Auditoria de Redes y Base de Datos

Escalante La Portilla Mrquez

AUDITORIA DE RED
La globalizacin, la competencia y los a ances tecnolgicos estn aumentando la importancia de las redes corporati as en todos los sectores empresariales! Las empresas con mayor isin deber"an estar preparadas para una creciente dependencia de sus redes y, en consecuencia, para un crecimiento de red e#ponencial! Adems, La in$raestructura de las %ecnolog"as de la &n$ormacin y de las 'omunicaciones (%&') se *a con ertido en un acti o empresarial estrat+gico y la red constituye su n,cleo!

CONCEPTO
-na Auditoria de Redes es, en esencia, una serie de mecanismos mediante los cuales se pone a prueba una red in$ormtica, e aluando su desempe.o y seguridad, a $in de lograr una utilizacin ms e$iciente y segura de la in$ormacin! El primer paso para iniciar una gestin responsable de la seguridad es identi$icar la estructura $"sica (*ard/are, topolog"a) y lgica (so$t/are, aplicaciones) del sistema (sea un equipo, red, intranet, e#tranet), y *acerle una Anlisis de 0ulnerabilidad, para saber en qu+ grado de e#posicin nos encontramos1

CONCEPTO
As", *ec*a esta 2radiogra$"a2 de la red, se procede a localizar sus $alencias ms cr"ticas, para proponer una Estrategia de 3aneamiento de los mismos1 un Plan de 'ontencin ante posibles incidentes1 y un 3eguimiento 'ont"nuo del desempe.o del sistema de a*ora en ms!

Auditoria De La Red Fsica

4arantiza5 6 7reas de equipo de comunicacin con control de acceso! 6 Proteccin y tendido adecuado de cables y l"neas de comunicacin para e itar accesos $"sicos! 6 'ontrol de utilizacin de equipos de prueba de comunicaciones para monitorizar la red y el tr$ico en ella! 6 Prioridad de recuperacin del sistema! 6 'ontrol de las l"neas tele$nicas!

'omprobando5 6 El equipo de comunicaciones *a de estar en un lugar cerrado y con acceso limitado! 6 La seguridad $"sica del equipo de comunicaciones sea adecuada! 6 3e tomen medidas para separar las acti idades de los electricistas y de cableado de l"neas tele$nicas! 6 Las l"neas de comunicacin est+n $uera de la ista! 6 3e d+ un cdigo a cada l"nea, en ez de una descripcin $"sica de la misma! 6 8aya procedimientos de proteccin de los cables y las bocas de cone#in para e itar pinc*azos a la red!

6 E#istan re isiones peridicas de la red buscando pinc*azos a la misma! 6 El equipo de prueba de comunicaciones *a de tener unos propsitos y $unciones espec"$icas! 6 E#istan alternati as de respaldo de las comunicaciones! 6 'on respecto a las l"neas tele$nicas5 9o debe darse el n,mero como p,blico y tenerlas con$iguradas con retro:llamada, cdigo de cone#in o interruptores!

Auditoria De La Red Lgica

Mane;ar5 6 3e deben dar contrase.as de acceso! 6 'ontrolar los errores! 6 4arantizar que en una transmisin, +sta solo sea recibida por el destinatario! Para esto, regularmente se cambia la ruta de acceso de la in$ormacin a la red! 6 Registrar las acti idades de los usuarios en la red! 6 Encriptar la in$ormacin pertinente! 6 E itar la importacin y e#portacin de datos!

Comprobar5 6 6 6 6 &n*abilitar el so$t/are o *ard/are con acceso libre! 4enerar estad"sticas de las tasas de errores y transmisin! 'rear protocolos con deteccin de errores! Los mensa;es lgicos de transmisin *an de lle ar origen, $ec*a, *ora y receptor! 6 El so$t/are de comunicacin, *a de tener procedimientos correcti os y de control ante mensa;es duplicados, $uera de orden, perdidos o retrasados! 6 Los datos sensibles, solo pueden ser impresos en una impresora especi$icada y ser istos desde una terminal debidamente autorizada! 6 3e debe *acer un anlisis del riesgo de aplicaciones en los procesos!

6 3e debe *acer un anlisis de la con eniencia de ci$rar los canales de transmisin entre di$erentes organizaciones! 6 3e debe *acer un anlisis de la con eniencia de ci$rar los canales de transmisin entre di$erentes organizaciones! 6 Asegurar que los datos que ia;an por &nternet ayan ci$rados! 6 3i en la LA9 *ay equipos con modem entonces se debe re isar el control de seguridad asociado para impedir el acceso de equipos $orneos a la red! 6 Deben e#istir pol"ticas que pro*"ban la instalacin de programas o equipos personales en la red!

6 Los accesos a ser idores remotos *an de estar in*abilitados! 6 La propia empresa generar propios ataques para probar solidez de la red y encontrar posibles $allos en cada una de las siguientes $acetas5 6 3er idores < Desde dentro del ser idor y de la red interna!
= = = = 3er idores /eb! &ntranet < Desde dentro! >ire/all < Desde dentro! Accesos del e#terior y?o &nternet!

ETAPAS A I PLE ENTAR EN LA AUDITOR!A DE REDES

Anlisis de 0ulnerabilidad @ste es sin duda el punto ms cr"tico de toda la Auditor"a, ya que de +l depender directamente el curso de accin a tomar en todas las siguientes etapas y el +#ito de +ste! 9uestro equipo cuenta con la tecnolog"a y la capicidad necesaria para elaborar detallados reportes sobre el grado de ulnerabilidad del sistema, a tra +s de anlisis remotos y locales!

Estrategia de 3aneamiento &denti$icadas las 2brec*as2 en la red, se procede a 2parc*earlas2, bien sea actualizando el so$t/are a$ectado, recon$igurndolo de una me;or manera o remo i+ndolo para remplazarlo por otro que consideremos ms seguro y de me;or desempe.o! En este sentido, A Espe;os no posee ning,n acuerdo con ninguna compa."a de so$t/are, y probablemente le o$recer soluciones 49-, de alta per$ormance y muy ba;o costo!

Las bases de datos, los ser idores internos de correo, las comunicaciones sin ci$rar, las estaciones de traba;o!!! todo los puntos cr"ticos deben reducir el riesgo! En los casos ms e#tremos, la misma in$raestructura $"sica de la red deber ser replanteada, reorganizando y recon$igurando los s/itc*es y routers de la misma!

Plan de 'ontencin La red *a sido replanteada, el so$t/are *a sido recon$igurado (o redise.ado) y el riesgo *a sido reducido1 a,n as", constamente se estn reportando nue os $allos de seguridad y la posibilidad de intrusin siempre est latente! -n disco r"gido puede $allar, una base de datos puede corromporse o una estacin de traba;o puede ser in$ectada por un irus in t*e /ild ( irus bien reciente de rpida propagacin)1 para ello *ay que elaborar un 2Plan B2, que pre ea un incidente a,n despu+s de tomadas las medidas de seguridad, y que d+ respuesta a posibles e entualidades!

3eguimiento 'ont"nuo 'omo se.ana Bruce 3c*neier, reconocido especialista de esta rea, Bla seguridad no es un producto, es un procesoC! 'omo di;imos, constamente surgen nue os $allos de seguridad, nue os irus, nue as 2*erramientas2 (e#ploits) que $acilitan la intrusin en sistemas, como as" tambi+n nue as y ms e$ecti as tecnolog"as para solucionar estos y otros problemas1 por todo ello, la actitud ante la seguridad de debe ser acti a, procurando estar 2al corriente2 de lo que est+ sucediendo en la materia, para ir cubriendo las nue as brec*as que ayan surgiendo y :cuando menos: para *acerle el traba;o ms di$"cil a nuestros atacantes!

"ERRA IENTAS DE AUDITORIA DE REDES

6 6 6 6 6 6 6 6 6 6 6 6 DpenB3D5 El sistema operati o pre enti amente seguro! %'P Erappers5 -n mecanismo de control de acceso y registro clsico basado en &P! p/dumpF5 Permite recuperar las *as*es de pass/ords de Eindo/s localmente o a tra +s de la red aunque sysGey no est+ *abilitado! Lib9et5 -na AP& (toolGit) de alto ni el permitiendo al programador de aplicaciones construir e inyectar paquetes de red! &p%ra$5 3o$t/are para el monitoreo de redes de &P! >ping5 -n programa para el escaneo con ping en paralelo! Bastille5 -n script de $ortalecimiento de seguridad Para Linu#, Ma# Ds H, y 8P:-H! Ein$ingerprint5 -n escner de enumeracin de 8osts?Redes para EinFI! %'P%raceroute5 -na implementacin de traceroute que utiliza paquetes de %'P! 3*ado/ 3ecurity 3canner5 -na *erramienta de e aluacin de seguridad no: libre! p$5 El $iltro de paquetes inno ador de DpenB3D! L&D35 -n sistema de deteccin?de$ensa de intrusiones para el Gernel Linu#!

"ERRA IENTAS DE AUDITORIA DE REDES

6 6 6 6 6 6 6 6 6 et*erape5 -n monitor de red gr$ico para -ni# basado en et*erman! dig5 -na ,til *erramienta de consulta de D93 que iene de la mano con Bind! 'racG ? 'racGlib5 El clsico cracGer de pass/ords locales de Alec Mu$$ett! c*eops ? c*eops:ng5 9os pro ee de una inter$az simple a muc*as utilidades de red, mapea redes locales o remotas e identi$ica los sistemas operati os de las mquinas! zone alarm5 El $ire/all personal para Eindo/s! D$recen una ersin gratuita limitada! 0isual Route5 Dbtiene in$ormacin de traceroute?/*ois y la gra$ica sobre un mapa del mundo! %*e 'oronerJs %oolGit (%'%)5 -na coleccin de *erramientas orientadas tanto a la recoleccin como al anlisis de in$ormacin $orenese en un sistema -ni#! tcpreplay5 una *erramienta para reproducir KreplayL arc*i os guardados con tcpdump o con snoop a elocidades arbitrarias! snoop5 %ambi+n es un sni$$er de redes que iene con 3olaris!

Auditoria de Base de datos

El ob;eto $undamental de la auditoria es obtener in$ormacin de las operaciones que cada usuario realiza sobre los ob;etos de una base de datos!

Auditoria de Base de datos

Aspectos a E aluar 6 Administracin de la Base de Datos 6 Mantenimiento 6 Pre encin y Deteccin de Errores 6 Medio Ambiente 6 Recuperacin 6 3oporte del Pro eedor 6 3eguridad 6 Documentacin

9i eles de Auditoria5
6 9i eles de Auditoria5
= Agregada!
= 'ensal! = Muestral!

= Detallada!
= 'ambios 6 De contenido! 6 De estructura! = Accesos! 6 Dperaciones de acceso a contenido! 6 Resultados de las operaciones de acceso!

= Dtros!
6 'opias de seguridad y recuperaciones! 6 Reconstruccin de un estado de los datos!

Agregada5
6 Estad"sticas sobre el n,mero de operaciones realizadas sobre un ob;eto de Base de Datos, por cada usuario! 'omo cualquier estad"stica, su medida puede *acerse con t+cnicas censales muestrales!
= Ce#sa$% El gestor toma datos de todas las operaciones que recibe, seg,n el gestor, esto se e;ecutar en paralelo a las operaciones auditadas! = uestra$% Peridicamente se toman una muestra de datos !

Detallada5
6 &ncluye todas las operaciones realizadas sobre cada ob;eto!
= 'ambios!
6 El contenido de los datos! Debe contener la imagen de los datos anteriores y posteriores a la operacin del cambio! 6 La estructura de los ob;etos que componen la aplicacin!

= Accesos! Limitada a las operaciones de acceso al

contenido de los datos y tiene dos ni eles de detalle5
6 Dperacin (sentencia 3ML que se e;ecut) y 6 Resultado (los datos que se ieron en la sentencia 3ML e;ecutada)!

Dtros tipos5
6 'opias de 3eguridad! 6 Reconstruccin de estados!

Principales 34BD
3ituacin al INNO

Principales 34BD

Dracle

Dracle

Dracle
Dracle soporta tres tipos generales de Auditoria5
6 Por sentencia! 6 Por Pri ilegios o Autorizaciones! 6 Db;etos de un sistema!

Dracle
6 Auditoria de se#te#cias%
= = = El ob;eto auditado es una sentencia 3ML espec"$ica, independientemente del esquema! Por cada operacin auditada, este gestor produce un registro en A-DP! Las sentencias auditables son, por e;emplo5 6 &9DEH ('reate, alter, drop!)! 6 9D% EH&3%3 (%odas las sentencias 3ML que $allan al no e#istir el ob;eto re$erenciado)! 6 PRD'ED-RE ('reate $unction, create paGage, Q) 6 P-BL&' 3R9D9RM ('reate, drop!)! 6 RDLE ('reate, alter, drop!)! 6 RDLL BA'S ('reate, alter drop) 6 3E33&D9 (logons)! 6 3R39D9RM ('reate, drop!)! 6 3R3%EM A-D&% (TAuditU sentencia 3ML V9odudit 3entencia 3ML)! 6 3R3%EM 4RA9% (4rant pri ilegio o role, re oGe)! 6 %ABLE ('reate, drop, truncate, alter, deleteQ)! 6 %R&44ER ('reate, alter, drop)! 6 -3ER ('reate, alter, drop!)! 6 0E9 ('reate, drop!)! 6 EHE'-%E!

Dracle
6
Auditoria de pri ilegios o autorizaciones5
= El ob;eto auditado es la realizacin de las acciones correspondientes a determinados pri ilegios del sistema! = Algunos de esos pri ilegios son AL%ER DA%ABA3E, A-D&% 3R3%EM, AL%ER 3R3%EM, 'REA%E DA%ABA3E L&9S, 'REA%E RDLE, 'REA%E?AL%ER?DRDP A9R RDLE, 'REA%E?AL%ER ?BA'S-P?DELE%E?DRDP?&93ER%?LD'S?-PDA%E?3ELE'% A9R %ABLE, y muc*os ms!

Auditoria de ob;etos de un 3c*ema!

= 3e aplica sobre un particular ob;eto de un esquema, por e;emplo Audit 3elect on 3cott!emp! = 3e parece a la auditoria por sentencia 3ML, pero en este caso, se especi$ica un esquema y un ob;eto, es decir, una tabla, una ista y una $uncin, etc! = 9,mero de registros auditados puede ser muy numeroso! 'on iene limitar por usuario o por ob;eto! = 3e puede limitar por sesin (Tby 3essionU), o generar un registro cada ez que se produzca un *ec*o a auditar (Tby AccessU)!

Co#tro$ar $os i#te#tos de co#e&i# 'a$$idos

Co#tro$ar $os i#te#tos de co#e&i# 'a$$idos

'omo implementar una Auditoria de BD

6 De$inir el A$ca#ce de $a auditoria%
= Esta auditoria comprende solamente al rea de cetro de computo de la municipalidad de mariscal nieto, con respecto al cumplimiento del proceso 2De 4estin administracin de la Base de Datos 2 de la de manera que abarca la e#plotacin, mantenimiento, dise.o carga, post implementacin!

'omo implementar una Auditoria de BD

6De$inir e$ Ob(eti)o

T0eri$icar la responsabilidad de la administracin del entorno de la base de datosU (administrador de la base de datos)

'omo implementar una Auditoria de BD

c*ec+$ist
W! I! F! Y! O! [! A! Los datos son cargados correctamente en la inter$az gra$ica E#iste personal restringido que tenga acceso a la BD XE#isten procedimientos $ormales para la operacin del 34BDZ X3e eri$ican con $recuencia la alidez de los in entarios de los arc*i os magn+ticosZ X3e tiene un responsable del 34BDZ X3e *a in estigado si ese tiempo de respuesta satis$ace a los usuariosZ

INFOR E DE AUDITORIA
Identificacin del informe Auditoria de Base de Datos. 2. Identificacin del Cliente El rea de Informtica 3. Identificacin de la Entidad Auditada Municipalidad Provincial de Moquegua. 4. Hallazgos La gerencia de Base de datos no tiene un plan que permite modificar en forma oportuna el plan a largo plazo de tecnolog a! teniendo en cuenta los posi"les cam"ios tecnol#gicos $ el incremento de la "ase de datos. %%.

INFOR E DE AUDITORIA
,- Co#c$usio#es% El Departamento de centro de cmputo presenta de$iciencias sobre todo en el debido cumplimiento de 9ormas de seguridad de datos y administracin de la Base de Datos!
Q!!

.- Recome#dacio#es 'apacitar al personal al mane;o de la BD!