AUDITORIA DE REDES
32
UNIVERSIDAD PRIVADA DE CIENCIAS ADMINISTRATIVAS Y TECNOLÓGICAS R.M. 409/07 – D.S. 1081/11 AUDITORIA DE SISTEMA DE REDES [SEGURIDAD EN LA RED LÓGICA DE LA UNIVERSIDAD “UCATEC”] Estudiante: Fernández Soria Ariel Docente: Ing. Claudia Isabel Velásquez Ríos Materia: Auditoria de Sistemas Turno: Noche Fecha de presentación: 16/ 12 / 2014
-
Upload
limbert-ariel-fernandez-soria -
Category
Documents
-
view
8 -
download
0
description
SEGURIDAD INFORMACTICA CON KALI LINUX FORENSE
Transcript of AUDITORIA DE REDES
UNIVERSIDAD PRIVADA DE CIENCIAS ADMINISTRATIVAS Y TECNOLÓGICAS
R.M. 409/07 – D.S. 1081/11
AUDITORIA DE SISTEMA DE REDES[SEGURIDAD EN LA RED LÓGICA DE LA UNIVERSIDAD “UCATEC”]
Estudiante: Fernández Soria Ariel
Docente: Ing. Claudia Isabel Velásquez Ríos
Materia: Auditoria de Sistemas
Turno: Noche
Fecha de presentación: 16/ 12 / 2014
Cochabamba-Bolivia
INTRODUCCIÓN..................................................................................................................................................................... 3
Identificación de la necesidad o problema.................................................................................................................3
Objetivos del trabajo de demostración de competencias....................................................................................3
Objetivo general.....................................................................................................................................................................4
Objetivos específicos............................................................................................................................................................4
Alcance de trabajo.................................................................................................................................................................4
Metodología aplicada...........................................................................................................................................................4
Fundamentación teórica....................................................................................................................................................6
Desarrollo de la propuesta del trabajo........................................................................................................................7
Estudio preliminar................................................................................................................................................................7
GUÍA DE AUDITORÍA........................................................................................................................................................... 9
TÉCNICAS DE RECOPILACIÓN DE EVIDENCIAS...................................................................................................13
Técnicas de Recopilación de información...........................................................................................................13
Evidencia documentada..............................................................................................................................................13
TÉCNICAS DE RECOPILACIÓN DE EVIDENCIA......................................................................................................13
Experimentos exploratorios................................................................................................................................13
TÉCNICA Observación.................................................................................................................................................14
OBSERVACIÓN OCULTA.........................................................................................................................................14
EVIDENCIAS..........................................................................................................................................................................14
MÉTODO TRADICIONAL.............................................................................................................................................14
Auditoría de seguridad interna...............................................................................................................................14
Auditoría de seguridad perimetral........................................................................................................................16
Test de intrusión............................................................................................................................................................ 16
Análisis forense.............................................................................................................................................................. 17
Auditoría de páginas web...........................................................................................................................................18
SITUACIONES ENCONTRADAS.....................................................................................................................................21
TABLA DE PRIORIDAD DE RIEGOS.............................................................................................................................23
Conclusiones......................................................................................................................................................................... 24
Bibliografía............................................................................................................................................................................ 24
INTRODUCCIÓN
La universidad Catec es un centro académico de ciencias tecnologías y
administrativas que brindan módulos en varias carreras en su gestión
La red de sistemas en el campus de laboratorios y administraciones y demás
estaciones de trabajo no fueron aún sometidas a una evaluación de seguridad de
información sabotaje o espionaje y hurto de la misma en la red.
Se realiza con las metodologías estándares una auditoría de todos los riesgos que
puedan encontrarse en la red tecnológica de ucatec emitiendo un informe.
Este informe a través de sus observaciones, conclusiones y recomendaciones,
constituye el mejor medio para que las organización puedan apreciar la forma como
están operando.
Se hará conocer a la Universidad lo que realmente desea o necesita conocer para
optimizar su administración en la red tecnológica y su seguridad, el Informe
comunicara información útil para promover la toma de decisiones. Por lo que se debe
de tener en claro cuáles son las normas y pautas para un buen desarrollo y
elaboración del mismo.
IDENTIFICACIÓN DE LA NECESIDAD O PROBLEMAEl problema es el siguiente que muchas organizaciones no toman atención a la
seguridad de la red lógica que puede estar en riesgo mucha información tal caso que
como la Universidad Ucatec que no fue puesta a prueba una auditoria de sistema de
seguridad de la red .
OBJETIVOS DEL TRABAJO DE DEMOSTRACIÓN DE COMPETENCIASElaborar un trabajo de investigación que permita mostrar detalladamente los pasos
que hay que seguir para la realización de un informe de auditoría.
OBJETIVO GENERALSe realizará una Inspección o verificación de la universidad Ucatec (la red lógica),
con el fin de comprobar si la red administrada refleja seguridad de información para
el estudiante y la administración del campus universitario...
OBJETIVOS ESPECÍFICOS● Realizar una investigación y un análisis detallado de la red lógica.
● Se elaborar un programa de auditoria para y aplicar herramientas de auditoria
para cumplir con las normas necesarias para la creación del informe.
● re realizara un
● Elaborar las conclusiones relativas al informe de auditoría
ALCANCE DE TRABAJO
Este documento va dirigido a todas las personas vinculadas con las tecnología en la
universidad ucatec ya sea por responsabilidad o asignación de cargo , puedan
aplicar planes de medidas ante estudio del documento final de informe y puedan
aplicar medidas para solucionar dichos problemas descritos.
METODOLOGÍA APLICADA
Metodología (Según BENSON ing. de ETHICAL HACKING) para definir una
estrategia de seguridad informática que se puede utilizar para implementar directivas
y controles de seguridad con el objeto de aminorar los posibles ataques y amenazas.
Los métodos se pueden utilizar en todos los tipos de ataques a sistemas,
independientemente de que sean intencionados, no intencionados o desastres
naturales, y, por consiguiente, se puedan volver a utilizar en distintos casos de
ataque. La metodología se basa en los distintos tipos de amenazas, métodos de
ataque y puntos vulnerables explicados en "Amenazas a la seguridad". El siguiente
diagrama de flujo describe la metodología.
Amenazas+ Motivos + Herramientas y técnicas + Puntos vulnerables = Ataque
Para cada tipo de método de ataque
Para iniciar un ataque, se necesita un método, una herramienta o una técnica para explotar los distintos puntos vulnerables de los sistemas, de las directivas de seguridad y de los controles. Los agresores pueden utilizar varios métodos para iniciar el mismo ataque. Por lo tanto, la estrategia defensiva debe personalizarse para cada tipo de método utilizado en cada tipo de amenaza. De nuevo, es importante que los profesionales de la seguridad estén al día en los diferentes métodos, herramientas y técnicas que utilizan los agresores. Puede encontrar una explicación detallada al respecto en "Amenazas a la seguridad". La siguiente es una lista breve de estas técnicas:
● Ataques de denegación de servicio
● Ataques de invasión
● Ingeniería social
● Virus
● Gusanos
● Caballos de Troya
● Modificación de paquetes
● Repetición de paquetes
● Adivinación de contraseñas
● Interceptación de correo electrónico
FUNDAMENTACIÓN TEÓRICA
Una auditoría de seguridad informática o auditoría de seguridad de sistemas de
información (SI) es el estudio que comprende el análisis y gestión de sistemas
llevado a cabo por profesionales para identificar, enumerar y posteriormente describir
las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de
las trabajo, redes o servidores.
Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables
quienes deberán establecer medidas preventivas de refuerzo y/o corrección
siguiendo siempre un proceso secuencial que permita a los administradores mejorar
la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.
Las auditorías de seguridad de SI permiten conocer en el momento de su realización
cuál es la situación exacta de sus activos de información en cuanto a protección,
control y medidas de seguridad.
Recomendaciones sobre implantación de medidas preventivas.
Auditoría de seguridad perimetral . En este tipo de análisis, el perímetro de la red
local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las
entradas exteriores
DESARROLLO DE LA PROPUESTA DEL TRABAJO
ESTUDIO PRELIMINAR Que hace la red lógica en el campus de ucatec
Da servicios de acceso a Servidores de contenido informático CMS, y plataforma virtual estudiantil y redes sociales de multimediaProvee servicios informativos como notas del alumnado, iteración de los docentes con la plataforma y acceso a cuentas personalesPublicaciones de contenidos multimedia promociones y evento de la universidad mediante la red intranet.
Como lo haceMediante un proveedor de servicios de internet y la administración del departamento de sistemas que tiene configurado la red para brindar acceso al mismo, roles de usuario logan de usuarios a su cuenta mediante cuenta de la red social Facebook y cuentas personales el ingreso a los servicios de internet
Por wifi mediante un password administrado por el departamento de sistemas accediendo a la red inalámbrica llegando a formar parte de la red madre
Iteración con docentes –sistema web estudiantes –sistema web mediante la conexión de red LAN y WAN. Administrado por el departamento de sistemas del campus
Herramienta que se utiliza por los docentes y administrativos para registrar visualizar editar datos de actividades, notas de los estudiantes Ingresan mediante un dispositivo que soporte tecnología web (computadoras o dispositivos móviles celulares tabletas.)
Qué tipo de usuarios tieneNivel académico estudiantes de nivel bachiller Docentes licenciados y técnicos profesionales
Qué características tieneTecnología basada en el web cliente servidor.Plataforma iterativa de estudiantes académicos y administrativos Un proveedor de servicios de internet externo y un departamento de administración del mismo. Una topología de red un servidor de red
GUÍA DE AUDITORÍAEMPRESA AUDITORA
EQUIPOAUDITOR
EMPRESA AUDITADA FECHA
Fernández & Fernández Consulting
Ariel Fernández Soria Universidad UCATEC 10/12/14
Referencia #01
Actividad a Evaluar Procedimiento de Auditoría
Herramientas a Utilizar
SEGURIDAD DE RED Y
SERVICIOS DE
CUENTAS DE
USUARIOS
Verificar la suficiencia y cumplimiento de todos los parámetros de seguridad de la red lógica en la Universidad UCATEC.Verificando la seguridad de los servicios en líneaevaluación de servidores puertos abiertos y puertos cerrados
Seguridad e integridad de
protección cuestas de
servicios de los estudiantes
docentes en la universidad
● Realizar una visita a la Universidad para revisar su red lógica.
● Dicha revisión se llevará a cabo mediante la observación oculta.
● Evaluar la seguridad en la red lógica.
● Descubrimiento de agujeros para la exploración del sistema informático de la red
● Búsqueda de vulnerabilidades
encontradas
● Realizar las debidas recomendaciones para realizar el mejoramiento de la seguridad de la Universidad Ucatec.
Técnica de observaciónoculta
* S.O. kali Linux.*Nmap(escaneo de la red)
*Observación oculta de lared topología y servidores disponibles
*Herramientas de auditoríaen red área local-Nmap-Nessus-Metasploit-killFirewall-SLLstrip-Puertos Scanner
*Herramientas de Secuestroarmitage vulneración
OBSERVACIONES: Durante las actividades de observación oculta se verificará el estado de la red su topología firewall seguridad servicios disponibles servidores, control de acceso en línea a cuentas de usuarios la configuración de máquinas en red vulnerabilidad de acceso servicios falsos en línea.
ITEM A EVALUAR
Cumple No Cumple Observaciones
¿La topología de red se encuentra bien
estructurada para mantener una seguridad
para su usuario?
X LA CUAL ES VULNERABLE DE ATAQUES ROBO DE
INFORMACIÓN SE DEBERÁ UTILIZAR EL ESTÁNDAR IEEE
802.15.4 QUE ES LA CONFIGURACIÓN SEGURAS
EN LA RED
Y EL 802.10 DE SEGURIDAD LAN
¿Los servidores se encuentran con
seguridad?
X La da de datos de la universidad no cuenta con
una buena configuración de seguridad .puede ser
quebrantada la integridad de la misma
¿Se encuentra presente un firewall en la red? X Puede uno navegar por las
páginas que desee con un medio de conocimiento
técnico
¿La información protegida o
susceptible de robo, pérdida o daño se
encuentra protegida y resguardada?
XPuede romperse la seguridad de este y
extraer ,modificar ,copiar estos archivo
al no contar con una buena configuración del servidor
samba
¿La red está protegida de vulnerabilidad de
servicios? X
Pueden ser detenidos estos servicios en red como
FTP,SSH,SAMBA causando problemas en producción
¿Se cuenta con un sistema de control de
acceso y autorización?
X Debería tener un servidor LDAP que permite controlar
el acceso de usuarios al sistema
¿Se cuenta con planes de contingencia y de
manejo de incidencias de ataques?
X Vulnerable a catástrofes de conexión en la red y
comunicación
¿Existen procedimientos y barreras que
resguarden el acceso a los datos y sólo se
permita acceder a ellos a las personas
autorizadas para hacerlo?
X Puede realizarse robo de información ,e invasión de
privacidadSabotaje.
una mala configuraciones firewall causante de esto
¿Se encuentra libre de ataques de servicios de
host?
X Puede realizarse ataques mediante explotas y detener
servidores
¿Se encuentra la red libre de ataque de
engaño de servicios de internet .para mantener seguras las contraseñas de los estudiantes que
usan el internet?
X Es vulnerable a robo de información de estudiantes en la universidad y robo de cuentas de usuarios ,tener un servidor para detectar
ataques point Access
¿Existe un servidor SSL
de navegación segura por las páginas de gmail,
facebook, hotmail, platafoma y otras
cuentas personales?
X Puede capturarse cuantas mediante este método de ataque , de negación de
cifrado SSL ,tener un servidor de guardia en la red
¿Están protegidas con cifrado los S.O. Windows
para asegurar la integridad de la cuenta de
administrador?
No se cuenta. con un
cifrado de S.O.
El acceso a una cuenta como administrador en las
máquinas es vulnerable.Se debe aplicar un cifrado en
la máquinas
¿Se cuenta con bloqueo de reconocimiento de servicios (ESCANEO
obtención de servicios, puertos, S.O.)?
X Mediante un escaneo de red es fácil obtener información de los servidores y dispositivos que se encuentran en la red.
¿Existen bloqueos contra vulnerabilidades
comunes en los sistemas (ataques con politos)?
X Ustible de ataques comunes de robo sabotaje de
información en la redsolución tener un servidor de
guardia SI
¿La red está preparada para identificar
suplantación de identidad ?
X Puede falsificarse identidad de usuarios de la red como
cuentas de la administración correos electrónicos
¿Existen reglas de bloqueo de acceso no
autorizado a servidores y equipos?
X Puede realizarse con un ataque de fuerza bruta para
obtener control de servidores y maquinas en la red
solución un servidor de guardia y aplicar
procedimientos de acceso¿Se cuenta con una configuración contra ataque de denegación de servicios (que no pueda ser accesible la red)?
XSe puede tener acceso y vulnerar servidores en la red y pararlos en producción solución
servidor SSI
TÉCNICAS DE RECOPILACIÓN DE EVIDENCIASEn ambientes de red intranet LAN
Se mostrará los aspectos más importantes en la recolección de evidencia en ambientes de red.
Se cuestionar los conocimientos de los ambientes de red existentes en la infraestructura del campus universitario, para el proceso de recolección de evidencia en redes. Evidencia digital. Cualquier información de valor probatorio que sea almacenada o transmitida de manera digital. Se recolectar la evidencia de manera remota.
TÉCNICAS DE RECOPILACIÓN DE INFORMACIÓN
EVIDENCIA DOCUMENTADA. Preservación de la evidencia digital dinámica, Se Re direccionar la salida estándar de una máquina Unix a un archivo o dispositivo. Para recolectar evidencia de routers, firewall, y dispositivo de línea serial HyperTerminal servicios de los host en línea de la red en el campus universitario.
Toda actividad de recolección remota será documentada con los resultados, con el objetivo de mejorar los procedimientos de recolección.
Se garantizará la preservación de los datos utilizando mecanismos como grabaciones (video slider documentos fotogramas),
Se utilizara herramientas forenses para el apoyo de recolección de información en el tráfico de la red.
TÉCNICAS DE RECOPILACIÓN DE EVIDENCIA
EXPERIMENTOS EXPLORATORIOS.Se explorará todas las partes de la red ucatec revisando las opciones la manera de seguridad e integridad de la misma
Se explorará todos los servicios de la red intranet LAN del campus universitario con una herramienta de sistema Unix forense para comprobar la integridad y seguridad de la red se explicará más adelante características técnicas.
Pruebas de integridad que se harán en la red del campus universitario
Se explora toda la red local de la universidad Ucatec en busca de vulnerabilidades y servicios ofrecidos por la red.
TÉCNICA OBSERVACIÓN
OBSERVACIÓN OCULTA
EVIDENCIAS
MÉTODO TRADICIONAL
RECONOCIMIENTO-> ESCANEO ->GANAR ACCESO->MANTENER ACCESO->CUBRIR HUELLAS->
AUDITORÍA DE SEGURIDAD INTERNA
Evidencia 1.0
Es posible saber en tipo de topología se encuentra la red y que maquinas pueden ser vulneradas
ESCANEO ->Evidencia 1.1
Se puede terminar que tipo de servicios ofrecen. Qué tipo de ataques son posibles realizarlos
Evidencia 1.2
Muestra la red que tipo de puertos están abiertos y posibles a ser explotados
AUDITORÍA DE SEGURIDAD PERIMETRALRECONOCIMIENTO->Evidencia 1.3
Es posible determinar que servidor corren en línea y poder explotarlos con un ataque SQL-Inyección
TEST DE INTRUSIÓNMuestran toda la información y detalles de servicios y las posibilidades de ser vulnerados
Evidencia 1.4
Identificación de máquinas servidores vulnerables de ataques
ANÁLISIS FORENSE
RECONOCIMIENTO->
Evidencia 1.5
Posibilidades de obtener registro de toda actividad de máquinas y servidores en la redESCANEO ->
Evidencia 1.6
Es posible monitorear toda actividad de servidor SQL-server
AUDITORÍA DE PÁGINAS WEBRECONOCIMIENTO-> Evidencia 1.7
Los servicios pueden ser identificados de la página web de ucatec y la versión protocolos framework desarrollados información que puede ser utilizada para un ataque
Evidencia 1.8
ESCANEO ->Evidencia 2.0
Vulnerabilidad encontrada en la ruta indicada susceptible a ser atacada con sql-inyection
Vulnerabilidad encontrada y riesgo de ataque directo
Vulnerabilidad encontrada en un directorio de la web (css/details) susceptible a un ataque
SITUACIONES ENCONTRADAS
Situación encontrada
Causa Posible Solución Fecha de entrega de solución
Es posible acceder a toda infraestructura dela red detectando equipos, servidores en línea, y comprobar vulnerabilidades en estas. E posible infección de virus (EVIDENCIA 1.0)
No cuenta con una configuración adecuada o sus configuraciones solo fueron básicas.
ImplementarUn servidor SI
30/12/2014
Puertos abiertos en el servidor samba(EVIDENCIA 1.1)
error en configuración de servidor de archivos
Configuración en el archivo del servidor /etc/samba/smb:.conf cerrar puertos predeterminados
20/12/14
Servidores encontrados.(EVIDENCIA 1.2)
Mala configuración de firewall
Configuración de acceso en red ,integración de servidor de guardia
21/12/2014
Es posible determinar que servidores corren en línea y poder explotarlos con un ataque SQL-Inyección(EVIDENCIA 1.3)
Configuración básica de Microsoft sqlserver,ignorando la seguridad del mismo
Realizar una configuración avanzada del gestor de base de datos
22/12/2014
Muestran toda la información y detalles de servicios y las posibilidades de ser vulnerados(EVIDENCIA 1.4)
Mala configuración dela red
Determinar reglas de navegación y acceso en un servidor firewall
23/12/2014
Identificación de máquinas servidores vulnerables de
Una configuracion mala en la red
Integración de un servidor de guardia
24/12/2014
ataques Bootnes
(EVIDENCIA 1.5)
y accedo a puertos
Es posible monitorear toda actividad de servidor SQL-server
No se encuentra activo la funcionalidad de prívate use proxy
Realizar una configuración más avanzada
24/12/2014
Los servicios pueden ser identificados de la página web de ucatec y la versión protocolos framework desarrollados información que puede ser utilizada para un ataque
módulos de la página no indexados
cambiar indexación en la página web ucatec
-----------
La página web es susceptible a ataques de falsificación y réplica de la misma
(Evidencia 1.9)
Falta de protección de directorios en hostiga de la web
Configuración de permisos
24/12/2014
página webVulnerabilidad encontrada en la ruta indicada susceptible a ser atacada con sql-inyection(EVIDENCIA 2.0)
Configuración de acceso a tablas no verificada
Configuración delas tablas de la base de datos
24/12/2014
vulnerabilidad encontrada en un
Mala configuración
Configuración y modificación de el
25/12/2014
directorio de la webucatec/(css/details)susceptible a un ataque
de indexación de las paginas
módulo de indexación de la página en PHPCAKE
TABLA DE PRIORIDAD DE RIEGOS Situación encontrada Causa Posible SoluciónEs posible acceder a toda infraestructura dela red detectando equipos, servidores en línea, y comprobar vulnerabilidades en estas. E posible infección de virus (EVIDENCIA 1.0)
No cuenta con una configuración adecuada o sus configuraciones solo fueron básicas.
Implementar un servidor SSI
Puertos abiertos en el servidor samba(EVIDENCIA 1.1)
error en configuración de servidor de archivos
Configuración en el archivo del servidor /etc/samba/smb:.conf cerrar puertos predeterminados
Es posible determinar que servidores corren en línea y poder explotarlos con un ataque SQL-Inyección(EVIDENCIA 1.3)
Configuración básica de Microsoft sqlserver,ignorando la seguridad del mismo
Realizar una configuración avanzada del gestor de base de datos
La página web es susceptible a ataques de falsificación y réplica de la misma(Evidencia 1.9)
Falta de protección de directorios en hostiga de la web
Configuración de permisos
CONCLUSIONES
La seguridad lógica tiene a restringir accesos a programas y archivos mediante
claves y configuraciones avanzadas
Así solo tendrá acceso el usuario con permiso.
Todos los niveles de seguridad Informáticos describirán diferentes tipos de seguridad
del Sistema Operativo.
Existen diferentes tipos o clases de seguridad, donde también se utilizan o pueden
aplicarse a servidores y ordenadores
Toda seguridad dependerá del análisis del uso y trayecto del sistema por parte del
departamento de informática de la Universidad de Ucatec donde se podrá detectar
problemas con los datos del sistema.
Es necesario detallar que esta seguridad lógica permite el control de los flujos de
entrada y salida de la información muy necesaria ser aplicada para evitar desastres
en la red lógica de la universidad UCATEC el ingreso no autorizado por medio dela
red.
BIBLIOGRAFÍAhttp://www.microsoft.com/
http://ehacking.com.bo/
