+ Las contraseñas débiles y sin cifrar
permiten a los atacantes adivinar o leer
contraseñas fácilmente en texto sin
formato.
+ Los controles de contraseña fuertes son
esenciales para proteger los equipos de
red.
+ Debe verificar que las contraseñas estén
almacenadas de forma segura.
+ CISCO recomienda utilizar un servidor
AAA (RADIUS, TACACS+)
©B.Landero UTP-FISC-MASECI EvalSegComTelco
+ ¿Cómo?
+ Analice los controles de contraseña con
el administrador de la red y consulte las
políticas y los procedimientos existentes.
+ Contraseñas complejas y cambio de
frecuencia apropiada (90 días max.)
+ NO compartir contraseña entre
dispositivos.
+ Contraseña de nivel administrativo
diferente a la de otro uso.
8/31/2022 10
 7. Verifique que se utilicen protocolos de gestión
seguros cuando sea posible.

+ No SNMP v1, SNMP v2, + ¿Cómo?

Telnet. + Analice los procedimientos
+ SSH, IPSec, SNMP v3. de administración con el
administrador de la red y
revise la configuración del
dispositivo de red.
+ Políticas y Procedimientos se
siguen.
+ Web GUI con HTTPS

©B.Landero UTP-FISC-MASECI EvalSegComTelco 8/31/2022 11

 8. Asegúrese de que existan copias de seguridad
actuales para los archivos de configuración.

+ Guarde copias de todas las + ¿Cómo?

configuraciones de dispositivos de red
en una ubicación segura y de fácil + Pida ver dónde se guardan las
acceso configuraciones actuales.

+ Estos archivos deben contener + Verifique con el administrador que el

comentarios que puedan ayudar a dar repositorio de respaldo contenga las
perspectiva a los ajustes y filtros de últimas configuraciones que se muestran
configuración en los enrutadores y conmutadores.

+ Invaluables para diagnosticar y + Los archivos de configuración deben

recuperarse de fallas de red inesperadas almacenarse en una ubicación segura a
la que solo tengan acceso el equipo de
red y los administradores
correspondientes.

©B.Landero UTP-FISC-MASECI EvalSegComTelco 8/31/2022 12

 9. Revisar los procesos de registro y monitoreo para
equipos de red.
+ Los registros deben recopilarse para AAA y otros
eventos clave y deben enviarse a un host seguro para
evitar la manipulación de la información.
+ El hecho de no mantener registros o monitorearlos
adecuadamente puede impedir que los
administradores diagnostiquen correctamente un
problema de red o detecten un comportamiento
malicioso.
©B.Landero UTP-FISC-MASECI EvalSegComTelco
+ ¿Cómo?
+ Entreviste al administrador de la red y revise cualquier
documentación relevante para comprender las prácticas de
monitoreo de seguridad y registro.
+ Asegúrese de que los registros se envíen a un repositorio
centralizado. SIEM
+ Cierto nivel de monitoreo es importante, pero el nivel de
monitoreo requerido debe ser consistente con la criticidad del
sistema y el riesgo inherente del entorno
+ Revise los niveles de registro para el equipo de red y el período
de retención. CISCO 0-7
+ Asegúrese de que la retención de registros cumpla con las
políticas de la empresa.
+ Si se realiza monitoreo de seguridad, evalúe la frecuencia del
monitoreo y la calidad con la que se realiza.
+ Busque pruebas de que las herramientas de control de
seguridad se utilizan realmente .
+ Revise las alertas recientes y determine si se investigaron y
resolvieron.
+ OJO! Con la revisión hecha por servicio de externos.
8/31/2022 13
 10. Evaluar el uso del Network Time Protocol (NTP).
+ NTP proporciona
sincronización de tiempo
para las operaciones del
sistema y ayuda a garantizar
una marca de tiempo precisa
en todos los eventos
registrados.
+ Las marcas de tiempo son
invaluables para informar y
solucionar problemas.
©B.Landero UTP-FISC-MASECI EvalSegComTelco
+ ¿Cómo?
+ Discuta el uso de NTP con el
administrador y revise el
archivo de configuración.
+ CISCO lo tiene habilitado y
configurado para utilizar
UTC. Verifique el estatus.
8/31/2022 14
 11. Configure el banner para que todos los usuarios
que se conecten conozcan la política de uso y
monitoreo de la empresa.
+ Un mensaje de advertencia que marque
claramente el enrutador o conmutador
como propiedad privada y que prohíba
el acceso no autorizado es esencial en
caso de que un compromiso resulte en
una acción legal.
©B.Landero UTP-FISC-MASECI EvalSegComTelco
+ ¿Cómo?
+ Verifique con el administrador y una
revisión de la configuración del
dispositivo que todos los usuarios que
se conecten conozcan la política de uso
y monitoreo de la empresa al momento
de la conexión.
+ Confirme que el mensaje del día
(MOTD) o el banner de INICIO DE
SESIÓN no revelan ninguna información
sobre la empresa o el dispositivo de red.
Esta información debe reservarse para el
banner EXEC, que se muestra solo
después de un inicio de sesión exitoso.
8/31/2022 15
 12. Asegúrese de que se apliquen controles de acceso al
puerto de la consola.

+ El acceso lógico al conmutador se + ¿Cómo?

puede obtener a través del puerto + Discuta los controles de acceso con
de la consola. A menudo, el puerto el administrador.
de la consola no tendrá contraseña
por conveniencia. + Verifique que el acceso físico al
puerto de la consola esté protegido
+ Asegúrese de que se utilice una y, lógicamente, que el puerto de la
contraseña para proporcionar una consola esté protegido con
capa adicional de defensa más allá contraseña.
de los controles físicos.
+ Una contraseña es imprescindible si
la ubicación no es físicamente
segura.

©B.Landero UTP-FISC-MASECI EvalSegComTelco 8/31/2022 16

 13. Asegúrese de que todo el equipo de red esté
almacenado en un lugar seguro.

+ Cualquier persona con acceso físico a un + ¿Cómo?

dispositivo de red podría obtener
acceso lógico completo mediante + Observe visualmente la ubicación del
procedimientos de recuperación de equipo de red y analice el acceso físico
contraseña bien documentados. al equipo con el administrador de la red.

+ Alguien también podría desconectar los + Solo las personas autorizadas deben
cables o interrumpir el servicio. tener acceso físico al hardware de la red.

+ Además, el acceso debe limitarse para

evitar que accidentes no
malintencionados (como tropezarse con
un cable) interrumpan el servicio.

©B.Landero UTP-FISC-MASECI EvalSegComTelco 8/31/2022 17

 14. Asegúrese de que se utilice una convención de
nomenclatura estándar para todos los dispositivos.

+ Las convenciones de + ¿Cómo?

nomenclatura estándar + Discuta las convenciones
facilitan la resolución y de nomenclatura utilizadas
búsqueda de problemas. con el administrador de la
+ También ayudan a facilitar red.
la gestión del entorno a
medida que crece la
organización.

©B.Landero UTP-FISC-MASECI EvalSegComTelco 8/31/2022 18

 15. Verifique que existan procesos estándar y
documentados para configurar dispositivos de red.

+ Los procesos documentados + ¿Cómo?

promueven la repetibilidad, lo
que ayuda a prevenir errores
comunes que podrían provocar
una interrupción del servicio o
un compromiso de la red.
+ Analice las políticas y los
procedimientos documentados
para configurar equipos de red
con el administrador de la red.
+ Si es posible, verifique que se
haya seguido el proceso con un
dispositivo implementado
recientemente.

©B.Landero UTP-FISC-MASECI EvalSegComTelco 8/31/2022 19

 16. Evaluar el uso de la tecnología de control de acceso
a la red (NAC)
+ NAC permite a las organizaciones hacer
cumplir las restricciones de políticas en
el acceso a la red.
+ Si NAC no está en uso, es posible que
alguien conecte un dispositivo no
autorizado o que no cumpla con los
requisitos a la red y obtenga acceso a
los sistemas internos.
©B.Landero UTP-FISC-MASECI EvalSegComTelco
+ ¿Cómo?
+ Hable con el administrador de la red
para determinar la presencia y el alcance
del uso de NAC en el entorno.
+ Una implementación completa de NAC
incluye autenticación de red y creación
de perfiles del sistema para garantizar
que el dispositivo sea conocido, el
usuario sea conocido y el sistema
cumpla con las políticas de seguridad,
como la protección antivirus o el nivel de
parche.
+ Los elementos de NAC se encuentran
más comúnmente en entornos
inalámbricos o junto con sistemas de
acceso remoto.
8/31/2022 20
 17. Revise la disponibilidad y los controles de acceso
para el acceso basado en web (GUI) a los
componentes de la red.
+ Una interfaz web puede simplificar + ¿Cómo?
el acceso y la gestión de + Discuta la interfaz web con el
dispositivos, especialmente en administrador de la red. Si no se
entornos más pequeños. utiliza la interfaz web, debe
+ Sin embargo, los servidores web a desactivarse.
menudo son atacados por actores + El acceso al servidor web debe
maliciosos que buscan estar restringido a aquellos con una
vulnerabilidades y pueden necesidad verificada.
presentar una superficie de ataque
ampliada si no se controlan + En entornos más reacios al riesgo, el
adecuadamente. acceso a la interfaz web debe
limitarse a hosts de origen
específicos

©B.Landero UTP-FISC-MASECI EvalSegComTelco 8/31/2022 21

 18. Asegúrese de que las sesiones web estén
configuradas con tiempos de espera e inactividad
adecuados.
+ Todos los servidores web, en + ¿Cómo?
particular los que se utilizan + Revise la configuración de la
para tareas administrativas, interfaz web con el
deben configurarse para administrador del dispositivo
cerrar automáticamente la de red.
sesión de un usuario después
de un período de inactividad + Asegúrese de que el servidor
o después de una duración web tenga configurados
específica. tiempos de espera de sesión
e inactividad adecuados

©B.Landero UTP-FISC-MASECI EvalSegComTelco 8/31/2022 22

 19. Revisar los planes de recuperación ante desastres
relacionados con los dispositivos de red.
+ Se debe construir una red global compleja
para la resiliencia.
+ Incluir las piezas clave de la infraestructura de
la red en el plan de recuperación ante
desastres de la organización, es critico y
necesario para recuperarse a un estado
seguro.
+ Las redes inalámbricas pueden ser un
componente esencial del plan de
recuperación ante desastres de una
organización.
©B.Landero UTP-FISC-MASECI EvalSegComTelco
+ ¿Cómo?
+ Analice la arquitectura de la red y la
recuperación ante desastres con el
administrador de la red.
+ Todos los componentes clave de la seguridad
deben estar presentes.
+ Asegúrese de que el plan esté completamente
documentado y que la documentación se
almacene en un lugar al que se pueda
acceder en caso de un desastre, como una
instalación externa.
+ Revise los procesos de la organización para
asegurarse de que los planes de recuperación
de las redes se lleven a cabo periódicamente.
8/31/2022 23