Auditoria de Redes

Auditoria de la Seguridad
Una revisin y examen independientes respecto a los

registros y actividades de un sistema a fin de verificar

si los controles del sistema son adecuados, para
garantizar el cumplimiento con la poltica establecida y
con los procedimientos operativos, para detectar
problemas de seguridad y para recomendar posibles
cambios en los controles, en la poltica y en los
procedimientos. (ISO 7489-2)
Preservar

la confidencialidad, la integridad y
disponibilidad de la informacin; adems pueden estar
relacionados otras caractersticas como autenticacin,
responsabilidad, no repudio y fiabilidad. (ISO/IEC
17799, rebautizado como ISO/EIC 27002)

Control Interno y Seguridad

Conjunto

de procesos, funciones, actividades,

dispositivos, cuya misin total o parcial es garantizar
que se alcanza los objetivos de control, as como que
los sucesos no deseados se evitaran, o bien se podrn
detectar y se corregirn.

Controles de Direccin.
Controles Preventivos.
Controles de Deteccin.
Controles de Correccin.
Controles de Recuperacin.

Normas relacionadas
ISO/IEC 17799 (rebautizada como ISO/EIC 27002)

Information Technology Security Techniques Code

of practice for Information Security Management puede
resultar un estandar adecuado para implantar
seguridad o para revisarla.

COBIT de ISACA (Information System Audit and

Control Association). Casi todo el COBIT puede servir

como base para una auditoria de seguridad.

Evaluacin de Riesgos

Definicin de Objetivos, propsitos y alcance.

Definicin de Activos
Valoracin de Activos
Identificacin de Amenazas
Valoracin de vulnerabilidades
Salvaguardas existentes.

A partir del informe de riesgos:

Eliminar riesgos
Establecer medidas y controles para disminuir la
probabilidad de que sucedan eventos, o bien para
disminuir el impacto o dao.
Derivar/transferir el riesgo.
Asumir el riesgo.

reas a Revisar

El marco normativo interno y nivel de cumplimiento.

Implicacin de la (Alta) Direccin.
Cumplimiento de Requerimientos externos.
Cumplimiento de Requerimientos internos.
La organizacin y gestin de recursos humanos.
La proteccin de activos.
Control de accesos lgicos
Acceso de terceros a los recursos.
Explotacin u operaciones.
Seguridad de las comunicaciones y redes.
Seguridad Fsica.
Desarrollo y mantenimiento.
Copias, recuperacin, planes de contingencia/de
continuidad.

Redes de Computadoras
La

organizacin en la parte de las redes de

comunicaciones de computadores es un punto de
viraje bastante importante; es por ello, que uno de los
modelos de red ms conocidos, es el modelo OSI.
A grandes rasgos, el modelo OSI, dado por capas,
est dividido en:

Capa fsica.
Capa de enlace.
Capa de red.
Capa de transporte.
Capa de sesin
Capa de presentacin
Capa de aplicacin

Vulnerabilidad en Redes
La informacin transita por, y es accesible desde,

lugares fsicamente
responsables.

alejados

de

las

personas

 Vulnerabilidades en capas fsicas, enlaces y red.

Alteracin de bits, se corrige por CRC.
Ausencia de tramas, debido al ambiente o una
sobrecarga del sistema; para ello, se debe tener un
nmero de secuencia de tramas.
Alteracin de la secuencia en la cual el receptor
reconstruye mensaje.
Por causas dolosas, y teniendo en cuenta que es

fsicamente posible interceptar la informacin, los tres

mayores riesgos a atajar son:

Indagacin. Paquete ledo por un tercero.

Suplantacin. Un tercero introduce un paquete espurio.
Modificacin. Un tercero puede alterar un paquete.

 Vulnerabilidad en la capa de transporte

El protocolo TCP/IP se ha impuesto como gran

unificador de redes de comunicaciones.

El protocolo TCP/IP ha sido diseado para encontrar

rutas remanentes, inclusive antes cadas masivas, esta

especialmente bien orientado para facilitar la
reestructuracin de una red ante fallos de parte de sus
componentes.
La pregunta clave en auditoria es saber si esas

facilidades se usan, si se han estudiado en el diseo

de red, si estn documentadas, si se han puesto en
practica, y si se prueban regularmente.

Redes Internas y Externas

La primera regla es establecer el perimetro de

seguridad, que aisla la red interna del exterior.

Intranet. Red interna, privada y segura.

Zona desmilitarizada. DMZ. Permetro de seguridad
que conecta la red interna a una red externa.
Internet. Metared. Donde se conecta cualquier red que
se desee abrir al exterior, publica e insegura.

Las polticas oscilan entre paranoicas y promiscuas.

Apoderado
Proxy

Encaminador
Externo

Deteccion
Intrusos

Encaminador
Interno

Red
Interna

Internet

Ciber Sede
Internet

Servidor
Intranet

Auditando la Organizacin
Si no se que se defiende y porque, no se puede

defender. La poltica de seguridad, en el rea de

comunicaciones, ha de ser escrita, aprobada
formalmente, actualizada, entendible, entendida y
seguida.
ITIL (Biblioteca de Infraestructura de Tecnologa de la

Informacin).

Estrategia de servicio.
Diseo del servicio.
Transicin en el servicio.
Operacin del servicio.
Mejora continua.

 El primer punto de la auditoria es determinar que la

funcin de redes y comunicaciones esta claramente

definida y gestionada, debiendo ser responsable, de
las siguientes tareas:

Gestin de la Red, inventario de equipamiento y

normativa de conectividad.
Vigilancia de las comunicaciones, registro y resolucin
de problemas.
Participacin activa en la estrategia de procesos de
datos, fijacin de estndares de comunicaciones y
evaluacin de necesidades de comunicacin.
Mantener la documentacin de la red al da.
Revisin de costos y su asignacin, de proveedores y
servicios de transporte y selecciona de equipamiento.

 Objetivos de control
Una poltica de seguridad escrita, entendida y ejecutada.
Un rea de comunicaciones responsable de seguir
procedimientos operativos documentados.
Procedimientos y registros de inventarios y cambios.
Segregacin de tareas y de funciones de control de la
red.
Separacin de entornos de desarrollo, pruebas y
produccin.
Procedimientos para vigilar el uso de la red de
comunicaciones, mejorar el rendimiento, registrar y
resolver problemas y controlar costos y proveedores.
Procedimientos de seguridad y control de intrusiones en
la red.
Participacin activa del rea de comunicaciones en el
diseo de las nuevas aplicaciones on line para asegurar
que se sigue la normatividad de comunicaciones.

Auditando la Red Fsica

Objetivos de Control
reas seguras para los equipos de comunicaciones,
previniendo as usos inadecuados.
Proteccin y tendido adecuado de cables y lneas de
comunicacin.
Mantenimiento y gestin de equipos de red.
Control de utilizacin de los equipos de prueba en
comunicaciones.
Atencin especifica a la recuperacin de los sistemas de
comunicacin de datos, en el plan de recuperacin de
desastres en sistemas de informacin.
Control especficos en casos de que se utilicen salidas
directas al exterior, para prevenir accesos no
autorizados.

Auditando la Red Lgica

Objetivos de control
Poltica documentada de uso de servicios de red.
Autenticacin de usuario obligatoria, para limitar y
detectar cualquier intento de acceso no autorizado.
Autenticacin de equipos, para limitar y detectar
cualquier intento de conectar un equipo no autorizado.
Funcionalidades de uso remoto de equipos como
puertos abiertos u operacin remota deben desactivarse.
Segregacin de redes, para incrementar puntos de
control y posibilitar la defensa en profundidad.
Controles de privilegios de usuario de conexin a la red.
Control de flujos de informacin, encaminamiento y
redundancia.
Registro de la actividad de la red, para ayudar a
reconstruir incidencias y detectar accesos no
autorizados.

Conclusiones
En la auditoria de redes hay que tener nociones de la

tecnologia aplicable, determinar los objetivos de

auditoria y comprobar si la organizacin a cargo de las
comunicaciones comprende su papel, esta en posicion
de desempearlo y lo desempea eficientemente.

Herramientas
GFI LANguard Network Security Scanner (GFI

LANguard N.S.S.). permite a los administradores de

red realizar rpida y fcilmente una auditora de
seguridad de red.

ISA SERVER
Microsoft Internet Security and Acceleration (ISA)

Server es la solucin de cach Web, firewall avanzado

en el nivel de aplicacin y red privada virtual (VPN)