6575883 Auditoria de Redes y Base de Datos
40
Auditoria de Redes Auditoria de Redes y Base de Datos y Base de Datos Escalante Escalante La Portilla La Portilla Márquez Márquez
-
Upload
luisenriquegallegos9986 -
Category
Documents
-
view
242 -
download
0
description
DD
Transcript of 6575883 Auditoria de Redes y Base de Datos
Auditoria de Redes y Auditoria de Redes y Base de DatosBase de Datos
EscalanteEscalanteLa PortillaLa PortillaMárquezMárquez
AUDITORIA DE REDAUDITORIA DE REDLa globalización, la competencia y los avances tecnológicos están aumentando la importancia de las redes corporativas en todos los sectores empresariales. Las empresas con mayor visión deberían estar preparadas para una creciente dependencia de sus redes y, en consecuencia, para un crecimiento de red exponencial. Además, La infraestructura de las Tecnologías de la Información y de las Comunicaciones (TIC) se ha convertido en un activo empresarial estratégico y la red constituye su núcleo.
CONCEPTOCONCEPTOUna Auditoria de Redes es, en esencia, una serie de mecanismos mediante los cuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la información. El primer paso para iniciar una gestión responsable de la seguridad es identificar la estructura física (hardware, topología) y lógica (software, aplicaciones) del sistema (sea un equipo, red, intranet, extranet), y hacerle una Análisis de Vulnerabilidad, para saber en qué grado de exposición nos encontramos;
CONCEPTOCONCEPTO
Así, hecha esta "radiografía" de la red, se procede a localizar sus falencias más críticas, para proponer una Estrategia de Saneamiento de los mismos; un Plan de Contención ante posibles incidentes; y un Seguimiento Contínuo del desempeño del sistema de ahora en más.
Auditoria De La Red FísicaAuditoria De La Red FísicaGarantiza:• Áreas de equipo de comunicación con control de
acceso. • Protección y tendido adecuado de cables y
líneas de comunicación para evitar accesos físicos.
• Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el tráfico en ella.
• Prioridad de recuperación del sistema. • Control de las líneas telefónicas.
Comprobando:
• El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.
• La seguridad física del equipo de comunicaciones sea adecuada.
• Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas.
• Las líneas de comunicación estén fuera de la vista. • Se dé un código a cada línea, en vez de una descripción
física de la misma. • Haya procedimientos de protección de los cables y las
bocas de conexión para evitar pinchazos a la red.
• Existan revisiones periódicas de la red buscando pinchazos a la misma.
• El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas.
• Existan alternativas de respaldo de las comunicaciones.
• Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retro-llamada, código de conexión o interruptores.
Auditoria De La Red LógicaAuditoria De La Red LógicaManejar:• Se deben dar contraseñas de acceso. • Controlar los errores. • Garantizar que en una transmisión, ésta solo
sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la información a la red.
• Registrar las actividades de los usuarios en la red.
• Encriptar la información pertinente. • Evitar la importación y exportación de datos.
Comprobar:
• Inhabilitar el software o hardware con acceso libre. • Generar estadísticas de las tasas de errores y transmisión. • Crear protocolos con detección de errores. • Los mensajes lógicos de transmisión han de llevar origen,
fecha, hora y receptor. • El software de comunicación, ha de tener procedimientos
correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados.
• Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada.
• Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
• Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciones.
• Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciones.
• Asegurar que los datos que viajan por Internet vayan cifrados.
• Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos foráneos a la red.
• Deben existir políticas que prohíban la instalación de programas o equipos personales en la red.
• Los accesos a servidores remotos han de estar inhabilitados.
• La propia empresa generará propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas:
• Servidores = Desde dentro del servidor y de la red interna. – Servidores web. – Intranet = Desde dentro. – Firewall = Desde dentro. – Accesos del exterior y/o Internet.
ETAPAS A IMPLEMENTAR EN ETAPAS A IMPLEMENTAR EN LA AUDITORÍA DE REDESLA AUDITORÍA DE REDES
Análisis de Vulnerabilidad
Éste es sin duda el punto más crítico de toda la Auditoría, ya que de él dependerá directamente el curso de acción a tomar en todas las siguientes etapas y el éxito de éste. Nuestro equipo cuenta con la tecnología y la capicidad necesaria para elaborar detallados reportes sobre el grado de vulnerabilidad del sistema, a través de análisis remotos y locales.
Estrategia de Saneamiento
Identificadas las "brechas" en la red, se procede a "parchearlas", bien sea actualizando el software afectado, reconfigurándolo de una mejor manera o removiéndolo para remplazarlo por otro que consideremos más seguro y de mejor desempeño. En este sentido, 7 Espejos no posee ningún acuerdo con ninguna compañía de software, y probablemente le ofrecerá soluciones GNU, de alta performance y muy bajo costo.
Las bases de datos, los servidores internos de correo, las comunicaciones sin cifrar, las estaciones de trabajo... todo los puntos críticos deben reducir el riesgo. En los casos más extremos, la misma infraestructura física de la red deberá ser replanteada, reorganizando y reconfigurando los switches y routers de la misma.
Plan de Contención
La red ha sido replanteada, el software ha sido reconfigurado (o rediseñado) y el riesgo ha sido reducido; aún así, constamente se están reportando nuevos fallos de seguridad y la posibilidad de intrusión siempre está latente. Un disco rígido puede fallar, una base de datos puede corromporse o una estación de trabajo puede ser infectada por un virus in the wild (virus bien reciente de rápida propagación); para ello hay que elaborar un "Plan B", que prevea un incidente aún después de tomadas las medidas de seguridad, y que dé respuesta a posibles eventualidades.
Seguimiento Contínuo
Como señana Bruce Schneier, reconocido especialista de esta área, «la seguridad no es un producto, es un proceso». Como dijimos, constamente surgen nuevos fallos de seguridad, nuevos virus, nuevas "herramientas" (exploits) que facilitan la intrusión en sistemas, como así también nuevas y más efectivas tecnologías para solucionar estos y otros problemas; por todo ello, la actitud ante la seguridad de debe ser activa, procurando estar "al corriente" de lo que esté sucediendo en la materia, para ir cubriendo las nuevas brechas que vayan surgiendo y -cuando menos- para hacerle el trabajo más difícil a nuestros atacantes.
HERRAMIENTAS DE AUDITORIA HERRAMIENTAS DE AUDITORIA DE REDESDE REDES
• OpenBSD: El sistema operativo preventivamente seguro.• TCP Wrappers: Un mecanismo de control de acceso y registro clásico
basado en IP.• pwdump3: Permite recuperar las hashes de passwords de Windows
localmente o a través de la red aunque syskey no esté habilitado.• LibNet: Una API (toolkit) de alto nivel permitiendo al programador de
aplicaciones construir e inyectar paquetes de red.• IpTraf: Software para el monitoreo de redes de IP.• Fping: Un programa para el escaneo con ping en paralelo.• Bastille: Un script de fortalecimiento de seguridad Para Linux, Max Os X, y
HP-UX.• Winfingerprint: Un escáner de enumeración de Hosts/Redes para Win32.• TCPTraceroute: Una implementación de traceroute que utiliza paquetes de
TCP.• Shadow Security Scanner: Una herramienta de evaluación de seguridad no-
libre.• pf: El filtro de paquetes innovador de OpenBSD.• LIDS: Un sistema de detección/defensa de intrusiones para el kernel Linux.
HERRAMIENTAS DE AUDITORIA HERRAMIENTAS DE AUDITORIA DE REDESDE REDES
• etherape: Un monitor de red gráfico para Unix basado en etherman.• dig: Una útil herramienta de consulta de DNS que viene de la mano con
Bind.• Crack / Cracklib: El clásico cracker de passwords locales de Alec Muffett.• cheops / cheops-ng: Nos provee de una interfaz simple a muchas utilidades
de red, mapea redes locales o remotas e identifica los sistemas operativos de las máquinas.
• zone alarm: El firewall personal para Windows. Ofrecen una versión gratuita limitada.
• Visual Route: Obtiene información de traceroute/whois y la grafica sobre un mapa del mundo.
• The Coroner's Toolkit (TCT): Una colección de herramientas orientadas tanto a la recolección como al análisis de información forenese en un sistema Unix.
• tcpreplay: una herramienta para reproducir {replay} archivos guardados con tcpdump o con snoop a velocidades arbitrarias.
• snoop: También es un sniffer de redes que viene con Solaris.
Auditoria de Base de datosAuditoria de Base de datos
El objeto fundamental de la auditoria El objeto fundamental de la auditoria es obtener información de las es obtener información de las operaciones que cada usuario operaciones que cada usuario realiza sobre los objetos de una base realiza sobre los objetos de una base de datos.de datos.
Aspectos a Evaluar • Administración de la Base de Datos• Mantenimiento• Prevención y Detección de Errores• Medio Ambiente• Recuperación• Soporte del Proveedor• Seguridad• Documentación
Auditoria de Base de datosAuditoria de Base de datos
Niveles de Auditoria:Niveles de Auditoria:
• Niveles de Auditoria:– Agregada.
– Censal.– Muestral.
– Detallada.– Cambios
• De contenido.• De estructura.
– Accesos.• Operaciones de acceso a contenido.• Resultados de las operaciones de acceso.
– Otros.• Copias de seguridad y recuperaciones.• Reconstrucción de un estado de los datos.
Agregada:Agregada:
• Estadísticas sobre el número de operaciones realizadas sobre un objeto de Base de Datos, por cada usuario. Como cualquier estadística, su medida puede hacerse con técnicas censales muestrales.– Censal: El gestor toma datos de todas las
operaciones que recibe, según el gestor, esto se ejecutará en paralelo a las operaciones auditadas.
– Muestral: Periódicamente se toman una muestra de datos .
Detallada:Detallada:
• Incluye todas las operaciones realizadas sobre cada objeto.– Cambios.
• El contenido de los datos. Debe contener la imagen de los datos anteriores y posteriores a la operación del cambio.
• La estructura de los objetos que componen la aplicación.
– Accesos. Limitada a las operaciones de acceso al contenido de los datos y tiene dos niveles de detalle:
• Operación (sentencia SQL que se ejecutó) y• Resultado (los datos que se vieron en la sentencia SQL
ejecutada).
Otros tipos:Otros tipos:
• Copias de Seguridad.• Reconstrucción de estados.
Principales SGBDPrincipales SGBDSituación al 2005Situación al 2005
Principales SGBDPrincipales SGBD
OracleOracle
OracleOracle
Oracle soporta tres tipos generales de Auditoria:
• Por sentencia.• Por Privilegios o Autorizaciones.• Objetos de un sistema.
OracleOracle
• Auditoria de sentencias:– El objeto auditado es una sentencia SQL específica, independientemente del
esquema.– Por cada operación auditada, este gestor produce un registro en AUD$.– Las sentencias auditables son, por ejemplo:
• INDEX (Create, alter, drop.).• NOT EXISTS (Todas las sentencias SQL que fallan al no existir el objeto
referenciado).• PROCEDURE (Create function, create pakage, …)• PUBLIC SYNONYM (Create, drop.).• ROLE (Create, alter, drop.).• ROLL BACK (Create, alter drop)• SESSION (logons).• SYSNONYM (Create, drop.).• SYSTEM AUDIT (“Audit” sentencia SQL ·Nodudit Sentencia SQL).• SYSTEM GRANT (Grant privilegio o role, revoke).• TABLE (Create, drop, truncate, alter, delete…).• TRIGGER (Create, alter, drop).• USER (Create, alter, drop.).• VEN (Create, drop.).• EXECUTE.
OracleOracle
• Auditoria de privilegios o autorizaciones:– El objeto auditado es la realización de las acciones
correspondientes a determinados privilegios del sistema.– Algunos de esos privilegios son ALTER DATABASE, AUDIT
SYSTEM, ALTER SYSTEM, CREATE DATABASE LINK, CREATE ROLE, CREATE/ALTER/DROP ANY ROLE, CREATE/ALTER /BACKUP/DELETE/DROP/INSERT/LOCK/UPDATE/SELECTANY TABLE, y muchos más.
OracleOracle
• Auditoria de objetos de un Schema.– Se aplica sobre un particular objeto de un esquema, por ejemplo Audit Select on Scott.emp.– Se parece a la auditoria por sentencia SQL, pero en este caso, se especifica un esquema y un objeto, es decir, una tabla, una vista y una función, etc.– Número de registros auditados puede ser muy numeroso. Conviene
limitar por usuario o por objeto.– Se puede limitar por sesión (“by Session”), o generar un registro cada
vez que se produzca un hecho a auditar (“by Access”).
Controlar los intentos de conexión fallidosControlar los intentos de conexión fallidos
Controlar los intentos de conexión fallidosControlar los intentos de conexión fallidos
Como implementar una Auditoria Como implementar una Auditoria de BDde BD
• Definir el Alcance de la auditoria:– Esta auditoria comprende solamente al área de cetro de computo de la
municipalidad de mariscal nieto, con respecto al cumplimiento del proceso "De Gestión administración de la Base de Datos " de la de manera que abarca la explotación, mantenimiento, diseño carga, post implementación.
•Definir Definir el Objetivoel Objetivo
“Verificar la responsabilidad de la administración del entorno de la
base de datos” (administrador de la base de datos)
Como implementar una Auditoria Como implementar una Auditoria de BDde BD
checklistchecklist1. Los datos son cargados correctamente en la interfaz grafica2. Existe personal restringido que tenga acceso a la BD3. ¿Existen procedimientos formales para la operación del4. SGBD?5. ¿Se verifican con frecuencia la validez de los inventarios de los
archivos magnéticos?6. ¿Se tiene un responsable del SGBD?7. ¿Se ha investigado si ese tiempo de respuesta satisface a los
usuarios?
Como implementar una Auditoria Como implementar una Auditoria de BDde BD
INFORME DE AUDITORIAINFORME DE AUDITORIA
1. Identificación del informeAuditoria de Base de Datos.
2. Identificación del ClienteEl área de Informática
3. Identificación de la Entidad Auditada Municipalidad Provincial de Moquegua.
4. HallazgosLa gerencia de Base de datos no tiene un plan que
permite modificar en forma oportuna el plan a largo plazo de tecnología, teniendo en cuenta los posibles cambios tecnológicos y el incremento de la base de datos.
…….
5. Conclusiones: El Departamento de centro de cómputo presenta deficiencias
sobre todo en el debido cumplimiento de Normas de seguridad de datos y administración de la Base de Datos.
…..
6. Recomendaciones Capacitar al personal al manejo de la BD.
INFORME DE AUDITORIAINFORME DE AUDITORIA
