4° Auditoria de redes

4.1 FINALIDAD DE LA EVALUACIÓN DE REDES

La Auditoria de Red le ofrece las herramientas necesarias para determinar la
eficacia con que su red respalda sus operaciones empresariales y el grado de satisfacción
del cliente sin que influyan cuestiones políticas internas.

Reducción de costes, identifique gastos encubiertos mediante un inventario rápido

y Preciso. Prepárese para la introducción de un sólido servicio de gestión de activos con
el fin de optimizar los niveles de servicio y de dotación de personal, y de reducir costes.

Mayor productividad, mejore el funcionamiento de su red, identificando los

problemas, aislando los errores para proceder a su eliminación.

Preparado para el cambio, la planificación anticipada significa que sus sistemas TI

pueden estar preparados para el cambio a e-Business. Realizamos un seguimiento
permanente de las tendencias de red e identificamos las oportunidades. Una evaluación
centrada del perímetro de seguridad de red y de la seguridad central interna nos revelará
si su red está preparada para las nuevas comunicaciones y aplicaciones e-Business.

4.2 REQUERIMIENTOS PARA LA EVALUACIÓN DE REDES

Dentro de la evaluación de redes se debe tener en cuenta la necesidad de proteger la
integridad y confidencialidad de la información y el uso de sus activos, para determinar el grado de
confianza que se puede depositar en un sistema informático existen criterios y normas de
seguridad, pero, si se requiere mejorar el nivel de seguridad que existe en una red, se tiene que
realizar una evaluación de seguridad, con lo cuál se puede determinar el estado de un sistema y
los cambios que se pueden realizar para mejorar dicho estado. Para realizar una evaluación de
seguridad se pueden hacer pruebas de vulnerabilidad que incluyen el análisis de una red y sus
políticas y controles de seguridad; pruebas de seguridad, en las que se realizan auditorias de
seguridad, escaneo de vulnerabilidades y pruebas de penetración, y finalmente, el reporte de las
vulnerabilidades encontradas y las sugerencias para la implementación de mejoras.

 Se determinará la ubicación geográfica

 Arquitectura y configuración de hardware
 Los auditores, en su evaluación inicial deben tener en su poder la distribución e
interconexión de los equipos.
 Inventario de hardware
 Comunicación y redes de comunicación
 Recursos materiales hardware.

4.2.1 AUDITORIA DE LA RED FISICA

Se debe garantizar que exista:
 Áreas de equipo de comunicación con control de acceso
 Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos
físicos
 Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el
tráfico en ella.
 Prioridad de recuperación del sistema
 Control de las líneas telefónicas.
 Se debe Comprobar que:
 La seguridad física del equipo de comunicaciones sea adecuada
 Existan revisiones periódicas de la red buscando pinchazos a la misma.
 El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones
específicas.

4.2.2 AUDITORIA DE LA RED LÓGICA

Objetivo
 Evitar un daño interno en la Red Lógica

Para evitar estas situaciones se Debe:

 Dar contraseñas de acceso
 Controlar los errores
 Garantizar que en una transmisión, transmisión, sea recibida solo por el destinatario. Y
para esto, se cambia la ruta de acceso de la información a la red
 Registrar las actividades de los usuarios en la red

Recomendaciones

 Se debe hacer un análisis del riesgo de aplicaciones en los procesos

 Asegurar que los datos que viajan por Internet vayan cifrados.
 Deben existir políticas que prohíban la instalación de programas o equipos personales en
la red.

4.3 Administración
La persona encargada de las tareas de administración, gestión de seguridad conectada a
la red y de la red en su conjunto, tomada como una unidad global, es el administrador de
red. Este conjunto abarca tanto servidores como a las estaciones clientes, el hardware y
el software de la red, los servicios de red, las cuentas de usuario, las relaciones de la red
con el exterior, etc.
De entre las muchas funciones que se le pueden asignar al administrador de red vamos a
destacar algunas de ellas, por la especial importancia que revisten:

 Instalación y mantenimiento de la red: es la función primaria del administrador. No

basta con instalar él NOS en los equipos, sino además hay que garantizar su
correcto funcionamiento con el paso del tiempo. Ellos exigen tener las
 herramientas adecuadas y los conocimientos necesarios para realizar esta
función.
 En ocasiones, estos conocimientos solo se pueden adquirir en los departamentos
de formación de las compañías suministradoras del hardware y software de las
redes o entidades similares. EL trabajo propio de mantenimiento puede ser
realizado por miembros de la propia empresa, o bien contratar estos servicios con
terceras empresas.
 Diagnosticar los problemas y evaluar las posibles mejoras.
 Documentar el sistema de red y sus características
 Informar a los usuarios de red
Para dar de alta al personal especializado que hará uso de los centros terminales, el
centro de cómputo debe facilitarlos medios para registrarlos y mantener actualizado dicho
registró a través de:

 La unidad administrativa que sea responsable de un centro terminal debe registrar

y dar de alta a todo el personal que haga uso del equipo de dicho centro.
 El área del centro de cómputo mantendrá el registro del personal que haga uso de
dicho centro terminal.
 Todo el personal que haga uso del centro terminal debe tener asignado un número
de cuenta para mantener justificada la utilización de las facilidades de computo a
nivel administrativo
 Es necesario que el personal que tiene acceso a los centros terminales se
capacite con el fin de mantenerlo actualizado

4.4 Instalación
 Que existan procedimientos que aseguren la oportuna y adecuada instalación de
los diferentes componentes de la red
 Que exista un registro de las actividades que se realizan durante el proceso de
instalación de los componentes de la red, hardware y software
 Registro de planeación y evaluación formal de las compras de los elementos de la
red
 Seguro de dichas compras
 Control de software que se encuentra instalado

4.5. Operación y seguridad

CAPA FISICA
SEGURIDAD EN LA CAPA FISICA
Desde el punto de vista de la seguridad física, nos interesa tener en cuenta, los
aspectos relacionados a:

 Edificios, instalaciones, locales.

 Autenticación y control de acceso físico.
 Medios empleados para la transmisión de la información.
 Conductos y gabinetes de comunicaciones.
  Medios físicos empleados para el almacenamiento (incluido backup) y
procesamiento de la información.
 Documentación, listados, plantillas, planos, etc.
CAPA DE ENLACE
SEGURIDAD EN LA CAPA DE ENLACE
Existen varios protocolos de comunicaciones que operan a nivel de enlace, nos
centraremos exclusivamente en los dos más relevantes que son 802.3 (CSMA/CD –
Ethernet) y 802.11 (Redes inalámbricas WLAN).
La familia 802.X, tiene este nombre justamente porque se crea un comité de IEEE en el
año 80 durante el mes de febrero (2), cuando el concepto de redes LAN comienza a
imponerse como algo digno de ser analizado. Dentro de este comité se conforman
diferentes grupos de trabajo, los cuales en la actualidad son denominados de la siguiente
forma:
CAPA DE RED
SEGURIDAD EN LA CAPA DE RED
La función principal de esta capa es el manejo de rutas. Se basa principalmente en el
protocolo IP. Se trata de un protocolo de nivel 3 no orientado a la conexión, permitiendo el
intercambio de datos sin el establecimiento previo de la llamada. Una característica
fundamental es que soporta las operaciones de fragmentación y desfragmentación, por
medio de las cuales un datagrama se subdivide y segmenta en paquetes más pequeños
para ser introducidos a la red, y luego en destino se reconstruyen en su formato original
para entregarlos al nivel superior. La otra operación que revista importancia es el ruteo, el
cual implementa por medio de un esquema de direccionamiento.
CAPA DE TRANSPORTE
SEGURIDAD EN LA CAPA DE TRANSPORTE
La capa de transporte se encarga de la calidad de servicio, garantizando, cuando la
aplicación lo requiera, confiabilidad, control de flujo, segmentación y control de errores en
la comunicación. Se basa en dos protocolos, TCP (orientado a la conexión) y UDP (no
orientado a la conexión). La capa de transporte transmite información TCP o UDP sobre
datagramas IP. En esta capa podamos encontrar problemas de autenticación, de
integridad y de confidencialidad. Algunos de los ataques más conocidos en esta capa son
las denegaciones de servicio debidas a protocolos de transporte.
CAPA DE APLICACIÓN
SEGURIDAD En la capa de aplicación
Una vez superado el nivel cuatro (transporte), todas las funciones y/o servicios se orientan
“de cara al usuario”. Es decir, a partir de este nivel es poco probable que encontremos
aspectos relacionados a la red, en cambio entraremos a lo que en el modelo TCP/IP
engloba como “Aplicación”, que recordamos que aquí es donde existe la mayor diferencia
con el modelo OSI que lo trata como tres capas diferentes (5: Sesión, 6: Presentación,
7: Aplicación).
PROTOCOLOS
SEGURIDAD DE PROTOCOLOS DNS
En la capa de aplicación nos encontramos con protocolos como el DNS. Las
vulnerabilidades de este protocolo las podemos clasificar en cuatro:
UDP: Entre los servidores se transfieren grandes volúmenes de información a través del
puerto UDP 53, el cual por ser no orientado a la conexión lo hace especialmente difícil de
controlar y filtrar, aprovechándose esta debilidad.
Obtención de Información: Los servidores DNS almacenan información importante, la cual
es muy buscada y fácilmente obtenible por un intruso.
Texto plano: Toda la infromación viaja en texto plano.
Falta de autenticación: El protocolo no ofrece ninguna técnica de autenticación.

4.6. Personal responsable del área.

Personal Responsable
una red puede otorgar una ventaja estratégica a una organización. un siguiente paso
lógico en la planeación de los objetivos y el alcance de una auditoría de
telecomunicaciones es determinar quién debe ser entrevistado.
Los candidatos para las entrevistas de auditoría incluyen los siguientes:

 El administrador o gerente de telecomunicaciones, quien comúnmente controla los

aspectos planificadores, presupuestarios y operacionales de comunicaciones.
 El administrador o gerente de la red, quien típicamente administra el personal y el
equipo.
 El administrador o gerente de voz, quien administra el equipo telefónico, el informe
de llamadas, la facturación, instalación de teléfonos, etc.
 El administrador o gerente de aplicaciones de comunicaciones, quien es
responsable de hacer los requerimientos funcionales de las aplicaciones en la
realidad técnica.
 Técnicos
 Instaladores.
 Equipo técnico de control de la red.
 Equipo técnico (personal) de escritorio de ayuda al usuario.
 Analistas de la red.
 Operadores de Intercambio Privado de Ramificación (PBX).

4.7. Determinar el nivel de aplicación de alguna de las

normas consideradas para la auditoría de redes.
Planificación
La primera norma de auditoría de tecnologías de la información y la comunicación es:
“La auditoría de tecnologías de la información y la comunicación se debe planificar en
forma metodológica, para alcanzar eficientemente los objetivos de la misma.” Se
diseñarán programas de trabajo que se aplicarán durante la ejecución del trabajo de
campo, para el efecto, en función a la evaluación del control interno y evaluación de
riesgos, se determinará la naturaleza, oportunidad y extensión de los procedimientos de
auditoría que se aplicarán para la obtención de evidencia competente y suficiente. Como
resultado del proceso de planificación de la auditoría de tecnologías de la información y la
comunicación, se debe elaborar el Memorándum de Planificación de Auditoría, el cual
debe contener todos los aspectos detallados en la presente norma y aquéllos que se
consideren necesarios incluir, y que tengan relación con los objetivos del examen, el
alcance y la metodología.
Supervisión
La segunda norma de auditoría de tecnologías de la información y la comunicación es:
“Personal competente debe supervisar sistemática y oportunamente el trabajo realizado
por los profesionales que conformen el equipo de auditoría.” La supervisión implica dirigir
los esfuerzos del equipo de auditores gubernamentales hacia la consecución de los
objetivos de auditoría.
Control interno
La tercera norma de auditoría de tecnologías de la información y la comunicación es:
“Debe obtenerse una comprensión del control interno relacionado con el objeto del
examen.”
Se debe evaluar el control interno para identificar las áreas críticas que requieren un
examen profundo y determinar su grado de confiabilidad a fin de establecer la naturaleza,
alcance y oportunidad de los procedimientos de auditoría a aplicar. Comprende el plan de
organización, incluyendo la Unidad de Auditoría Interna, todos los métodos coordinados y
procedimientos adoptados en la entidad para promover la eficacia y la eficiencia de las
operaciones y la confiabilidad de la información, así como el cumplimiento de las políticas.
Evidencia
La cuarta norma de auditoría de tecnologías de la información y la comunicación es:
“Debe obtenerse evidencia competente y suficiente como base razonable para sustentar
los hallazgos y conclusiones del auditor gubernamental.” La acumulación de evidencia es
un proceso integrado a toda la ejecución de la auditoría y debe sustentar todos los
atributos de los hallazgos de auditoría (condición, criterio, causa y efecto).
Comunicación de resultados
La quinta norma de auditoría de tecnologías de la información y la comunicación es: “El
informe de auditoría de tecnologías de la información y la comunicación debe ser
oportuno, objetivo, claro, convincente, conciso y será el medio para comunicar los
resultados obtenidos durante la misma.”
El informe de auditoría de tecnologías de la información y la comunicación debe ser
emitido en forma escrita, lógica y organizada