II.4 Auditoría de redes - Horarios de los centros asociados de la uned

AUDITORÍA Y CONSULTORÍA
TEMA 8
Auditoría de redes

Estos esquemas no son documentación oficial de la asignatura ni de la U.N.E.D.

El contenido oficial es el del libro de la asignatura y, en su caso, los materiales que decidan subir los
miembros del equipo docente.

Tan sólo un bosquejo de ideas para que podáis seguir mejor mis presentaciones como profesor
intercampus.

No son, ni pretenden ser, completos.

Basarse sólo en ellos para estudiar la asignatura es garantía de tener que releerlos en septiembre…
Juan Carlos Alfaro López
Profesor-Tutor del Centro Asociado de Tudela
Profesor intercampus de la asignatura
http://lasultimasaguilasnegras.blogspot.com.es/
Tabla de contenido
II.4 Auditoría de redes ..................................................................................................................... 3
II.4.1. Terminología de redes según el modelo OSI .................................................................... 3
II.4.2.Vulnerabilidades en redes de comunicaciones ................................................................... 4
II.4.3. Protocolos y tipologías de red ........................................................................................... 5
II.4.4. Acercamiento a redes TCP/IP ........................................................................................... 5
II.4.5. Auditar a la Organización (Responsable Comunicaciones) .............................................. 6
II.4.6. Auditar la Red Física ......................................................................................................... 7
II.4.7. Auditar la Red Lógica ....................................................................................................... 8
II.4 Auditoría de redes
II.4.1. Terminología de redes según el modelo OSI
Consta de siete niveles. Cada uno se comunica con el inferior y con el superior mediante una serie
de servicios (protocolos) preestablecidos. El nivel inferior (físico) se encarga de la interface con el
cable mientras que el superior se encarga de la interface con la aplicación final. Niveles:
1. Físico: transformar paquetes información en señales físicas que son transmisibles
2. Enlace: Divide la información en paquetes (tramas) transmisibles
3. Red: Establece la/s ruta/s a seguir por la información entre emisor y receptor
4. Transporte: Comprobación de la integridad de la información (no hay pérdidas ni
corrupciones)
5. Sesión: Establece y cierra la sesión de comunicaciones (segura / no segura ; protocolos..)
6. Presentación: decisión sobre el formato de los datos a presentar a la aplicación ( o que ésta
presenta)
7. Aplicación (enlace de la aplicación –mediante el API- con el sistema de comunicaciones
Cada capa se despreocupa de lo que hacen las otras y sólo habla (además de con su superior e
inferior) con la otra capa de igual nivel en el receptor. Los principales protocolos de
comunicaciones de redes actuales se diferencian básicamente en variaciones de los tres primeros
niveles (aunque también en el cuarto –transporte-) y expandiendo o contrayendo las atribuciones de
la capa de aplicación:
II.4.2.Vulnerabilidades en redes de comunicaciones
Por causas propias de la tecnología



Alteraciones de bits (se arregla con CRC)
Ausencia de tramas o paquetes (se arregla con numeración y reenvío)
Alteración de secuencias (ídem)
Por causas dolosas (humanas intencionadas)



Indagación (consulta de un mensaje por terceros)
Suplantación (un tercero simula ser uno emisor/receptor)
Modificación (un tercero modifica el contenido del mensaje)
La única solución casi inexpugnable para las dolosas es el cifrado (fuerte) de las comunicaciones
pero por desgracia muchas veces es débil o, en el caso de las LAN, ausente ya que se supone que
existe un control de acceso físico a la red.
Dentro de las LAN la principal amenaza es la indagación (escucha) que suele plantearse sólo en los
tramos de cableado de planta (cobre), mientras que los cableados troncales y de ruta (ópticos)
suelen estar libres de esta amenaza. Para controlar esta amenaza:






Instalar escuchadores físicos (sniffers)
Instalar escuchadores lógicos (traceadores)
Establecimiento de contraseñas para usuarios autorizados
Cuidado con envío de contraseñas en abierto en LAN
Segmentación de usuarios para asignar quién puede acceder a qué
Asegurarse de que los usuarios autorizados no hacen uso inadecuado de la red
Vulnerabilidades del transporte:
 Antes o después, los nodos de comunicaciones se caerán: si se utiliza enrutamiento fijo,
malo
 Mejor que los sistemas de comunicaciones “no tengan memoria”, esto es, no necesiten saber
nada de cómo ha ido la comunicación anterior para atacar la actual  permite la
recuperación rápida. Esto exige que sea la capa de aplicación quien decida ante un fallo de
comunicaciones si reutiliza lo que ya tiene (p.e. transmisión de un fichero a medias) o
decide empezar desde el principio (p.e. sesión de banca electrónica)
 Solución actual: TPC/IP (origen militar)
II.4.3. Protocolos y tipologías de red
Ethernet (LAN): medio físico es cable cobre y se basa en que todos los recetores están escuchando
a la vez, por lo que el emisor sólo tiene que escuchar el medio y, cuando está libre, lanzar su
mensaje sin preocuparte del nivel red
Token-ring (IBM)mejora el rendimiento ante tráfico intenso en una LAN
Para WAN está X-25, donde existen varios nodos intermedios que comprueban que el paquete haya
llegado bien y, si no, piden renvío. Sigue muy bien los 4 primeros niveles OSI
Frame-Relay es lo mismo que X-25, pero la comprobación de errores sólo se hace en destino,
agilizando el proceso. ATM es similar a Frame-Relay pero para conmutación de alta velocidad
SNA (IBM). Tremendamente jerarquizado y suele utilizarse en comunicaciones host – terminal de
grandes ordenadores (IBM o compatibles)
Netbios. Respuesta de Microsoft a SNE pero para pequeñas LAN. Es bastante ágil.
IPX. Protocolo de Novell para LAN. Ágil, pero en desuso.
TCP/IP. El rey de los protocolos de comunicaciones actuales





Origen militar, prontamente adoptado por universidades USA
Especializado en encontrar encaminamiento independiente para cada paquete, aunque se caigan
varios nodos intermedios
Es abierto (no depende de ninguna compañía en concreto), lo que explica parte de su éxito
Multitud de aplicaciones desarrolladas sobre él (FTP, TELNET...). Es una ventaja y un inconveniente,
ya que terceros pueden utilizar esas aplicaciones para buscar vulnerabilidades en la red
Se usa también para llevar sobre él, encapsulados, otros protocolos de alto nivel (p.e. Netbios sobre
TCP/IP, utilizando la capa de transporte de este último, mientras que la de red y sesión serán del
primero). Ojo con las vulnerabilidades que esto produce
II.4.4. Acercamiento a redes TCP/IP
Nomenclatura:




Intranet: red interna y segura de una compañía (aunque utilice redes externas no seguras)
Extranet: red externa, privada y segura, que comparten varias empresas (red Hacienda)
Internet: red externa, pública y no segura
Zona desmilitarizada (DMZ): es una red local que se ubica entre la red interna de una organización
y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la
red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ solo
se permitan a la red externa -- los equipos en la DMZ no pueden conectar con la red interna. Esto
permite que los equipos de la DMZ puedan dar servicios a la red externa a la vez que protegen la
red interna en el caso de que intrusos comprometan la seguridad de los equipos situados en la zona
desmilitarizada
Figuras de protección:




Routers (encaminadores)
Proxys (servidores de proximidad)
Firewall (cortafuegos). Examina cada paquete de entrada / salida desde el exterior a la red interna
/ desde la red interna hacia el exterior para decidir si el servicio entre emisor y receptor está
autorizado)
Bastión: colección de servidores (p.e. correo) y proxys situados entre el cortafuegos y encaminador
externo y los internos. De esta forma se garantiza que nunca hay una conexión directa exterior 
 interior, sino que siempre hay elementos intermedios de colchón
Políticas de protección:



Paranoicas: todo está desautorizado salvo lo expresamente autorizado
Promiscuas: al revés
Mixtas (y más habituales): basándose en la segmentación de usuarios, cada tipología estará
autorizada a establecer determinados tipos de conexiones y otras no
Controles básicos de seguridad:





Comprobar accesos no autorizados desde el exterior: existen programas comerciales
especializados –Satan- en esta tarea revisando las vulnerabilidades más habituales
Técnicas de indagación para obtener identificaciones de usuario: Ídem revisando las puertas
traseras más habituales (Admin, formatos de mensajes de identificación aplantillados, etc.)
Comprobar viaje de contraseñas también cifrado en red interna
Vulnerabilidades de confianza de nodos: (si todos confían en todos...)
Control de software maligno (virus, gusanos, caballos de troya...) y actualizaciones adecuadas del
software que lo controla.
II.4.5. Auditar a la Organización (Responsable Comunicaciones)
Comprobar responsabilidad en la empresa en:




Gestión de la red: inventario de equipos y normativa de conectividad
Monitorización de comunicaciones: (y registro de problemas)
Revisión de costes: (evaluación de varios proveedores)
Participación decisiones sobre necesidades actuales y futuras de comunicaciones
Objetivos de control de la Auditoría:





Autoridad para establecer procedimientos y normativa
Procedimientos y registros de inventarios y cambios
Funciones de vigilancia del uso de las redes de datos: (ajustes, rendimiento, registro de
incidencias, cómo se resolvieron...)
Seguimientos del coste
Participación en el diseño de nuevas aplicaciones con necesidades específicas de comunicaciones
(p.e. Banca on-line)
Lista de controles:







Responsable comunicaciones rinde cuentas a Dirección
Descripciones detalladas de puestos y competencias del personal trabaja en redes
Existencia de normas:
o Tipos de equipamientos instalables
o Autorización de nuevos equipamientos
o Procedimientos para la utilización de exploradores físicos y lógicos…
Existencia de planes de comunicaciones a medio y largo plazo
Mantenimiento adecuado de los diagramas de redes
Inventarios de equipos e incidencias
...
II.4.6. Auditar la Red Física
No hay que olvidar revisar las instalaciones físicas del edificio, ni tampoco los controles de los
accesos físicos desde el exterior de forma autorizada (p.e. correo interno web). Es también muy
importante comprobar en qué condiciones se podría funcionar a nivel de comunicaciones si
ocurre un desastre y si hay previsto un plan de recuperación de las mismas que marque
prioridades y orden.
Objetivos de control de la Auditoría:





Áreas de acceso controlado para los principales equipos de comunicaciones
Protección de cables para evitar accesos físicos (pinchazo)
Controles de utilización de los equipos de monitorización de redes (evitar que se utilicen para
robar datos)
Revisión completa del plan de recuperación de comunicaciones (¿redes duplicadas?)
...
Lista de controles:








Sala de equipos de comunicaciones con acceso controlado y registrado
Sala con refrigeración, instalaciones eléctricas y sistemas anti-incendio adecuadas
Registro y etiquetado de todos los componentes de comunicaciones
Existencia de protecciones de cables
Revisión periódica del cableado y equipos
Escuchadores y trazadores sólo utilizados personal específico y objetivos autorizados
Líneas telefónicas para transporte de datos no deben tener numeración pública
....
II.4.7. Auditar la Red Lógica
Es tanto o más importante que auditar la red física (y produce la mayor parte de los gaps)
Objetivos de control de la Auditoría:






Existencia de contraseñas y otros procedimientos de control de accesos lógicos
Controles de errores de transmisión y protocolos renvíos
Controles de rutas de envío cambiantes (recomendable)
Existencia del registro actualizado de la actividad de la red (incluyendo incidencias e intentos de
acceso no autorizados)
Programas de seguridad en red y su actualización
...
Lista de controles:













Cualquier comunicación exigen autenticación (usuario y contraseña)
Controles habituales de contraseñas:
o Caducidad
o Bloqueo por reintentos erróneos
o Guardado cifrado
o Viaje cifrado
o ...
Control de usuarios privilegiados (procesos batch automáticos...)
Controles de accesos traseros en instalaciones software (proveedor) correctamente
deshabilitados tras la instalación
Estadísticas de errores y retransmisiones
Existencia de log de comunicaciones
Pruebas de bloqueo por ataques masivos
Respuesta del sistema ante paquetes perdidos, desordenados, muy retrasados...
Existencia de estudios para evaluar qué comunicaciones deben cifrarse (p.e. VPN)
Métodos de cifrado y certificados
Inhabilitación de puertos USB personales
Ejecución periódica de programas adecuados (y actualizados) para descubrir vulnerabilidades
...