Maestria Ingeniería de Software - Auditoría

Programa de Trabajo de Auditoría Firewall

Ministerio de las Fuerzas Armadas

Equipo Auditoría: Alfio Muñoz, Rafael Robles, Elizandro Poche, Nicaury Moreno

Proyecto Horas Fecha

Planificación 17-Mar-2018
Trabajo de campo 08-Mar-2018
Emisión de informes 15-Abr-2018

Auditoría de Firewall Ministerio Fuerzas Armadas

Objetivo

El objetivo fundamental de esta auditoría consiste en evaluar la efectividad de los controles

internos relativos a mitigar los riesgos que se generan en los procesos de configuración de
seguridad firewall y gestión de cambio de la configuración de Firewall y validar que los
procedimientos son apropiados para evitar cambios incompletos, involuntarios o no autorizados
en el firewall.
Configuración Seguridad de

1-) Verificar el diagrama de red y verificar que todas las conexiones y enlaces estén
documentadas en el diagrama y las interfaces de red que posee el firewall
2-) Revisar el archivo de configuración del enrutador que se conecta con el proveedor de
servicios y determinar si existen filtros adecuados para detectar y descartar servicios entrantes
de internet que no están autorizados para ser utilizados en cualquiera de los componentes
ubicados en la red.
3-) Asegurar que el tráfico que solo debe conectarse a la DMZ no se pueda enrutar al
cortafuegos.
4-) Revisar el archivo / etc / passwd para asegurarse de que solo estén activas la cuenta raíz y la
cuenta de administración de un firewall (sin incluir las cuentas del sistema de inicio de sesión
deshabilitado? Bin, rueda, etc.).
5-) Revisar la estructura del directorio para asegurarse de que no se carguen en el sistema otros
programas de aplicación, compiladores de idiomas, intérpretes u otras utilidades.
6-) Revisar los controles de ID y contraseña : autorizaciones para ID, formato de contraseña y
controles de antigüedad.

1|Página
 Maestria Ingeniería de Software - Auditoría

Auditoría de Firewall Ministerio Fuerzas Armadas

7-) Revisar y evaluar el uso de grupos para asignar servicios y acceder a las capacidades de los
usuarios.

Gestión de cambio de configuración de Internet y firewall

8-) Verificar los procedimientos de administración de cambios de firewall, para asegurar que son
apropiados para evitar cambios incompletos, involuntarios o no autorizados en el firewall.
9-) Revisar los registros de cambios de configuración e investigar una muestra de cambios de la
población con el administrador para asegurarse de que sean cambios autorizados.
10-) Determinar el proceso de cómo se aplican las actualizaciones de software y los parches de
seguridad a los firewalls y enrutadores. Además, determinar cómo se notifica a los
administradores las actualizaciones disponibles.
11-) Determinar si existe un proceso adecuado para realizar una copia de seguridad de la
configuración del firewall de forma periódica.
12-) Determinar si existe un servidor de seguridad de respaldo y si está configurado para
implementarse en caso de que falle el servidor de seguridad primario.

2|Página
 Maestria Ingeniería de Software - Auditoría

1. Verificar el diagrama de red.

2. Según pudimos contactar en nuestra auditoria el archivo de configuración del Fortinet, que
es el firewall que posee el ministerio de defensa en la actualidad, están protegidos los
accesos desde y hacia dentro de la institución. Pudimos contactar que solamente los servicios
autorizados por el departamento de TI del ministerio son los únicos que se pueden acceder.

3. El trafico de la DMZ solo es posible entre equipos que pertenecen a ella misma, ningún trafico
que se origine dentro de la DMZ puede alcanzar la red local.

4. No aplica al Firewall Fortinet.

5. No aplica al Firewall Fortinet.

6. Las contraseñas tienen políticas de seguridad aplicada de que se vencen cada 45 dias, por
lo que los administradores deben cambiar las claves o no podrán acceder al equipo hasta

3|Página
 Maestria Ingeniería de Software - Auditoría

que eso suceda, adicional a esto tienen habilitado por obligación que la clave debe cumplir
unos requisitos mínimos de seguridad, como lo es que deben contener mayúsculas,
minúsculas, números y al menos un carácter especial.

7. El firewall viene con un módulo de gestión de usuarios, en donde se pueden crear usuarios,
grupos, roles de administración, etc. Hemos podido contactar que los distintos roles y
permisos son aplicados a un grupo, luego se crea un usuario y dicho usuario se asigna a ese
grupo. Para el tema de otros servicios tales como VPN, acceso remoto etc., se aplica el
mismo principio.

8. No existe política escrita sobre este tema.

9. El administrador no tiene ningún procedimiento o necesita aprobación por parte de la

gerencia, en cualquier momento puede realizar cambios sin notificarlos o que quede
constancia de los mismos.

10. Estas están a discreción de los administradores y son ellos que determinan cuando
actualizarlo, el equipo se mantiene constantemente revisando si hay parchos o
actualizaciones y luego que encuentra un parcho nuevo o actualización notifica a los
administradores vía correo electrónico de que hay disponible una nueva versión.

11. Las copias periódicas del firewall están calendarizadas, es decir que cada dos días se realiza
una copia de respaldo y dicha copia se almacena en un servidor de respaldo existente, ese
servidor es respaldado diariamente en la nube en otro equipo similar.

12. Se cuenta con un cluster de Firewall de Fortinet en el esquema activo/pasivo, de manera que
si el firewall activo presenta algún fallo e inconveniente el firewall pasivo entra a tomar su
lugar de forma automática.

4|Página