Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
AUDITORIA.
TEMA:
Auditoria de Redes.
CARNE:
0906-06-6820 Julio Gabriel Gramajo de León
FECHA: 14/11/2015
1
CONTENIDO
2
RIESGO..............................................................................................................................................................26
RECOMENDACIÓN .........................................................................................................................................26
OBSERVACION 2.......................................................................................................................................................26
RIESGO..............................................................................................................................................................26
RECOMENDACIÓN .........................................................................................................................................27
OBSERVACION 3.......................................................................................................................................................27
RIESGO..............................................................................................................................................................27
RECOMENDACIÓN .........................................................................................................................................27
OBSERVACION 4.......................................................................................................................................................28
RIESGO..............................................................................................................................................................28
RECOMENDACIÓN .........................................................................................................................................28
OBSERVACION 5.......................................................................................................................................................28
RIESGO..............................................................................................................................................................28
RECOMENDACIÓN .........................................................................................................................................29
OBSERVACION 6.......................................................................................................................................................29
RIESGO..............................................................................................................................................................29
RECOMENDACIÓN .........................................................................................................................................29
ANEXOS ....................................................................................................................................................................31
LISTA DE CHEQUEO ..................................................................................................................................................31
INSTRUMENTOS DE LA AUDITORIA .......................................................................................................................32
FOTOS DE LAS INSTALACIONES DEL ÁREA DE INFORMATICA DE LA MUNICIPALIDAD DE COATEPEQUE ................36
3
AUDITORIA DE REDES
INTRODUCCIÓN
El objetivo de una auditoria de redes es determinar la situación actual, fortalezas y
debilidades, de una red de datos. Una empresa necesita saber en qué situación está la
red para tomar decisiones sustentadas de reemplazo o mejora.
Capa física:
Capa de enlace:
Garantiza que la línea o canal de transmisión, esté libre de errores.
Capa de red:
Determina como se encaminan los paquetes, de la fuente al destino.
Igualmente, debe velar por el tráfico de la red, evitando al máximo las congestiones. Para
ello, debe llevar un registro contable de los paquetes que transitan.
Capa de transporte:
Divide los datos en unidades más pequeñas y garantiza que tal información transmitida,
llegue correctamente a su destino.
De igual forma, crea una conexión de red distinta para cada conexión de transporte
requerida, regulando así el flujo de información.
Analiza también, el tipo de servicio que proporcionará la capa de sesión y finalmente a
los usuarios de red.
Capa de sesión:
Maneja el sentido de transmisión de los datos y la sincronización de operaciones; es
decir, si uno transmite, el otro se prepare para recibir y viceversa o
Situaciones Commit, donde tras algún problema, se sigue tras último punto de
verificación.
4
Capa de presentación:
Se encarga de analizar si el mensaje es semántica y sintácticamente correcto.
Capa de aplicación:
Implementación de protocolos y transferencia de archivos.
Lo anterior, nos permite describir 3 tipos de fallos en la seguridad de la red:
Otro de los tipos de modelos de referencia más conocidos, es el TCP/IP, hoy día, con
algunas variaciones, como el de encapsular varios protocolos, como el Netbios; el
TCP/IP da replicación de los canales para posibles caídas del sistema.
Bajo ésta política, entonces se ha definido como clases de redes:
- Intranet = Red interna de la empresa.
- Extranet = Red externa pero directamente relacionada a la empresa.
- Internet = La red de redes.
5
AUDITORIA DE COMUNICACIONES:
Ha de verse:
6
AUDITORIA DE LA RED FÍSICA
Comprobando que:
- El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso
limitado.
- La seguridad física del equipo de comunicaciones sea adecuada.
- Se tomen medidas para separar las actividades de los electricistas y de cableado
de líneas telefónicas.
- Las líneas de comunicación estén fuera de la vista.
- Se dé un código a cada línea, en vez de una descripción física de la misma.
- Haya procedimientos de protección de los cables y las bocas de conexión para
evitar pinchazos a la red.
- Existan revisiones periódicas de la red buscando pinchazos a la misma.
- El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones
específicas.
- Existan alternativas de respaldo de las comunicaciones.
- Con respecto a las líneas telefónicas: No debe darse el número como público y
tenerlas configuradas con retro llamada, código de conexión o interruptores.
En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que
empieza a enviar mensajes hasta que satura por completo la red.
Para éste tipo de situaciones:
7
- Evitar la importación y exportación de datos.
Que se comprueban si:
- El sistema pidió el nombre de usuario y la contraseña para cada sesión:
- En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin
autorización, ha de inhabilitarse al usuario que tras un número establecido de
veces erra en dar correctamente su propia contraseña, se debe obligar a los
usuarios a cambiar su contraseña regularmente, las contraseñas no deben ser
mostradas en pantalla tras digitarlas, para cada usuario.
- Inhabilitar el software o hardware con acceso libre.
- Generar estadísticas de las tasas de errores y transmisión.
- Crear protocolos con detección de errores.
- Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.
- El software de comunicación, ha de tener procedimientos correctivos y de control
ante mensajes duplicados, fuera de orden, perdidos o retrasados.
- Los datos sensibles, solo pueden ser impresos en una impresora especificada y
ser vistos desde una terminal debidamente autorizada.
- Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
- Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión
entre diferentes organizaciones.
- Asegurar que los datos que viajan por Internet vayan cifrados.
- Si en la LAN hay equipos con modem entonces se debe revisar el control de
seguridad asociado para impedir el acceso de equipos foráneos a la red.
- Deben existir políticas que prohíban la instalación de programas o equipos
personales en la red.
- Los accesos a servidores remotos han de estar inhabilitados.
- La propia empresa generará propios ataques para probar solidez de la red y
encontrar posibles fallos en cada una de las siguientes facetas:
o Servidores = Desde dentro del servidor y de la red interna.
o Servidores web.
o Intranet = Desde dentro.
o Firewall = Desde dentro.
o Accesos del exterior y/o Internet.
8
ALCANCE
Por lo cual nos enfocamos en seguridad de los sistemas, sin olvidar la estructura física
del cableado lo cual nos brindara una conexión eficaz para minimizar el riesgo de
pérdidas de paquetes en la conexión de los usuarios que juegan el rol de clientes del
sistema.
9
OBJETIVOS PRINCIPALES
OBJETIVOS ESPECÍFICOS
10
PROGRAMA DE AUDITORÍA INFORMÁTICA DE REDES
ETAPA PRELIMINAR:
• Contacto inicial con el cliente 02 Hrs.
• Entrevista con el personal de T.I. 02 Hrs. Estudiantes de Ing.
• Solicitud de información sobre los factores a auditar en la red. 02 Hrs. Sistemas
I • Definición del Alcance, Objetivos Generales y Específicos de la Auditoria. 02 Hrs.
• Elaboración de Matriz de Análisis. 04 Hrs.
• Diseño de Instrumentos y técnicas de auditoría. 02 Hrs.
DESARROLLO DE LA AUDITORÍA:
• Elaboración y Aplicación de Cuestionarios al personal T.I. y Administrador de la Red. 4 Hrs.
• Observación directa de los factores considerados en la auditoría. 2 Hrs. Estudiantes de Ing.
II • Aplicación de técnicas y Recopilación de información. 4 Hrs. Sistemas
• Análisis de la información. 4 Hrs.
11
CRONOGRAMA DE ACTIVIDADES
12
MATRIZ DE AUDITORIA INFORMÁTICA DE REDES
Código: MR-0001
MATRIZ DE ANÁLISIS DE AUDITORIA INFORMÁTICA DE REDES Página: 1/ 1
OBJETIVOS
DIMENSIÓN INDICADORES INSTRUMENTOS
GENERALES ESPECÍFICOS
Cantidad de Nodos
Realizar Auditoria Evaluar el Desempeño Tráfico Observación directa;
Informática de Redes de la Red Volumen de Información
para evaluar el Analizadores de Red;
desempeño de la Ancho de Banda
plataforma de la
empresa LPA1 Tasa de Transferencia
Velocidad
Pérdida de paquetes
Topología de Red
Conectividad
Dispositivos de Comunicaciones
Analizar la información
Análisis de la
recolectada durante el
Información
proceso de auditoría
13
METODOLOGÍA
DIAGNOSTICO PRELIMINAR
Tras tener nuestra primera entrevista con el encargado del departamento de TI de la
Municipalidad nos ha comentado acerca de varias deficiencias que tienen en la red
interna tal como:
- no utilizan subredes
14
PROCESOS A EVALUAR
Descripción
Se han revisado las auditorias de etapas físicas, lógicas y en la
comunicación de datos, y hemos podido darnos cuenta del poco interés que
le han dado al área de TI de parte de la entidad municipal, no cuentan con
un presupuesto anual para poder invertir en equipos.
Objetivos
Dar a conocer la importancia que tiene el departamento de TI para
el funcionamiento de la Municipalidad
Especificar cuáles son las vulnerabilidades.
Brindar opciones para dar una solución a los problemas de
comunicaciones y seguridad de sistemas en el edificio.
15
PROCEDIMIENTOS
Según lo que recabamos en la visita preliminar, la situación actual de las redes de comunicación es muy mala, la
seguridad es muy baja y las capacitaciones están olvidadas y necesitan una implementación de políticas
informáticas para que el funcionamiento de las redes y comunicaciones cumplan siempre con lo que el usuario
necesite, teniendo siempre disponibilidad, integridad y confidencialidad.
16
Cuestionario de control interno
N° CARACTERÍSTICA A EVALUAR SI NO
17
GENERAL
Por medio de las visitas nos hemos podido observar que el Departamento
de TI no ha generado ninguna política ni planes de contingencia, ni planes
de recuperación a desastres
INTERNET
Descripción
Objetivos
Procedimientos
Instalar WebBlock
Definir un password para que solo el administrador pueda gestionarlo
Agregar páginas al blackList
Objetivos de información
Evitar saturación
Tener ancho de banda disponible
Evitar el riesgo de pérdida de paquetes
18
CONTROLES FÍSICOS
Descripción
Objetivos
- Informar de las áreas en las cuales son indispensables los controles físicos
- Listar los controles que están utilizando y dar la opción de implementar otros.
Procedimientos
CAPACITACIÓN DE EMPLEADOS
Descripción
19
Objetivos
Procedimientos
SEGURIDAD FIREWALL
Descripción
Objetivos
Procedimientos
Sin procedimientos.
20
Equipos
Descripción
En una de la entrevistas con el personal del departamento de TI, nos informan que
tienen políticas y procedimiento acerca de lo que es el uso de correo electrónico
interno las cuales es para asignar responsabilidades a los usuarios, y esto tiene
un procedimiento para poder asignar una dirección de correo con el dominio de la
municipalidad.
Objetivos
Procedimientos
o Solicitud por escrito al secretario municipal para asignar una dirección del
dominio del municipalidad.
21
VERIFICACIÓN DE INSTALACIONES
Descripción
Objetivos
Procedimientos
Actualmente no cuentan con ningún procedimiento, pero en las observaciones
aremos énfasis en la aplicación de verificaciones de instalaciones físicas de lo
que es la infraestructura de la red.
ANÁLISIS DE VULNERABILIDAD
La importancia de esta etapa es grande, ya que nos mostrara las entradas disponibles
para cualquiera que quiera entrar a nuestra red, incluso a nuestro sistema, para ello lo
más utilizado es Nesus el cual nos da una matriz de vulnerabilidades que utilizamos para
saber cuál es la que más necesita atención y también nos da una de las posibles
soluciones para terminar con la vulnerabilidad.
22
Cuando terminamos de analizar nuestra todas la vulnerabilidades que nuestro equipo
tiene, entran las pruebas de caja negra y caja blanca, que el auditor de una red tiene que
realizar para poder comprobar la seguridad que nuestro sistema tiene.
PLAN DE CONTINGENCIAS
No cuentan con plan de contingencia
REPORTES RECOMENDADOS
No lo tienen
REQUERIMIENTOS DE OPERACIÓN
No lo tienen
BENEFICIOS Y RIESGOS
No lo tienen
PROVEEDORES DE TECNOLOGÍA
No lo tienen
23
CONCLUSIONES
CONCLUSIÓN # 1
Al evaluar el área física nos podemos dar cuenta que las oficinas necesitan ser
remodeladas y que el mobiliario no es el adecuado para los equipo de cómputo
con que se cuentan.
CONCLUSIÓN # 2
Los punto de red que fueron instalados cuentan con su respectivo dado para la
conexión de las computadoras pero en algunos casos se ha tenido la necesidad
de poder eliminar los mismo para improvisar conexiones que hacen más inestable
la red.
CONCLUSIÓN # 3
24
CONCLUSIÓN # 4
Es necesario que los controles sobre los recursos de la red de área local de la
empresa deben ser mejorados puesto que presenta importantes dificultades. Esto
se debe a la ausencia de lineamientos claros para su gestión.
CONCLUSIÓN # 5
Se debe de capacitar al personal en los aspectos referidos a la seguridad de la
red física, uso de la computadora, y aprovechamiento de los recursos del internet.
25
OBSERVACION 1
Al entrevistar al encargado del departamento de TI y preguntar acerca de los manuales,
políticas o planes de recuperación, nos hemos encontrado con que no se cuenta con
tales.
RIESGO
Existen muchos riesgos al no contar con estos documentos, ya que muchos de estos
dan una idea clara de cómo solucionar la mayor parte de problemas a los que la empresa
está expuesta.
También que sin importar el personal que se encuentre laborando la empresa podrá
resolver los problemas sin prescindir de una persona en especial. Ya que podrán saber
los pasos exactos a seguir para llevar un procedimiento a cabalidad haciéndolo de una
manera eficaz y eficientemente.
RECOMENDACIÓN
Ya existen procedimientos que se realizan en la municipalidad por el encargado de TI y
los técnicos, pero estos procesos no se encuentran documentados ni autorizados. Por
eso mismo se recomienda empezar con la creación de los mismos.
OBSERVACION 2
Al verificar el método de bloqueo a las páginas web no autorizadas por la administración
se observó que es un método vulnerable ya que el programa es únicamente una
abstracción visual del archivo “host”, el inconveniente es que si uno se dirige
directamente a la ruta de ese archivo a modifícalo, el programa no lo bloquea y este
puede ser alterado sin necesidad de contraseña.
RIESGO
El riesgo más importante de dejar sin bloqueo de sitios web son los virus, ya que muchas
de las páginas para descargas tienen archivos mal intencionado poniendo en riesgo la
seguridad de la municipalidad.
26
RECOMENDACIÓN
Se recomienda crear un servidor de DNS el cual filtre las webs, también crear políticas y
roles dentro del servidor que puedan denegar o autorizar acceso a los usuarios
dependiendo de su cargo ya que en el punto de acta mencionado con anterioridad aclara
que los jefes de dependencia no contaran con esas restricciones.
OBSERVACION 3
Al verificar el estado del ancho de banda del internet se pudo notar que existía una
pérdida considerable del mismo, en el recibo de claro se puede observar que lo que se
tiene contratado es 5mb pero al realizar el test:
Esto depende de que no existe un control de ancho de banda de los equipos, todos
pueden tomar lo que a ellos le parezca conveniente.
Al momento de entrevistar a los cajeros se nos informó que por ratos el sistema se ponía
“lento” pero ya que los cajeros utilizan el sistema ServiciosGL que es en línea, se llegó a
la conclusión de que el sistema se tornaba lento por que algún usuario estaba
acaparando el ancho de banda.
RIESGO
RECOMENDACIÓN
Se recomienda distribuir equitativamente el ancho de banda a través de los Router con
los que ya se cuentan ya que estos puede regular el ancho de banda a través de un
filtrado por dirección MAC, con esto se lograr un mejor servicio y una mejor estabilidad
en los sistemas en línea.
27
OBSERVACION 4
Al observar el cuarto de comunicaciones se observa que si tiene seguridad de acceso,
pero no cuenta con registros de acceso al mismo, tampoco con ningún tipo de sensor,
el servidor se encuentra en el interior de la oficina que también alberga al encargado de
los cajeros municipales el cual ocupa la mayor parte de la misma. Esta habitación no
cuenta con aire acondicionado, la habitación adyacente si cuenta con este y un ventilador
ubicado en un agujero que conecta con esta enfría la habitación.
RIESGO
Hay riesgos inminentes de que una persona comparta espacio dentro del cuarto de
comunicaciones, tales como la falla de comunicación por algún error humano ya pueda
ser que se desconecte un equipo de algún switch o algún cable de corriente de los ups.
El paso de energía a través de los conductores produce calor. Cada uno de los
componentes de la computadora, ya sean cables, chips, discos duros, etc, requieren de
energía para funcionar. En especial los servidores son máquinas diseñadas para
funcionar sin interrupciones, por lo tanto generan gran cantidad de calor. Ese calor
generado afecta principalmente al microprocesador, pues a mayor temperatura, menor
conductividad existe en un conductor, si el procesador llega a cierta temperatura, la
computadora indudablemente se apagara por protección.
RECOMENDACIÓN
Se recomienda aislar el cuarto de comunicaciones, también que la única persona con
acceso sea el encargado de TI y que al accesar a esa habitación se lleve un registro de
acceso para tener un mejor control y seguridad de la información.
También se recomienda la instalación de un aire acondicionado dentro de la habitación,
ya que aunque el ventilador brinde aire a una temperatura aceptable la habitación se
mantiene a una temperatura muy alta.
OBSERVACION 5
Al revisar la infraestructura de red, se observó que no cuenta con ninguna tipo de
topología, también no se observaron etiquetas en los cables de red y estos no se
encuentran dentro de canaletas, también existen muy pocos puntos de acceso en pared,
la mayoría de computadoras se encuentran conectadas directamente de la NIC a el
switch o pasando por un puente (switch) el cual permite conectar más terminales.
RIESGO
28
Al no contar con un a topología de red, no se tiene control de la misma y esta crece y se
crea una telaraña que ni Spiderman podría entender.
RECOMENDACIÓN
Se recomienda crear una topología de red y aplicarla de 0 dentro de la empresa.
Se recomienda etiquetar los cables en cada extremo de ellos y así tener un mejor control
de los mismos.
Se recomienda instalar canaletas por donde se distribuya el cable he instalar puntos de
acceso a través de ellas.
OBSERVACION 6
Los switches, Router, y AP se encuentran al alcance de los empleados, y varios se
encuentran colgando o conectados a tomacorrientes muy alcance de cualquiera.
RIESGO
Existe el riesgo de que alguna persona ya sea interna o externa tenga la mala intención
de estropear la red y al estar estos en puntos accesibles ese objetivo sería fácil de llevar
a cabo.
RECOMENDACIÓN
Se recomienda restringir el acceso a los mismos, ya sea en algún lugar elevado, sobre
una repisa o dentro del cielo falso, así se reducirá el riesgo de algún tipo de falla.
29
30
ANEXOS
LISTA DE CHEQUEO
31
INSTRUMENTOS DE LA AUDITORIA
Código: EAR- 0001
Tipo de Documento: Guía de Evaluación Página: 1/2
Auditor: Semi Senior / Junior Fecha : 20/10/2015
Empresa: LPA1
32
Código: EAR- 0001
Tipo de Documento: Guía de Evaluación Página: 2/2
Auditor: Semi Senior / Junior Fecha : 24/10/2015
Empresa: LPA1
33
Código: EAR- 0001
Tipo de Documento: Encuesta Página: 1/1
Auditor: Semi Senior / Junior Fecha : 27/11/2015
Empresa: LPA1
34
Código: CAR-0001
Tipo de Documento: Cuestionario Página: 1/1
Auditor: Semi Senior / Junior Fecha : 28/10/2015
Empresa: LPA1
35
FOTOS DE LAS INSTALACIONES DEL ÁREA DE INFORMATICA DE
LA MUNICIPALIDAD DE COATEPEQUE
36
37
38
39
40
41
42
43