jueves, 21 de febrero de 2008

Auditoria en seguridad de redes

La organización en lo que respecta a REDES de comunicaciones de computadores se ha vuelto un punto critico para toda empresa; por eso existen cada vez mas estándares; herramientas y técnicas para comprobar la efectividad de los recursos de la empresa; tal es el caso de evaluar constantemente nuestro sistema y el funcionamiento del mismo; esto se logra a traves de una auditoría; la misma que se puede aplicar a diferentes areas como las veremos brevemente a continuación:

Auditoría de comunicaciones
Se observara:
- La gestión de red = los equipos y su conectividad.
- La monitorización de las comunicaciones.
- La revisión de costes y la asignación formal de proveedores
- Creación y aplicabilidad de estándares.

Cumpliendo como objetivos de control:


- Tener una gerencia de comunicaciones con plena autoridad de voto y acción.
- Llevar un registro actualizado de módems, controladores, terminales, líneas y todo equipo relacionado con las comunicaciones.
- Mantener una vigilancia constante sobre cualquier acción en la red.
- Registrar un coste de comunicaciones y reparto a encargados.
- Mejorar el rendimiento y la resolución de problemas presentados en la red.


Para lo cual se debe comprobar:
- El nivel de acceso a diferentes funciones dentro de la red.
- Coordinación de la organización de comunicación de datos y voz.
- Han de existir normas de comunicación en:
- Tipos de equipamiento como adaptadores LAN.
- Autorización de nuevo equipamiento, tanto dentro, como fuera de las horas laborales.
- Uso de conexión digital con el exterior como Internet.
- Instalación de equipos de escucha como Sniffers (exploradores físicos) o Traceadores (exploradores lógicos).
- La responsabilidad en los contratos de proveedores.
- La creación de estrategias de comunicación a largo plazo.
- Los planes de comunicación a alta velocidad como fibra óptica y ATM ( técnica de conmutación de paquetes usada en redes MAN e ISDN).
- Planificación de cableado.
- Planificación de la recuperación de las comunicaciones en caso de desastre.
- Ha de tenerse documentación sobre el diagramado de la red.
- Se deben hacer pruebas sobre los nuevos equipos.
- Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores.
- Vigilancia sobre toda actividad on-line.

Auditoria De La Red Física

Se debe garantizar que exista:
- Áreas de equipo de comunicación con control de acceso.
- Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos.
- Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el trafico en ella.
- Prioridad de recuperación del sistema.
- Control de las líneas telefónicas.


Comprobando que:
- El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.
- La seguridad física del equipo de comunicaciones sea adecuada.
- Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas.
- Las líneas de comunicación estén fuera de la vista.
- Se dé un código a cada línea, en vez de una descripción física de la misma.
- Haya procedimientos de protección de los cables y las bocas de conexión para evitar pinchazos a la red.
- Existan revisiones periódicas de la red buscando pinchazos a la misma.
- El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas.
- Existan alternativas de respaldo de las comunicaciones.
- Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retrollamada, código de conexión o interruptores.



Auditoria De La Red Lógica



En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red.Para éste tipo de situaciones:
- Se deben dar contraseñas de acceso.
- Controlar los errores.
- Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la información a la red.
- Registrar las actividades de los usuarios en la red.
- Encriptar la información pertinente.
- Evitar la importación y exportación de datos.
- Que se comprueban si:El sistema pidió el nombre de usuario y la contraseña para cada sesión:En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin autorización, ha de inhabilitarse al usuario que tras un número establecido de veces erra en dar correctamente su propia contraseña, se debe obligar a los usuarios a cambiar su contraseña regularmente, las contraseñas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar información sobre su última conexión a fin de evitar suplantaciones.
- Inhabilitar el software o hardware con acceso libre.
- Generar estadísticas de las tasas de errores y transmisión.
- Crear protocolos con detección de errores.
- Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.
- El software de comunicación, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados.
- Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada.
- Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
- Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciones.
- Asegurar que los datos que viajan por Internet vayan cifrados.
- Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos foráneos a la red.
- Deben existir políticas que prohíban la instalación de programas o equipos personales en la red.
- Los accesos a servidores remotos han de estar inhabilitados.
- La propia empresa generará propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas:
- Servidores = Desde dentro del servidor y de la red interna.
- Servidores web
- Intranet = Desde dentro.
- Firewall = Desde dentro.
- Accesos del exterior y/o Internet.