Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Ê
Una Auditoría de Redes es, en esencia, es una serie de mecanismos mediante los
cuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a
fin de lograr una utilización más eficiente y segura de la información. El primer paso
para iniciar una gestión responsable de la seguridad es identificar la estructura física
(hardware, topología) y lógica (software, aplicaciones) del sistema (sea un equipo, red ,
intranet, extranet), y hacerle un Análisis de Vulnerabilidad para saber en qué grado de
exposición nos encontramos; así, hecha esta "radiografía" de la red, se procede a
localizar sus falencias más críticas, para proponer una Estrategia de Saneamiento de
los mismos; un Plan de Contención ante posibles incidentes; y un Seguimiento
Continuo del desempeño del sistema de ahora en más. La organización en la parte de
las redes de comunicaciones de computadores es un punto de viraje bastante
importante; es por e llo, que uno de los modelos de red más conocidos, es el modelo
OSI.
No importa lo que haga la empresa, siempre va a haber un punto de fallo, para
adelantarse a intrusos, entonces se han ideado algunas herramientas para probar la
eficacia de las políticas d e seguridad en red de la empresa, probando la buena fé de
los usuarios mandándoles mensajes de la administración solicitando su contraseña a
una especificada por la herramienta o probando contraseñas comunes o por defecto
en muchos sistemas.
c
½ Redacción de la Carta de Introducción o Carta de Presentación del
Informe final.
#""""
½ Planificación de la recuperación de las comunicaciones en caso de
desastre.
½ Ha de tenerse documentación sobre el diagramado de la red.
½ Se deben hacer pruebas sobre los nuevos equipos.
½ Se han de establecer las tasas de rendimiento en tiempo de respuesta
de las terminales y la tasa de errores.
½ Vigilancia sobre toda actividad on -line.
½ La facturación de los transportistas y vendedores ha de revisarse
regularmente.
Ê"
"&!#" En este veremos que se deben cumplir
diferentes normas priorizando el resguardo de la información, mediante:
Áreas de equipo de comunicación con control de acceso.
½ Protección y tendido adecuado de cable s y líneas de comunicación para
evitar accesos físicos.
½ Control de utilización de equipos de prueba de comunicaciones para
monitorizar la red y el trafico en ella.
½ Prioridad de recuperación del sistema.
½ Control de las líneas telefónicas.
Comprobando que:
-
½ Con respecto a las líneas telefónicas: No debe darse el número como
público y tenerlas configuradas con retro llamada, código de conexión o
interruptores.
$'$$
A grandes rasgos, el modelo OSI, dado por capas, está dividido en:
"( "'")!#"%
Se encarga de garantizar la integridad de la información transmitida
por la red; por ejemplo, si se envía un 0, que llegue un 0 .
Capa de enlace:
Garantiza que la línea o canal de transmisión, esté libre de errores.
( "'"%
Determina como se encaminan los paquetes, de la fuente al destino.
Igualmente, debe velar por el tráfico de la red, evitando al máximo
las congestiones. Para ello, debe llevar un registro contable de los
paquetes que transitan.
( "'""#'%
Divide los datos en unidades más pequeñas y garantiza que tal
información transmitida, llegu e correctamente a su destino.
De igual forma, crea una conexión de red distinta para cada
conexión de transporte requerida, regulando así el flujo de
información.
Analiza también, el tipo de servicio que proporcionará la capa de
sesión y finalmente a los u suarios de red.
( "'"##%
Maneja el sentido de transmisión de los datos y la sincronización de
operaciones; es decir, si uno transmite, el otro se prepare para
recibir y viceversa o Situaciones Commit, donde tras algún
problema, se sigue tras ultimo punto de verificación.
Capa de presentación:
Se encarga de analizar si el mensaje es semántica y
sintácticamente correcto.
( "'""'"%
Implementación de protocolos y transferencia de archivos.
Lo anterior, nos permite describir 3 tipos de fallos en la seguridad de
la red:
Ê" #% Se corrige por código de redundancia
cíclico.
Ê#" "$"#% Las tramas se desaparecen por el
ambiente o una sobrecarga del sistema; para ello, se debe tener un
número de secuencia de tramas.
Ê" " #" en la cual el receptor reconstruye
mensaje.
Ê" "
" Se examina si está protegido de daños
internos, como por ejemplo, inhabilitar un equipo que empieza a enviar
mensajes hasta que satura por completo la red.
Para esta situación cada área de sistemas debe cumplir diferentes normas
de control las cuales deben estar documentados cuando se realiza las
configuraciones de los equipos de telecomunicaciones, como ser:
½ Controlar los errores.
½ Garantizar que en una tran smisión, ésta solo sea recibida por el
destinatario. Para esto, regularmente se cambia la ruta de acceso de la
información a la red.
½ Registrar las actividades de los usuarios en la red.
½ Encriptar la información pertinente.
½ Evitar la importación y exportaci ón de datos.
½ El sistema pidió el nombre de usuario y la contraseña para cada sesión:
En cada sesión de usuario, se debe revisar que no acceda a ningún
sistema sin autorización, ha de inhabilitarse al usuario que tras un número
establecido de veces erra en dar correctamente su propia contraseña, se
debe obligar a los usuarios a cambiar su contraseña regularmente, las
contraseñas no deben ser mostradas en pantalla tras digitarlas, para cada
usuario, se debe dar información sobre su última conexión a fin de ev itar
suplantaciones.
½ Inhabilitar el software o hardware con acceso libre.
½ Generar estadísticas de las tasas de errores y transmisión.
½ Crear protocolos con detección de errores.
½ Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y
receptor.
½ El software de comunicación, ha de tener procedimientos correctivos y
de control ante mensajes duplicados, fuera de orden, perdidos o
retrasados.
½ Los datos sensibles, solo pueden ser impresos en una impresora
especificada y ser vistos desde una terminal debidamente autorizada.
*
½ Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
½ Se debe hacer un análisis de la conveniencia de cifrar los canales de
transmisión entre diferentes organizaciones.
½ Asegurar que los datos que viajan por Internet vayan cifrados.
½ Si en la LAN hay equipos con modem entonces se debe revisar el
control de seguridad asociado para impedir el acceso de equipos
foráneos a la red.
½ Deben existir políticas que prohíban la instalación de programas o
equipos personales en la r ed.
½ Los accesos a servidores remotos han de estar inhabilitados.
½ La propia empresa generará propios ataques para probar solidez de la
red y encontrar posibles fallos en cada una de las siguientes facetas:
2 Servidores = Desde dentro del servidor y de la red interna.
2 Servidores web.
2 Intranet = Desde dentro.
2 Firewall = Desde dentro.
2 Accesos del exterior y/o Internet.
' ")!"La criptografía se define como "las técnicas de escrituras
tales que la información esté oculta de intrusos no autorizados". Esto, no
incluye el criptoanálisis que trata de reventar tales técnicas para descubrir
el mensaje oculto.
)"
"
Se apoya en variaciones XOR entre cada par de bits, hasta que se logre
obtener un único bit, parte de la clave.
A
protección de datos (listas de control de acceso, permisos de archivo,
contraseñas, etcétera), los datos no tendrán significado para él.
Existen muchos tipos de paquetes de encriptación, tanto en hardware
como en software. Los paquetes de software de encriptación están
disponibles en forma comercial o gratuita. El hardware de encriptación
por lo general se construye en torno a procesadores dedicados y es
mucho más rápido que su equivalente en software.
"' ")!""""##$"#
*
$"#,-$#
Para un buen funcionamiento cada área de sistemas debe tener normas y
procedimientos de control interno, seguridad del personal, seguridad física
seguridad en la utilización de equipos, procedimientos de respaldo en caso de
desastres y pólizas de seguro, la cual desarr ollaremos parte por parte:
* En las empresas tiene como finalidad ayudarles en la
evaluación de la eficacia y eficiencia de su gestión administrativa,
cumpliendo la frase.
m
Donde se revisara el procedimiento de adquisición, si cumplieron las normas
administrativas de la empresa en base al del gobierno estatal , valorando las
especificaciones técnicas y no solo basarse al precio más bajo, si no la calidad
de cada equipo adquirido.
requerimientos: Notificar, Informar al directo r de informática, Estado de
todos los sistemas, Notificar a los proveedores , recuperación de datos.
*0 -."# Se debe considerar si el área de sistemas ha
tomado la iniciativa de asegurar mediante pólizas, los equipos de
telecomunicaciones y servidores ya que por el alto costo de cada una de
ellas se pueden reponer inmediatamente.
0 ## En la auditoria en redes esta mas enfocando en tres puntos
generales las cuales se debe dar buen énfasis, que es lo físico, lógico y
normativo, ya que e n estas épocas se han establecido normas internacionales
para el buen manejo dando así que el mismo fabricante de hardware debe
cumplir, las falencias se encuentran se encuentran en la forma de manejar, es
decir la documentación que respalde.
1 2 ")!"
½ Instituto Tecnológico de Sonora México -
www.itson.mx/Paginas/index.aspx
½ Cámara Costarricense de Tecnología de Información y
Comunicación - www.camtic.org/ES/
½ Contraloría General de la República de Dominicana -
www.contraloria.gov.do/webcontraloria/index.html