Gestión de Proyectos de Auditoría de Seguridad v1.

3
Rafael.Ausejo@dvc.es
Consultor de Seguridad
© 2003 por Rafael Ausejo Prieto. Los logotipos de DAVINCI y el Colegio Oficial de Ingenieros son usados con permiso. Esta versión es una modificación de la presentación original usada en el FIST 2003.

1

29 diapositivas

Índice
– Introducción a las Auditorías de Seguridad – Dimensionamiento de la Auditoría – La metodología OSSTMM – Seguridad en las aplicaciones 2 – El informe de Auditoría – Para qué sirve la Auditoría – Conclusiones

Introducción a las Auditorías de Seguridad Tipos de Auditoría de Seguridad • Análisis de Vulnerabiliades Auditoría de Seguridad Hacking ético • Test de Intrusión • Auditoría de Seguridad • Comprobación de la Seguridad • Hacking ético Penetration Testing 3 Comprobación de Seguridad coste Análisis de Vulnerabilidades Fuente: OSSTMM tiempo .

Introducción a las Auditorías de Seguridad Dos grandes grupos Auditoría de Seguridad Auditoría de Sistemas de Información Test de Intrusión • Interna (Caja Blanca) • Realizada en las instalaciones de ACME • Se parte de un esquema de red • Información proporcionada por el cliente • Externa (Caja Negra) • Realizada de forma remota • Se parte de un rango de IPs o de un dominio DNS • Información desconocida 4 .

Introducción a las Auditorías de Seguridad Peligros de una Auditoría Interna Auditoría de Seguridad Auditoría de Sistemas de Información Al final se convierte en Análisis remoto • Interna (Caja Blanca) • Realizada en las instalaciones del cliente • Se parte de un esquema de red • Información proporcionada por el cliente • No es posible conectar un portátil • No se puede acceder al CPD 5 • No existe esquema de red • El cliente no sabe o no proporciona la información .

necesito que te pases por ACME • Ya que estás aquí. échame una mano con el firewall • Inclúyeme el password cracking • Necesito un hardening de las máquinas • Externa (Caja Negra) • Realizado de forma remota • Se parte de un rango de IPs o de un dominio DNS • Información desconocida 6 • Revísame los IDSs • ¡Tienes dos semanas! .Introducción a las Auditorías de Seguridad Peligros de un Test de Intrusión Auditoría de Seguridad Test de Intrusión Al final se convierte en Auditoría interna • Oye.

Introducción a las Auditorías de Seguridad Solución: Auditoría de Seguridad Internet: fase I OSSTMM Auditoría de Seguridad Internet • • • • • • • Externa (Caja Negra) Realizada de forma remota Se parte de un rango de IPs o de un dominio DNS Información desconocida Cobertura: detección remota de vulnerabilidades Se realiza en dos o tres semanas Se sigue la metodología OSSTMM 7 .

Dimensionamiento de la Auditoría El tiempo es dinero Cobertura propuesta Tiempo y recursos necesarios Presupuesto final El dinero es tiempo Presupuesto inicial Tiempo y recursos asignados Cobertura alcanzable 8 .

Dimensionamiento de la Auditoría Gestión del Proyecto 9 .

Dimensionamiento de la Auditoría Batería de preguntas • ¿Cuántos son los dispositivos a Auditar? Ej: 100 dispositivos físicos con 150 IPs en la misma clase C • ¿Cuál es la cobertura necesaria? Ej: Determinación y análisis de vulnerabilidades de cada uno • ¿Cuál es el tiempo necesario? Ej: Tres semanas SE DETERMINA EL TIEMPO NECESARIO Y EL NÚMERO DE RECURSOS 10 .

Project y reunión Documentación inicial Horas Horas Horas C1 JP Totales 8 8 16 8 8 16 8 0 8 8 0 8 8 2 10 Seguimiento del proyecto Total Semana Análisis de Datos Determinación de SSOO y puertos TCP/UDP Determinación de SSOO y puertos TCP/UDP Comprobación manual de sistemas y servicios Comprobación manual de sistemas y servicios Análisis de Datos Documentación Seguimiento del proyecto 40 8 8 8 8 8 18 8 8 0 0 2 58 16 16 8 8 10 11 Total Semana Mapa de Red Análisis de vulnerabilidades "bulk" (nessus) Análisis de vulnerabilidades "bulk" (nessus) Comprobación manual de vulnerabilidades Eliminación de falsos positivos Análisis de Datos Documentación 40 8 8 8 8 8 18 8 8 0 0 4 58 16 16 8 8 12 Análisis de Datos Total Semana 5 de julio de 2004 Documentación 6 de julio de 2004 Documentación 7 de julio de 2004 Reunión final y Entrega Documentación Documentación Reunión Total Semana Total Auditoría 40 8 8 8 24 144 20 8 8 8 24 80 60 16 16 16 48 224 28 días . traceroutes.Dimensionamiento de la Auditoría ACME: Seguimiento de la Auditoría de Seguridad Día Lunes Martes Miércoles Jueves Viernes Sábado Domingo Lunes Martes Miércoles Jueves Viernes Sábado Domingo Lunes Martes Miércoles Jueves Viernes Sábado Domingo Lunes Martes Miércoles Fecha 14 de junio de 2004 15 de junio de 2004 16 de junio de 2004 17 de junio de 2004 18 de junio de 2004 19 de junio de 2004 20 de junio de 2004 21 de junio de 2004 22 de junio de 2004 23 de junio de 2004 24 de junio de 2004 25 de junio de 2004 26 de junio de 2004 27 de junio de 2004 28 de junio de 2004 29 de julio de 2004 30 de julio de 2004 1 de julio de 2004 2 de julio de 2004 3 de julio de 2004 4 de julio de 2004 Descripción de tareas (Consultor 1) Recopilación de información y reunión inicial Búsqueda de información pública Búsqueda DNSs. Exploración de red y escaneo "bulk" (nmap) Exploración de red y escaneo "bulk" (nmap) Descripción de tareas (Jefe de Proyecto) Recopilación. etc. AS Numbers.

no virtual.Dimensionamiento de la Auditoría Problemática Las tareas de gestión de proyecto consumen tiempo Los escaneos consumen tiempo y necesitan de equipos portátiles El Jefe de Proyecto debe ser real. aunque esté al 33% en MS Project Deben asignarse equipos portátiles y fomentar la simultaneidad de tareas 12 Lo que no esté analizado en Documentar todo lo que se el informe no existe haga y poner una fecha de congelación de escaneos .

La metodología OSSTMM Metodología OSSTMM 13 The Security Testing Professional and the OSSTMM “Open Source Security Testing Methodology Manual” .

La metodología OSSTMM 14 .

La metodología OSSTMM 15 .

La metodología OSSTMM Auditoría de Seguridad Internet – Exploración de red – Escaneo de puertos – Identificación de Servicios – Identificación de Sistemas – Búsqueda y Verificación de Vulnerabilidades – Seguridad en las Aplicaciones 16 .

Resultados s Nombres de Dominio Nombres de Servidores Direcciones IP Mapa de Red Información administrativa del Proveedor de Servicios Propietarios y administradores de las máquinas Posibles limitaciones en las pruebas de la Auditoría s 17 s s s s s .La metodología OSSTMM Análisis de la red Objetivo Se realiza un análisis preliminar. con el fin de delimitar específicamente el ámbito de actuación y localizar las máquinas que se van a auditar.

Resultados s Puertos abiertos. Se utiliza para enumerar puertos abiertos que permitirán utilizar servicios que logren atravesar el cortafuegos y acceder a la red interna.La metodología OSSTMM Escaneo de puertos Objetivo El escaneo de puertos es una prueba de los puertos TCP y UDP en la capa de transporte. Servicios activos Mapa de red s 18 s s s s . así como servicios de red encapsulados en ellos. cerrados y filtrados Direcciones IP de sistemas activos Lista de túneles descubiertos y encapsulación de protocolos Lista de protocolos de enrutamiento soportados descubiertos.

La metodología OSSTMM Detección Remota de Sistemas Operativos Objetivo Se realiza una prueba activa de la respuesta a determinadas solicitudes de conexión que puedan identificar el Sistema Operativo remoto utilizado y el nivel de versión. Resultados s Tipo de máquina Tipo de Sistema Operativo Nivel de parches y Service Packs 19 s s .

una misma aplicación puede abrir distintos puertos para servicios diferentes. En ciertos casos. Resultados s Tipos de Servicio Activo Tipos de Aplicación y nivel de versión Mapa de Red 20 s s .La metodología OSSTMM Prueba de Servicios Objetivo Se examinan de forma activa las aplicaciones que están escuchando en los puertos abiertos.

Resultados s Lista de vulnerabilidades del sistema Tipos de aplicación o servicio por vulnerabilidad Descripción de cada vulnerabilidad y forma de explotarla Recomendaciones de niveles de parche de sistemas y aplicaciones que corrigen la vulnerabilidad s 21 s s . usando herramientas automáticas y procedimientos manuales para determinar agujeros de seguridad en aplicaciones y en versiones de parches.La metodología OSSTMM Análisis de Vulnerabilidades Objetivo Se realizará la búsqueda y análisis básico de las vulnerabilidades de los distintos sistemas.

Seguridad en las Aplicaciones 22 .

Seguridad en las Aplicaciones 23 .

Problemas encontrados y Conclusión) El proceso de Auditoría de Seguridad (Introducción.El Informe de Auditoría El contenido del Informe de Auditoría es crítico para el éxito de la misma 1. Objetivo. Metodología. . 3. Acuerdo de Confidencialidad) Resultados del Test (Recopilación inicial de datos. Objeto. Ámbito. 5. Perfil de la Red. Información sobre Servicios. Período. 24 4. Sumario Ejecutivo (Introducción. Identificación y Análisis de Vulnerabilidades) Resumen (Conclusiones y Recomendaciones) Apéndices Glosario 2. Identificación de Sistemas. 6. Exploración de Red.

sino normalmente un medio para conseguir un fin: • Justificación de las inversiones a realizar • Descubrimiento de nuevas amenazas 25 • Adecuación a la Política de Seguridad • Adecuación a la legislación vigente (LOPD) • Certificación en estándares (ISO 900X) .Para qué sirve la Auditoría La auditoría de Seguridad no es fin en sí mismo.

Para qué sirve la Auditoría Buenas Prácticas de Gestión de la Seguridad ISO17799 / UNE 71501 ISO/IEC/UNE 717799-1:2002 1 Política de Seguridad 2 Organización de la Seguridad 3 Organización y Control de Activos 4 Seguridad Ligada al Personal 5 Seguridad Física y del Entorno 6 Comunicaciones y Gestión de Explotación 7 Control de Acceso al Sistema 8 Desarrollo y Mantenimiento 9 Plan de Continuidad y Mantenimiento 10 Conformidad Legal y a la Política de Seguridad 26 El Plan de Seguridad muestra de forma cualitativa los puntos más prioritarios en que es necesario invertir en Seguridad de la Información. .

cuales son las prioridades de inversión. mantenimientos) • Adecuación legal y a la Política de Seguridad 27 La auditoría y el análisis de riesgos justifican con métricas. SSO. IPS) • Protección antivirus y filtrado de contenidos • Securización del acceso (autenticación. . cifrado VPN) • Securización de sistemas (hardening.Para qué sirve la Auditoría ¿Dónde invertir? • Seguridad perimetral (cortafuegos. PKI) • Securización de datos (integridad. routers) • Protección contra intrusiones (IDS.

Conclusiones El peligro de las vulnerabilidades es que existe la amenaza de que sean explotadas Una gestión inadecuada del proyecto puede hacer fracasar al mejor equipo de Auditores de Seguridad 28 Toda auditoría de seguridad debería complementarse con un análisis de riesgos y una métrica para medir el impacto .

Vía de los Poblados.u. s. 1 Edificio A 6ª planta 28033 Madrid Tlf: 902 464 546 htttp://www.ausejo.dvc. Parque Empresarial Alvento.a.es Fax: 91 561 3175 Presentación disponible en www.Gracias 29 DAVINCI Consulting Tecnológico.net .