Sang Barrentss Company SAC

Auditora de Red
1. Introduccin
La organizacin Sang Barrentss Company SAC cuenta con 2 filiales, una en
Chimbote y otra localizada en Nepea, la cual es el centro operativo de la
organizacin, tiene una red conformada por varias redes LAN, se usa Windows
Server para administrar la red, la cual implementa el modelo TCP/IP, el cual se
puede comprar con el modelo de referencia OSI.
A grandes rasgos, el modelo OSI, dado por capas, est dividido en:
1. Capa fsica:
Se encarga de garantizar la integridad de la informacin transmitida por la
red; por ejemplo, si se enva un 0, que llegue un 0 .
2. Capa de enlace:
Garantiza que la lnea o canal de transmisin, est libre de errores.
3. Capa de red:
Determina como se encaminan los paquetes, de la fuente al destino.
Igualmente, debe velar por el trfico de la red, evitando al mximo las
congestiones. Para ello, debe llevar un registro contable de los paquetes que
transitan.
4. Capa de transporte:
Divide los datos en unidades ms pequeas y garantiza que tal informacin
transmitida, llegue correctamente a su destino.
De igual forma, crea una conexin de red distinta para cada conexin de
transporte requerida, regulando as el flujo de informacin.
Analiza tambin, el tipo de servicio que proporcionar la capa de sesin y
finalmente a los usuarios de red.
5. Capa de sesin:
Maneja el sentido de transmisin de los datos y la sincronizacin de
operaciones; es decir, si uno transmite, el otro se prepare para recibir y
viceversa o
Situaciones Commit, donde tras algn problema, se sigue tras ultimo punto
de verificacin.
6. Capa de presentacin:
Se encarga de analizar si el mensaje es semntica y sintcticamente
correcto.
7. Capa de aplicacin:
Implementacin de protocolos y transferencia de archivos.
Lo anterior, nos permite describir 3 tipos de fallos en la seguridad de la red:
Alteracin de bits: Se corrige por cdigo de redundancia cclico.
Ausencia de tramas: Las tramas se desaparecen por el ambiente o una
sobrecarga del sistema; para ello, se debe tener un nmero de secuencia de
tramas.
Alteracin de la secuencia en la cual el receptor reconstruye mensaje.
Otro de los tipos de modelos de referencia ms conocidos, es el TCP/IP, hoy
da, con algunas variaciones, como el de encapsular varios protocolos, como
el Netbios; el TCP/IP da replicacin de los canales para posibles cadas del
sistema.
Bajo sta poltica, entonces se ha definido como clases de redes:
Intranet = Red interna de la empresa.
Extranet = Red externa pero directamente relacionada a la empresa.

Internet = La red de redes.

El problema de tales implementaciones, es que por los puertos de estandarizacin

pblica de TCP/IP, se puede entrar cualquier tercero para afectar la red de la
compaa o su flujo de informacin.
Tal cuestin, es recurrente sobretodo en el acceso de la red interna de la compaa
a la Internet, para lo cual, y como medida de proteccin, se usan Firewall
( cortafuegos ) que analizan todo tipo de informacin que entra por Internet a la
compaa, activando una alarma, en caso de haber algn intruso o peligro por esa
va a la red.
La compaa puede definir 2 tipos extremos de polticas de seguridad:
Polticas paranoicas: Toda accin o proceso est prohibido en la red.
Polticas promiscuas: No existe la ms mnima proteccin o control a las
acciones de los usuarios en la red.
No importa lo que haga la empresa, siempre va a haber un punto de fallo, para
adelantarse a intrusos, entonces se han ideado algunas herramientas para probar
la eficacia de las polticas de seguridad en red de la empresa, algunas de tales
herramientas, son: SAFEsuite y COPS. Estas empiezan probando la fiabilidad de las
contraseas de usuario usando algunas tcnicas de indagacin como es el leer el
trfico de la red buscando en tal informacin sobre nombres de usuarios y
contraseas respectivas, probar la buena f de los usuarios mandndoles
mensajes de la administracin solicitando su contrasea a una especificada por la
herramienta o probando contraseas comunes o por defecto en muchos sistemas.
2. Auditoria de comunicaciones:
Se comprob:
La gestin de red = los equipos y su conectividad.
1 Equipos:
1 Chimbote
o 01 Servidor con Windows Server 2008 (64 bits) (Base de datos y Active
Directory)
o 01 PC Windows 7 (Proxy)
o 01 Switch Administrable DLink
o 01Modem Cisco
o 01 Router Cisco
2
3 Nepea
o 01 Servidor con Windows Server 2008 (64 bits) (Base de datos y Active
Directory)
o 01 Switch Administrable DLink
o 04 Router Inalmbrico
o 01 Router Cisco
2 Conectividad:
o 03 Antenas Emisoras
o 02 Antenas Receptores
1
2
La monitorizacin de las comunicaciones.
No se monitoriza el trafico en la red.
La revisin de costes y la asignacin formal de proveedores.

 Se lleva un control de los equipos de la red y se actualiza constantemente

Creacin y aplicabilidad de estndares.
Se usan estndares para el cableado estructurado (568B)
Cumpliendo como objetivos de control:
Tener una gerencia de comunicaciones con plena autoridad de voto y accin.
No existe una gerencia para el rea de comunicaciones, 1 encargado
administra la red.
Llevar un registro actualizado de mdems, controladores, terminales, lneas y todo
equipo relacionado con las comunicaciones.
Se registra y se actualiza todos los equipos constantemente(cada 15 das)
Se realiza un mantenimiento preventivo y correctivo cada 3 meses
1
Mantener una vigilancia constante sobre cualquier accin en la red.
No se monitoriza la red
Registrar un coste de comunicaciones y reparto a encargados.
No se registran los costes de las comunicaciones
Mejorar el rendimiento y la resolucin de problemas presentados en la red.
Los problemas de la red se solucionan remotamente en la mayora de los
casos.
Se comprob:
El nivel de acceso a diferentes funciones dentro de la red.
Existen niveles de usuarios (Administrador y usuario)
Cada rea de la empresa tiene un tipo de usuario diferente, esto implica
que cada usuario solo puede acceder al rea que pertenece en el sistema.
Coordinacin de la organizacin de comunicacin de datos y voz.
Se utiliza Outlook Messenger para la comunicacin
No se implementa VoIP
Autorizacin de nuevo equipamiento, tanto dentro, como fuera de las horas
laborales.
La autorizacin de equipos nuevos debe ser autorizado por el encargado
del rea de sistemas previa orden y comunicacin a este.
Uso de conexin digital con el exterior como Internet.
Se tiene una conexin de internet dedicada de 4Mb/s
Instalacin de equipos de escucha como Sniffers (exploradores fsicos) o
Traceadores (exploradores lgicos).
No se tienen equipos que permitan analizar y escuchar el trafico que viaja
desencriptado por la red.
La responsabilidad en los contratos de proveedores.
No se tienen proveedores, las compras de equipamiento nuevo se hacen al
contado.
La creacin de estrategias de comunicacin a largo plazo.
Se tiene planificado mejorar la red mediante nueva adquisicin de equipos
para analizar el trafico y encriptarlo con el fin de mejorar la seguridad.
Los planes de comunicacin a alta velocidad como fibra ptica y ATM ( tcnica de
conmutacin de paquetes usada en redes MAN e ISDN).
Se tiene implementado par trenzado de cobre como medio fsico de
transmisin y tambin ondas electromagnticas.

 Planificacin de cableado.
Se tiene una distribucin del cableado estructurado en toda la
organizacin, con par trenzado de cobre usando el estndar 568B.
Planificacin de la recuperacin de las comunicaciones en caso de desastre.
No existe un plan de recuperacin en caso de desastre, solo backups 2
veces al dia de toda la base de datos.
Ha de tenerse documentacin sobre el diagramado de la red.
No existe documentacin del diagrama de la red
Se deben hacer pruebas sobre los nuevos equipos.
Se realizan las pruebas correspondientes antes de utilizar un nuevo equipo
de red.
Se han de establecer las tasas de rendimiento en tiempo de respuesta de las
terminales y la tasa de errores.
No se establecen las tasas de rendimiento y errores por lo que a veces la
red se satura y se congestiona.
Vigilancia sobre toda actividad on-line.
No se realiza monitorizacin de la red

3. Auditoria De La Red Fsica

Se debe garantizar que exista:
reas de equipo de comunicacin con control de acceso.
No existe control de acceso al cuarto donde se encuentra el servidor pero
si tiene un rack con llave el cual solo la administra el encargado de
sistemas.
Proteccin y tendido adecuado de cables y lneas de comunicacin para evitar
accesos fsicos.
Se protege adecuadamente los cables y lneas de comunicacin para
evitar accesos no autorizados
Control de utilizacin de equipos de prueba de comunicaciones para monitorizar la
red y el trafico en ella.
No existen equipos que monitorizen la red ni el trafico de esta.
Control de las lneas telefnicas.
No existen control de las lneas telefnicas.
Comprobando que:
El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso
limitado.
No existe control de acceso y el lugar del servidor principal es de libre
acceso.
La seguridad fsica del equipo de comunicaciones sea adecuada.
La seguridad fsica es adecuada, estn ubicadas en un rack junto con el
servidor principal.
Se tomen medidas para separar las actividades de los electricistas y de cableado
de lneas telefnicas.
Se tienen medidas para evitar la atenuacin y ruido en el cableado
estructurado.
Haya procedimientos de proteccin de los cables y las bocas de conexin para
evitar pinchazos a la red.
Existen medidas de proteccin para evitar el dao al cableado en la
organizacin.
Existan revisiones peridicas de la red buscando pinchazos a la misma.
Se hacen revisiones cada 15 das.
Existan alternativas de respaldo de las comunicaciones.
No hay respaldo de los equipos de comunicacin.

4. Auditoria De La Red Lgica

En sta, debe evitarse un dao interno, como por ejemplo, inhabilitar un equipo
que empieza a enviar mensajes hasta que satura por completo la red.
Para ste tipo de situaciones:
Se deben dar contraseas de acceso.
Controlar los errores.
Garantizar que en una transmisin, sta solo sea recibida por el destinatario. Para
esto, regularmente se cambia la ruta de acceso de la informacin a la red.
Registrar las actividades de los usuarios en la red.
Encriptar la informacin pertinente.
Evitar la importacin y exportacin de datos.
Que se comprueban si:
El sistema pidi el nombre de usuario y la contrasea para cada sesin:
En cada sesin de usuario, se debe revisar que no acceda a ningn sistema
sin autorizacin, ha de inhabilitarse al usuario que tras un nmero
establecido de veces erra en dar correctamente su propia contrasea, se
debe obligar a los usuarios a cambiar su contrasea regularmente(15 das),
las contraseas no deben ser mostradas en pantalla tras digitarlas, para
cada usuario.

Inhabilitar el software o hardware con acceso libre.

Cada usuario tiene limitadas acciones en el terminal
Generar estadsticas de las tasas de errores de transmisin.
No se generan estadsticas de los errores de transmisin.
Crear protocolos con deteccin de errores.
No se crean protocolos para detectar nuevos errores
Los mensajes lgicos de transmisin han de llevar origen, fecha, hora y receptor.
Se realiza un log de cada accin del usuario en cada terminal.
El software de comunicacin, ha de tener procedimientos correctivos y de control
ante mensajes duplicados, fuera de orden, perdidos o retrasados.
El software cuenta con procedimientos automticos para evitar la perdida
de paquetes.
Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser
vistos desde una terminal debidamente autorizada.
Todos los documentos se imprimen en una sola impresora compartida en
la red.
Se debe hacer un anlisis del riesgo de aplicaciones en los procesos.
No existe un anlisis del riesgo de las aplicaciones en los terminales
Se debe hacer un anlisis de la conveniencia de cifrar los canales de transmisin
entre diferentes organizaciones.
No existe un anlisis para cifrar los mensajes cuando se conectan a la
intranet.
Asegurar que los datos que viajan por Internet vayan cifrados.
No se cifran los mensajes que viajan en internet.
Si en la LAN hay equipos con modem entonces se debe revisar el control de
seguridad asociado para impedir el acceso de equipos forneos a la red.
Se revisa peridicamente el acceso no autorizado a los equipos
intermediarios en la red.
Deben existir polticas que prohban la instalacin de programas o equipos
personales en la red.
Cada usuario tiene limitaciones de instalacin de programas en el
terminal.
Los accesos a servidores remotos han de estar inhabilitados.

 El acceso remoto a los equipos de la red se encuentra habilitado.

La propia empresa generar propios ataques para probar solidez de la red y
encontrar posibles fallos en cada una de las siguientes facetas:
Se realizan pruebas internas peridicamente para probar la seguridad
interna de la red.
5. Criptografia
La criptografa se define como " las tcnicas de escrituras tales que la informacin
est oculta de intrusos no autorizados". Esto, no incluye el criptoanlisis que trata
de reventar tales tcnicas para descubrir el mensaje oculto.
Existen 2 tipos de criptoanlisis:
Diferencial:
Con variaciones de un bit en cada intento, trata de averiguar la clave de descifrado
del mensaje oculto.
Lineal :
Se apoya en variaciones XOR entre cada par de bits, hasta que se logre obtener un
nico bit, parte de la clave.
Relacionado con esto, se ha desarrollado tambin la esteganografa, que bajo un
camuflaje totalmente ajeno al mensaje a transmitir, se enva la informacin oculta.
Aunque el cifrado de informacin es una excelente tcnica para proteger los datos,
no debera convertirse en el desvelo de la compaa, pues existen otros tipos de
debilidades ms importantes para tratar por la compaa, ello, adems porque ya
existen diferentes programas, hasta gratuitos, como algunas versiones de PGP,
tales que toda la potencia informtica del mundo, podra romperlos.
Algunos tipos de mtodos de criptografa, son:
Transposicin :
Invierte el orden de los caracteres en el mensaje. Por ejemplo, si se quiere cifrar
"El perro de san Roque no tiene rabo " , colocndolo en un arreglo de columnas de
tamao n, con clave de descifrado k = n en secuencia con 5 columnas {3,2,5,1,4},
el mensaje cifrado quedara = "osonea lr r ir ednu eo ere et p aqonb"
Tal mecanismo, se criptoanaliza con estudios de factibilidad de cierto tipo de
tuplas.
DES:
Utiliza una clave de 56 bits para codificar bloques de 64 bits, por su escasa
longitud de clave de acceso, es fcil de romper.
IDEA:
Surgi del DES, IDEA genera bloques de ciframiento de 64 bits con una clave de
128 bits, adems usa diversas tcnicas de confusin, como es el XOR, suma
modulo 2^16 y producto (2^16)+1 .
El problema de la criptografa de llave privada, es que en una red muy grande, en
caso de que se decida cambiar la clave de desciframiento, hay que notificar a cada
uno de los participantes en los procesos de transmisin de datos, corrindose el
peligro de que caiga la nueva clave en manos no autorizadas..
Es por ello, que se ha desarrollado la criptografa de llave pblica, que consta de 2
tipos de llaves:
Una que es pblica y conocida por todos los miembros autorizados de la red.
Una segunda, que es privada y solo la conoce su dueo y el paquete cifrado.
De esa forma, si es necesario cambiar las claves, se notifica por un mensaje
cifrado a todos los participantes de la transmisin usando la llave pblica.
RSA es un tipo comn de transmisin encriptada por llave privada, opera por
factorizaciones de los mensajes clave o registro por nmeros primos de orden.
Consideraciones para Elaborar un Sistema de Seguridad Integral

Como hablamos de realizar la evaluacin de la seguridad es importante tambin

conocer como desarrollar y ejecutar el implantar un sistema de seguridad.
Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir
y controlar las actividades relacionadas a mantener y garantizar la integridad fsica
de los recursos implicados en la funcin informtica, as como el resguardo de los
activos de la empresa."
Por lo cual podemos ver las consideraciones de un sistema de integral de
seguridad.

Sistema Integral de Seguridad

Un sistema integral debe contemplar:
Definir elementos administrativos
Definir polticas de seguridad
A nivel departamental
A nivel institucional
Organizar y dividir las responsabilidades
Definir prcticas de seguridad para el personal:
Plan de emergencia (plan de evacuacin, uso de recursos de emergencia como
extinguidores.
- Nmeros telefnicos de emergencia
Definir el tipo de plizas de seguros
Definir elementos tcnicos de procedimientos
Definir las necesidades de sistemas de seguridad para:
Hardware y software
Flujo de energa
Cableados locales y externos.
Aplicacin de los sistemas de seguridad incluyendo datos y archivos.
Planificacin de los papeles de los auditores internos y externos
Planificacin de programas de desastre y sus pruebas (simulacin)
Planificacin de equipos de contingencia con carcter peridico.
Control de desechos de los nodos importantes del sistema:
Poltica de destruccin de basura copias, fotocopias, etc.
Consideracin de las normas ISO 1400
Etapas para Implementar un Sistema de Seguridad
Para dotar de medios necesarios para elaborar su sistema de seguridad se debe
considerar los siguientes puntos:
Sensibilizar a los ejecutivos de la organizacin en torno al tema de seguridad.
Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la
informacin en la organizacin a nivel software, hardware, recursos humanos, y
ambientales.
Elaborar un plan para un programa de seguridad. El plan debe elaborarse
contemplando:
Plan de Seguridad Ideal (o Normativo)
Un plan de seguridad para un sistema de seguridad integral debe contemplar:
El plan de seguridad debe asegurar la integridad y exactitud de los datos
Debe permitir identificar la informacin que es confidencial
Debe contemplar reas de uso exclusivo
Debe proteger y conservar los activos de desastres provocados por la mano
del hombre y los actos abiertamente hostiles
Debe asegurar la capacidad de la organizacin para sobrevivir accidentes
Debe proteger a los empleados contra tentaciones o sospechas innecesarias