1.1.

Analizadores de Vulnerabilidades
Las vulnerabilidades de un sistema surgen a partir de errores individuales en un componente, sin embargo nuevas y complejas vulnerabilidades surgen de la interaccin entre varios componentes como el kernel del sistema, sistemas de archivos, servidores de procesos, entre otros. Estas vulnerabilidades generan problemas de seguridad para la red en cuestin. Entre las vulnerabilidades ms conocidas se encuentran el finger username y la notificacin de mensajes de correo a travs de comsat. Para el primero de estos la vulnerabilidad es originada en la interaccin entre el servidor fingerprint y la forma en que el sistema de archivos representa los links para acceder al directorio raz de username. En el segundo caso el programa comsat supone que etc/utmp es correcto, el sistema de archivos configura este archivo para otorgar permisos y el programa de correo asume que todo est correcto. Sin embargo, existen fuertes crticas sobre los analizadores de vulnerabilidades ya que funcionan bajo un esquema de reglas, que son slo generadas por expertos en el tema y que se configuran para vulnerabilidades. La posibilidad de acceder a estas reglas y conocerlas, permite que personas malintencionadas realicen ataques contra redes no protegidas para estas vulnerabilidades. Adicionalmente, la identificacin y definicin de reglas se deja en manos de expertos que puedan comprender las interacciones de las cuales surgen las vulnerabilidades. Por otra parte, aunque existen diversas formas de realizar auditoras de seguridad apoyadas en las herramientas descritas anteriormente, en todos los casos se utilizan herramientas para la deteccin de las vulnerabilidades. Estas herramientas que detectan fallas de seguridad pueden ser utilizadas de dos formas diferentes: interna o externamente a la maquina que se analiza. Cuando se aplican internamente, se realiza la auditora desde el interior de la mquina (generalmente utilizando el superusuario), lo que otorga numerosas ventajas para la deteccin de vulnerabilidades ya que se tiene acceso a los ficheros crticos del sistema. En el caso de las auditoras externas, la deteccin de vulnerabilidades se realiza desde una mquina diferente a la que est siendo analizada. En este tipo de auditoras se realizan ataques para verificar la existencia de vulnerabilidades. De la variedad y cantidad de ataques que alguna de estas herramientas sea capaz de realizar, depender, en gran parte, el xito en la deteccin de vulnerabilidades. Aunque este factor es, probablemente, el ms importante, conviene considerar otros aspectos como por ejemplo la forma de realizar los ataques. Cabe anotar que las herramientas descritas en este informe realizan un anlisis de debilidades externas del sistema. Es decir, las

herramientas que se instalan en una mquina para realizar ataques sobre otra diferente, y de este modo detectar sus vulnerabilidades; presentando, tal vez, el punto de vista ms realista para analizar vulnerabilidades, ya que asumen el papel de hacker externo que pretende comprometer una mquina a travs de la red. (Acosta, Buitrago, Newball, Ramrez, & Sanchz)

1.2.En Busca de los Agujeros de la Red

Las herramientas de anlisis de vulnerabilidades permiten identificar muchos de los principales agujeros de seguridad que ponen en riesgo los sistemas de una red, y generalmente con tan slo unos cuantos movimientos de ratn. Identificar las debilidades y saber cmo corregirlas es un paso fundamental para estar seguro. Sin embargo, pese a estar presentes en el mercado desde hace casi una dcada, estas herramientas todava se encuentran muy lejos de la madurez. Muchos de estos productos an reportan falsos positivos y, cuando aciertan, no siempre informan con la precisin necesaria. Con todo, su demanda sigue creciendo: segn IDC, las ventas de este tipo de herramientas pasarn de los 359 millones de dlares previstos para este ao a 657 millones en 2004. 1.2.1.Del Host a la Red En general, las herramientas de anlisis de vulnerabilidades obedecen a dos tipos diferentes: las basadas en host y las basadas en la red. stas ltimas se centran en la identificacin de cuestiones relacionadas con los servicios que, como HTTP, FTP y Simple Mail Transfer Protocol, corren en los sistemas de la red. No ofrecen una informacin tan detallada ni el mismo grado de control sobre los sistemas que las herramientas basadas en host, pero a cambio aportan datos ms precisos sobre la red y los servicios. Es ms, no obligan a desplegar agentes en todas las mquinas como los basados en host; simplemente hay que definir la red a escanear, y listo. Los principales productos de este segmento son Secure Scanner de Cisco, Internet Scanner de ISS y Distributed Cybercop Scanner de Network Associates. Y no hay que olvidar el escner Retina de eEye Digital Security, que est ganando terreno rpidamente gracias a sus buenas prestaciones. De hecho, fue el que ms puntuacin obtuvo en la comparativa realizada por IDG. Los escneres basados en host identifican vulnerabilidades a nivel de sistema, como permisos de archivos, propiedades de cuenta de usuario y establecimiento de registros, y usualmente requieren la instalacin de un agente en los sistemas a analizar. Estos agentes reportan a una base de datos centralizada, desde la que se pueden generar informes y realizar tareas de administracin. Como los agentes se instalan en todos y cada uno de los sistemas, este tipo de herramientas aportan a los administradores un mayor control sobre

dichos sistemas que las basadas en red. Adems, se pueden combinar con polticas corporativas. Los principales productos dentro de esta categora son Enterprise Security Manager de Symantec, bvControl de BindView y System Scanner de ISS. A pesar de estas diferencias, lo cierto es que poco a poco se estn diluyendo las barreras que separan a ambos tipos de productos. As, muchos escneres de anlisis de red incluyen ahora funcionalidades tpicas de las soluciones basadas en host, como las caractersticas de auto reparacin. Tambin son muchos hoy en da los que aaden anlisis de los permisos de registros y las propiedades de las cuentas. Una nueva aportacin a este mercado son los servicios de anlisis online, que a un coste atractivo y de un modo automatizado y online evalan las vulnerabilidades potenciales de los dispositivos perimetrales del cliente; algunos incluso escanean sistemas internos. 1.2.2.Mejores Prestaciones Como sucede en cualquier segmento, el mercado de anlisis de vulnerabilidades se est viendo incrementado con nuevas soluciones y, lo que es mejor, nuevas prestaciones. Los usuarios demandan hoy, entre otras mejoras, mayor sencillez de uso e informes ms tiles. En consecuencia, los fabricantes se estn viendo obligados a crear interfaces de usuario ms intuitivas y a agilizar y simplificar las actualizaciones de vulnerabilidades. En este ltimo apartado, por ejemplo, muchos suministradores estn siguiendo el mismo enfoque basado en la Web que las firmas de antivirus. Symantec, por ejemplo, utiliza su infraestructura de distribucin antivirus Live Update para distribuir tambin sus actualizaciones de anlisis. En cuanto a informes, los usuarios quieren disponer, adems de sumarios ejecutivos e informes estndar, de informes comparativos que cubran un periodo de tiempo dado. Las herramientas de anlisis de Harris ya incluyen esta funcionalidad y el escner Retina de eEye lo har en su versin 5.0, que ser lanzada dentro de unos pocos meses. Los usuarios, asimismo, han estado demandando la capacidad de exportar los informes a documentos Word, PDF y archivos HTML, y ya son muchos los productos que lo hacen posible. Un campo donde tambin se est avanzando significativamente es el del rendimiento, pues todava hay soluciones muy lentas; incluso algunas requieren sistemas muy pesados (servidores Pentium III-800 con 512 MB de RAM) cuando han de trabajar con redes IP de Clase C. Esto dificulta la evaluacin de una red corporativa en su totalidad sobre un solo sistema. 1.2.3.Mayor Automatizacin Hay una tendencia creciente hacia el uso de fixes (arreglos, reparaciones) automatizados para identificar vulnerabilidades, muy

tiles en sistemas de produccin. Por ejemplo, si un escner identifica una clave de registro con permisos incorrectos, el problema quedar resuelto inmediatamente con un solo clic de ratn. Antes, el administrador tena que acceder al sistema, abrir el editor del registro, encontrar la clave del registro y cambiar los permisos. Aqu, las herramientas basadas en hosts, como tienen la ventaja de contar con un agente residente fsicamente en el sistema, acceden a muchos ms recursos de sistema susceptibles de representar un agujero de seguridad. Los fabricantes, no obstante, estn desarrollando formas de solucionar estos puntos dbiles de los escneres de red. Update de PatchLink es el ms avanzado en esta rea, proporcionando una completa administracin y gestin de parches (patch). Los parches se descargan de sus servidores en la red del cliente, que puede desplegarlos cuando quiera. El proceso ocurre de una forma transparente para el usuario. Lo mejor que est ocurriendo en este segmento de la seguridad es la creciente atencin de los fabricantes por las soluciones a escala corporativa. La combinacin de anlisis y la automatizacin de los arreglos y los parches es definitivamente la gran tendencia a observar en este mercado. La combinacin de estas dos actividades ahorrar a los administradores de sistemas tiempo y recursos. 1.2.4.Servicios Online Como la mayora de los mercados de hoy en da, el de anlisis de vulnerabilidades tiene un nuevo componente basado en los servicios. Gracias a estos servicios, las empresas pueden escanear remotamente su permetro de red o zona desmilitarizada para identificar vulnerabilidades y debilidades de seguridad. Con este enfoque, las redes pueden ser analizadas fcilmente desde la perspectiva del atacante externo a un coste mucho menor que contratando a una firma consultora. Algunos servicios incluso proporcionan los medios para escanear sistemas internos, algo que antes se dejaba exclusivamente en manos de productos especficos, como los probados en esta revisin. Los fabricantes lderes de este mercado son McAfee, Qualys, Vigilante y Foundstone. Con estos servicios los escaneados pueden ser programados, por el usuario final o por el proveedor del servicio, de forma que se realicen automticamente. Los resultados se envan por correo electrnico al usuario para ello designado, o se almacena en un servidor seguro para su posterior revisin. Muchos informes incluyen anlisis diferenciales para ver la evolucin en el tiempo del estado de la seguridad corporativa. Otros proveedores se centran exclusivamente en la provisin de servicios de escaneado de vulnerabilidades, que venden a terceros,

firmas consultoras generalmente, que los incluyen en sus ofertas dirigidas al usuario final. Diferentes enfoques. Una ventaja fundamental de los servicios online es que permiten desentenderse de las actualizaciones. El proveedor se ocupa de todo: desarrolla firmas y actualizaciones para nuevas vulnerabilidades y las incluye automticamente en el siguiente escaneado a realizar. Como estos servicios contienen datos sobre la red que cualquier hacker deseara saber, los informes son almacenados en bases de datos encriptados nicamente accesibles con las credenciales de usuario apropiadas. Aunque los datos deben ser salvados para generar informes comparativos, algunos servicios los guardan slo por un tiempo limitado. SecureScan, por ejemplo, crea informes en PDF que slo se almacena durante 14 das. Como los productos de anlisis de vulnerabilidades, estos servicios online toman diferentes caminos a la hora de realizar su tarea. Por ejemplo, los hay que siguen un enfoque analtico, asegurndose de que la vulnerabilidad detectada en un sistema realmente existe antes de alertar de ella. Esto reduce el nmero de falsos positivos, pero a cambio el nivel de detalle ofrecido es limitado. En cuanto a informes, la mayora de los servicios aportan una mayor informacin sobre configuracin de sistemas, como defectos de directorios Internet Information Server de Microsoft. Aunque no se trata especficamente de vulnerabilidades, pueden facilitar el trabajo a los hackers. Otros servicios online usan herramientas de fuente abierta, como Nmap y Nessus, combinadas con herramientas de desarrollo propio. Los servicios de anlisis de vulnerabilidades online son ideales si lo que se est buscando es realizar escaneados manos libres programados regularmente de los dispositivitos abiertos a Internet. Tambin cuando no se quiere estar pendiente de las actualizaciones, o se precisa la ayuda de un tercero que se encargue de evaluar y monitorizar la red constantemente.

1.3.Evaluacin de la Vulnerabilidad
Si est planeando lanzar su negocio en internet, tiene una aplicacin web que recopila informacin sobre sus clientes, es un proveedor de servicios de transaccin financiera o su infraestructura corporativa est conectada al internet, la seguridad debe ser su primera preocupacin, aunque en los sistemas computacionales de hoy en da mantenerla se convierta en un terrible juego de azar. Se descubren cientos de nuevas vulnerabilidades al ao, cada mes se ponen en circulacin docenas de nuevos parches y miles de sistemas van por detrs del Security eight ball. La composicin toma

importancia al abrir el permetro a consumidores y socios comerciales; la seguridad de nivel del sistema se vuelve incluso ms crtica, ya que obliga a aumentar los puntos de exposicin. No cometa errores, no tiene las de ganar -tendr que tapar cada agujero, pero quien ataca slo necesita encontrar uno para entrar en su entorno. Las pruebas de vulnerabilidad son una parte esencial de un programa de seguridad informtica eficaz. Las pruebas de vulnerabilidad pueden ofrecerle mucha informacin valiosa sobre su nivel de exposicin a las amenazas. La realizacin continua de evaluaciones de sus equipos informticos crticos y de alto riesgo le ayudar a fortalecer de manera anticipada su entorno frente a posibles amenazas. EVALUACIN DE LA VULNERABILIDAD DE LA RED La evaluacin de la vulnerabilidad de la red identifica las vulnerabilidades de red conocidas utilizando las tcnicas ms sofisticadas disponibles. A travs de la imitacin de un intruso malintencionado, se recopila informacin de redes y dispositivos, opera herramientas de escaneo automatizadas y utiliza en gran medida pruebas manuales para descubrir las vulnerabilidades de la red y verificarlas. Las pruebas de vulnerabilidad de redes externas investigan los puntos de presencia en Internet y dispositivos conectados relacionados para determinar vulnerabilidades de seguridad conocidas. Las evaluaciones internas utilizan una metodologa similar a las externas, sin embargo el contacto se realiza dentro de la WAN en cada zona de gestin lgica, segmento fsico o simplemente adjunto a la DMZ.

2. Protocolos y Redes Abiertas

En informtica, un protocolo es un conjunto de reglas usadas por computadoras para comunicarse unas con otras a travs de una red. Un protocolo es una convencin o estndar que controla o permite la conexin, comunicacin, y transferencia de datos entre dos puntos finales. En su forma ms simple, un protocolo puede ser definido como las reglas que dominan la sintaxis, semntica y sincronizacin de la comunicacin. Los protocolos pueden ser implementados por hardware, software, o una combinacin de ambos. A su ms bajo nivel, un protocolo define el comportamiento de una conexin de hardware. Los protocolos son reglas de comunicacin que permiten el flujo de informacin entre equipos que manejan lenguajes distintos, por ejemplo, dos computadores conectados en la misma red pero con protocolos diferentes no podran comunicarse jams, para ello, es necesario que ambas "hablen" el mismo idioma, por tal sentido el

protocolo TCP/IP, que fue creado para las comunicaciones en Internet, para que cualquier computador se conecte a Internet, es necesario que tenga instalado este protocolo de comunicacin. Estrategias para asegurar la seguridad (autenticacin, cifrado). Cmo se construye una red fsica. Cmo los computadores se conectan a la red.

1.1.Propiedades Tpicas
Si bien los protocolos pueden variar mucho en propsito y sofisticacin, la mayora especifica una o ms de las siguientes propiedades: Deteccin de la conexin fsica subyacente (con cable o inalmbrica), o la existencia de otro punto final o nodo. Handshaking. Negociacin de varias caractersticas de la conexin. Cmo iniciar y finalizar un mensaje. Procedimientos en el formateo de un mensaje. Qu hacer con mensajes corruptos o formateados incorrectamente (correcin de errores). Cmo detectar una prdida inesperada de la conexin, y qu hacer entonces. Terminacin de la sesin y/o conexin.

1.1.Protocolos Comunes
IP. El Protocolo de Internet (IP, de sus siglas en ingls Internet Protocol) es un protocolo no orientado a conexin usado tanto por el origen como por el destino para la comunicacin de datos a travs de una red de paquetes conmutados. UDP. User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de datagramas. Permite el envo de datagramas a travs de la red sin que se haya establecido previamente una conexin, ya que el propio datagrama incorpora suficiente informacin de direccionamiento en su cabecera. Tampoco tiene confirmacin ni control de flujo, por lo que los paquetes pueden adelantarse unos a otros; y tampoco se sabe si ha llegado correctamente, ya que no hay confirmacin de entrega o recepcin. Su uso principal es para protocolos como DHCP, BOOTP, DNS y dems protocolos en los que el intercambio de paquetes de la conexin/desconexin son mayores, o no son rentables con respecto a la informacin transmitida, as como para la transmisin de audio y vdeo en tiempo real, donde no es posible realizar retransmisiones por los estrictos requisitos de retardo que se tiene en estos casos. TCP. (Transmission-Control-Protocol, en espaol Protocolo de Control de Transmisin) es uno de los protocolos fundamentales en Internet. Muchos programas dentro de una red de datos compuesta por computadoras pueden usar TCP para crear conexiones entre ellos a

travs de las cuales puede enviarse un flujo de datos. El protocolo garantiza que los datos sern entregados en su destino sin errores y en el mismo orden en que se transmitieron. Tambin proporciona un mecanismo para distinguir distintas aplicaciones dentro de una misma mquina, a travs del concepto de puerto. DHCP. (Dynamic Host Configuration Protocol - Protocolo Configuracin Dinmica de Servidor) es un protocolo de red que permite a los nodos de una red IP obtener sus parmetros de configuracin automticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinmicas y las va asignando a los clientes conforme stas van estando libres, sabiendo en todo momento quin ha estado en posesin de esa IP, cunto tiempo la ha tenido y a quin se la ha asignado despus. HTTP. El protocolo de transferencia de hipertexto (HTTP, HyperText Transfer Protocol) es el protocolo usado en cada transaccin de la Web (WWW). HTTP fue desarrollado por el consorcio W3C y la IETF, colaboracin que culmin en 1999 con la publicacin de una serie de RFC, siendo el ms importante de ellos el RFC 2616, que especifica la versin 1.1. HTTP define la sintaxis y la semntica que utilizan los elementos software de la arquitectura web (clientes, servidores, proxies) para comunicarse. Es un protocolo orientado a transacciones y sigue el esquema peticin-respuesta entre un cliente y un servidor. Al cliente que efecta la peticin (un navegador o un spider) se lo conoce como "user agent" (agente del usuario). A la informacin transmitida se la llama recurso y se la identifica mediante un URL. Los recursos pueden ser archivos, el resultado de la ejecucin de un programa, una consulta a una base de datos, la traduccin automtica de un documento, etc. FTP. (File Transfer Protocol - Protocolo de Transferencia de Archivos) en informtica, es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP, basado en la arquitectura cliente-servidor. Desde un equipo cliente se puede conectar a un servidor para descargar archivos desde l o para enviarle archivos, independientemente del sistema operativo utilizado en cada equipo. TELNET. Telnet (TELecommunication NETwork) es el nombre de un protocolo de red (y del programa informtico que implementa el cliente), que sirve para acceder mediante una red a otra mquina, para manejarla remotamente como si estuviramos sentados delante de ella. Para que la conexin funcione, como en todos los servicios de Internet, la mquina a la que se acceda debe tener un programa especial que reciba y gestione las conexiones. El puerto que se utiliza generalmente es el 23.

SSH. SSH (Secure SHell, en espaol: intrprete de rdenes seguro) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a mquinas remotas a travs de una red. Permite manejar por completo la computadora mediante un intrprete de comandos, y tambin puede redirigir el trfico de X para poder ejecutar programas grficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo. POP3. Se utiliza el Post Office Protocol (POP3) en clientes locales de correo para obtener los mensajes de correo electrnico almacenados en un servidor remoto. La mayora de los suscriptores de los proveedores de Internet acceden a sus correos a travs de POP3. SMTP. Simple Mail Transfer Protocol (SMTP) Protocolo Simple de Transferencia de Correo, es un protocolo de la capa de aplicacin. Protocolo de red basado en texto utilizado para el intercambio de mensajes de correo electrnico entre computadoras u otros dispositivos (PDA's, telfonos mviles, etc.). Est definido en el RFC 2821 y es un estndar oficial de Internet. IMAP. Internet Message Access Protocol, o su acrnimo IMAP, es un protocolo de red de acceso a mensajes electrnicos almacenados en un servidor. Mediante IMAP se puede tener acceso al correo electrnico desde cualquier equipo que tenga una conexin a Internet. IMAP tiene varias ventajas sobre POP, que es el otro protocolo empleado para obtener correo desde un servidor. Por ejemplo, es posible especificar en IMAP carpetas del lado servidor. Por otro lado, es ms complejo que POP ya que permite visualizar los mensajes de manera remota y no descargando los mensajes como lo hace POP. SOAP. (Simple Object Access Protocol) es un protocolo estndar que define cmo dos objetos en diferentes procesos pueden comunicarse por medio de intercambio de datos XML. Este protocolo deriva de un protocolo creado por David Winer en 1998, llamado XML-RPC. SOAP fue creado por Microsoft, IBM y otros y est actualmente bajo el auspicio de la W3C. Es uno de los protocolos utilizados en los servicios Web. PPP. Point-to-point Protocol, es decir, Protocolo punto a punto, es un protocolo de nivel de enlace estandarizado en el documento RFC 1661. Por tanto, se trata de un protocolo asociado a la pila TCP/IP de uso en Internet. Ms conocido por su acrnimo: PPP. STP. Spanning Tree Protocol es un protocolo de red de nivel 2 de la capa OSI, (nivel de enlace de datos). Est basado en un algoritmo diseado por Radia Perlman mientras trabajaba para DEC. Hay 2 versiones del STP: la original (DEC STP) y la estandarizada por el IEEE (IEEE_802.1D), que no son compatibles entre s. En la actualidad, se recomienda utilizar la versin estandarizada por el IEEE.

2. Auditando la Gerencia de Comunicaciones

Cada vez ms las comunicaciones estn tomando un papel determinante en el tratamiento de datos, cumplindose el lema el computador es la red siempre esta importancia queda adecuadamente reflejada dentro de la estructura organizativa de proceso de datos, especialmente en organizaciones de tipo tradicional, donde la adaptacin a los cambios no se produce inmediatamente. Mientras que comnmente el directivo informtico tiene amplios conocimientos de proceso de datos, no siempre sus habilidades y cualificaciones en temas de comunicaciones estn a la misma altura, por lo que el riesgo de deficiente anclaje de la gerencia de comunicaciones en el esquema organizativo existe. Por su parte, los informticos a cargo de las comunicaciones suelen auto considerarse exclusivamente tcnicos, obviando considerar las aplicaciones organizativas de su tarea. Todos estos factores convergen en que la auditoria de comunicaciones no siempre se practique con la frecuencia y profundidad equivalentes a las de otras reas del proceso de datos. Por tanto, el primer punto de una auditoria es determinar que la funcin de gestin de redes y comunicaciones est claramente definida, debiendo ser responsable, en general de las siguientes reas: Gestin de la red, invento de equipamiento y normativa de conectividad. Monitorizacin de las comunicaciones, registro y resolucin de problemas. Revisin de costes y su asignacin de proveedores y servicios de transporte, balanceo de trfico entre rutas y seleccin de equipamiento. Participacin activa en la estrategia de proceso de datos, fijacin de estndares a ser usados en el desarrollo de aplicaciones y evaluacin de necesidades en comunicaciones.

Cumpliendo como objetivos de control: Tener una gerencia de comunicaciones con plena autoridad de voto y accin. Llevar un registro actualizado de mdems, controladores, terminales, lneas y todo equipo relacionado con las comunicaciones. Mantener una vigilancia constante sobre cualquier accin en la red. Registrar un coste de comunicaciones y reparto a encargados. Mejorar el rendimiento y la resolucin de problemas presentados en la red.

Para lo cual se debe comprobar: El nivel de acceso a diferentes funciones dentro de la red. Coordinacin de la organizacin de comunicacin de datos y voz. Han de existir normas de comunicacin en: Tipos de equipamiento como adaptadores LAN. Autorizacin de nuevo equipamiento, tanto dentro, como fuera de las horas laborales. Uso de conexin digital con el exterior como Internet. Instalacin de equipos de escucha como Sniffers (exploradores fsicos) o Traceadores (exploradores lgicos). La responsabilidad en los contratos de proveedores. La creacin de estrategias de comunicacin a largo plazo. Los planes de comunicacin a alta velocidad como fibra ptica y ATM ( tcnica de conmutacin de paquetes usada en redes MAN e ISDN). Planificacin de cableado. Planificacin de la recuperacin de las comunicaciones en caso de desastre. Ha de tenerse documentacin sobre el diagramado de la red. Se deben hacer pruebas sobre los nuevos equipos. Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores. Vigilancia sobre toda actividad on-line. La facturacin de los transportistas y vendedores ha de revisarse regularmente.

1. Auditando una Red Lgica

Cada vez ms se tiende a que un equipo pueda comunicarse con cualquier otro equipo, de manera que sea la red de comunicaciones el substrato comn que les une. Si un equipo, por cualquier circunstancia, se pone a enviar indiscriminadamente mensajes (Mensaje de Broadcasting), puede ser capaz de bloquear la red completa y, por tanto, al resto de los equipos de la instalacin. En sta, debe evitarse un dao interno. Es necesario monitorizar la red, revisar los errores o situaciones anmalas que se producen y tener establecidos los procedimientos para

detectar y aislar equipos en situacin anmala. Ante estas situaciones anmalas se debe: Dar contraseas de acceso Controlar los errores Garantizar que en una transmisin, sta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la informacin a la red Registrar las actividades de los usuarios en la red Encriptar la informacin pertinente Evitar la importacin y exportacin de datos

En general, si se quiere que la informacin que viaja por la red no pueda ser espiada, la nica solucin totalmente efectiva es la encriptacin. Se debe comprobar si: El sistema pidi el nombre de usuario y la contrasea para cada sesin: En cada sesin de usuario, se debe revisar que no acceda a ningn sistema sin autorizacin, ha de inhabilitarse al usuario que tras un nmero establecido de veces erra en dar correctamente su propia contrasea, se debe obligar a los usuarios a cambiar su contrasea regularmente, las contraseas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar informacin sobre su ltima conexin a fin de evitar suplantaciones. Inhabilitar el software o hardware con acceso libre. Generar estadsticas de las tasas de errores y transmisin. Crear protocolos con deteccin de errores. Los mensajes lgicos de transmisin han de llevar origen, fecha, hora y receptor. El software de comunicacin, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados. Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada. Se debe hacer un anlisis del riesgo de aplicaciones en los procesos. Se debe hacer un anlisis de la conveniencia de cifrar los canales de transmisin entre diferentes organizaciones.

Asegurar que los datos que viajan por Internet vayan cifrados. Los datos confidenciales se cifran con un algoritmo de cifrado y una clave que los hace ilegibles si no se conoce dicha clave. Las claves de cifrado de datos se determinan en el momento de realizar la conexin entre los equipos. El uso del cifrado de datos puede iniciarse en su equipo o en el servidor al que se conecta. Conexiones de red admite dos tipos de cifrado: Microsoft MPPE, que utiliza cifrado RSA RC4. Una implementacin de Seguridad de Protocolo Internet (IPSec) que utiliza cifrado de Estndar de cifrado de datos (DES). Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos forneos a la red. Deben existir polticas que prohban la instalacin de programas o equipos personales en la red. Los accesos a servidores remotos han de estar inhabilitados. Ya que los servidores de acceso remoto controlan las lneas de mdem de los monitores u otros canales de comunicacin de la red para que las peticiones conecten con la red de una posicin remota, responden llamadas telefnicas entrantes o reconocen la peticin de la red y realizan los chequeos necesarios de seguridad y otros procedimientos necesarios para registrar a un usuario en la red. La propia empresa generar propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas: Servidores = Desde dentro del servidor y de la red interna. Servidores Web. Intranet = Desde dentro. Una Intranet, es una red de rea Local o LAN. La cual tiene la caracterstica, de ser de exclusivo uso, de la empresa u organizacin que la ha instalado. Debido a ello, es que utiliza protocolos HTML y el TCP/IP. Protocolos que permiten la interaccin en lnea de la Intranet, con la Internet. Cualquier Intranet, lleva consigo, distintos niveles de seguridad, segn el usuario. Estos niveles de seguridad, son asignados, segn la relevancia del puesto dentro de la organizacin, del usuario. Claro que existen niveles compartidos por todos. Ahora, los niveles bsicos de seguridad, impiden la utilizacin de la Intranet, por parte de personas forneas a la empresa o establecimiento educativo.

Firewall = Desde dentro. Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso tpico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a informacin confidencial. Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en funcin de lo que sean permite o deniega su paso. Para permitir o denegar una comunicacin el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Accesos del exterior y/o Internet.

1. Auditando una Red Fsica

1.1.Seguridad Fsica
La seguridad de los sistemas de informacin puede definirse como la estructura de control establecida para administrar la integridad, confidencialidad y la accesibilidad a los datos y recursos del sistema de informacin. Existen dos tipos de controles de seguridad que juntos pueden proteger los sistemas. El Control Fsico. Restringiendo el acceso a los recursos de los sistemas y protegindolos de los riegos del ambiente. El Control Lgico. Permitiendo el acceso a los datos especficos nicamente a las personas autorizadas. En general, muchas veces se parte del supuesto de que si no existe acceso fsico desde el exterior a la red interna de una empresa las comunicaciones internas quedan a salvo. Debe comprobarse que efectivamente los accesos fsicos provenientes del exterior han sido debidamente registrados, para evitar estos accesos. Debe tambin comprobarse que desde el interior del edificio no se intercepta fsicamente el cableado (pinchazo). En caso de desastre, bien sea total o parcial, ha de poder comprobarse cul es la parte del cableado que queda en condiciones de funcionar y qu operatividad puede soportar. Ya que el tendido de cables es una actividad irrealizable a muy corto plazo, los planes de recuperacin de contingencias deben tener prevista la recuperacin en comunicaciones. Ha de tenerse en cuenta que la red fsica es un punto claro de contacto entre la gerencia de comunicaciones y la gerencia de mantenimiento general de edificios, que es quien suele aportar electricistas y personal profesional para el tendido fsico de cables y su mantenimiento.

Se debe garantizar que exista: reas de equipo de comunicacin con control de acceso. Proteccin y tendido adecuado de cables y lneas de comunicacin para evitar accesos fsicos. Control de utilizacin de equipos de prueba de comunicaciones para monitorizar la red y el trfico en ella. Prioridad de recuperacin del sistema. Control de las lneas telefnicas. Se debe comprobar que: El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. La seguridad fsica del equipo de comunicaciones sea adecuada. Se tomen medidas para separar las actividades de los electricistas y de cableado de lneas telefnicas. Las lneas de comunicacin estn fuera de la vista. Se d un cdigo a cada lnea, en vez de una descripcin fsica de la misma. Haya procedimientos de proteccin de los cables y las bocas de conexin para evitar fallas en la red. Existan revisiones peridicas de la red buscando errores y/o daos a la misma. El equipo de prueba de comunicaciones ha de tener unos propsitos y funciones especficas. Existan alternativas de respaldo de las comunicaciones. Con respecto a las lneas telefnicas: No debe darse el nmero como pblico y tenerlas configuradas con retro llamada, cdigo de conexin o interruptores.

1.1.Caso Prctico
Este informe contiene el resultado de la auditoria de redes fsicas realizada sobre la red de rea local de la Universidad Tecnolgica Nacional Facultad Regional de Crdoba - Colombia. 1.1.1.Propsito El propsito de esta auditora es evaluar los controles de seguridad para proteger los recursos de la red fsicas de la Universidad Tecnolgica Nacional, Facultad Regional de Crdoba. Obtener una visin general de la ubicacin de todos los dispositivos de la red de rea local. Evaluar el ambiente de control fsico sobre los dispositivos de la red de rea local.

1.1.1.Cuestin de Fondo: El funcionamiento de la Universidad se basa en su sistema de informtico. Este es necesario para brindar servicios tanto a

estudiantes como a empleados. Algunos de estos servicios son: Inscripciones, seguimiento de alumnos, dictado de clases, servicio de comunicaciones, internet y otros.

1.1.2.En qu consiste? Esta auditora est limitada a la seguridad fsica de la red de rea local de la Universidad Tecnolgica Nacional, Facultad Regional de Crdoba. Las actividades que protegen el equipamiento de dao fsico son: Permitir que solo los responsables de mantenimiento de los equipos de cmputos ingresen a las salas de equipamiento. Proveer mecanismos de deteccin de fuego, humo, agua, suciedad, etc. Almacenar materiales peligrosos, como qumicos de limpieza, en lugares separados y alejados de los equipos de cmputos. Proveer de dispositivos reguladores de tensin y UPSs para salvar el equipamiento de daos producidos por los niveles de tensin y cortes abruptos en el suministro elctrico. Planificar la manera de recomenzar con las operaciones despus de un fallo, incluyendo las copias de seguridad de programas y datos.

1.1.1.Metodologa Durante nuestra visita preliminar identificamos todas las salas donde se encuentra el equipamiento de cmputos y las clasificamos en principales y secundarias, entendindose por principales aquellas donde se ubican los dispositivos ms importantes para la red tales como servidores, hubs, switch, etc. Es vlido resaltar que las salas principales deben contar con un mayor control de seguridad que las secundarias. La Tabla 1 y la Tabla 2 describen los aspectos tpicos a implementar para el control fsico de la red en las salas principales y secundarias. Para Salas Secundarias Escritura de estndares para la administracin de seguridad de los recursos de la red. Bloqueo de salas permitiendo solo el ingreso a personas autorizadas. Monitoreo y registro de los accesos a las salas. Deteccin de fuego, humo y agua. Extintores de fuego adecuados y habilitados.

Tabla 1. Aspectos tpicos de seguridad fsica para salas secundarias.

Para Salas Principales (Adems de los aspectos necesarios para las salas secundarias)

 Escritura de polticas y procedimientos para la realizacin y recuperacin de copias de seguridad. Ubicacin de las salas en el interior del edificio. Y en lo posible sin ventanas ni puertas al exterior o patios internos. Dispositivos alejados del piso. UPSs para asegurar la continuidad de las operaciones. Copias de seguridad ubicadas fuera de la sala y adecuadamente protegidas
Tabla 2. Aspectos tpicos de seguridad fsica para salas principales.

Para obtener una visin general de la ubicacin de todos los dispositivos de red, nos contactamos con el personal encargado de las aulas G del edificio, el Laboratorio de Sistemas y el centro de cmputos. Posteriormente visitamos cada una de estas salas para evaluar, los controles sobre la seguridad fsica, las condiciones ambientales y controles sobre las copias de seguridad e inventarios. Para esto nos entrevistamos con los responsables de cada una de estas salas. 1.1.1.Hallazgos y Recomendaciones Ausencia de polticas y procedimientos para la Hallazgo administracin de la seguridad de la red fsica Actualmente no existen polticas ni procedimientos escritos para la gestin de la seguridad fsica de la red. Sino que, son los encargados de cada sala quienes llevan adelante estas tareas a criterio propio y por lo tanto de manera heterognea Debido a la ausencia de estos, el mantenimiento, lo No existen realiza el encargado de turno basndose en su polticas ni experiencia. Adems tampoco se cuenta con procedimiento procedimientos para el monitoreo de las conexiones de s para la red por lo que es difcil determinar el estado de los Mantenimiento equipos. No existen polticas ni Por lo que no se conoce la disponibilidad de equipos, su procedimiento ubicacin, estado ni procedencia. s para Inventarios No est disponible informacin referente a errores No existen comunes y sus soluciones encontradas. Por lo que cada polticas ni encargado debe, a cada error, encontrarle una nueva procedimiento solucin aunque se trate de problemas recurrentes. s para Tampoco es posible realizar un seguimiento de las fallas registros de y sus causas, con el objeto de implementar medidas errores y correctivas. Esto genera la necesidad de la presencia soluciones permanente del encargado. No se cuenta con una metodologa para el diagnstico de fallas. No existen No estn claramente definidas las responsabilidades del polticas ni personal, lo que ocasiona confusin acerca de las tareas procedimiento que debe realizar cada persona. s para la asignacin de responsabilida

des Recomendamos que, se escriban y difundan las polticas y los procedimientos necesarios para proteger los recursos informticos de la red de rea local de la universidad. Estos procedimientos deberan ser para mantenimiento, inventario, registros de errores y soluciones y responsabilidades. Los mismos debern servir de gua para que los encargados realicen la correcta gestin del control fsico sobre la red.

Recomendacio nes

Tabla 3. Hallazgos de ausencia de polticas y procedimientos para la administracin de la seguridad de la red fsica.

Hallaz go

Referentes a las salas principales y secundarias. (No existe distincin entre estas.) Durante la auditoria visitamos tres salas principales, en la que encontramos los siguientes problemas, en los aspectos: Ambiental Tubos fluorescentes sin coberturas. Cielo raso en mal estado. Matafuego con candado Matafuego alejado. No se conoce el uso del matafuego. Cable canal deteriorado. Espacio reducido entre maquina. Tomacorrientes instalados sobre muebles de cao. Cable dificultando el paso de la persona. Cable en el piso. El cableado de la red se encuentra junto al de la red elctrica. No se restringe el acceso a persona no autorizadas a los dispositivos mayores ni menores (debido a que estos dispositivos coexisten en la misma sala). No existen carteles que prohban comer y/o fumar dentro de las salas. Cableado de la red horizontal Conectores de pared no se encuentran fijos. Conectores sin capuchones. Conectores al descubierto. Conectores en el piso. Conectores de PC sin atornillar. Cableado sin identificadores. Cableado suelto. Cableado sin proteccin. Cableado anudado. Cableado de longitud excesiva. Ausencia de precintos. Precintos con presin excesiva. Cables precintados a muebles. Centro del cableado

Dispositivos sin identificadores. Dispositivos accesibles a personas no autorizadas. Centro de cableado en el piso La puerta del centro de cableado no se abre con facilidad.

Tabla 4. Hallazgos referentes a las salas principales y secundarias.

1.1.1.Anlisis Los hallazgos identificados, se han agrupado en categoras por su similitud. Para permitir una visin ms global de los problemas. Esto se refleja en la siguiente tabla:
Salas Categora Problemas en Ambiental Tubos fluorescentes sin coberturas. Tomacorrientes instalados sobre mubles de cao. Problemas con Matafuego Cables en el piso o junto a la red elctrica. Cielo raso en mal estado. Visitada Con s problema 5 5 5 5 5 5 5 4 3 2

Red

Problemas con conectores

5 5 5

5 5 3

Horizontal Problemas con cableado Problemas con precintos

Centro de Dispositivos sin identificadores. cableado Dispositivos accesibles a personas no autorizadas. Centro de cableado en el piso. Centro de cableado mal ubicado

3 3 3 3

3 2 2 3

Tabla 5. Hallazgos identificados agrupados en categoras.

Para un mejor anlisis de los riesgos se dio una ponderacin diferenciando los hallazgos del centro del cableado del resto (ambientales y red horizontal), asignndoles los valores de 1.0 y 0.6 respectivamente. Por otra parte, cada hallazgo fue ponderado independientemente, utilizando una escala de 0.0 a 1.0. Reflejando los resultados en la siguiente tabla.
visitas Problemas en CC Salas problema PP. PC PI VR

s Centro de cableado mal ubicado Dispositivos autorizadas. accesibles a personas no 3 3 3 5 5 5 3 5 5 5 5 5 3 2 3 5 5 5 2 4 5 3 3 2 100% 67% 100% 100% 100% 100% 67% 80% 100% 60% 60% 40% 1.00 1.00 1.00 0.60 0.60 0.60 1.00 0.60 0.60 0.60 0.60 0.60 0.7 0.7 0.4 0.6 0.5 0.5 0.3 0.4 0.2 0.3 0.3 0.4 70 47 40 36 30 30 20 19 12 11 11 10

Dispositivos sin identificadores. Problemas con conectores Tomacorrientes instalados sobre mubles de cao. Problemas con cableado Centro de cableado en el piso. Problemas con Matafuego Tubos fluorescentes sin coberturas. Cables en el piso o junto a la red elctrica. Problemas con precintos Cielo raso en mal estado.

Tabla 6. Ponderacin de los hallazgos.

Ilustracin 1. Anlisis de los hallazgos.

1.1.2.Recomendaciones Recomendamos, en primer lugar que se coloquen los centros de cableado en lugares adecuados, fuera del alcance del alcance de personas no autorizadas. Tambin recomendamos que se identifiquen los dispositivos principales. Recomendamos, por ltimo, que los encargados de cada sala realicen las acciones necesarias para: Mantener el cableado en buenas condiciones. Mantener los conectores en buen estado.

Estas acciones deben ejecutarse en forma peridica. 1.1.1.Conclusin: Nuestra opinin es que, los controles sobre los recursos de la red de rea local de la universidad deben ser mejorados puesto que presenta importantes dificultades. Esto se debe a la ausencia de lineamientos claros para su gestin. 1.1.2.Recomendacin Final Recomendamos que se escriban los lineamientos generales para la gestin de la red y se difundan a los encargados de cada sala. Tambin recomendamos que se capacite a este personal en los aspectos referidos a la seguridad de la red fsica.

Bibliografa
Acosta, N., Buitrago, R., Newball, M., Ramrez, M. A., & Sanchz, J. (s.f.). Anlisis de Vulnerabilidades. Recuperado el 20 de Agosto de 2009, de ABCdatos: http://www.abcdatos.com/tutoriales/tutorial/z3890.html Cotarelo, G. (s.f.). Anlisis de Vulnerabilidades. Recuperado el 20 de Agosto de 2009, de El Rincn del Vago: http://zip.rincondelvago.com/00028513 Gutirrez Melo, J. (s.f.). Auditoria Aplicada a la Seguridad en Redes de Computadores. Recuperado el 20 de Agosto de 2009, de Monografas: http://www.monografias.com/trabajos10/auap/auap.shtml Lizrraga Snchez, J. A., & Martnez Lpez, V. (s.f.). Auditora de Redes. Recuperado el 20 de Agosto de 2009, de Sitio Web del Instituto Tecnolgico de Sonora: www.itson.mx/dii/epadilla/AUDITORIA%20DE%20REDES.ppt Ramrez, A. (s.f.). Introduccin a la Seguridad de Redes. Recuperado el 20 de Agosto de 2009, de Sitio Web de la Universidad Nacional de San Luis: http://www.dirinfo.unsl.edu.ar/~seguridadred/teorias/Analisis_de_Vulnerabili dades.ppt