Professional Documents
Culture Documents
AUDITORA DE SISTEMAS
Terminologa Bsica y
Modelos
Ponente: Edwin Miranda Guevara
edwin_miranda@live.com
Seal Elctrica
Correccin de error
Identificacin del tipo
de servicio
Asegurar la conexin
de extremo a extremo.
Etc.
Control Elctrico
APLICACIN
PRESENTACIN
SESIN
TRANSPORTE
RED
Establece las rutas por las cuales se puede comunicar el emisor con el
receptor, lo que se realiza mediante el envo de paquetes de informacin
ENLACE
FSICO
Capa de
Enlace
Control
de
errores
y
Transferencia
Trama
Capa de
Enlace
Control de
errores y
Transferencia
Trama
Capa de
Enlace
Modelo OSI
Aplicacin
Presentacin 6
Sesin
Transporte
Red
Enlace
Fsica
Al enviar
el mensaje
baja
7 Aplicacin
6 Presentacin
Al recibir
el mensaje
sube
5 Sesin
4 Transporte
3 Red
2 Enlace
1 Fsica
Nodo A
Nodo B
RED
Vulnerabilidades y Ataques
Informticos
Ponente: Jonathan Muoz Aleman
Homepage:
http://geekmelomano.iespana.es/
E-mail: geekmelomano@iespana.es
Vulnerabilidades y Ataques
Informticos
Anlisis de Vulnerabilidades:
Mtodos
Protocolos Comunes
Auditoria de la gerencia de
comunicaciones
Auditora de la Gerencia de
Comunicaciones
Ponente: Jos Caldern
Villanueva
jose_1985c@hotmail.com
Auditar la Gerencia de
Comunicaciones
Ha de verse las siguientes reas:
Auditar la Gerencia de
Comunicaciones
Cumpliendo como objetivos de control:
Auditar la gerencia de
Para lo cual se debe comprobar:
comunicaciones
El nivel de acceso a diferentes funciones dentro de la red.
Coordinacin de la organizacin de comunicacin de datos y voz.
Han de existir normas de comunicacin en:
Tipos de equipamiento como adaptadores LAN.
Autorizacin de nuevo equipamiento, tanto dentro, como
fuera de las horas laborales.
Uso de conexin digital con el exterior como Internet.
Instalacin de equipos de escucha como Sniffers
(exploradores fsicos) o Traceadores (exploradores lgicos).
La responsabilidad en los contratos de proveedores.
La creacin de estrategias de comunicacin a largo plazo.
Auditar la gerencia de
comunicaciones
Planificacin de cableado.
ALGORITMO RSA
Es un algoritmo asimtrico cifrador de
bloques, que utiliza una clave pblica, la
cual se distribuye, y otra privada, la cual es
guardada en secreto por su propietario.
Cuando se quiere enviar un mensaje, el
emisor busca la clave pblica de cifrado
del receptor, cifra su mensaje con esa
clave, y una vez que el mensaje cifrado
llega al receptor, ste se ocupa de
descifrarlo usando su clave oculta.
SEGURIDAD
La seguridad de este algoritmo radica en
que no hay maneras rpidas conocidas de
factorizar un nmero grande en sus
factores primos utilizando computadoras
tradicionales.
El descifrado completo de un texto cifrado
con RSA es computacionalmente
intratable, no se ha encontrado un
algoritmo eficiente todava para solucionar
este problema.
c: Texto Cifrado
m: Mensaje
e: Exponente Pblico (Encriptar)
d: Exponente Privado (Desencriptar)
n: p*q
p y q: Nmeros primos de la clave
privada
Conceptos Previos
En general, muchas veces se parte del supuesto de que si no existe
acceso fsico desde el exterior a la red interna de una empresa las
comunicaciones internas quedan a salvo. Debe comprobarse que
efectivamente los accesos fsicos provenientes del exterior han sido
debidamente registrados, para evitar estos accesos. Debe tambin
comprobarse que desde el interior del edificio no se intercepta
fsicamente el cableado.
En caso de desastre, bien sea total o parcial, ha de poder comprobarse
cul es la parte del cableado que queda en condiciones de funcionar y
qu operatividad puede soportar. Ya que el tendido de cables es una
actividad irrealizable a muy corto plazo, los planes de recuperacin de
contingencias deben tener prevista la recuperacin en comunicaciones.
Conceptos Previos
Ha de tenerse en cuenta que la red fsica es un punto claro de
contacto entre la gerencia de comunicaciones y la gerencia de
mantenimiento general de edificios, que es quien suele aportar
electricistas y personal profesional para el tendido fsico de cables y
su mantenimiento.
Se debe garantizar que exista:
reas de equipo de comunicacin con control de acceso.
Proteccin y tendido adecuado de cables y lneas de comunicacin
para evitar accesos fsicos.
Control de utilizacin de equipos de prueba de comunicaciones para
monitorizar la red y el trfico en ella.
Prioridad de recuperacin del sistema.
Control de las lneas telefnicas.
Conceptos Previos
Se debe comprobar que:
Caso Prctico
Este informe contiene el resultado de la auditoria de redes fsicas
realizada sobre la red de rea local de la Universidad Tecnolgica
Nacional Facultad Regional de Crdoba.
Propsito:
El propsito de esta auditoria es evaluar los controles de seguridad
para proteger los recursos de la red fsicas de la Universidad
Tecnolgica Nacional, Facultad Regional de Crdoba.
Obtener una visin general de la ubicacin de todos los dispositivos
de la red de rea local.
Evaluar el ambiente de control fsico sobre los dispositivos de la red
de rea local.
Cuestin de Fondo:
El funcionamiento de la Universidad se basa en su sistema
informtico. Este es necesario para brindar servicios tanto a
estudiantes como a empleados. Algunos de estos servicios son:
Inscripciones, seguimiento de alumnos, dictado de clases, servicio de
comunicaciones, internet y otros.
Caso Prctico
En qu consiste:
Caso Prctico
Metodologa
Durante nuestra visita preliminar identificamos todas las salas donde
se encuentra el equipamiento de cmputos y las clasificamos en
principales y secundarias, entendindose por principales
aquellas donde se ubican los dispositivos ms importantes para la
red tales como servidores, hubs, switch, etc.
Es vlido resaltar que las salas principales deben contar con un
mayor control de seguridad que las secundarias.
La figura 1 describe los aspectos tpicos a implementar para el
control fsico de la red en las salas principales y secundarias.
Caso Prctico
Para Salas Secundarias
Caso Prctico
Para Salas Principales
(Adems de los aspectos necesarios para las salas secundarias)
Caso Prctico
Para obtener una visin general de la ubicacin de todos los
dispositivos de red, nos contactamos con el personal encargado
de las aulas G del edificio, el Laboratorio de Sistemas y el centro
de cmputos. Posteriormente visitamos cada una de estas salas
para evaluar, los controles sobre la seguridad fsica, las
condiciones ambientales y controles sobre las copias de seguridad
e inventarios. Para esto nos entrevistamos con los responsables
de cada una de estas salas.
Hallazgo
No existen
polticas ni
procedimientos
para
Mantenimiento
No existen
polticas ni
procedimientos
para Inventarios
No existen
polticas ni
procedimientos
para registros de
errores y
soluciones
No existen
polticas ni
procedimientos
para la asignacin
de
responsabilidades
Recomendacion
es
Anlisis:
Los hallazgos identificados, se han agrupado en categoras por su similitud. Para permitir
una visin ms global de los problemas. Esto se refleja en la siguiente tabla:
Categora Problemas en
Ambiental Tubos fluorescentes sin coberturas.
Salas
Visitada Con
s
problema
5
5
Red
Para un mejor anlisis de los riesgos se dio una ponderacin diferenciando los hallazgos del centro del
cableado del resto (ambientales y red horizontal), asignndoles los valores de 1.0 y 0.6 respectivamente.
Por otra parte, cada hallazgo fue ponderado independientemente, utilizando una escala de 0.0 a 1.0.
Reflejando los resultados en la siguiente tabla.
Problemas en
Centro de cableado mal ubicado
Dispositivos accesibles a personas no
autorizadas.
Dispositivos sin identificadores.
Problemas con conectores
Tomacorrientes
instalados
sobre
mubles de cao.
Problemas con cableado
Centro de cableado en el piso.
Problemas con Matafuego
Tubos fluorescentes sin coberturas.
Cables en el piso o junto a la red
elctrica.
Problemas con precintos
Cielo raso en mal estado.
visitas
Sala problem
CC s
as
PP.
PC PI
VR
3
3
100% 1.00 0.7 70
3
67% 1.00
0.7
47
100% 1.00
100% 0.60
0.4
0.6
40
36
100%
100%
67%
80%
100%
0.60
0.60
1.00
0.60
0.60
0.5
0.5
0.3
0.4
0.2
30
30
20
19
12
0.3
0.3
11
11
0.4
10
5
5
5
5
2
4
5
60% 0.60
60% 0.60
40% 0.60
Caso Prctico
Anlisis de los Hallazgos:
Caso Prctico
Recomendaciones:
Nuestra opinin es que, los controles sobre los recursos de la red de rea local de la
universidad deben ser mejorados puesto que presenta importantes dificultades.
Esto se debe a la ausencia de lineamientos claros para su gestin.
Recomendacin Final:
Gracias totales!!!