Ê
Ê




 Ê 


 

Una Auditoría de Redes es, en esencia, es una serie de mecanismos mediante los
cuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a
fin de lograr una utilización más eficiente y segura de la información. El primer paso
para iniciar una gestión responsable de la seguridad es identificar la estructura física
(hardware, topología) y lógica (software, aplicaciones) del sistema (sea un equipo, red ,
intranet, extranet), y hacerle un Análisis de Vulnerabilidad para saber en qué grado de
exposición nos encontramos; así, hecha esta "radiografía" de la red, se procede a
localizar sus falencias más críticas, para proponer una Estrategia de Saneamiento de
los mismos; un Plan de Contención ante posibles incidentes; y un Seguimiento
Continuo del desempeño del sistema de ahora en más. La organización en la parte de
las redes de comunicaciones de computadores es un punto de viraje bastante
importante; es por e llo, que uno de los modelos de red más conocidos, es el modelo
OSI.
No importa lo que haga la empresa, siempre va a haber un punto de fallo, para
adelantarse a intrusos, entonces se han ideado algunas herramientas para probar la
eficacia de las políticas d e seguridad en red de la empresa, probando la buena fé de
los usuarios mandándoles mensajes de la administración solicitando su contraseña a
una especificada por la herramienta o probando contraseñas comunes o por defecto
en muchos sistemas.

 

Socializar los métodos de control para la elaboración de una auditoria en sistemas

en la red y telecomunicaciones, cumpliendo las normas ya establecidas de seguridad.

  !""" Ê"#

Se debe cumplir las siguientes etapas:

½ Definición de Alcance y Objetivos de la Auditoría Informática.

½ Estudio inicial del entorno auditable.
½ Determinación de los recursos necesarios para realizar la auditoría.
½ Elaboración del plan y de los Programas de Trabajo.
½ Actividades propiamente dichas de la auditoría.
½ Confección y redacción del Informe Final.

c
 ½ Redacción de la Carta de Introducción o Carta de Presentación del
Informe final.
‰
#"""" 

Para entender este punto del desarrollo de la auditoria informática en redes

dividiremos en cuatro partes, donde detallaremos que actividades se debe realizar:

‰ Ê"$"#Se debe supervisar lo si guiente%

½ La gestión de red. Los equipos y su conectividad.
½ La monitorización de las comunicaciones.
½ La revisión de costes y la asignación formal de proveedores.
½ Creación y aplicabilidad de estándares.

Como objetivos e control debe estar:

½ Tener una gerencia de comunicaciones con plena autoridad de voto y

acción.
½ Llevar un registro actualizado de módems, controladores, terminales,
líneas y todo equipo relacionado con las comunicaciones.
½ Mantener una vigilancia constante sobre cualquier acción en la red.
½ Registrar un coste de comunicaciones y reparto a encargados.
½ Mejorar el rendimiento y la resolución de problemas presentados en la
red.

La cual se debe comprobar:

½ El nivel de acceso a diferentes funciones dentro de la red.

½ Coordinación de la organización de comunicación de datos y voz.
½ Han de existir normas de comunicación en:
2 Tipos de equipamiento como adaptadores LAN.
2 Autorización de nuevo equipamiento, tanto dentro, como fuera
de las horas laborales.
2 Uso de conexión digital con el exterior como Internet.
2 Instalación de equipos de escucha como Sniffers (exploradores
físicos) o Traceadores (exploradores lógicos).
½ La responsabilidad en los contratos de proveedores.
½ La creación de estrategias de comunicación a largo plazo.
½ Los planes de comunicación a alta velo cidad como fibra óptica y ATM (
técnica de conmutación de paquetes usada en redes MAN e ISDN).
½ Planificación de cableado.


 ½ Planificación de la recuperación de las comunicaciones en caso de
desastre.
½ Ha de tenerse documentación sobre el diagramado de la red.
½ Se deben hacer pruebas sobre los nuevos equipos.
½ Se han de establecer las tasas de rendimiento en tiempo de respuesta
de las terminales y la tasa de errores.
½ Vigilancia sobre toda actividad on -line.
½ La facturación de los transportistas y vendedores ha de revisarse
regularmente.
‰ Ê"

"&!#" En este veremos que se deben cumplir
diferentes normas priorizando el resguardo de la información, mediante: 
Áreas de equipo de comunicación con control de acceso.
½ Protección y tendido adecuado de cable s y líneas de comunicación para
evitar accesos físicos.
½ Control de utilización de equipos de prueba de comunicaciones para
monitorizar la red y el trafico en ella.
½ Prioridad de recuperación del sistema.
½ Control de las líneas telefónicas. 

Comprobando que:

½ El equipo de comunicaciones ha de estar en un lugar cerrado y con

acceso limitado.
½ La seguridad física del equipo de comunicaciones sea adecuada.
½ Se tomen medidas para separar las actividades de los electricistas y de
cableado de líneas telefónicas.
½ Las líneas de comunicación estén fuera de la vista.
½ Se dé un código a cada línea, en vez de una descripción física de la
misma.
½ Haya procedimientos de protección de los cables y las bocas de
conexión para evitar pinchazos a la red.
½ Existan revisiones periódicas de la red buscando pinchazos a la misma.
½ El equipo de prueba de comunicaciones ha de tener unos propósitos y
funciones específicas.
½ Existan alternativas de respaldo de las comunicaciones.

-
½ Con respecto a las líneas telefónicas: No debe darse el número como
público y tenerlas configuradas con retro llamada, código de conexión o
interruptores.
‰ $'$$ 
A grandes rasgos, el modelo OSI, dado por capas, está dividido en:
"( "'")!#"%
Se encarga de garantizar la integridad de la información transmitida
por la red; por ejemplo, si se envía un 0, que llegue un 0 .
Capa de enlace:
Garantiza que la línea o canal de transmisión, esté libre de errores.
( "'"%
Determina como se encaminan los paquetes, de la fuente al destino.
Igualmente, debe velar por el tráfico de la red, evitando al máximo
las congestiones. Para ello, debe llevar un registro contable de los
paquetes que transitan.
( "'""#'%
Divide los datos en unidades más pequeñas y garantiza que tal
información transmitida, llegu e correctamente a su destino.
De igual forma, crea una conexión de red distinta para cada
conexión de transporte requerida, regulando así el flujo de
información.
Analiza también, el tipo de servicio que proporcionará la capa de
sesión y finalmente a los u suarios de red.
( "'"##%
Maneja el sentido de transmisión de los datos y la sincronización de
operaciones; es decir, si uno transmite, el otro se prepare para
recibir y viceversa o Situaciones Commit, donde tras algún
problema, se sigue tras ultimo punto de verificación.
Capa de presentación:
Se encarga de analizar si el mensaje es semántica y
sintácticamente correcto.
( "'""'"% 
Implementación de protocolos y transferencia de archivos.
Lo anterior, nos permite describir 3 tipos de fallos en la seguridad de
la red:
Ê"  #% Se corrige por código de redundancia
cíclico.

‰
 Ê#"  "$"#% Las tramas se desaparecen por el
ambiente o una sobrecarga del sistema; para ello, se debe tener un
número de secuencia de tramas.
Ê"  " #" en la cual el receptor reconstruye
mensaje.
‰ Ê"  " 
 "  Se examina si está protegido de daños
internos, como por ejemplo, inhabilitar un equipo que empieza a enviar
mensajes hasta que satura por completo la red.
Para esta situación cada área de sistemas debe cumplir diferentes normas
de control las cuales deben estar documentados cuando se realiza las
configuraciones de los equipos de telecomunicaciones, como ser:
½ Controlar los errores.
½ Garantizar que en una tran smisión, ésta solo sea recibida por el
destinatario. Para esto, regularmente se cambia la ruta de acceso de la
información a la red.
½ Registrar las actividades de los usuarios en la red.
½ Encriptar la información pertinente.
½ Evitar la importación y exportaci ón de datos.
½ El sistema pidió el nombre de usuario y la contraseña para cada sesión:
En cada sesión de usuario, se debe revisar que no acceda a ningún
sistema sin autorización, ha de inhabilitarse al usuario que tras un número
establecido de veces erra en dar correctamente su propia contraseña, se
debe obligar a los usuarios a cambiar su contraseña regularmente, las
contraseñas no deben ser mostradas en pantalla tras digitarlas, para cada
usuario, se debe dar información sobre su última conexión a fin de ev itar
suplantaciones.
½ Inhabilitar el software o hardware con acceso libre.
½ Generar estadísticas de las tasas de errores y transmisión.
½ Crear protocolos con detección de errores.
½ Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y
receptor.
½ El software de comunicación, ha de tener procedimientos correctivos y
de control ante mensajes duplicados, fuera de orden, perdidos o
retrasados.
½ Los datos sensibles, solo pueden ser impresos en una impresora
especificada y ser vistos desde una terminal debidamente autorizada.

*
 ½ Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
½ Se debe hacer un análisis de la conveniencia de cifrar los canales de
transmisión entre diferentes organizaciones.
½ Asegurar que los datos que viajan por Internet vayan cifrados.
½ Si en la LAN hay equipos con modem entonces se debe revisar el
control de seguridad asociado para impedir el acceso de equipos
foráneos a la red.
½ Deben existir políticas que prohíban la instalación de programas o
equipos personales en la r ed.
½ Los accesos a servidores remotos han de estar inhabilitados.
½ La propia empresa generará propios ataques para probar solidez de la
red y encontrar posibles fallos en cada una de las siguientes facetas:
2 Servidores = Desde dentro del servidor y de la red interna.
2 Servidores web.
2 Intranet = Desde dentro.
2 Firewall = Desde dentro.
2 Accesos del exterior y/o Internet.
‰‰ ' ")!"La criptografía se define como "las técnicas de escrituras
tales que la información esté oculta de intrusos no autorizados". Esto, no
incluye el criptoanálisis que trata de reventar tales técnicas para descubrir
el mensaje oculto.

Existen 2 tipos de criptoanálisis:

‰‰
)"

Con variaciones de un bit en cada intento, trata de averiguar la clave de

descifrado del mensaje oculto.

‰‰
"

Se apoya en variaciones XOR entre cada par de bits, hasta que se logre
obtener un único bit, parte de la clave.

‰‰ #"'"'""' " 

Puede usarse la encriptación para proteger los datos en tránsito, así

como los almacenados.
La clave debe guardarse y distribuirse con cuidado. La ventaja de usar
encriptación es que, aun si el intruso logra vencer otros métodos de

A
 protección de datos (listas de control de acceso, permisos de archivo,
contraseñas, etcétera), los datos no tendrán significado para él.
Existen muchos tipos de paquetes de encriptación, tanto en hardware
como en software. Los paquetes de software de encriptación están
disponibles en forma comercial o gratuita. El hardware de encriptación
por lo general se construye en torno a procesadores dedicados y es
mucho más rápido que su equivalente en software.

‰‰‰
"' ")!""""##$"# 

Debemos hacer las siguientes preguntas:

´ ¿Qué recursos está usted tratando de proteger encriptandolos?

´ ¿De quiénes necesita proteger los recursos?
´ ¿Qué tan posibles son las amenazas?
´ ¿Qué tan importante es el recurso?
´ ¿Qué medidas puede implementar para proteger sus bienes de
forma económica y oportuna?
´ ¿Examina, periódicamente sus políticas de seguridad respecto a la
criptografía para ver si han cambiado los objetivos y las
circunstancias que perjudiquen su trabajo?
´ ¿Qué personal puede realizar el trabajo de encriptación?
´ ¿Quiénes tienen los paswords?
´ ¿Cada cuanto se cambian los paswords?
´ ¿Cómo lo hacen, y quienes participan?
‰‰* $+)"##$"#Ê)" 

La autentificación puede definirse como el proceso de proporcionar una

identidad declarada a la satisfacción de una autoridad que otorga permisos.
En la mayoría de los sistemas, el usuario tiene que especificar la
contraseña de su cuenta para que se le permita registrarse. El propósito de
la contraseña es verificar que el usuario sea quien dice ser. En otras
palabras, la contraseña actúa como mecanismo que autentifica al usuario.
Sin embargo, las contraseñas pue den ser robadas y alguien puede imitar al
usuario. Debido a que no se toman las medidas adecuadas con la
frecuencia necesaria, las contraseñas robadas son causa de gran número
de brechas de seguridad en Internet.


* $"#,-$# 
Para un buen funcionamiento cada área de sistemas debe tener normas y
procedimientos de control interno, seguridad del personal, seguridad física
seguridad en la utilización de equipos, procedimientos de respaldo en caso de
desastres y pólizas de seguro, la cual desarr ollaremos parte por parte:
*  En las empresas tiene como finalidad ayudarles en la
evaluación de la eficacia y eficiencia de su gestión administrativa,
cumpliendo la frase.

m
 

  
 
  
 
 


Donde se revisara el procedimiento de adquisición, si cumplieron las normas
administrativas de la empresa en base al del gobierno estatal , valorando las
especificaciones técnicas y no solo basarse al precio más bajo, si no la calidad
de cada equipo adquirido.

*  "   '#"  La integridad, estabilidad y lealtad de

personal, juega un papel muy importante dentro del área de sistemas, por
lo que se revisara si tienen:
½ Políticas adecuadas de vacaciones
½ Políticas de rotación de personal
½ Política de reemplazo
½ Personal de confianza y motivación
*  " &!#" Debe tener políticas, procedimientos y prácticas
para evitar las interrupciones , ubicación del Centro de Computo:
Construcción del edificio , Fuentes de polvo y poseer detectores, Control
sobre los extinguidores , ingreso al centro computo .
*‰  "  " ."  /' - Cada funcionario debe
conocer las políticas de control de uso de equipos y sistemas, ya que es un
elemento muy importante, se de berá examinar aleatoriamente si el
funcionario tiene conocimiento de estas normas, asimismo se verificara en
forma escrita si cuenta con una:
½ Política de Control de acceso a los programas
½ Políticas respaldo de documentos y archivos
½ Políticas de protección de la información confidencial.
½ Políticas de mantenimiento a los equipos y sistemas
** -$#  #'"  "# 
#"##  Se debe
verificar si tienen, plan de emergencia accesible que cumplan los


 requerimientos: Notificar, Informar al directo r de informática, Estado de
todos los sistemas, Notificar a los proveedores , recuperación de datos.
*0 -."#    Se debe considerar si el área de sistemas ha
tomado la iniciativa de asegurar mediante pólizas, los equipos de
telecomunicaciones y servidores ya que por el alto costo de cada una de
ellas se pueden reponer inmediatamente.
0 ## En la auditoria en redes esta mas enfocando en tres puntos
generales las cuales se debe dar buen énfasis, que es lo físico, lógico y
normativo, ya que e n estas épocas se han establecido normas internacionales
para el buen manejo dando así que el mismo fabricante de hardware debe
cumplir, las falencias se encuentran se encuentran en la forma de manejar, es
decir la documentación que respalde. 
1 2 ")!"
½ Instituto Tecnológico de Sonora México -
www.itson.mx/Paginas/index.aspx
½ Cámara Costarricense de Tecnología de Información y
Comunicación - www.camtic.org/ES/
½ Contraloría General de la República de Dominicana -
www.contraloria.gov.do/webcontraloria/index.html