AUDITORIA DE REDES Y TELECOMUNICACIONES

1. Introduccin.Una Auditora de Redes es, en esencia, es una serie de mecanismos mediante los cuales se pone a prueba una red informtica, evaluando su desempeo y seguridad, a fin de lograr una utilizacin ms eficiente y segura de la informacin. El primer paso para iniciar una gestin responsable de la seguridad es identificar la estructura fsica (hardware, topologa) y lgica (software, aplicaciones) del sistema (sea un equipo, red , intranet, extranet), y hacerle un Anlisis de Vulnerabilidad para saber en qu grado de exposicin nos encontramos; as, hecha esta "radiografa" de la red, se procede a localizar sus falencias ms crticas, para proponer una Estrategia de Saneamiento de los mismos; un Plan de Contencin ante posibles incidentes; y un Seguimiento Continuo del desempeo del sistema de ahora en ms. La organizacin en la parte de las redes de comunicaciones de computadores es un punto de viraje bastante importante; es por e llo, que uno de los modelos de red ms conocidos, es el modelo OSI. No importa lo que haga la empresa, siempre va a haber un punto de fallo, para adelantarse a intrusos, entonces se han ideado algunas herramientas para probar la eficacia de las polticas d e seguridad en red de la empresa, probando la buena f de los usuarios mandndoles mensajes de la administracin solicitando su contrasea a una especificada por la herramienta o probando contraseas comunes o por defecto en muchos sistemas. 2. Objetivo.Socializar los mtodos de control para la elaboracin de una auditoria en sistemas en la red y telecomunicaciones, cumpliendo las normas ya establecidas de seguridad. 3. Metodologa de Trabajo en Auditoria en Redes.Se debe cumplir las siguientes etapas:
y y y y y y

Definicin de Alcance y Objetivos de la Auditora Informtica. Estudio inicial del entorno auditable. Determinacin de los recursos necesarios para realizar la auditora. Elaboracin del plan y de los Programas de Trabajo. Actividades propiamente dichas de la auditora. Confeccin y redaccin del Informe Final.

Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final.

4. Desarrollo de la auditoria .Para entender este punto del desarrollo de la auditoria informtica en redes

dividiremos en cuatro partes, donde detallaremos que actividades se debe realizar: 4.1.
y y y y

Auditoria de Comunicaciones.- Se debe supervisar lo si guiente: La gestin de red. Los equipos y su conectividad. La monitorizacin de las comunicaciones. La revisin de costes y la asignacin formal de proveedores. Creacin y aplicabilidad de estndares.

Como objetivos e control debe estar:

y

Tener una gerencia de comunicaciones con plena autoridad de voto y accin. Llevar un registro actualizado de mdems, controladores, terminales, lneas y todo equipo relacionado con las comunicaciones. Mantener una vigilancia constante sobre cualquier accin en la red. Registrar un coste de comunicaciones y reparto a encargados. Mejorar el rendimiento y la resolucin de problemas presentados en la red.

y y y

La cual se debe comprobar:

y y y

El nivel de acceso a diferentes funciones dentro de la red. Coordinacin de la organizacin de comunicacin de datos y voz. Han de existir normas de comunicacin en: o o Tipos de equipamiento como adaptadores LAN. Autorizacin de nuevo equipamiento, tanto dentro, como fuera de las horas laborales. o o Uso de conexin digital con el exterior como Internet. Instalacin de equipos de escucha como Sniffers (exploradores fsicos) o Traceadores (exploradores lgicos).

y y y

La responsabilidad en los contratos de proveedores. La creacin de estrategias de comunicacin a largo plazo. Los planes de comunicacin a alta velo cidad como fibra ptica y ATM ( tcnica de conmutacin de paquetes usada en redes MAN e ISDN). Planificacin de cableado.

Planificacin de la recuperacin de las comunicaciones en caso de desastre. Ha de tenerse documentacin sobre el diagramado de la red. Se deben hacer pruebas sobre los nuevos equipos. Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores. Vigilancia sobre toda actividad on -line. La facturacin de los transportistas y vendedores ha de revisarse regularmente. Auditoria De La Red Fsica. - En este veremos que se deben cumplir

y y y

y y

4.2.

diferentes normas priorizando el resguardo de la informacin, mediante: reas de equipo de comunicacin con control de acceso.
y

Proteccin y tendido adecuado de cable s y lneas de comunicacin para evitar accesos fsicos. Control de utilizacin de equipos de prueba de comunicaciones para monitorizar la red y el trafico en ella. Prioridad de recuperacin del sistema. Control de las lneas telefnicas.

y y

Comprobando que:
y

El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. La seguridad fsica del equipo de comunicaciones sea adecuada. Se tomen medidas para separar las actividades de los electricistas y de cableado de lneas telefnicas. Las lneas de comunicacin estn fuera de la vista. Se d un cdigo a cada lnea, en vez de una descripcin fsica de la misma. Haya procedimientos de proteccin de los cables y las bocas de conexin para evitar pinchazos a la red. Existan revisiones peridicas de la red buscando pinchazos a la misma. El equipo de prueba de comunicaciones ha de tener unos propsitos y funciones especficas. Existan alternativas de respaldo de las comunicaciones.

y y

y y

y y

Con respecto a las lneas telefnicas: No debe darse el nmero como pblico y tenerlas configuradas con retro llamada, cdigo de conexin o interruptores.

4.2.1. Cumplimiento del modelo OSI. A grandes rasgos, el modelo OSI, dado por capas, est dividido en: a) Capa fsica: Se encarga de garantizar la integridad de la informacin transmitida por la red; por ejemplo, si se enva un 0, que llegue un 0 . Capa de enlace: Garantiza que la lnea o canal de transmisin, est libre de errores. b) Capa de red: Determina como se encaminan los paquetes, de la fuente al destino. Igualmente, debe velar por el trfico de la red, evitando al mximo las congestiones. Para ello, debe llevar un registro contable de los paquetes que transitan. c) Capa de transporte: Divide los datos en unidades ms pequeas y garantiza que tal informacin transmitida, llegu e correctamente a su destino. De igual forma, crea una conexin de red distinta para cada conexin de transporte requerida, regulando as el flujo de informacin. Analiza tambin, el tipo de servicio que proporcionar la capa de sesin y finalmente a los u suarios de red. d) Capa de sesin: Maneja el sentido de transmisin de los datos y la sincronizacin de operaciones; es decir, si uno transmite, el otro se prepare para recibir y viceversa o Situaciones Commit, donde tras algn problema, se sigue tras ultimo punto de verificacin. Capa de presentacin: Se encarga de analizar si el mensaje es semntica y sintcticamente correcto. e) Capa de aplicacin: Implementacin de protocolos y transferencia de archivos. Lo anterior, nos permite describir 3 tipos de fallos en la seguridad de la red: Alteracin de bits: Se corrige por cdigo de redundancia cclico.

Ausencia de tramas: Las tramas se desaparecen por el ambiente o una sobrecarga del sistema; para ello, se debe tener un nmero de secuencia de tramas. Alteracin de la secuencia en la cual el receptor reconstruye mensaje. 4.3. Auditoria de la Red Lgica. - Se examina si est protegido de daos internos, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red. Para esta situacin cada rea de sistemas debe cumplir diferentes normas de control las cuales deben estar documentados cuando se realiza las configuraciones de los equipos de telecomunicaciones, como ser:
y y

Controlar los errores. Garantizar que en una tran smisin, sta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la informacin a la red. Registrar las actividades de los usuarios en la red. Encriptar la informacin pertinente. Evitar la importacin y exportaci n de datos. El sistema pidi el nombre de usuario y la contrasea para cada sesin:

y y y y

En cada sesin de usuario, se debe revisar que no acceda a ningn sistema sin autorizacin, ha de inhabilitarse al usuario que tras un nmero establecido de veces erra en dar correctamente su propia contrasea, se debe obligar a los usuarios a cambiar su contrasea regularmente, las contraseas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar informacin sobre su ltima conexin a fin de ev itar suplantaciones.
y y y y

Inhabilitar el software o hardware con acceso libre. Generar estadsticas de las tasas de errores y transmisin. Crear protocolos con deteccin de errores. Los mensajes lgicos de transmisin han de llevar origen, fecha, hora y receptor. El software de comunicacin, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados. Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada.

y y

Se debe hacer un anlisis del riesgo de aplicaciones en los procesos. Se debe hacer un anlisis de la conveniencia de cifrar los canales de transmisin entre diferentes organizaciones. Asegurar que los datos que viajan por Internet vayan cifrados. Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos forneos a la red. Deben existir polticas que prohban la instalacin de programas o equipos personales en la r ed. Los accesos a servidores remotos han de estar inhabilitados. La propia empresa generar propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas: o Servidores = Desde dentro del servidor y de la red interna. o Servidores web. o Intranet = Desde dentro. o Firewall = Desde dentro. o Accesos del exterior y/o Internet.

y y

y y

4.4.

Criptografa.- La criptografa se define como "las tcnicas de escrituras tales que la informacin est oculta de intrusos no autorizados". Esto, no incluye el criptoanlisis que trata de reventar tales tcnicas para descubrir el mensaje oculto. Existen 2 tipos de criptoanlisis: 4.4.1. Diferencial.Con variaciones de un bit en cada intento, trata de averiguar la clave de descifrado del mensaje oculto. 4.4.2. Lineal.Se apoya en variaciones XOR entre cada par de bits, hasta que se logre obtener un nico bit, parte de la clave. 4.4.3. Uso de la encriptacin para proteger la red. Puede usarse la encriptacin para proteger los datos en trnsito, as como los almacenados. La clave debe guardarse y distribuirse con cuidado. La ventaja de usar encriptacin es que, aun si el intruso logra vencer otros mtodos de

proteccin de datos (listas de control de acceso, permisos de archivo, contraseas, etctera), los datos no tendrn significado para l. Existen muchos tipos de paquetes de encriptacin, tanto en hardware como en software. Los paquetes de software de encriptacin estn disponibles en forma comercial o gratuita. El hardware de encriptacin por lo general se construye en torno a procesadores dedicados y es mucho ms rpido que su equivalente en software. 4.4.4. La criptografa en la auditoria de sistemas. Debemos hacer las siguientes preguntas: Qu recursos est usted tratando de proteger encriptandolos? De quines necesita proteger los recursos? Qu tan posibles son las amenazas? Qu tan importante es el recurso? Qu medidas puede implementar para proteger sus bienes de forma econmica y oportuna? Examina, peridicamente sus polticas de seguridad respecto a la criptografa para ver si han cambiado los objetivos y las circunstancias que perjudiquen su trabajo? Qu personal puede realizar el trabajo de encriptacin? Quines tienen los paswords? Cada cuanto se cambian los paswords? Cmo lo hacen, y quienes participan? 4.4.5. Como Verificar los Sistemas de Autentificacin La autentificacin puede definirse como el proceso de proporcionar una identidad declarada a la satisfaccin de una autoridad que otorga permisos. En la mayora de los sistemas, el usuario tiene que especificar la contrasea de su cuenta para que se le permita registrarse. El propsito de la contrasea es verificar que el usuario sea quien dice ser. En otras palabras, la contrasea acta como mecanismo que autentifica al usuario. Sin embargo, las contraseas pue den ser robadas y alguien puede imitar al usuario. Debido a que no se toman las medidas adecuadas con la frecuencia necesaria, las contraseas robadas son causa de gran nmero de brechas de seguridad en Internet.

5. Normas y Procedimientos. Para un buen funcionamiento cada rea de sistemas debe tener normas y procedimientos de control interno, seguridad del personal, seguridad fsica seguridad en la utilizacin de equipos, procedimientos de respaldo en caso de desastres y plizas de seguro, la cual desarr ollaremos parte por parte: 5.1. Control Interno.- En las empresas tiene como finalidad ayudarles en la evaluacin de la eficacia y eficiencia de su gestin administrativa, cumpliendo la frase.

Eficaz.- Realizar, ejecutar,, efectivo,, que logra hacer efectivo un intento o un propsito.
Donde se revisara el procedimiento de adquisicin, si cumplieron las normas administrativas de la empresa en base al del gobierno estatal , valorando las especificaciones tcnicas y no solo basarse al precio ms bajo, si no la calidad de cada equipo adquirido. 5.2. Seguridad en el personal. - La integridad, estabilidad y lealtad de personal, juega un papel muy importante dentro del rea de sistemas, por lo que se revisara si tienen:
y y y y

Polticas adecuadas de vacaciones Polticas de rotacin de personal Poltica de reemplazo Personal de confianza y motivacin Seguridad Fsica.- Debe tener polticas, procedimientos y prcticas Computo: evitar las interrupciones , ubicacin del Centro de

5.3.

para

Construccin del edificio , Fuentes de polvo y poseer detectores, Control sobre los extinguidores , ingreso al centro computo . 5.4. Seguridad en la utilizacin del Equipo. - Cada funcionario debe conocer las polticas de control de uso de equipos y sistemas, ya que es un elemento muy importante, se de ber examinar aleatoriamente si el funcionario tiene conocimiento de estas normas, asimismo se verificara en forma escrita si cuenta con una:
y y y y

Poltica de Control de acceso a los programas Polticas respaldo de documentos y archivos Polticas de proteccin de la informacin confidencial. Polticas de mantenimiento a los equipos y sistemas Procedimientos de Respaldo en caso de Desastres. - Se debe emergencia accesible que cumplan los

5.5.

verificar si tienen, plan de

requerimientos: Notificar, Informar al directo r de informtica, Estado de todos los sistemas, Notificar a los proveedores , recuperacin de datos. 5.6. Plizas de Seguro.- Se debe considerar si el rea de sistemas ha tomado la iniciativa de asegurar mediante plizas, los equipos de telecomunicaciones y servidores ya que por el alto costo de cada una de ellas se pueden reponer inmediatamente. 6. Conclusiones.- En la auditoria en redes esta mas enfocando en tres puntos generales las cuales se debe dar buen nfasis, que es lo fsico, lgico y normativo, ya que e n estas pocas se han establecido normas internacionales para el buen manejo dando as que el mismo fabricante de hardware debe cumplir, las falencias se encuentran se encuentran en la forma de manejar, es decir la documentacin que respalde. 7. Bibliografa.y

Instituto Cmara

Tecnolgico Costarricense General de de la

de

Sonora de de

Mxico Informacin Dominicana

y -

www.itson.mx/Paginas/index.aspx
y

Tecnologa Repblica

Comunicacin - www.camtic.org/ES/
y

Contralora

www.contraloria.gov.do/webcontraloria/index.html