Auditora de Redes La infraestructura de las Tecnologas de la Informacin y de las Comunicaciones (TIC) se ha convertido en un activo empresarial estratgico y la red constituye

su ncleo. La Auditora de Redes es una serie de mecanismos mediante los cuales se pone a prueba una red informtica, evaluando su desempeo y seguridad, a fin de lograr una utilizacin ms eficiente y segura de la informacin. Consiste en identificar:

Estructura Fsica (Hardware, Topologa) Estructura Lgica (Software, Aplicaciones) La identificacin se lleva a cabo en los equipos, la red, la Intranet y Extranet. Las etapas de la Auditoria de Redes son:

Anlisis de la Vulnerabilidad Estrategia de Saneamiento Plan de Contencin ante posibles incidentes

Seguimiento Continuo del desempeo del Sistema (Lizrraga Snchez & Martnez Lpez) 1.Terminologa Bsica A continuacin se presenta la definicin de los trminos ms usados en una red de comunicaciones. ROUTER. Lee las direcciones que se escriben y las identifica, este a su vez pone los paquetes en otra red si es necesario. El Router es el que se encarga de organizar y contralar el trfico. DNS. Esto lo que hace es que identifica y bus ca los nombres de los Domain dominios. Se utiliza para buscar principalmente las direcciones IP.

PROXY. Es usado como intermediario; en muchas empresas lo utilizan como manera de seguridad. Este tambin tiene la funcin de establecer y compartir con todo los usuarios una nica conexin de internet. El proxy abre la direccin web o URL, este aprueba o desaprueba los paquetes para luego enviarlos a internet. FIREWALL. Tiene dos propsitos fundamentales: Prevenir intromisiones indeseables provenientes del internet y evitar que la informacin de importancia que existe en nuestra computadora sea enviada al internet.

HUB. Se utiliza para conectar distintos tipos de cable o redes de rea local. Para los que no lo saben, el trmino hub en espaol significa Concentrador. Es el ncleo o centro de conexin de una red. IP. Es un tipo de protocolo que empaqueta y etiqueta los paquetes cargados con datos y los pone en camino. ROUTER SWITCH. Es tal vez mucho ms eficiente que el router y ms rpido. Este suelta los paquetes enlutndoles por su camino. Como si fuera una maquina de feedback digital.

TCP: Es un estndar de comunicacin muy extendido y de uso muy frecuente para software de redes. El TCP es un tipo de protocolo de Internet. Puertos de Comunicacin: Son herramientas que permiten manejar e intercambiar datos entre un computadora. Estos estn en el motherboard o placa madre en espaol.

Protocolos:

Son las distintas maneras que existen de comunicaciones; Existen distintos tipos de protocolos cada uno diseado para una funcin y actividad especfica. 2.Modelos de Redes 2.1.Modelo d Referencia OSI Siguiendo el esquema de este modelo se crearon numerosos protocolos, por ejemplo X.25, que durante muchos aos ocuparon el centro de la escena de las comunicaciones informticas. El advenimiento de protocolos ms flexibles donde las capas no estn tan demarcadas y la correspondencia con los niveles no era tan clara puso a este esquema en un segundo plano. Sin embargo es muy usado en la enseanza como una manera de mostrar cmo puede estructurarse una "pila" de protocolos de comunicaciones. El modelo en s mismo no puede ser considerado una arquitectura, ya que no especifica el protocolo que debe ser usado en cada capa, sino que suele hablarse de modelo de referencia. Este modelo est dividido en siete capas:

La potencia del Modelo OSI proviene de que cada capa no tiene que preocuparse de qu es lo que hagan las capas superiores ni las inferiores: cada capa se comunica con su igual en el interlocutor, con un protocolo de comunicaciones especfico.

Para establecer una comunicacin, la informacin atraviesa descendentemente la pila formada por las siete capas, atraviesa el medio fsico y asciende a travs de las siete capas en la pila de destino. Por tanto, cada capa tiene unos mtodos prefijados para comunicarse con las inmediatamente inferior y superior.

La red LAN Ms extendida, ETHERNET, est basada en que cada emisor enva, cuando desea, una trama al medio fsico, sabiendo que todos los destinatarios estn permanentemente en escucha. Justo antes de enviar, el emisor se pone a la escucha, y si no hay trfico, procede directamente al envo. S al escuchar detecta que otro emisor est enviando, espera un tiempo aleatorio antes de volverse a poner a la escucha.

La LAN Token Ring, desarrollada por IBM, est normalizada como IEEE 802.5, tiene velocidades de 4 y 16 Mbps y una mejor utilizacin del canal cuando se incremente el trfico.

Para redes WAN, est muy extendido el X.25, se basa en fragmentar la informacin en paquetes, habitualmente de 128 caracteres. Estos paquetes se entregan a un transportista habitualmente pblico que se encarga de ir envindolos saltando entre diversos nodos intermedios hacia el destino 2.2 Niveles Funcionales 2.2.1.NIVEL 1: Capa Fsica La Capa Fsica del modelo de referencia OSI es la que se encarga de las conexiones fsicas de la computadora hacia la red, tanto en lo que se refiere al medio fsico ( medios guiados: cable coaxial, cable de par trenzado, fibra ptica y otros tipos de cables; medios no guiados: radio, infrarrojos, microondas, lser y otras redes inalmbricas); caractersticas del medio (tipo de cable o calidad del mismo; tipo de conectores normalizados o en su caso tipo de antena; etc.) y la forma en la que se transmite la

informacin (codificacin de seal, niveles de tensin/intensidad de corriente elctrica, modulacin, tasa binaria, etc.) Es la encargada de transmitir los bits de informacin a travs del medio utilizado para la transmisin. Se ocupa de las propiedades fsicas y caractersticas elctricas de los diversos componentes; de la velocidad de transmisin, si sta es uni o bidireccional (smplex, dplex o full-dplex). Tambin de aspectos mecnicos de las conexiones y terminales, incluyendo la interpretacin de las seales elctricas/electromagnticas. Se encarga de transformar una trama de datos proveniente del nivel de enlace en una seal adecuada al medio fsico utilizado en la transmisin. Estos impulsos pueden ser elctricos (transmisin por cable) o electromagnticos (transmisin sin cables). Estos ltimos, dependiendo de la frecuencia / longitud de onda de la seal pueden ser pticos, de micro-ondas o de radio. Cuando acta en modo recepcin el trabajo es inverso; se encarga de transformar la seal transmitida en tramas de datos binarios que sern entregados al nivel de enlace. Sus principales funciones se pueden resumir como:

Definir el medio o medios fsicos por los que va a viajar la comunicacin: cable de pares trenzados (o no, como en RS232/EIA232), coaxial, guas de onda, aire, fibra ptica.

Definir las caractersticas materiales (componentes y conectores mecnicos) y elctricas (niveles de tensin) que se van a usar en la transmisin de los datos por los medios fsicos.

Definir las caractersticas funcionales de la interfaz (establecimiento, mantenimiento y liberacin del enlace fsico).

Transmitir el flujo de bits a travs del medio.

Manejar las seales elctricas/electromagnticas

Especificar cables, conectores y componentes de interfaz con el medio de transmisin, polos en un enchufe, etc.

Garantizar la conexin (aunque no la fiabilidad de sta).

2.2.2.

NIVEL 2: Capa de Enlace de Datos Cualquier medio de transmisin debe ser capaz de proporcionar una transmisin sin errores, es decir, un trnsito de datos fiable a travs de un enlace fsico. Debe crear y reconocer los lmites de las tramas, as como resolver los problemas derivados del deterioro, prdida o duplicidad de las tramas. Tambin puede incluir algn mecanismo de regulacin del trfico que evite la saturacin de un receptor que sea ms lento que el emisor. La capa de enlace de datos se ocupa del direccionamiento fsico, de la topologa de la red, del acceso a la red, de la notificacin de errores, de la distribucin ordenada de tramas y del control del flujo. Se hace un direccionamiento de los datos en la red ya sea en la distribucin adecuada desde un emisor a un receptor, la notificacin de errores, de la topologa de la red de cualquier tipo. La tarjeta NIC (Network Interface Card, Tarjeta de Interfaz de Red en espaol o Tarjeta de Red) que se encarga de que tengamos conexin, posee una direccin MAC (control de acceso al medio) y la LLC (control de enlace lgico). Los switches realizan su funcin en esta capa.

Controla la transferencia de datos entre sistemas abiertos adyacentes.

Detecta y corrige los errores de bits que se producen en la ruta de transmisin. Garantiza la transferencia segura de las tramas al Sistema de Destino.

2.2.3.

NIVEL 3: Capa de Red El cometido de la capa de red es hacer que los datos lleguen desde el origen al destino, aun cuando ambos no estn conectados directamente. Los dispositivos que facilitan tal tarea se denominan en castellano encaminadores, aunque es ms frecuente encontrar el nombre ingls routers

y, en ocasiones enrutadores. Adicionalmente la capa de red lleva un control de la congestin de red, que es el fenmeno que se produce cuando una saturacin de un nodo tira abajo toda la red (similar a un atasco en un cruce importante en una ciudad grande). La PDU de la capa 3 es el paquete. Los routers trabajan en esta capa, aunque pueden actuar como switch de nivel 2 en determinados casos, dependiendo de la funcin que se le asigne. Los firewalls actan sobre esta capa principalmente, para descartar direcciones de mquinas. En este nivel se realiza el direccionamiento lgico y la determinacin la ruta de los datos hasta su receptor final.

Proporciona los medios para establecer, mantener y liberar las comunicaciones entre sistemas finales.

Controla la funcin de retransmisin y encaminamiento para establecer la ruta de comunicacin con el sistema de Destino con las caractersticas ptimas requeridas por la capa de Destino.

2.2.4.

NIVEL 4: Capa de Trasporte Su funcin bsica es aceptar los datos enviados por las capas superiores, dividirlos en pequeas partes si es necesario, y pasarlos a la capa de red. En el caso del modelo OSI, tambin se asegura que lleguen correctamente al otro lado de la comunicacin. Otra caracterstica a destacar es que debe aislar a las capas superiores de las distintas posibles implementaciones de tecnologas de red en las capas inferiores, lo que la convierte en el corazn de la comunicacin. En esta capa se proveen servicios de conexin para la capa de sesin que sern utilizados finalmente por los usuarios de la red al enviar y recibir paquetes. Estos servicios estarn asociados al tipo de comunicacin empleada, la cual puede ser diferente segn el requerimiento que se le haga a la capa de transporte. Por ejemplo, la comunicacin puede ser manejada para que los paquetes sean entregados en el orden exacto en que se enviaron, asegurando una comunicacin punto a punto libre de errores, o sin tener en cuenta el orden de envo. Una de las dos modalidades debe establecerse antes de comenzar la comunicacin para que una sesin determinada enve paquetes, y se ser el tipo de servicio brindado por la capa de transporte hasta que la sesin finalice. De la explicacin del funcionamiento de esta capa se desprende que no est tan encadenada a capas inferiores como en el caso de las capas 1 a 3, sino que el servicio a prestar se determina cada vez que una sesin desea establecer una comunicacin. Todo el servicio que presta la capa est gestionado por las cabeceras que agrega al paquete a transmitir. En resumen, podemos definir a la capa de transporte como: Capa encargada de efectuar el transporte de los datos (que se encuentran dentro del paquete) de la mquina origen a la de destino, independizndolo del tipo de red fsica que se est utilizando. La PDU de la capa 4 se llama Segmentos. Sus protocolos son TCP y UDP el primero orientado a conexion y el otro sin conexin.

Controla la transferencia de Datos entre Sistemas abiertos terminales.

Mejora la contabilidad de transferencia de Datos mediante el procedimiento de deteccin y correccin de errores de extremo a extremo

2.2.5.

NIVEL 5: Capa de Sesin Esta capa establece, gestiona y finaliza las conexiones entre usuarios (procesos o aplicaciones) finales. Ofrece varios servicios que son cruciales para la comunicacin, como son:

Control de la sesin a establecer entre el emisor y el receptor (quin transmite, quin escucha y seguimiento de sta).

Control de la concurrencia (que dos comunicaciones a la misma operacin crtica no se efecten al mismo tiempo).

Mantener puntos de verificacin (checkpoints), que sirven para que, ante una interrupcin de transmisin por cualquier causa, la misma se pueda reanudar desde el ltimo punto de verificacin en lugar de repetirla desde el principio. Por lo tanto, el servicio provisto por esta capa es la capacidad de asegurar que, dada una sesin establecida entre dos mquinas, la misma se pueda efectuar para las operaciones definidas de principio a fin, reanudndolas en caso de interrupcin. En muchos casos, los servicios de la capa de sesin son parcial o totalmente prescindibles. En conclusin esta capa es la que se encarga de mantener el enlace entre los dos computadores que estn transmitiendo datos de cualquier ndole.

Proporciona los medios necesarios para que las entidades de presentacin, organicen y sincronicen el dilogo y procedan a su intercambio de datos.

2.2.6.

NIVEL 6: Capa de Presentacin El objetivo de la capa de presentacin es encargarse de la representacin de la informacin, de manera que aunque distintos equipos puedan tener diferentes representaciones internas de caracteres (ASCII, Unicode, EBCDIC), nmeros (little-endian tipo Intel, big-endian tipo Motorola), sonido o imgenes, los datos lleguen de manera reconocible. Esta capa es la primera en trabajar ms el contenido de la comunicacin que el cmo se establece la misma. En ella se tratan aspectos tales como la semntica y la sintaxis de los datos transmitidos, ya que distintas computadoras pueden tener diferentes formas de manejarlas. Esta capa tambin permite cifrar los datos y comprimirlos. En pocas palabras es un traductor. Por todo ello, podemos resumir la definicin de esta capa

como aquella encargada de manejar la estructura de datos abstracta y realizar las conversiones de representacin de los datos necesarias para la correcta interpretacin de los mismos.

Permite la representacin de la informacin.

Se ocupa de la sintaxis (Representacin de los Datos).

2.2.7.

NIVEL 7: Capa de Aplicaciones Ofrece a las aplicaciones (de usuario o no) la posibilidad de acceder a los servicios de las dems capas y define los protocolos que utilizan las aplicaciones para intercambiar datos, como correo electrnico (POP y SMTP), gestores de bases de datos y servidor de ficheros (FTP). Hay tantos protocolos como aplicaciones distintas y puesto que continuamente se desarrollan nuevas aplicaciones el nmero de protocolos crece sin parar. Cabe aclarar que el usuario normalmente no interacta directamente con el nivel de aplicacin. Suele interactuar con programas que a su vez interactan con el nivel de aplicacin pero ocultando la complejidad subyacente. As por ejemplo un usuario no manda una peticin "GET index.html HTTP/1.0" para conseguir una pgina en html, ni lee directamente el cdigo html/xml.

2.3. Aplicacin del Modelo OSI

3.

Vulnerabilidades y Ataques Informticos No es posible una aplicacin racional de medidas de seguridad sin antes analizar los riesgos para, as implantar las medidas proporcionadas a estos riesgos, al estado de la tecnologa y a los costos (tanto de la ausencia de seguridad como de las medidas a tomar). El anlisis de vulnerabilidad representa un diagnostico de las debilidades que puedan tener o tienen las organizaciones en sus sistemas de informacin y en sus equipos. Como es de suponerse no es lo mismo acceder a la Red durante unos minutos para recoger el correo, que permanecer conectados las 24 horas del da. (Cotarelo) En el mercado existen diferentes herramientas para analizar vulnerabilidades de una red. Estas herramientas son muy tiles, para los administradores de red preocupados por la seguridad e integridad de su red y la informacin que en ella manejan. Sin embargo, estas herramientas se convierten en armas de doble filo, pues pueden ser usadas con el objetivo de mejorar la seguridad de la red o pueden ser usadas por hackers con el objetivo de detectar vulnerabilidades y realizar ataques. Cada da aumentan los ataques contra redes y contra computadores conectados a la red. La omnipresencia de Internet los est [virus] volviendo pan de cada da y estn aumentando su poder . El nivel de sofisticacin de estos ataques es cada vez mayor, lo cual exige el desarrollo y actualizacin de herramientas pertinentes. Se puede por tanto evidenciar, la gran importancia de desarrollar mecanismos de autoproteccin contra estos ataques, los cuales deben pasar por una fase de identificacin de los potenciales riesgos a los que se est expuesto, luego a una fase de anlisis de las debilidades para posteriormente definir acciones de mejora y defensa as como planes de mitigacin ante sucesos indeseables. En las etapas de identificacin y anlisis, los Analizadores de Vulnerabilidades como los que se desarrollan en el presente documento juegan un papel fundamental para una clara y eficaz deteccin de falencias en seguridad. (Acosta, Buitrago, Newball, Ramrez, & Sanchz) 3.1.

Anlisis de Vulnerabilidades A travs de un anlisis de vulnerabilidades, un analista en seguridad puede examinar la robustez y seguridad de cada uno de los sistemas y dispositivos ante ataques y obtener la informacin necesaria para analizar cules son las contramedidas que se pueden aplicar con el fin de minimizar el impacto de un ataque. El anlisis de vulnerabilidades debe realizarse:

Cuando ocurran cambios en el diseo de la red o los sistemas.

Cuando se realicen actualizaciones de los dispositivos.

Peridicamente. MTODOS CAJA NEGRA. Al analista se le proporciona slo la informacin de acceso a la red o al sistema (podra ser slo una direccin IP). A partir de esta informacin, el analista debe obtener toda la informacin posible CAJA BLANCA. El analista de seguridad tiene una visin total de la red a analizar, as como acceso a todos los equipos como super usuario. Este tipo de anlisis tiene la ventaja de ser ms completo y exhaustivo. TEST DE PENETRACIN. Durante el test de penetracin el analista de seguridad simula ser un atacante. Desde esta posicin, se realizan varios intentos de ataques a la red, buscando debilidades y vulnerabilidades:

Estudio de la red externa.

Anlisis de servicios disponibles.

Estudio de debilidades.

Anlisis de vulnerabilidades en dispositivos de red.

Anlisis de vulnerabilidades de implementaciones y configuraciones.

Denegacin de servicio. El resultado del test de penetracin mostrar una idea general del estado de la seguridad de los sistemas frente a los ataques. Si se encontraran una o ms vulnerabilidades, no se realiza su explotacin. Como conclusin de este paso, se debe obtener un informe que indique:

Pruebas de seguridad realizadas en el test.

Lista de vulnerabilidades y debilidades encontradas.

Referencia tcnica a estas vulnerabilidades y sus contramedidas.

Recomendaciones. Las vulnerabilidades provienen de diferentes mbitos y las podemos clasificar en:

Vulnerabilidades de implementacin.

Vulnerabilidades de configuracin.

Vulnerabilidades de dispositivo.

Vulnerabilidades de protocolo.

Vulnerabilidades de aplicacin Existen diversas herramientas que se pueden utilizar para realizar un anlisis de vulnerabilidades:

Escaneo de puertos.

Deteccin de vulnerabilidades.

Analizador de protocolos.

Passwords crackers.

Ingeniera social.

Trashing Existen sitios donde encontrar informacin muy diversa, desde publicaciones y bibliografa especfica en seguridad, hasta repositorios de vulnerabilidades con sus exploits:

CERT Computer Emergency Response Team

SANS SysAdmin, Audit, Network, Security

NSA

 National Security Agency

NIST National Institute of Standards and Technology Los pasos a seguir para llevar a cabo un anlisis de vulnerabilidades comprenden: 3.1.1.

Acuerdo de Confidencialidad entre las Partes Es importante realizar un acuerdo de confidencialidad entre todas las partes involucradas en el anlisis. A lo largo del desarrollo del anlisis se puede obtener informacin crtica para la organizacin analizada. Desde el punto de vista de la organizacin, debe existir confianza absoluta con la parte analizadora. Desde el punto de vista del analizador, el acuerdo de confidencialidad le ofrece un marco legal sobre el cual trabajar. Es un respaldo formal a su labor. 3.1.2.

Establecer las Reglas del Juego Antes de comenzar con el anlisis de vulnerabilidades es necesario definir cules van a ser las tareas a realizar, y cules sern los lmites, permisos y obligaciones que se debern respetar. Durante el anlisis, deben estar informadas la menor cantidad de personas, de manera que la utilizacin de la red por parte del personal sea normal, se deben evitar cambios en la forma de trabajo. 3.1.3.

Reunin de Informacin Un anlisis de vulnerabilidades comienza con la obtencin de informacin del objetivo. Si se ha seleccionado realizar un test por caja negra, el proceso de

anlisis ser muy similar al proceso seguido por un atacante. Si utiliza un mtodo de caja blanca, ste es el momento para recopilar la informacin de acceso a servicios, hosts y dispositivos, informacin de direccionamiento, y todo lo que considere necesario. 3.1.4.

Test Interior El Test Interior trata de demostrar hasta donde se puede llegar con los privilegios de un usuario tpico dentro de la organizacin. Para realizarlo se requiere que la organizacin provea una computadora tpica, un nombre de usuario y una clave de acceso de un usuario comn. Se compone de numerosas pruebas, entre las que podemos citar:

Revisin de Privacidad

Testeo de Aplicaciones de Internet

Testeo de Sistema de Deteccin de Intrusos

Testeo de Medidas de Contingencia

Descifrado de Contraseas

Testeo de Denegacin de Servicios

Evaluacin de Polticas de Seguridad 3.1.5.

Test Exterior El principal objetivo del Test Exterior es acceder en forma remota a los servidores de la organizacin y obtener privilegios o permisos que no deberan estar disponibles. El Test Exterior puede comenzar con tcnicas de Ingeniera Social, para obtener informacin que luego se utilizar en el intento de acceso. Los pasos del estudio previo de la organizacin deben incluir:

Revisin de la Inteligencia Competitiva. Informacin recolectada a partir de la presencia en Internet de la organizacin.

Revisin de Privacidad. Es el punto de vista legal y tico del almacenamiento, transmisin y control de los datos basados en la privacidad del cliente.

Testeo de Solicitud. Es un mtodo de obtener privilegios de acceso a una organizacin y sus activos preguntando al personal de entrada, usando las comunicaciones como un telfono, e-mail, chat, boletines, etc. desde una posicin privilegiada fraudulenta.

Testeo de Sugerencia Dirigida. En este mtodo se intenta lograr que un integrante de la organizacin ingrese a un sitio o reciba correo electrnico, en este sitio o correo se podran agregar herramientas que luego sern utilizadas en el intento de acceso. Una vez que se recopil esta informacin, se procede a realizar las siguientes pruebas:

Sondeo de Red

Identificacin de los Servicios de Sistemas

Bsqueda y Verificacin de Vulnerabilidades

Testeo de Aplicaciones de Internet

Enrutamiento

Testeo de Relaciones de Confianza

Verificacin de Radiacin Electromagntica (EMR)

Verificacin de Redes Inalmbricas [802.11] 3.1.6.

Documentacin e Informe Como finalizacin del anlisis de vulnerabilidades se debe presentar un informe donde se detalle cada uno de los tests realizados y los resultados. En este informe se debe especificar:

Lista de vulnerabilidades probadas

Lista de vulnerabilidades detectadas

Lista de servicios y dispositivos vulnerables

El nivel de riesgo que involucra cada vulnerabilidad encontrada en cada servicio y dispositivo Como anexo se deben incluir los resultados de los programas utilizados. (Ramrez) 3.2.

Analizadores de Vulnerabilidades Las vulnerabilidades de un sistema surgen a partir de errores individuales en un componente, sin embargo nuevas y complejas vulnerabilidades surgen de la interaccin entre varios componentes como el kernel del sistema, sistemas de

archivos, servidores de procesos, entre otros. Estas vulnerabilidades generan problemas de seguridad para la red en cuestin. Entre las vulnerabilidades ms conocidas se encuentran el finger username y la notificacin de mensajes de correo a travs de comsat. Para el primero d e estos la vulnerabilidad es originada en la interaccin entre el servidor fingerprint y la forma en que el sistema de archivos representa los links para acceder al directorio raz de username. En el segundo caso el programa comsat supone que etc/utmp es correcto, el sistema de archivos configura este archivo para otorgar permisos y el programa de correo asume que todo est correcto. Sin embargo, existen fuertes crticas sobre los analizadores de vulnerabilidades ya que funcionan bajo un esquema de reglas, que son slo generadas por expertos en el tema y que se configuran para vulnerabilidades. La posibilidad de acceder a estas reglas y conocerlas, permite que personas malintencionadas realicen ataques contra redes no protegidas para estas vulnerabilidades. Adicionalmente, la identificacin y definicin de reglas se deja en manos de expertos que puedan comprender las interacciones de las cuales surgen las vulnerabilidades. Por otra parte, aunque existen diversas formas de realizar auditoras de seguridad apoyadas en las herramientas descritas anteriormente, en todos los casos se utilizan herramientas para la deteccin de las vulnerabilidades. Estas herramientas que detectan fallas de seguridad pueden ser utilizadas de dos formas diferentes: interna o externamente a la maquina que se analiza. Cuando se aplican internamente, se realiza la auditora desde el interior de la mquina (generalmente utilizando el superusuario), lo que otorga numerosas ventajas para la deteccin de vulnerabilidades ya que se tiene acceso a los ficheros crticos del sistema. En el caso de las auditoras externas, la deteccin de vulnerabilidades se realiza desde una mquina diferente a la que est siendo analizada. En este tipo de auditoras se realizan ataques para verificar la existencia de vulnerabilidades. De la variedad y cantidad de ataques que alguna de estas herramientas sea capaz de realizar, depender, en gran parte, el xito en la deteccin de vulnerabilidades. Aunque este factor es, probablemente, el ms importante, conviene considerar otros aspectos como por ejemplo la forma de realizar los ataques. Cabe anotar que las herramientas descritas en este informe realizan un anlisis de debilidades externas del sistema. Es decir, las herramientas que se instalan en una mquina para realizar ataques sobre otra diferente, y de este modo detectar sus vulnerabilidades; presentando, tal vez, el punto de vista ms realista para analizar vulnerabilidades, ya que asumen el papel de hacker externo que pretende comprometer una mquina a travs de la red. (Acosta, Buitrago, Newball, Ramrez, & Sanchz) 3.3.

En Busca de los Agujeros de la Red Las herramientas de anlisis de vulnerabilidades permiten identificar muchos de los principales agujeros de seguridad que ponen en riesgo los sistemas de una red, y generalmente con tan slo unos cuantos movimientos de ratn. Identificar las debilidades y saber cmo corregirlas es un paso fundamental para estar seguro. Sin embargo, pese a estar presentes en el mercado desde hace casi una dcada, estas herramientas todava se encuentran muy lejos de la madurez. Muchos de estos productos an reportan falsos positivos y, cuando aciertan, no siempre informan con la precisin necesaria. Con todo, su demanda sigue creciendo: segn IDC, las ventas de este tipo de herramientas pasarn de los 359 millones de dlares previstos para este ao a 657 millones en 2004. 3.3.1.

Del Host a la Red En general, las herramientas de anlisis de vulnerabilidades obedecen a dos tipos diferentes: las basadas en host y las basadas en la red. stas ltimas se centran en la identificacin de cuestiones relacionadas con los servicios que, como HTTP, FTP y Simple Mail Transfer Protocol, corren en los sistemas de la red. No ofrecen una informacin tan detallada ni el mismo grado de control sobre los sistemas que las herramientas basadas en host, pero a cambio aportan datos ms precisos sobre la red y los servicios. Es ms, no obligan a desplegar agentes en todas las mquinas como los basados en host; simplemente hay que definir la red a escanear, y listo. Los principales productos de este segmento son Secure Scanner de Cisco, Internet Scanner de ISS y Distributed Cybercop Scanner de Network Associates. Y no hay que olvidar el escner Retina de eEye Digital Security, que est ganando terreno rpidamente gracias a sus buenas prestaciones. De hecho, fue el que ms puntuacin obtuvo en la comparativa realizada por IDG. Los escneres basados en host identifican vulnerabilidades a nivel de sistema, como permisos de archivos, propiedades de cuenta de usuario y establecimiento de registros, y usualmente requieren la instalacin de un agente en los sistemas a analizar. Estos agentes reportan a una base de datos centralizada, desde la que se pueden generar informes y realizar tareas de administracin. Como los agentes se instalan en todos y cada uno de los sistemas, este tipo de herramientas aportan a los administradores un mayor control sobre dichos sistemas que las

basadas en red. Adems, se pueden combinar con polticas corporativas. Los principales productos dentro de esta categora son Enterprise Security Manager de Symantec, bv-Control de BindView y System Scanner de ISS. A pesar de estas diferencias, lo cierto es que poco a poco se estn diluyendo las barreras que separan a ambos tipos de productos. As, muchos escneres de anlisis de red incluyen ahora funcionalidades tpicas de las soluciones basadas en host, como las caractersticas de auto reparacin. Tambin son muchos hoy en da los que aaden anlisis de los permisos de registros y las propiedades de las cuentas. Una nueva aportacin a este mercado son los servicios de anlisis online, que a un coste atractivo y de un modo automatizado y online evalan las vulnerabilidades potenciales de los dispositivos perimetrales del cliente; algunos incluso escanean sistemas internos. 3.3.2.

Mejores Prestaciones Como sucede en cualquier segmento, el mercado de anlisis de vulnerabilidades se est viendo incrementado con nuevas soluciones y, lo que es mejor, nuevas prestaciones. Los usuarios demandan hoy, entre otras mejoras, mayor sencillez de uso e informes ms tiles. En consecuencia, los fabricantes se estn viendo obligados a crear interfaces de usuario ms intuitivas y a agilizar y simplificar las actualizaciones de vulnerabilidades. En este ltimo apartado, por ejemplo, muchos suministradores estn siguiendo el mismo enfoque basado en la Web que las firmas de antivirus. Symantec, por ejemplo, utiliza su infraestructura de distribucin antivirus Live Update para distribuir tambin sus actualizaciones de anlisis. En cuanto a informes, los usuarios quieren disponer, adems de sumarios ejecutivos e informes estndar, de informes comparativos que cubran un periodo de tiempo dado. Las herramientas de anlisis de Harris ya incluyen esta funcionalidad y el escner Retina de eEye lo har en su versin 5.0, que ser lanzada dentro de unos pocos meses. Los usuarios, asimismo, han estado demandando la capacidad de exportar los informes a documentos Word, PDF y archivos HTML, y ya son muchos los productos que lo hacen posible. Un campo donde tambin se est avanzando significativamente es el del rendimiento, pues todava hay soluciones muy lentas; incluso algunas requieren sistemas muy pesados (servidores Pentium III-800 con 512 MB de RAM) cuando han de trabajar con redes IP de Clase C. Esto dificulta la evaluacin de una red corporativa en su totalidad sobre un solo sistema. 3.3.3.

Mayor Automatizacin Hay una tendencia creciente hacia el uso de fixes (arreglos, reparaciones) automatizados para identificar vulnerabilidades, muy tiles en sistemas de produccin. Por ejemplo, si un escner identifica una clave de registro con permisos incorrectos, el problema quedar resuelto inmediatamente con un solo clic de ratn. Antes, el administrador tena que acceder al sistema, abrir el editor del registro, encontrar la clave del registro y cambiar los permisos. Aqu, las herramientas basadas en hosts, como tienen la ventaja de contar con un agente residente fsicamente en el sistema, acceden a muchos ms recursos de sistema susceptibles de representar un agujero de seguridad. Los fabricantes, no obstante, estn desarrollando formas de solucionar estos puntos dbiles de los escneres de red. Update de PatchLink es el ms avanzado en esta rea, proporcionando una complet a administracin y gestin de parches (patch). Los parches se descargan de sus servidores en la red del cliente, que puede desplegarlos cuando quiera. El proceso ocurre de una forma transparente para el usuario. Lo mejor que est ocurriendo en este segmento de la seguridad es la creciente atencin de los fabricantes por las soluciones a escala corporativa. La combinacin de anlisis y la automatizacin de los arreglos y los parches es definitivamente la gran tendencia a observar en este mercado. La combinacin de estas dos actividades ahorrar a los administradores de sistemas tiempo y recursos. 3.3.4.

Servicios Online Como la mayora de los mercados de hoy en da, el de anlisis de vulnerabilidades tiene un nuevo componente basado en los servicios. Gracias a estos servicios, las empresas pueden escanear remotamente su permetro de red o zona desmilitarizada para identificar vulnerabilidades y debilidades de seguridad. Con este enfoque, las redes pueden ser analizadas fcilmente desde la perspectiva del atacante externo a un coste mucho menor que contratando a una firma consultora. Algunos servicios incluso proporcionan los medios para escanear sistemas internos, algo que antes se dejaba exclusivamente en manos de productos especficos, como los probados en esta revisin. Los fabricantes lderes de este mercado son McAfee, Qualys, Vigilante y Foundstone. Con estos servicios los escaneados pueden ser programados, por el usuario final o por el proveedor del servicio, de forma que se realicen

automticamente. Los resultados se envan por correo electrnico al usuario para ello designado, o se almacena en un servidor seguro para su posterior revisin. Muchos informes incluyen anlisis diferenciales para ver la evolucin en el tiempo del estado de la seguridad corporativa. Otros proveedores se centran exclusivamente en la provisin de servicios de escaneado de vulnerabilidades, que venden a terceros, firmas consultoras generalmente, que los incluyen en sus ofertas dirigidas al usuario final. Diferentes enfoques. Una ventaja fundamental de los servicios online es que permiten desentenderse de las actualizaciones. El proveedor se ocupa de todo: desarrolla firmas y actualizaciones para nuevas vulnerabilidades y las incluye automticamente en el siguiente escaneado a realizar. Como estos servicios contienen datos sobre la red que cualquier hacker deseara saber, los informes son almacenados en bases de datos encriptados nicamente accesibles con las credenciales de usuario apropiadas. Aunque los datos deben ser salvados para generar informes comparativos, algunos servicios los guardan slo por un tiempo limitado. SecureScan, por ejemplo, crea informes en PDF que slo se almacena durante 14 das. Como los productos de anlisis de vulnerabilidades, estos servicios online toman diferentes caminos a la hora de realizar su tarea. Por ejemplo, los hay que siguen un enfoque analtico, asegurndose de que la vulnerabilidad detectada en un sistema realmente existe antes de alertar de ella. Esto reduce el nmero de falsos positivos, pero a cambio el nivel de detalle ofrecido es limitado. En cuanto a informes, la mayora de los servicios aportan una mayor informacin sobre configuracin de sistemas, como defectos de directorios Internet Information Server de Microsoft. Aunque no se trata especficamente de vulnerabilidades, pueden facilitar el trabajo a los hackers. Otros servicios online usan herramientas de fuente abierta, como Nmap y Nessus, combinadas con herramientas de desarrollo propio. Los servicios de anlisis de vulnerabilidades online son ideales si lo que se est buscando es realizar escaneados manos libres programados regularmente de los dispositivitos abiertos a Internet. Tambin cuando no se quiere estar pendiente de las actualizaciones, o se precisa la ayuda de un tercero que se encargue de evaluar y monitorizar la red constantemente. 3.4.

Evaluacin de la Vulnerabilidad Si est planeando lanzar su negocio en internet, tiene una aplicacin web que recopila informacin sobre sus clientes, es un proveedor de servicios de transaccin financiera o su infraestructura corporativa est conectada al

internet, la seguridad debe ser su primera preocupacin, aunque en los sistemas computacionales de hoy en da mantenerla se convierta en un terrible juego de azar. Se descubren cientos de nuevas vulnerabilidades al ao, cada mes se ponen en circulacin docenas de nuevos parches y miles de sistemas van por detrs del Security eight ball. La composicin toma importancia al abrir el permetro a consumidores y socios comerciales; la seguridad de nivel del sistema se vuelve incluso ms crtica, ya que obliga a aumentar los puntos de exposicin. No cometa errores, no tiene las de ganar -tendr que tapar cada agujero, pero quien ataca slo necesita encontrar uno para entrar en su entorno. Las pruebas de vulnerabilidad son una parte esencial de un programa de seguridad informtica eficaz. Las pruebas de vulnerabilidad pueden ofrecerle mucha informacin valiosa sobre su nivel de exposicin a las amenazas. La realizacin continua de evaluaciones de sus equipos informticos crticos y de alto riesgo le ayudar a fortalecer de manera anticipada su entorno frente a posibles amenazas. EVALUACIN DE LA VULNERABILIDAD DE LA RED La evaluacin de la vulnerabilidad de la red identifica las vulnerabilidades de red conocidas utilizando las tcnicas ms sofisticadas disponibles. A travs de la imitacin de un intruso malintencionado, se recopila informacin de redes y dispositivos, opera herramientas de escaneo automatizadas y utiliza en gran medida pruebas manuales para descubrir las vulnerabilidades de la red y verificarlas. Las pruebas de vulnerabilidad de redes externas investigan los puntos de presencia en Internet y dispositivos conectados relacionados para determinar vulnerabilidades de seguridad conocidas. Las evaluaciones internas utilizan una metodologa similar a las externas, sin embargo el contacto se realiza dentro de la WAN en cada zona de gestin lgica, segmento fsico o simplemente adjunto a la DMZ. 4.

Protocolos y Redes Abiertas En informtica, un protocolo es un conjunto de reglas usadas por computadoras para comunicarse unas con otras a travs de una red. Un protocolo es una convencin o estndar que controla o permite la conexin, comunicacin, y transferencia de datos entre dos puntos finales. En su forma ms simple, un protocolo puede ser definido como las reglas que dominan la sintaxis, semntica y sincronizacin de la comunicacin. Los protocolos pueden ser implementados por hardware,

software, o una combinacin de ambos. A su ms bajo nivel, un protocolo define el comportamiento de una conexin de hardware. Los protocolos son reglas de comunicacin que permiten el flujo de informacin entre equipos que manejan lenguajes distintos, por ejemplo, dos computadores conectados en la misma red pero con protocolos diferentes no podran comunicarse jams, para ello, es necesario que ambas "hablen" el mismo idioma, por tal sentido el protocolo TCP/IP, que fue creado para las comunicaciones en Internet, para que cualquier computador se conecte a Internet, es necesario que tenga instalado este protocolo de comunicacin.

Estrategias para asegurar la seguridad (autenticacin, cifrado).

Cmo se construye una red fsica.

Cmo los computadores se conectan a la red. 4.1.

Propiedades Tpicas Si bien los protocolos pueden variar mucho en propsito y sofisticacin, la mayora especifica una o ms de las siguientes propiedades:

Deteccin de la conexin fsica subyacente (con cable o inalmbrica), o la existencia de otro punto final o nodo.

Handshaking.

Negociacin de varias caractersticas de la conexin.

Cmo iniciar y finalizar un mensaje.

Procedimientos en el formateo de un mensaje.

Qu hacer con mensajes corruptos o formateados incorrectamente (correcin de errores).

Cmo detectar una prdida inesperada de la conexin, y qu hacer entonces.

Terminacin de la sesin y/o conexin. 4.2.

Protocolos Comunes IP. El Protocolo de Internet ( IP , de sus siglas en ingls Internet Protocol

) es un protocolo no orientado a conexin usado tanto por el origen como por el destino para la comunicacin de datos a travs de una red de paquetes conmutados. UDP. User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de datagramas. Permite el envo de datagramas a travs de la red sin que se haya establecido previamente una conexin, ya que el propio datagrama incorpora suficiente informacin de direccionamiento en su cabecera. Tampoco tiene confirmacin ni control de flujo, por lo que los paquetes pueden adelantarse unos a otros; y tampoco se sabe si ha llegado correctamente, ya que no hay confirmacin de entrega o recepcin. Su uso principal es para protocolos como DHCP, BOOTP, DNS y dems protocolos en los que el intercambio de paquetes de la conexin/desconexin son mayores, o no son rentables con respecto a la informacin transmitida, as como para la transmisin de audio y vdeo en tiempo real, donde no es posible realizar retransmisiones por los estrictos requisitos de retardo que se tiene en estos casos. TCP. ( Transmission-Control-Protocol , en espaol Protocolo de Control de Transmisin ) es uno de los protocolos fundamentales en Internet. Muchos programas dentro de una red de datos compuesta por computadoras pueden usar TCP para crear conexiones entre ellos a travs de las cuales puede enviarse un flujo de datos. El protocolo garantiza que los datos sern entregados en su destino sin errores y en el mismo orden en que se transmitieron. Tambin proporciona un mecanismo para distinguir distintas aplicaciones dentro de una misma mquina, a travs del concepto de puerto. DHCP. (Dynamic Host Configuration Protocol - Protocolo Configuracin Dinmica de Servidor) es un protocolo de red que permite a los nodos de una red IP obtener sus parmetros de configuracin automticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de

direcciones IP dinmicas y las va asignando a los clientes conforme stas van estando libres, sabiendo en todo momento quin ha estado en posesin de esa IP, cunto tiempo la ha tenido y a quin se la ha asignado despus HTTP. El protocolo de transferencia de hipertexto (HTTP, HyperText Transfer Protocol ) es el protocolo usado en cada transaccin de la Web (WWW). HTTP fue desarrollado por el consorcio W3C y la IETF, colaboracin que culmin en 1999 con la publicacin de una serie de RFC, siendo el ms importante de ellos el RFC 2616, que especifica la versin 1.1. HTTP define la sintaxis y la semntica que utilizan los elementos software de la arquitectura web (clientes, servidores, proxies) para comunicarse. Es un protocolo orientado a transacciones y sigue el esquema peticin-respuesta entre un cliente y un servidor. Al cliente que efecta la peticin (un navegador o un spider) se lo conoce como "user agent" (agente del usuario). A la informacin transmitida se la llama recurso y se la identifica mediante un URL. Los recursos pueden ser archivos, el resultado de la ejecucin de un programa, una consulta a una base de datos, la traduccin automtica de un documento, etc. FTP. (File Transfer Protocol - Protocolo de Transferencia de Archivos) en informtica, es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP, basado en la arquitectura cliente-servidor. Desde un equipo cliente se puede conectar a un servidor para descargar archivos desde l o para enviarle archivos, independientemente del sistema operativo utilizado en cada equipo. TELNET. Telnet (TELecommunication NETwork) es el nombre de un protocolo de red (y del programa informtico que implementa el cliente), que sirve para acceder mediante una red a otra mquina, para manejarla remotamente como si estuviramos sentados delante de ella. Para que la conexin funcione, como en todos los servicios de Internet, la mquina a la que se acceda debe tener un programa especial que reciba y gestione las conexiones. El puerto que se utiliza generalmente es el 23. SSH. SSH (Secure SHell, en espaol: intrprete de rdenes seguro) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a mquinas remotas a travs de una red. Permite manejar por completo la computadora mediante un intrprete de comandos, y tambin puede redirigir

el trfico de X para poder ejecutar programas grficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo. POP3. Se utiliza el Post Office Protocol (POP3) en clientes locales de correo para obtener los mensajes de correo electrnico almacenados en un servidor remoto. La mayora de los suscriptores de los proveedores de Internet acceden a sus correos a travs de POP3. SMTP. Simple Mail Transfer Protocol (SMTP) Protocolo Simple de Transferencia de Correo, es un protocolo de la capa de aplicacin. Protocolo de red basado en texto utilizado para el intercambio de mensajes de correo electrnico entre computadoras u otros dispositivos (PDA's, telfonos mviles, etc.). Est definido en el RFC 2821 y es un estndar oficial de Internet. IMAP. Internet Message Access Protocol, o su acrnimo IMAP, es un protocolo de red de acceso a mensajes electrnicos almacenados en un servidor. Mediante IMAP se puede tener acceso al correo electrnico desde cualquier equipo que tenga una conexin a Internet. IMAP tiene varias ventajas sobre POP, que es el otro protocolo empleado para obtener correo desde un servidor. Por ejemplo, es posible especificar en IMAP carpetas del lado servidor. Por otro lado, es ms complejo que POP ya que permite visualizar los mensajes de manera remota y no descargando los mensajes como lo hace POP. SOAP. ( Simple Object Access Protocol ) es un protocolo estndar que define cmo dos objetos en diferentes procesos pueden comunicarse por medio de intercambio de datos XML. Este protocolo deriva de un protocolo creado por David Winer en 1998, llamado XML-RPC. SOAP fue creado por Microsoft, IBM y otros y est actualmente bajo el auspicio de la W3C. Es uno de los protocolos utilizados en los servicios Web. PPP. Point-to-point Protocol, es decir, Protocolo punto a punto

, es un protocolo de nivel de enlace estandarizado en el documento RFC 1661. Por tanto, se trata de un protocolo asociado a la pila TCP/IP de uso en Internet. Ms conocido por su acrnimo: PPP. STP. Spanning Tree Protocol es un protocolo de red de nivel 2 de la capa OSI, (nivel de enlace de datos). Est basado en un algoritmo diseado por Radia Perlman mientras trabajaba para DEC. Hay 2 versiones del STP: la original (DEC STP) y la estandarizada por el IEEE (IEEE_802.1D), que no son compatibles entre s. En la actualidad, se recomienda utilizar la versin estandarizada por el IEEE. 5.

Auditando la Gerencia de Comunicaciones Cada vez ms las comunicaciones estn tomando un papel determinante en el tratamiento de dato s, cumplindose el lema el computador es la red siempre esta importancia queda adecuadamente reflejada dentro de la estructura organizativa de proceso de datos, especialmente en organizaciones de tipo tradicional, donde la adaptacin a los cambios no se produce inmediatamente. Mientras que comnmente el directivo informtico tiene amplios conocimientos de proceso de datos, no siempre sus habilidades y cualificaciones en temas de comunicaciones estn a la misma altura, por lo que el riesgo de deficiente anclaje de la gerencia de comunicaciones en el esquema organizativo existe. Por su parte, los informticos a cargo de las comunicaciones suelen auto considerarse exclusivamente tcnicos, obviando considerar las aplicaciones organizativas de su tarea. Todos estos factores convergen en que la auditoria de comunicaciones no siempre se practique con la frecuencia y profundidad equivalentes a las de otras reas del proceso de datos. Por tanto, el primer punto de una auditoria es determinar que la funcin de gestin de redes y comunicaciones est claramente definida, debiendo ser responsable, en general de las siguientes reas:

Gestin de la red, invento de equipamiento y normativa de conectividad.

Monitorizacin de las comunicaciones, registro y resolucin de problemas.

Revisin de costes y su asignacin de proveedores y servicios de transporte, balanceo de trfico entre rutas y seleccin de equipamiento.

Participacin activa en la estrategia de proceso de datos, fijacin de estndares a ser usados en el desarrollo de aplicaciones y evaluacin de necesidades en comunicaciones. Cumpliendo como objetivos de control:

Tener una gerencia de comunicaciones con plena autoridad de voto y accin.

Llevar un registro actualizado de mdems, controladores, terminales, lneas y todo equipo relacionado con las comunicaciones.

Mantener una vigilancia constante sobre cualquier accin en la red.

Registrar un coste de comunicaciones y reparto a encargados.

Mejorar el rendimiento y la resolucin de problemas presentados en la red. Para lo cual se debe comprobar:

El nivel de acceso a diferentes funciones dentro de la red.

Coordinacin de la organizacin de comunicacin de datos y voz.

Han de existir normas de comunicacin en: o

Tipos de equipamiento como adaptadores LAN. o

Autorizacin de nuevo equipamiento, tanto dentro, como fuera de las horas laborales. o

Uso de conexin digital con el exterior como Internet. o

Instalacin de equipos de escucha como Sniffers (exploradores fsicos) o Traceadores (exploradores lgicos).

La responsabilidad en los contratos de proveedores.

La creacin de estrategias de comunicacin a largo plazo.

Los planes de comunicacin a alta velocidad como fibra ptica y ATM ( tcnica de conmutacin de paquetes usada en redes MAN e ISDN).

Planificacin de cableado

Planificacin de la recuperacin de las comunicaciones en caso de desastre.

Ha de tenerse documentacin sobre el diagramado de la red.

Se deben hacer pruebas sobre los nuevos equipos.

Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores.

Vigilancia sobre toda actividad on-line.

La facturacin de los transportistas y vendedores ha de revisarse regularmente. 6.

Auditando una Red Lgica Cada vez ms se tiende a que un equipo pueda comunicarse con cualquier otro equipo, de manera que sea la red de comunicaciones el substrato comn que les une. Si un equipo, por cualquier circunstancia, se pone a enviar indiscriminadamente mensajes (Mensaje de Broadcasting), puede ser capaz de bloquear la red completa y, por tanto, al resto de los equipos de la instalacin. En sta, debe evitarse un dao interno. Es necesario monitorizar la red, revisar los errores o situaciones anmalas que se producen y tener establecidos los procedimientos para detectar y aislar equipos en situacin anmala. Ante estas situaciones anmalas se debe:

Dar contraseas de acceso

Controlar los errores

Garantizar que en una transmisin, sta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la informacin a la red

Registrar las actividades de los usuarios en la red

Encriptar la informacin pertinente

Evitar la importacin y exportacin de datos En general, si se quiere que la informacin que viaja por la red no pueda ser espiada, la nica solucin totalmente efectiva es la encriptacin. Se debe comprobar si:

El sistema pidi el nombre de usuario y la contrasea para cada sesin: En cada sesin de usuario, se debe revisar que no acceda a ningn sistema sin autorizacin, ha de inhabilitarse al usuario que tras un nmero establecido de veces erra en dar correctamente su propia contrasea, se debe obligar a los usuarios a cambiar su contrasea regularmente, las contraseas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar informacin sobre su ltima conexin a fin de evitar suplantaciones.

Inhabilitar el software o hardware con acceso libre.

Generar estadsticas de las tasas de errores y transmisin.

Crear protocolos con deteccin de errores.

Los mensajes lgicos de transmisin han de llevar origen, fecha, hora y receptor.

El software de comunicacin, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados.

Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada.

Se debe hacer un anlisis del riesgo de aplicaciones en los procesos.

Se debe hacer un anlisis de la conveniencia de cifrar los canales de transmisin entre diferentes organizaciones.

Asegurar que los datos que viajan por Internet vayan cifrados. Los datos confidenciales se cifran con un algoritmo de cifrado y una clave que los hace ilegibles si no se conoce dicha clave. Las claves de cifrado de datos se determinan en el momento de realizar la conexin entre los equipos. El uso del cifrado de datos puede iniciarse en su equipo o en el servidor al que se conecta. Conexiones de red admite dos tipos de cifrado: o

Microsoft MPPE, que utiliza cifrado RSA RC4. o

Una implementacin de Seguridad de Protocolo Internet (IPSec) que utiliza cifrado de Estndar de cifrado de datos (DES).

Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos forneos a la red.

Deben existir polticas que prohban la instalacin de programas o equipos personales en la red.

Los accesos a servidores remotos han de estar inhabilitados. Ya que los servidores de acceso remoto controlan las lneas de mdem de los monitores u otros canales de comunicacin de la red para que las peticiones conecten con la red de una posicin remota, responden llamadas telefnicas entrantes o reconocen la peticin de la red y realizan los chequeos necesarios de seguridad y otros procedimientos necesarios para registrar a un usuario en la red.

La propia empresa generar propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas: o

Servidores = Desde dentro del servidor y de la red interna. o

Servidores Web. o

Intranet = Desde dentro. Una Intranet, es una red de rea Local o LAN. La cual tiene la caracterstica, de ser de exclusivo uso, de la empresa u organizacin que la ha instalado. Debido a ello, es que utiliza protocolos HTML y el TCP/IP. Protocolos que permiten la interaccin en lnea de la Intranet, con la Internet. o

Cualquier Intranet, lleva consigo, distintos niveles de seguridad, segn el usuario. Estos niveles de seguridad, son asignados, segn la relevancia del puesto dentro de la organizacin, del usuario. Claro que existen niveles compartidos por todos. Ahora, los niveles bsicos de seguridad, impiden la utilizacin de la Intranet, por parte de personas forneas a la empresa o establecimiento educativo. o

Firewall = Desde dentro. Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso tpico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a informacin confidencial. o

Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en funcin de lo que sean permite o deniega su paso. Para permitir o denegar una comunicacin el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. o

Accesos del exterior y/o Internet. 7.

Auditando una Red Fsica 7.1.

Seguridad Fsica La seguridad de los sistemas de informacin puede definirse como la estructura de control

establecida para administrar la integridad, confidencialidad y la accesibilidad a los datos y recursos del sistema de informacin. Existen dos tipos de controles de se guridad que juntos pueden proteger los sistemas.

El Control Fsico . Restringiendo el acceso a los recursos de los sistemas y protegindolos de los riegos del ambiente.

El Control Lgico. Permitiendo el acceso a los datos especficos nicamente a las personas autorizadas. En general, muchas veces se parte del supuesto de que si no existe acceso fsico desde el exterior a la red interna de una empresa las comunicaciones internas quedan a salvo. Debe comprobarse que efectivamente los accesos fsicos provenientes del exterior han sido debidamente registrados, para evitar estos accesos. Debe tambin comprobarse que desde el interior del edificio no se intercepta fsicamente el cableado (pinchazo). En caso de desastre, bien sea total o parcial, ha de poder comprobarse cul es la parte del cableado que queda en condiciones de funcionar y qu operatividad puede soportar. Ya que el tendido de cables es una actividad irrealizable a muy corto plazo, los planes de recuperacin de contingencias deben tener prevista la recuperacin en comunicaciones. Ha de tenerse en cuenta que la red fsica es un punto claro de contacto entre la gerencia de comunicaciones y la gerencia de mantenimiento general de edificios, que es quien suele aportar electricistas y personal profesional para el tendido fsico de cables y su mantenimiento. Se debe garantizar que exista:

reas de equipo de comunicacin con control de acceso.

Proteccin y tendido adecuado de cables y lneas de comunicacin para evitar accesos fsicos.

Control de utilizacin de equipos de prueba de comunicaciones para monitorizar la red y el trfico en ella.

Prioridad de recuperacin del sistema.

Control de las lneas telefnicas. Se debe comprobar que:

El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.

La seguridad fsica del equipo de comunicaciones sea adecuada.

Se tomen medidas para separar las actividades de los electricistas y de cableado de lneas telefnicas.

Las lneas de comunicacin estn fuera de la vista.

Se d un cdigo a cada lnea, en vez de una descripcin fsica de la misma.

Haya procedimientos de proteccin de los cables y las bocas de conexin para evitar fallas en la red.

Existan revisiones peridicas de la red buscando errores y/o daos a la misma.

El equipo de prueba de comunicaciones ha de tener unos propsitos y funciones especficas.

Existan alternativas de respaldo de las comunicaciones.

Con respecto a las lneas telefnicas: No debe darse el nmero como pblico y tenerlas configuradas con retro llamada, cdigo de conexin o interruptores. 7.2 Caso Prctico

Este informe contiene el resultado de la auditoria de redes fsicas realizada sobre la red de rea local de la Universidad Tecnolgica Nacional Facultad Regional de Crdoba - Colombia. 7.2.1.

Propsito El propsito de esta auditora es evaluar los controles de seguridad para proteger los recursos de la red fsicas de la Universidad Tecnolgica Nacional, Facultad Regional de Crdoba.

Obtener una visin general de la ubicacin de todos los dispositivos de la red de rea local.

Evaluar el ambiente de control fsico sobre los dispositivos de la red de rea local. 7.2.2.

Cuestin de Fondo: El funcionamiento de la Universidad se basa en su sistema de informtico. Este es necesario para brindar servicios tanto a estudiantes como a empleados. Algunos de estos servicios son: Inscripciones, seguimiento de alumnos, dictado de clases, servicio de comunicaciones, internet y otros. 7.2.3.

En qu consiste? Esta auditora est limitada a la seguridad fsica de la red de rea local de la Universidad Tecnolgica Nacional, Facultad Regional de Crdoba. Las actividades que protegen el equipamiento de dao fsico son:

Permitir que solo los responsables de mantenimiento de los equipos de cmputos ingresen a las salas de equipamiento.

Proveer mecanismos de deteccin de fuego, humo, agua, suciedad, etc.

Almacenar materiales peligrosos, como qumicos de limpieza, en lugares separados y alejados de los equipos de cmputos.

Proveer de dispositivos reguladores de tensin y UPSs para salvar el equipamiento de daos producidos por los niveles de tensin y cortes abruptos en el suministro elctrico.

Planificar la manera de recomenzar con las operaciones despus de un fallo, incluyendo las copias de seguridad de programas y datos. 7.2.4.

Metodologa Durante nuestra visita preliminar identificamos todas las salas donde se encuentra el equipamiento de cmputos y las clasificamos en principales y secundarias, entendindose por principales aquellas donde se ubican los dispositivos ms importantes para la red tales como servidores, hubs, switch, etc. Es vlido resaltar que las salas principales deben contar con un mayor control de seguridad que las secundarias. La Tabla 1 y la Tabla 2 describen los

aspectos tpicos a implementar para el control fsico de la red en las salas principales y secundarias.

Para obtener una visin general de la ubicacin de todos los dispositivos de red, nos contactamos con el personal encargado de las aulas G del edificio, el Laboratorio de Sistemas y el centro de cmputos. Posteriormente visitamos cada una de estas salas para evaluar, los controles sobre la seguridad fsica, las condiciones ambientales y controles sobre las copias de seguridad e inventarios. Para esto nos entrevistamos con los responsables de cada una de estas salas. 7.2.5.

Hallazgos y Recomendaciones

7.2.6.

Anlisis Los hallazgos identificados, se han agrupado en categoras por su similitud. Para permitir una visin ms global de los problemas. Esto se refleja en la siguiente tabla:

Para un mejor anlisis de los riesgos se dio una ponderacin diferenciando los hallazgos del centro del cableado del resto (ambientales y red horizontal), asignndoles los valores de 1.0 y 0.6 respectivamente. Por otra parte, cada hallazgo fue ponderado independientemente, utilizando una escala de 0.0 a 1.0. Reflejando los resultados en la siguiente tabla.

7.2.7.

Recomendaciones Recomendamos, en primer lugar que se coloquen los centros de cableado en lugares adecuados, fuera del alcance del alcance de personas no autorizadas. Tambin recomendamos que se identifiquen los dispositivos principales. Recomendamos, por ltimo, que los encargados de cada sala realicen las acciones necesarias para:

Mantener el cableado en buenas condiciones.

Mantener los conectores en buen estado. Estas acciones deben ejecutarse en forma peridica. 7.2.8.

Conclusin: Nuestra opinin es que, los controles sobre los recursos de la red de rea local de la universidad deben ser mejorados puesto que presenta importantes dificultades. Esto se debe a la ausencia de lineamientos claros para su gestin. 7.2.9.

Recomendacin Final Recomendamos que se escriban los lineamientos generales para la gestin de la red y se difundan a los encargados de cada sala. Tambin recomendamos que se capacite a este personal en los aspectos referidos a la seguridad de la red fsica. Bibliografa Acosta, N., Buitrago, R., Newball, M., Ramrez, M. A., & Sanchz, J. (s.f.). Anlisis de Vulnerabilidades. Recuperado el 20 de Agosto de 2009, de ABCdatos: http://www.abcdatos.com/tutoriales/tutorial/z3890.html Cotarelo, G. (s.f.). Anlisis de Vulnerabilidades. Recuperado el 20 de Agosto de 2009, de El Rincn del Vago: http://zip.rincondelvago.com/00028513 Gutirrez Melo, J. (s.f.). Auditoria Aplicada a la Seguridad en Redes de Computadores. Recuperado el 20 de Agosto de 2009, de Monografas: http://www.monografias.com/trabajos10/auap/auap.shtml Lizrraga Snchez, J. A., & Martnez Lpez, V. (s.f.). Auditora de Redes. Recuperado el 20 de Agosto de 2009, de Sitio Web del Instituto Tecnolgico de Sonora: www.itson.mx/dii/epadilla/AUDITORIA%20DE%20REDES.ppt Ramrez, A. (s.f.).

Introduccin a la Seguridad de Redes. Recuperado el 20 de Agosto de 2009, de Sitio Web de la Universidad Nacional de San Luis: http://www.dirinfo.unsl.edu.ar/~seguridadred/teorias/Analisis_de_Vulnerabilida des.ppt