Anda di halaman 1dari 143

INFORMES TECNICOS

CUSI CALVO, ALAN

INFORMES TECNICOS

TRABAJO DE INVESTIGACION
INFORME TECNICO DE AUDITORIA EN
SISTEMAS

ALAN CUSI CALVO

CUSCO - PER

CUSI CALVO, ALAN

INFORMES TECNICOS

DEDICATORIA

A Dios por haberme colmado de bendiciones y guiado en el camino para lograr mis
objetivos a lo largo de mi formacin profesional.
A mi Esposa Yovana Huaraca Pimentel y a mi Hijo Caleb Sebastin, quienes han
sido, es y seguirs siendo mi fuente de inspiracin, sostn y apoyo en mis esfuerzos
de superacin a lo largo de mi vida personal y profesional. Por haberme apoyado en
todo momento incondicionalmente, por la motivacin constante que me permiti
hacer frente nuevos retos que me hicieron crecer como persona y profesionalmente,
por su ejemplo de perseverancia, constancia y superacin que la caracteriza y que
me ha infundado siempre y por su valor mostrado de salir adelante.
A mis familiares por su asesora y apoyo constante durante el desarrollo de esta
investigacin, por su amistad, enseanza y oportunidades brindadas que impulsaron
el desarrollo de mi formacin profesional en el campo de la auditora.

CUSI CALVO, ALAN

INFORMES TECNICOS

AGRADECIMIENTOS

Gracias en primer lugar a Dios por


haberme Colmado de salud en todo
momento y a mi Glorioso Mrtir Patrn
San Sebastin por permitirme seguir
forjndome como profesional en el
desarrollo de esta investigacin, a la vez
un sincero agradecimiento a mi asesor
al

Ingeniero

Gutierrez,

Alan

Tito

Gutierrez

Por haberme brindado su

tiempo, Apoyo y gua permanente, y


finalmente agradecer a mi familia por el
constante

apoyo

de

mis

padres,

familiares, amigos y al igual que a mis


compaeros de aulas.

RESUMEN

INFORMES TECNICOS
A medida que surgen nuevos cambios en la tecnologa informtica, tambin surgen
nuevas necesidades de servicios, nuevas formas de transportar la informacin,
utilizando la movilidad y las comunicaciones, el ser humano siempre busca nuevas
formas de poder realizar sus actividades desde la comodidad de su hogar de una
forma fcil y movible, por ello nace la necesidad de implementar las redes
inalmbricas.
Sin embargo actualmente no se cuenta con una gua de buenas prcticas que sirva
de ayuda al auditor con experiencia y sin las herramientas necesarias para la
auditora en redes inalmbricas, en la cual los encargados del control la tomen de
apoyo para realizar sus labores, realizndose el proceso de auditora basados en la
experiencia y de la mano con herramientas de monitoreo WLAN, monitoreando slo
canales de emisin, nivel de seal y tipo de claves, tomando ms tiempo del que
debera al no tener una gua de apoyo en la auditora a la red inalmbrica.
Al presentar esta investigacin, se propone buenas prcticas para el desarrollo de
auditoras de redes inalmbricas aplicadas a las empresas del rubro hotelero. La
propuesta est basada en el estudio de las empresas del rubro hotelero de la ciudad
de Cusco con el fin de mejorar la disponibilidad, confiabilidad e integridad de la
informacin, cotejando metodologas existentes que ayuden auditar redes
inalmbricas, y desarrollando la propuesta de las buenas prcticas.
En base a las metodologas COBIT 4.1, NTP ISO IEC 27001, NTP ISO IEC
27002, Osstmm Wireless 2.9, ENISA, RED-M, Information networks planning and
design (INPD) y metodologa para administrar redes 3.0., se elaboraron buenas
prcticas para auditar redes inalmbricas. Como parte de las buenas prcticas se
encuentra, los dominios Diseo, Administracin y Seguridad, y cada una presenta
sus buenas prcticas, a la vez cada de estas tiene su objetivo, actividades o tareas,
herramientas de apoyo y un Checklist para auditar la red inalmbrica.
Se utiliz la entrevista, encuesta, anlisis de la red inalmbrica y documentos para
recaudar informacin a travs de los archivos histricos referentes a la aplicacin de
metodologas o guas de auditora en la red inalmbrica.
Se realiz un estudio pre_experimental, realizndose una encuesta a las entidades
hoteleras para poder determinar si cuentan con una red inalmbrica, si se realizaron
auditoras a la red inalmbrica, si se basaron en algn documento, norma o gua de
buenas prcticas, etc.; basndose en la informacin recopilada anteriormente se
determin una entidad hotelera para desarrollar y aplicar la propuesta para las
buenas prcticas en la auditora de la red inalmbrica, y por ltimo evaluar si lo
hecho sirve para cualquier institucin.
La investigacin es un aporte para personas y/o instituciones interesadas en
realizar y aplicar buenas prcticas para auditar redes inalmbricas.
PALABRAS CLAVE: Redes inalmbricas, firewall, VPN, Wi-Fi, Punto de acceso, Red
Ad Hoc, Sniffer, token, Radius.

INFORMES TECNICOS
ABSTRACT
As there are new changes in computer technology, also new needs for services,
new ways to convey information, using mobility and communications, human beings
always looking for new ways to carry out its activities from the comfort of your home
in an easy and mobile, so comes the need to deploy wireless networks.
However there is currently a best practice guide that is helpful to the auditor with
experience and without the necessary tools for auditing wireless networks, in which
managers take control of the support to do their jobs, performing the audit process
based on experience and hand with WLAN monitoring tools, monitoring only
broadcast channels, signal level and key type, taking longer than it should to not
have a fence into the network audit Wireless.
In presenting this research, we propose best practices for the development of
wireless network audits applied to companies in the hospitality field. The proposal is
based on the study of companies in the hotel business in the city of Cusco in order
to improve the availability, reliability and integrity of information, collating audit
methodologies that help wireless networks, and developing best practice proposal .
Based on the methodologies COBIT 4.1, NTP - ISO - IEC 27001, NTP - ISO - IEC
27002, OSSTMM Wireless 2.9, ENISA, RED-M, Information networks planning and
design (INPD) and methodology for managing networks 3.0., Were developed best
practices for auditing wireless networks. As part of good practice is, domains,
design, management and security, and each has their good practices, while each of
these has its purpose, activities or tasks, support tools and a checklist to audit
wireless network .
We used the interview, survey, wireless network analysis and documents to collect
information through the historical archives relating to the application of audit
methodologies or guidelines on the wireless network.
Pre_experimental A study, carried out a survey of hotel companies to determine if
they have a wireless network, if audits were performed to the wireless network,
whether based on a document, standard or best practice guide, etc..; Based on
information gathered above found a hotel establishment to develop and implement
the proposal for good practice in the audit of the wireless network, and finally
evaluate whether it actually serves to any institution.
The research is a contribution to individuals and / or institutions interested in
making and implementing good practices for auditing wireless networks.
KEY WORDS: Wireless Networking, Firewall, VPN, Wi-Fi Puntos de acceso, Ad Hoc
Network, Sniffer, token, Radius.

INFORMES TECNICOS
INDICE GENERAL

Contenido
I. INTRODUCCION............................................................................18
II. MARCO TERICO..........................................................................19
2.1. Antecedentes de Investigacin....................................................20
Propsito:............................................................................................20
Antecedente 2.......................................................................................20
Antecedente 3.......................................................................................20
Propsito:............................................................................................20
Antecedente 4.......................................................................................21
Propsito:............................................................................................21
Antecedente 5.......................................................................................21
Propsito:............................................................................................21
2.2. Bases Tericas.........................................................................22
2.2.1. Redes inalmbricas......................................................................22
2.2.1.2. Caractersticas.........................................................................22
2.2.1.3. Configuraciones WLAN..............................................................23
Punto a Punto o Ad-Hoc........................................................................23
2.2.1.4. Normalizacin IEEE para WLAN................................................24
WLAN 802.11........................................................................................24
WLAN 802.11b (Wi-Fi).............................................................................25
WLAN 802.11a (Wi-Fi 5).........................................................................25
WLAN 802.11g.......................................................................................25
2.2.1.5. Extensiones de la Norma 802.11..................................................25
2.2.1.6. Hardware de Red Inalmbrica.....................................................27
2.2.1.6.2. Bridges................................................................................28
2.2.1.6.3. Switch.................................................................................28
2.2.1.6.4. Router.................................................................................30
2.2.1.7. Prdida de Seal WiFi...............................................................31
2.2.1.8. Interferencia y Atenuacin..........................................................32
2.2.2. Seguridad en Redes Inalmbricas...................................................32
Descubrir ESSID ocultos..........................................................................33
Ataque Man in the middle.........................................................................33

INFORMES TECNICOS
2.2.2.2. WEP Privacidad Equivalente al Cable........................................34
2.2.2.3. WPA.......................................................................................34
2.2.2.3.1. Privacidad e Integridad con TKIP............................................35
2.2.2.3.2. Autenticacin mediante 802.1X/EAP..........................................35
2.2.2.3.3. EAP. TLS.............................................................................36
2.2.2.3.4. Vulnerabilidades en EAP TLS................................................36
2.2.2.3.5. PEAP Y EAP TTLS.............................................................36
2.2.2.3.6. Ataque WPA PSK................................................................37
2.2.2.4. Portales cautivos......................................................................37
2.2.2.4.1. Vulnerabilidades en portales cautivos.........................................37
2.2.2.5. Rogue AP...............................................................................38
2.2.2.5.1. Rogue AP Bsico...................................................................38
2.2.2.5.2. Rogue RADIUS....................................................................39
2.2.2.5.3. Rogue RADIUS VS EAP........................................................39
2.2.2.5.4. Defensa frente a Rogue APs....................................................40
2.2.2.6.

WPA2.....................................................................................41

2.2.3. Metodologa COBIT 4.1................................................................41


Planear y Organizar (PO).......................................................................43
Adquirir e Implementar (AI).....................................................................44
Entregar Y Dar Soporte (DS)...................................................................44
Monitorear Y Evaluar (ME)......................................................................45
2.2.4. Auditora....................................................................................45
2.2.4.2. Clases de auditora...................................................................46
2.2.4.2.2. Por su frecuencia es:..............................................................46
2.2.4.2.3. Segn el sujeto que la efecta es:...............................................46
2.2.4.2.4. Por su contenido y fines es:.....................................................46
2.2.5. Auditora Informtica....................................................................47
2.2.5.1. Tipos de Auditora Dentro De La Auditora Informtica......................47
2.2.5.2. Informe de Auditora..................................................................48
Dictamen favorable o limpio....................................................................48
Opinin con salvedades.........................................................................48
Opinin desfavorable o advera.................................................................48
Opinin denegada o abstencin de opinin................................................49
2.2.5.3. Hallazgo..................................................................................49
2.2.5.4. Tcnicas De Auditora................................................................50

INFORMES TECNICOS
2.2.5.5. Tcnicas De Verificacin Fsica.................................................50
2.2.5.6. Tcnicas De Verificacin Ocular................................................50
2.2.5.7. ISO 27001................................................................................51
III.

MATERIALES Y MTODOS........................................................53

3.1. Tipo y Diseo de la Investigacin.................................................53


3.2. Poblacin, Muestra de Estudio y Muestreo.....................................53
Poblacin:...........................................................................................53
Muestreo:.............................................................................................54
3.3. Hiptesis..................................................................................54
3.4. Variables..................................................................................54
Variables Independientes:.......................................................................54
Variables Dependientes:..........................................................................54
3.5. Indicadores..............................................................................54
3.6. Mtodos, Tcnicas e Instrumentos de Recoleccin de datos.............55
Tcnicas empleadas................................................................................55
Instrumentos..........................................................................................55
3.7. Plan de Procesamiento para Anlisis de Datos...............................56
3.8. Procesamiento de la Informacin.................................................56
3.9. Metodologas.............................................................................57
3.9.1. Metodologas para la elaboracin de la Buenas Prcticas....................57
3.9.2. Metodologas para la aplicacin de la auditora..................................60
3.10. Dominios y/o escenarios de las Buenas Prcticas..............................63
1. Dominio Diseo................................................................................63
2. Dominio Administracin de la Red.........................................................64
3. Dominio Seguridad.............................................................................64
IV.

RESULTADOS..........................................................................64

4.1. Diseo y construccin de las buenas prcticas para auditar redes


inalmbricas.............................................................................64
4.1.2 Definicin de las buenas prcticas para auditar redes inalmbricas.......65
4.1.2.1 Dominio Diseo...........................................................................65
Actividades:..........................................................................................65
Herramientas:.......................................................................................66
Checklist.............................................................................................66
Buena Prctica DIS002: Anlisis tecnolgico de la empresa..........................66
Actividades:..........................................................................................66

INFORMES TECNICOS
Herramientas:.......................................................................................67
Checklist.............................................................................................68
Buena Prctica DIS003: Diseo fsico de la red..........................................69
Actividades:..........................................................................................69
Herramientas:.......................................................................................69
Checklist.............................................................................................70
Buena Prctica DIS004: Diseo lgico de la red..........................................72
Actividades:..........................................................................................72
Herramientas:.......................................................................................72
Checklist.............................................................................................73
Buena Prctica DIS005: Planes de implementacin.....................................75
Actividades:..........................................................................................75
Checklist.............................................................................................75
4.1.2.2. Dominio: Administracin...........................................................76
Actividades:..........................................................................................76
Herramientas........................................................................................76
Checklist.............................................................................................77
Buena Prctica ADM002: Administracin de recursos humanos......................80
Actividades:..........................................................................................80
CHECK LIST......................................................................................80
Buena Prctica ADM003: Administracin de comunicaciones y operaciones
inalmbricas...................................................................................83
Actividades:..........................................................................................83
CHECK LIST......................................................................................83
Buena Prctica ADM004: Administracin de control de accesos.....................86
ACTIVIDADES:....................................................................................86
Herramientas:.......................................................................................86
Checklist.............................................................................................87
4.1.2.3. Dominio: Seguridad..................................................................88
Actividades:..........................................................................................88
Herramientas:.......................................................................................88
Checklist:............................................................................................88
Actividades:..........................................................................................90
Buena Prctica SEG003: Implementacin de la seguridad inalmbrica...........90
Actividades:..........................................................................................90

INFORMES TECNICOS
Herramientas:.......................................................................................91
Buena Prctica SEG004: Gestin de incidentes de seguridad inalmbrica.......91
Actividades:..........................................................................................92
Checklist.............................................................................................92
4.2. Caso de aplicacin Gran Hotel Cusco..........................................93
4.2.1. EJECUCIN. Comunicacin de hallazgos. Borrador de informe...........93
4.3. Informe: Emisin del informe.........................................................94
V. DISCUSION..................................................................................94

5.1

Casos analizados..................................................................95

5.2

Anlisis comparativo (indicadores).........................................97


VI.

PROPUESTA.............................................................................98

VII. CONCLUSIONES....................................................................102
VIII. REFERENCIAS BIBLIOGRFICAS..........................................103
IX.

ANEXOS.................................................................................106

ANEXO N 03..................................................................................110
HALLAZGO N01................................................................................111
HALLAZGO NRO 02...........................................................................112
HALLAZGO NRO 03...........................................................................114
HALLAZGO NRO 04 LIMITADO ANCHO DE BANDA............................117
AL GERENTE DE SISTEMAS DEL GRAN HOTEL CUSCO:....................118
Anexo N01.........................................................................................119
Anexo N02.........................................................................................120
Anexo N03.........................................................................................121
Anexo N04.........................................................................................122
Anexo N05.........................................................................................123
El siguiente grfico podemos apreciar que la red no presenta cifrado............123
Ante tal caso de no presentar cifrado, se puedo apreciar que se puede hacer
conexin a la red:............................................................................124
Anexo N06.........................................................................................126
Despus del monitoreo de la red inalmbrica de la organizacin, se prueba que
trabaja con los canales 1, 7, 9, 10 y 11, y que las redes vecinas tambin
trabajan en canales similares y la superposicin de los mismos con canales
vecinos.........................................................................................126
Anexo N07.........................................................................................129
ANEXO N 04..................................................................................130
OBJETIVOS DE CONTROL PROPUESTOS.........................................130

INFORMES TECNICOS
ANEXO N 05..................................................................................133
FORMATO DE ANLISIS DE LA EMPRESA..........................................133
2. Revisin de objetivos de la empresa...................................................133
3. Paso de la Informacin Vital (Basndose en el punto 1.4).......................133
ANEXO N 06..................................................................................134
INVENTARIO DE EQUIPOS DE TELECOMUNICACION.........................134
ANEXO N 07..................................................................................136
CUESTIONARIO PARA EL ANLISIS TECNOLOGICO DE LA
ORGANIZACIN...........................................................................136
ANEXO N 08..................................................................................138
RECOMENDACIONES EN RELACIN A LA GESTIN Y
ESTABLECIMIENTO DE CONTRASEAS........................................138
Poltica y acciones para construir contraseas seguras:..............................138
Acciones que deben evitarse en la gestin de contraseas seguras:.......139
ANEXO N 09..................................................................................140
RECOMENDACIONES PARA LA CONCIENTIZACION EN SEGURIDAD DE
INFORMACIN.............................................................................140
Cambie su contrasea..........................................................................140
Use contraseas diferentes....................................................................140
2. Proteja su computadora...................................................................140
3. Tenga cuidado al tratar con el correo electrnico e Internet.....................141
4. Tenga cuidado cuando se trata de dispositivos porttiles en su organizacin:
Ordenadores porttiles, memorias USB, telfonos mviles y Blackberrys...141
Memoria USB.....................................................................................142
Telfonos mviles y Blackberrys.............................................................142
5. Tenga cuidado al tratar con datos.......................................................142
6. Visitante........................................................................................143
7. Incidentes de registro y la prdida o dao de los dispositivos porttiles de su
organizacin..................................................................................143
8. Proteger sus datos fuera de su organizacin........................................143
9. Se adhieran a las normas y procedimientos de su organizacin en relacin
con la seguridad de la informacin.....................................................144
10.
Contribuir mediante la retroalimentacin para mejorar las normas de
seguridad establecidas y las soluciones...............................................144

Glosario................................................................................... 145
BIBLIOGRAFA............................................................................ 146

INDICE TABLAS
Tabla N 01: Norma IEEE 802..............................................................................18
Tabla N 02: Extensiones de la norma 802.11.....................................................20
Tabla N 03: Materiales que producen prdida de seal.....................................24
Tabla N 04: Interferencia y atenuacin.....................................................................25
Tabla N 05: Diseo de la investigacin...............................................................44
Tabla N 06: Poblacin de hoteles.......................................................................45
Tabla N 07: Indicadores de la investigacin.......................................................46
Tabla N 08: Formato de anlisis de la empresa.................................................57
Tabla N 09: Checklist de buena prctica DIS001...............................................58
Tabla N 10: Herramientas de buena prctica DIS002........................................59
Tabla N 11: Checklist de buena prctica DIS002................................................60
Tabla N 12: Herramientas de buena prctica DIS003........................................61
Tabla N 13: Checklist de buena prctica DIS003...............................................63
Tabla N 14: Herramientas de buena prctica DIS004........................................64
Tabla N 15: Checklist de buena prctica DIS004...............................................66
Tabla N 16: Herramientas de buena prctica DIS005........................................67
Tabla N 17: Herramientas de Buena Prctica ADM001......................................68
Tabla N 18: Checklist de buena prctica ADM001.............................................70
Tabla N 19: Checklist de buena prctica ADM002.............................................73
Tabla N 20: Checklist de buena prctica ADM003.............................................75
Tabla N 21: Herramientas de buena prctica ADM004......................................76
Tabla N 22: Checklist de buena prctica ADM004.............................................78
Tabla N 23: Herramientas de buena prctica SEG001.......................................79
Tabla N 24: Checklist de buena prctica SEG001..............................................80
Tabla N 25: Checklist de buena prctica SEG002..............................................82
Tabla N 26: Cuadro de herramientas de buena prctica SEG003.....................84
Tabla N 27: Checklist de buena prctica SEG003..............................................86
Tabla N 28: Checklist de buena prctica SEG004..............................................87
Tabla N 30: Resumen comparativo de los casos................................................92
Tabla N 31: Resumen comparativo de buena prctica.......................................92

Tabla N 32: Resumen comparativo de reduccin de tiempo entre Auditoria del


personal del hotel y Buenas Prcticas.................................................................92
Tabla N 33: Presupuesto de tiempo..................................................................103
Tabla N 34: Papeles de trabajo..............................................................................103
Tabla N 35: Objetivos de control propuestos....................................................125

INDICE FIGURAS
Figura N 01: Configuracin punto a punto o AdHoc........................................17
Figura N 02: Bridge.............................................................................................22
Figura N 03: Switch.............................................................................................23
Figura N 04: Diagrama de funcionamiento.........................................................23
Figura N 05: Modelo de router de 2 antenas......................................................23
Figura N 06: Marco de trabajo de COBIT 4.1.....................................................35
Figura N 07: Proceso de la auditora..................................................................52
Figura N 08: Monitoreo de la red inalmbrica del Gran Hotel Cusco con la
herramienta InSSIDER 2.0 ............................................................................... 117
Figura N 09: Monitoreo de las redes inalmbricas del Gran Hotel Cusco con la
herramienta de windows y conexin a GranHotel_WF2 ................................ 118
Figura N 10: Navegacin en la red inalmbrica GranHotel_WF2..................118
Figura N 11: Monitoreo de los canales superpuestos y libres en el espectro del
Hotel con herramienta InSSIDER ..................................................................... 120
Figura N 12: Probando el ancho de banda de la red con la descarga de un archivo
.......................................................................................................................... 122

I.

INTRODUCCION

Debido al importante crecimiento de las redes inalmbricas, las auditoras WLAN se


han incrementado en los ltimos aos considerablemente en todo el mundo, porque
se hace necesaria la realizacin de evaluaciones en distintas reas de la red
inalmbrica para optimizar su funcionamiento. As mismo surgen nuevos cambios
en la tecnologa informtica, tambin surgen nuevas necesidades de servicios,
nuevas formas de transportar la informacin, utilizando la movilidad y las
comunicaciones, el ser humano siempre busca nuevas formas de poder realizar
sus actividades desde la comodidad de su hogar de una forma fcil y movible, en
ello se muestra la necesidad de implementar las redes inalmbricas.
No obstante ante el incremento de esta necesidad emergen ciertos mecanismos
fraudulentos que afectan el entorno de estas redes y su seguridad y por ende a la
informacin que estos entes respaldan.
Los mecanismos fraudulentos en la mayora de casos afectan a la seguridad de las
redes inalmbricas, trayendo como consecuencia diferentes riesgos informticos, y
esto genera un gran impacto negativo si no se tiene el control respectivo dentro de
dicha entidad.
Se define control informtico como la seguridad de los sistemas de informacin, la
cual la definimos como la doctrina que trata de los riesgos informticos, en donde
la auditora se involucra en este proceso de proteccin y preservacin de la
informacin y de sus medios de proceso. Y tomando en cuenta este concepto, si
este control informtico es llevado de manera inadecuada surge una nueva
necesidad, la de auditar dicho control para determinar las amenazas,
vulnerabilidades y riesgos que tiene el servicio informtico relacionados con las
redes inalmbricas.
Sin embargo actualmente no se cuenta con una gua de buenas prcticas que sirva
de ayuda al auditor con experiencia y sin herramientas necesarias para la auditora
en redes inalmbricas, en la cual los encargados del control la tomen de apoyo
para realizar sus labores, realizndose el proceso de auditora basados en la
experiencia y de la mano con herramientas de monitoreo WLAN, realizndose slo
el monitoreo de canales de emisin, nivel de seal y tipo de claves, tomando ms
tiempo del que debera al no tener una gua de apoyo en la auditora a la red
inalmbrica, preguntndonos as si es posible desarrollar buenas prcticas para
auditar redes inalmbricas aplicadas a las empresas del rubro hotelero de la
ciudad de Cusco.
Una posible respuesta ante este problema fue si la elaboracin de buenas
prcticas para auditar redes inalmbricas permitir mejorar la ejecucin de los
procesos de auditora a redes inalmbricas en las empresas del rubro hotelero de la
ciudad de Cusco.

Para ello se defini proponer buenas prcticas para auditar redes inalmbricas
aplicadas a las empresas del rubro hotelero de la ciudad de Cusco, realizando

un estudio de las empresas pertenecientes al rubro con el fin de mejorar la


disponibilidad, confiabilidad e integridad de la informacin, cotejando las
metodologas, manuales y buenas prcticas nacionales e internacionales
existentes que ayuden a auditar redes inalmbricas, desarrollando la propuesta de
buenas prcticas plasmada en una gua para auditar redes inalmbricas,
planteando dominios, actividades a seguir, herramientas y Checklist que mejoren
los procesos de auditoras a las redes inalmbricas, facilitando el trabajo y
optimizando el tiempo para auditar redes inalmbricas y aplicando las buenas
prcticas plasmada en una gua.
Al realizar esta gua de buenas prcticas se contribuy con el desarrollo de
auditoras de redes inalmbricas con la cual se facilite el trabajo, reduzca tiempos, y
apoye la labor de los auditores en el desarrollo de auditoras a redes inalmbricas,
cumpliendo con los estndares de seguridad de manera completa y sencilla.

II.

MARCO TERICO

2.1. Antecedentes de Investigacin.


Antecedente 1
Ttulo: Wi-Fi RF AUDIT
Autor: Red-M Group Limeted
Lugar y fecha: Graylands - Setiembre del 2007
Propsito:
En esta investigacin se centra en la auditora para responder a los
problemas de acceso del usuario, rendimiento y servicio, tratar con los
problemas de seguridad, planificacin para el crecimiento, integracin de
nuevas tecnologas, comprobacin de una red nueva o existente y
establecer una lnea de base de diseo para la instalacin de nuevas redes
Wi-Fi. Por lo cual se propone un marco ms amplio que incluye el Diseo y
Seguridad de la Red Inalmbrica y una solucin segura para la red, en base
a buenas prcticas con sus respectivas actividades o tareas a desarrollar
acompaado de un cuestionario y un Checklist de forma que se podr as
desarrollar una auditora Wlan (Red M 2002).
Antecedente 2
Ttulo: Plan de cinco pasos para la seguridad del Enterprise WLAN
Autor: Lisa Phifer - CORE COMPETENCE INC.
Lugar y fecha: Sunnyvale - Noviembre del 2006
Propsito:
En esta investigacin se centra en disear una infraestructura para
garantizar la seguridad de una red inalmbrica y la integridad de las redes
empresariales en cinco pasos esenciales, que consisti en la salvaguardia
de los clientes inalmbricos y de datos, control de conexiones Wi-Fi,
auditora de la actividad inalmbrica y la aplicacin y cumplimiento de las
polticas inalmbricas. Presentando un alcance limitado debido que se
centra en la seguridad inalmbrica. Por lo cual se propone un marco ms
amplio que incluye el Diseo y Administracin de la red inalmbrica y una
solucin segura, en base buenas prcticas con sus respectivas actividades
o tareas a desarrollar acompaado de un cuestionario y un checklist de
forma que se podr as desarrollar una auditora Wlan (CORE 2006).
Antecedente 3
Ttulo: Wi-Fi Wireless LAN de Auditora de Seguridad
Autor: Cypress Solution.
Lugar y fecha: India Septiembre del 2008
Propsito:

En esta investigacin se centra en garantizar la Seguridad WLAN, que


consisti en la revisin de cuentas de seguridad Wi-Fi conteniendo una
variedad de pruebas, encontrando debilidades en sus puntos de acceso
haciendo uso de las ltimas herramientas de gestin inalmbrica para
averiguar si la misma est transmitiendo fuera de las paredes de la
organizacin de manera incontrolada e insegura, conocidas como redes de
los puntos de acceso deshonestos (Networks Rogue). Por lo cual se
propone un marco ms amplio que incluye el Diseo y Administracin de la
red inalmbrica y una solucin segura para la red, en base buenas
prcticas con sus respectivas actividades o tareas a desarrollar acompaado
de un cuestionario y un Checklist de forma que se podr as desarrollar una
auditora Wlan (Cypress 2008).
Antecedente 4
Ttulo: Audit Briefing
Autor: AuditNet.
Lugar y fecha: Unites States Abril del 2005
Propsito:
En esta investigacin se centra en una auditora de informacin, dicha
informacin reunida tena por objetivo proporcionar el conocimiento de
problemas de seguridad de los clientes, que se deben tener en cuenta en la
planificacin para su uso. Por lo cual se propone un marco ms amplio que
incluye el Diseo, Administracin y Seguridad de la red inalmbrica y una
solucin segura para la misma, en base buenas prcticas con sus
respectivas actividades o tareas a desarrollar acompaado de un
cuestionario y un checklist de forma que se podr as desarrollar una
auditora Wlan (AuditNet 2005).
Antecedente 5
Ttulo: OSSTMM Wireless 2.9
Autor: Peter Herzog - ISECOM.
Lugar y fecha: Unites States Octubre del 2003
Propsito:
En esta investigacin se centra en proporcionar un mtodo aceptado para la
realizacin de pruebas de seguridad completa, siendo un conjunto de reglas y
normas. Este manual es una estndar profesional que consiste en pruebas de
seguridad aplicadas a cualquier medio de afuera hacia adentro, incluyendo
reglas de contrato, la tica para el probador profesional, las legalidades de la
seguridad de pruebas, y un conjunto de test de seguridad; las pruebas de
seguridad externas van de un ambiente no privilegiado a uno privilegiado,
para evitar/vulnerar los componentes de seguridad, procesos, y alarmas para
ganar acceso privilegiado. Por lo cual se propone un marco ms amplio que
incluye el Diseo y Administracin de la red inalmbrica y una solucin segura
para la misma, en base buenas prcticas con sus respectivas actividades o
tareas a desarrollar acompaado de un cuestionario y un checklist de forma
que se podr as desarrollar una auditora Wlan (ISECOM y Herzog 2003).

2.2. Bases Tericas


2.2.1. Redes inalmbricas.
2.2.1.1. Definicin de Red de rea Local Inalmbrica.
Una red inalmbrica es un sistema de comunicacin de datos que
proporciona conexin inalmbrica entre equipos situados dentro de la
misma rea (interior o exterior) de cobertura. En lugar de utilizar el par
trenzado, el cable coaxial o la fibra ptica, utilizado en las redes LAN
convencionales, las redes inalmbricas transmiten y reciben datos a travs
de ondas electromagnticas.
Las redes WLAN se componen fundamentalmente de dos tipos de
elementos, los puntos de acceso y los dispositivos de cliente. Los puntos de
acceso actan como un concentrador o hub que reciben y envan
informacin va radio a los dispositivos de clientes, que pueden ser de
cualquier tipo, habitualmente, un PC o PDA con una tarjeta de red
inalmbrica, que se instala en uno de los slots libres o bien se enlazan a los
puertos USB de los equipos.
An as, debido a que sus prestaciones son menores en lo referente a la
velocidad de transmisin que se sita entre los 2 y los 54 Mbps, frente a los
10 y hasta los 1000 Mbps ofrecidos por una red convencional, las redes
inalmbricas son la alternativa ideal para hacer llegar una red tradicional a
lugares donde el cableado no lo permite, y en general las WLAN se
utilizarn como un complemento de las redes fijas.
El uso ms popular de las WLAN implica la utilizacin de tarjetas de red
inalmbricas, cuya funcin es permitir al usuario conectarse a la LAN
empresarial sin la necesidad de una conexin fsica (Oliver y Escudero
1999).
2.2.1.2. Caractersticas
Una red inalmbrica ofrece:
a. Movilidad: Las redes inalmbricas pueden proveer a los usuarios de
una LAN acceso a la informacin en tiempo real en cualquier lugar
dentro de la organizacin. Esta movilidad incluye oportunidades de
productividad y servicio que no es posible con una red almbrica.
b. Simplicidad y rapidez en la instalacin: La instalacin de una red
inalmbrica puede ser tan rpida y fcil y adems que puede eliminar la
posibilidad de tirar cable a travs de paredes y techos.
c. Flexibilidad en la instalacin: La tecnologa inalmbrica permite a
la red ir donde la cableada no puede ir.

d. Costo de propiedad reducido: Mientras que la inversin inicial


requerida para una red inalmbrica puede ser ms alta que el costo en
hardware de una red cableada, la inversin de toda la instalacin y el
costo del ciclo de vida puede ser significativamente inferior.
e. Escalabilidad: Los sistemas de WLAN pueden ser configurados en una
variedad de topologas para satisfacer las necesidades de las
instalaciones y aplicaciones especficas. Las configuraciones son muy
fciles de cambiar y adems es muy fcil la incorporacin de nuevos
usuarios a la red (Oliver y Escudero 1999).
2.2.1.3. Configuraciones WLAN.
La complejidad de una red de rea local inalmbrica es variable,
dependiendo de las necesidades a cubrir y en funcin de los requerimientos
del sistema que se quiera implementar, se pueden utilizar diversas
configuraciones de red tales como:
Punto a Punto o Ad-Hoc.
La configuracin ms bsica es la llamada punto a punto o AdHoc,
consiste en una red de dos o ms terminales mviles equipados con la
correspondiente tarjeta adaptadora para comunicaciones inalmbricas; en la
Figura. N 01 se muestra un ejemplo. En esta modalidad no existe un
dispositivo
central
encargado
de
concentrar
y
coordinar
las
comunicaciones, sino que cada nodo existente en la red se comunica
directamente con los dems y no hay nodo preponderante alguno.
Para que la comunicacin entre estas estaciones sea posible, hace falta que
se vean mutuamente de manera directa, es decir, que cada una de ellas est
en el rango de cobertura radioelctrica de la otra.
Las redes de tipo ad-hoc son muy
sencillas de implementar y no requieren
ningn tipo de gestin administrativa.
Tambin este tipo es conocido como
IBSS - Independent Basic Service Set
(Oliver y Escudero 1999). Figura N 01:
Configuracin punto a punto o AdHoc.
Fuente:
(Oliver y Escudero 1999)

2.2.1.4. Normalizacin IEEE para WLAN.


La norma 802 fue desarrollada por el Instituto de Ingenieros Elctricos y
Electrnicos (IEEE), y versa sobre la arquitectura de redes de datos LAN
(Local rea Network).
Esta norma establece un estndar de tecnologa en el mercado mundial,
garantizando que los productos compatibles con la norma 802 sean tambin
compatibles entre s.
La norma posee muchos apartados, que describen y especifican las
distintas funciones que se implementan en una comunicacin de datos de
red. Ejemplos de estos apartados se detallan en la Tabla N 01.
Apartad
o
802.1
802.2

Descripcin
Describe las funciones de Bridging.
Controla el enlace lgico.

802.4

Mtodo de control de trfico Token-Passing.

802.5

Mtodo de control de trfico Token-Ring.

802.10

Seguridad en comunicaciones de datos, etc.

802.11

Describe y especifica una interface inalmbrica


para comunicaciones de datos compatibles con la
Norma IEEE 802.
Tabla N 01: Norma IEEE 802.

Actualmente son cuatro los estndares reconocidos dentro de esta familia;


en concreto, la especificacin 802.11 original; 802.11a (evolucin a 802.11
e/h), que define una conexin de alta velocidad basada en ATM; 802.11b, el
que goza de una ms amplia aceptacin y que aumenta la tasa de
transmisin de datos propia de 802.11 original, y 802.11g, compatible con l,
pero que proporciona an mayores velocidades (34 TELECOM 2005).

WLAN 802.11.
La tecnologa clave que contiene el estndar 802.11 es el espectro de
dispersin de secuencia directa (DSSS). El DSSS se aplica a los
dispositivos inalmbricos que operan dentro de un intervalo de 1 a 2 Mbps.
Un sistema de DSSS puede transmitir hasta 11 Mbps, pero si opera por
encima de los 2 Mbps se considera que no cumple con la norma. El
siguiente estndar aprobado fue el 802.11b, que aument las capacidades
de transmisin a 11 Mbps. Aunque las WLAN de DSSS podan interoperar

con las WLAN de espectro de dispersin por salto de frecuencia (FHSS), se


presentaron problemas que motivaron a los fabricantes a realizar cambios
en el diseo. En este caso, la tarea del IEEE fue simplemente crear un
estndar que coincidiera con la solucin del fabricante (Cisco 2009).
WLAN 802.11b (Wi-Fi).
802.11b tambin recibe el nombre de Wi-Fi o inalmbrico de alta velocidad
y se refiere a los sistemas DSSS que operan a 1, 2; 5,5 y 11 Mbps. Todos los
sistemas 802.11b cumplen con la norma de forma retrospectiva, ya que
tambin son compatibles con 802.11 para velocidades de transmisin de
datos de 1 y 2 Mbps slo para DSSS. Esta compatibilidad retrospectiva es
de suma importancia ya que permite la actualizacin de la red inalmbrica
sin reemplazar las NIC o los puntos de acceso.
Los dispositivos de 802.11b logran un mayor ndice de tasa de transferencia
de datos ya que utilizan una tcnica de codificacin diferente a la del 802.11,
permitiendo la transferencia de una mayor cantidad de datos en la misma
cantidad de tiempo. La mayora de los dispositivos 802.11b todava no
alcanzan tasa de transferencia de 11 Mbps y, por lo general, trabajan en un
intervalo de 2 a 4 Mbps (Cisco 2009).

WLAN 802.11a (Wi-Fi 5).


802.11a abarca los dispositivos WLAN que operan en la banda de
transmisin de 5 GHZ. El uso del rango de 5 GHZ no permite la
interoperabilidad de los dispositivos 802.11b ya que stos operan dentro de
los 2,4 GHZ. 802.11a puede proporcionar una tasa de transferencia de
datos de 54 Mbps y con una tecnologa propietaria que se conoce como
"duplicacin de la velocidad" ha alcanzado los 108 Mbps. En las redes de
produccin, la velocidad estndar es de 20-26 Mbps (Cisco 2009).

WLAN 802.11g.
802.11g ofrece tasa de transferencia que 802.11a pero con compatibilidad
retrospectiva para los dispositivos 802.11b utilizando tecnologa de
modulacin por multiplexin por divisin de frecuencia ortogonal (OFDM).
Cisco ha desarrollado un punto de acceso que permite que los dispositivos
802.11b y 802.11a coexistan en la misma WLAN. El punto de acceso brinda
servicios de Gateway que permiten que estos dispositivos, que de otra
manera seran incompatibles, se comuniquen (Cisco 2009).
2.2.1.5. Extensiones de la Norma 802.11.

Las extensiones de las Norma de describen a continuacin en la Tabla N 02


Extensi
n

Descripcin

Su objetivo es proporcionar soporte de QoS (Calidad


de Servicio) para aplicaciones de redes LAN. Se
aplicar a los estndares fsicos a, b y g de 802.11.
La finalidad es proporcionar claves de servicio con
niveles
gestionados
de QoS para
aplicaciones
Su
objetivo
es la seguridad.
Se aplicar
a los de
802.11i estndares fsicos a, b y g de 802.11. Proporciona
una alternativa a la privacidad equivalente cableada
(WEP) con nuevos mtodos de encriptacin y
Constituye un complemento al nivel de control de
acceso al medio (MAC) en 802.11. Para proporcionar
802.11 el uso, a escala mundial, de las redes WLAN del
d
estndar 802.11 permitir a los puntos de acceso
comunicar informacin sobre los canales de radio
Su objetivo es lograr la interoperabilidad del punto
de acceso dentro de una red WLAN multiproveedor.
802.11 El estndar define el registro del punto de acceso
f
dentro de una red y el intercambio de informacin
El objetivo es cumplir los reglamentos europeos para
redes WLAN a 5 Ghz requieren que los productos
tengan control de la potencia de transmisin (TPC) y
802.11 seleccin de frecuencia dinmica (DFS). El control
h
TPC limita la potencia transmitida al mnimo
necesario para alcanzar al usuario ms lejano. DFS
Tabla N 02:
Extensiones
de la en
Norma
802.11. de Acceso
selecciona
el canal
de radio
el Punto
802.11
e

Cabe mencionar que la banda de frecuencia 2.4 Ghz, utilizada por la


tecnologa 802.11b, es una banda no licenciada lo que significa que su uso
es libre.
La norma 802.11b, es la que actualmente se comercializa en forma masiva
a travs de una gran variedad de productos y aplicaciones. La norma
802.11a est evolucionando, y se supone que en un futuro cercano
tambin ofrecer soluciones econmicas al mercado de datos inalmbricos
al igual que el 802.11g.
Resumiendo los conceptos ms relevantes de la norma 802.11b:

Es un estndar internacional en comunicaciones de datos.

Tecnologa probada por muchos aos a nivel mundial.

Existe gran variedad de productos orientados a distintas aplicaciones.

Opera en una banda no licenciada (Briones y Geannina 2005).

2.2.1.6. Hardware de Red Inalmbrica


2.2.1.6.1.

Punto de acceso
El Punto de acceso opera en las capas 1 y 2 del modelo de referencia OCI.
Aqu es tambin donde operan el bridge inalmbrico y el bridge de grupos de
trabajo.
Un Punto de acceso es un dispositivo WLAN que puede actuar como punto
central de una red inalmbrica autnoma. Un AP puede utilizarse tambin
como punto de conexin entre redes inalmbricas y cableadas. En grandes
instalaciones. La funcionalidad de roaming proporcionada por mltiples APs
permite a los usuarios inalmbricos desplazarse libremente a travs de la
instalacin, a la vez que se mantiene un acceso sin fisuras e ininterrumpido
a la red.
Normalmente un WAP (Wireless Access Point) tambin puede conectarse a
una red cableada, y puede transmitir datos entre los dispositivos conectados
a la red cableada y los dispositivos inalmbricos. Muchos WAPs pueden
conectarse entre s para formar una red an mayor, permitiendo realizar
"roaming". Los puntos de acceso inalmbricos tienen direcciones IP
asignadas, para poder ser configurados.
Un nico punto de acceso puede soportar un pequeo grupo de usuarios y
puede funcionar en un rango de al menos treinta metros y hasta varios
cientos. Este o su antena son normalmente colocados en alto pero podra
colocarse en cualquier lugar en que se obtenga la cobertura de radio
deseada.

Los puntos de acceso inalmbricos tienen un radio de cobertura aproximado


de 100m, aunque esto vara bastante en la prctica entre un modelo y otro; y
segn las condiciones ambientales y fsicas del lugar.
Los puntos de acceso se agrupan en dos categoras (Cisco 2009).

2.2.1.6.2.

Bridges

Los bridges estn diseados para conectar dos o ms redes ubicadas en


general en diferentes edificios. Proporciona elevadas velocidades de datos y
un throughput superior para aplicaciones intensivas en cuanto a los datos,
de lnea de visin. Los bridges conectan sitios difciles de cablear, pisos no
continuos, oficinas satelitales, instalaciones de campus de escuelas o
corporaciones, redes temporales y depsitos. Pueden configurarse para
aplicaciones punto a punto o punto multipunto.
Funciona a travs de una tabla de direcciones MAC detectadas en cada
segmento a que est conectado. Cuando detecta que un nodo de uno de los
segmentos est intentando transmitir datos a un nodo del otro, el bridge
copia la trama para la otra subred. Por utilizar este mecanismo de
aprendizaje automtico, los bridges no necesitan configuracin manual.
No filtra los broadcast, que son paquetes genricos que lanzan los equipos a
la red para que algn otro les responda, aunque puede impedir el paso de
determinados tipos de broadcast. Esto es tpico para solicitar las cargas de
software, por ejemplo. Por tanto, al interconectar segmentos de red con
bridges, podemos tener problemas de tormentas de broadcast, de saturacin
del puente por sobrecarga de trfico, etc.
El nmero mximo de puentes en cascada es de siete; no pueden existir
bucles o lazos activos, es decir, si hay caminos redundantes para ir de un
equipo a otro, slo uno de ellos debe estar activo, mientras que el
redundante debe ser de backup. El peligro de los bridges es cuando hay
exceso de broadcast y se colapsa la red. A esto se le llama tormenta de
broadcast, y se produce porque un equipo est pidiendo ayuda (falla)
(Cisco 2009).

Figura N 02: Bridge


2.2.1.6.3.

Switch

Un Switch se describe a veces como un puente multipuerto. Mientras que un


puente tpico puede tener slo dos puertos que enlacen dos segmentos de

red, el Switch puede tener varios puertos, segn la cantidad de


segmentos de red que sea necesario conectar. Al igual que los puentes, los
Switchs aprenden determinada informacin sobre los paquetes de datos que
se reciben de los distintos computadores de la red. Los Switchs utilizan esa
informacin para crear tablas de envo para determinar el destino de los
datos que se estn mandando de un computador a otro de la red.
Aunque hay algunas similitudes entre los dos, un Switch es un dispositivo
ms sofisticado que un puente. Un puente determina si se debe enviar una
trama al otro segmento de red, basndose en la direccin MAC destino. Un
Switch tiene muchos puertos con muchos segmentos de red conectados a
ellos. El Switch elige el puerto al cual el dispositivo o estacin de trabajo
destino est conectado. Los Switchs Ethernet estn llegando a ser
soluciones para conectividad de uso difundido porque, al igual que los
puentes, los Switchs mejoran el rendimiento de la red al mejorar la
velocidad y el ancho de banda (Cisco 2009).

Figura N 03: Switch

2.2.1.6.4.

Router

Los routers son los responsables de enrutar paquetes de datos desde su


origen hasta su destino en la LAN, y de proveer conectividad a la WAN.
Dentro de un entorno de LAN, el router contiene broadcast, brinda
servicios locales de resolucin de direcciones, tal como ARP, y puede
segmentar la red utilizando una estructura de subred. Para brindar estos
servicios, el router debe conectarse a la LAN y a la WAN.

Figura N 04: Diagrama de Funcionamiento


Fuente: Redes Linux1.
El enrutador opera en la capa 3 del modelo OSI y tiene ms facilidades de
software que un Switch. Al funcionar en una capa mayor que la del Switch,
el enrutador distingue entre los diferentes protocolos de red, tales como IP,
IPX, AppleTalk o DEC net. Esto le permite hacer una decisin ms
inteligente que al Switch, al momento de reenviar los paquetes.

Figura N 05: Modelo de Router de 2


antenas
El enrutador realiza dos funciones bsicas:

El enrutador es responsable de crear y mantener tablas de ruteo para cada capa de


protocolo de red, estas tablas son creadas ya sea estticamente o
dinmicamente.
De esta manera el enrutador extrae de la capa de red la direccin
destino y realiza una decisin de envo basado sobre el contenido de la
especificacin del protocolo en la tabla de ruteo.
1. La inteligencia de un enrutador permite seleccionar la mejor ruta,
basndose sobre diversos factores, ms que por la direccin MAC
destino. Estos factores pueden incluir la cuenta de saltos, velocidad de la
lnea, costo de transmisin, retraso y condiciones de trfico. La
desventaja es que el proceso adicional de procesado de frames por un
enrutador puede incrementar el tiempo de espera o reducir el
desempeo del enrutador cuando se compara con una simple
arquitectura de Switch (Cisco 2009).
2.2.1.7. Prdida de Seal WiFi.
Una de las dudas que tiene el usuario al momento de realizar la instalacin
WiFi y a la vez uno de los factores que se debe tener en cuenta es la
interferencia que va tener la WLAN, a continuacin se les presenta una tabla
resumen con esos datos (Panda 2005).
Material

Prdida adicional
(db)

Rango efectivo

Espacio en abierto

100%

Ventana (no metal)

70%

Ventana (metal)

5-8

50%

Pared 5 cm espesor

5-8

50%

Pared 10 cm espesor

10

30%

15-20

15%

20-25

10%

15-20

15%

Pared +10 cm
espesor
Hormign
Techo/suelo

Techo/suelo (amplio)
20-25
10%
Tabla N 03: Materiales que producen prdida de seal.

2.2.1.8. Interferencia y Atenuacin.


Debido a la naturaleza de la tecnologa de radio, las seales de radio
frecuencia pueden desvanecerse o bloquearse por
materiales
medioambientales. La inspeccin nos ayudar a identificar los elementos
que afecten negativamente a la seal inalmbrica, algunos elementos y su
grado de interferencia se muestra en la Tabla N 07

Material

Ejemplo

Madera

Tabiques

Interferenci
a
Baja

Vidrio

Ventanas

Baja

Yeso

Paredes interiores

Baja

Ladrillo

Media

Hojas

Paredes interiores y
exteriores
rboles y plantas

Agua

Lluvia

Alta

Papel

Rollos de papel

Alta

Vidrio con plomo

Ventanas

Alta

Metal

Vigas, armarios

Muy Alta

Media

Tabla N 04: Interferencia y


Atenuacin.
Debido a que las redes inalmbricas operan en un espectro de frecuencias
utilizado por otras tecnologas, pueden existir interferencias que pueden
afectar negativamente al rendimiento. Las tecnologas que pueden producir
interferencias son las siguientes (Panda 2005):

Bluetooth.
Hornos Microondas.
Algunos telfonos DECT inalmbricos.
Otras redes WLAN.

2.2.2. Seguridad en Redes Inalmbricas.


2.2.2.1. Redes Abiertas
Ataque Denegacin de Servicio (DoS)
El objetivo de este ataque implementado en una red inalmbrica consiste
en impedir una comunicacin entre el terminal y un punto de acceso.
Para lograr esto slo hemos de hacernos pasar por el punto de acceso
ponindonos su direccin MAC (obtenida mediante un simple Sniffer) y

negarle la comunicacin al terminal o terminales elegidos mediante el


envo continuado de notificaciones de desasociacin.
Descubrir ESSID ocultos
En casi todos los puntos de acceso podemos encontrar la opcin de
deshabilitar el envo del ESSID en los paquetes o desactivar BEASON
FRAMES. Ante esta medida de seguridad, un presunto atacante tendra dos
opciones:
Esnifar la red durante un tiempo indeterminado a la espera de una
nueva conexin a la red con el objetivo de conseguir el ESSID
presente en las tramas PROVE REQUEST del cliente (en ausencia de
BEASON FRAMES) o en las tramas PROVE RESPONSE.
Provocar la desconexin de un cliente mediante el mismo mtodo que
empleamos en el ataque DoS pero sin mantener al cliente
desconectado.
Ataque Man in the middle
Este ataque apareci en escena a raz de la aparicin de los Switchs, que
dificultaban el empleo de Sniffers para obtener los datos que viajan por la
red. Mediante el ataque Man in the middle se hace creer al cliente victima
que el atacante es el punto de acceso y, al mismo tiempo convencer al punto
de acceso que el atacante es el cliente.
Para llevar a cabo un ataque de este tipo es necesario obtener los
siguientes datos mediante el uso de un Sniffers:
El ESSID de la red.
La direccin MAC del punto de acceso.
La direccin MAC de la victima
Una vez obtenidas estos datos emplearamos la misma metodologa que en
el ataque de tipo DoS para romper la conexin entre el cliente y el punto de
acceso. Tras esta ruptura la tarjeta del cliente comenzar a buscar un nuevo
punto de acceso en los diferentes canales, momento que aprovechar el
atacante para suplantar al punto de acceso empleando su MAC y ESSID en
un canal distinto. Para ello el atacante habr de poner su propia tarjeta en
modo mster.
De forma paralela el atacante ha de suplantar la identidad el cliente con el
punto de acceso real empleando para ello la direccin MAC del cliente, de
esta forma el atacante logra colocarse entre ambos dispositivos de forma
transparente (Panda 2005).

2.2.2.2. WEP Privacidad Equivalente al Cable

2.2.2.2.1.

Principios de Funcionamiento

Es el algoritmo de seguridad empleado para brindar proteccin a las redes


inalmbricas incluido en la primera versin del estndar IEEE 802.11 y
mantenido sin cambios en 802.11a y 802.11b, con el fin de garantizar
compatibilidad entre distintos fabricantes. Este sistema emplea el algoritmo RC4,
proporcionado por RSA Security, para el cifrado de las llaves que pueden
ser de 64 o 128 bits tericos, puesto que en realidad son 40 o 104 y el resto
(24 bits) se emplean para el vector de inicializacin.
La seguridad ofrecida por WEP tiene como pilar central una clave secreta
compartida por todos los comunicadores y que se emplea para cifrar los
datos enviados. Pese a no estar as establecido, en la actualidad todas las
estaciones y punto de acceso comparten una misma clave, lo que reduce el
nivel de seguridad que puede ofrecer este sistema (Panda 2005).

2.2.2.3. WPA
En el estndar 802.11se definen unos mecanismos de seguridad que se han
demostrado insuficientes e ineficientes:

La confidencialidad se basa en el sistema denominado WEP (Wired Equivalent


Privacy) que consiste en un sistema de cifrado simtrico RC4,
utilizando una clave esttica que comparten estaciones clientes y el
punto de acceso. WEP usa vectores de inicializacin para generar
claves diferentes para cada trama. No obstante, WEP es un sistema
muy dbil ya que se puede conseguir la clave de cifrado
monitorizando las tramas y procesndolas.
La integridad se consigue utilizando tcnicas de deteccin de errores (CRC) que no
son eficientes para garantizar la integridad.
La autenticacin es inexistente ya que incluso permite hallar la clave usada por
WEP de forma muy sencilla. Algunos fabricantes proporcionan
autenticacin del equipo a partir de la direccin MAC de la estacin,
pero es un mtodo muy poco flexible.
Wi-Fi Alliance, como organizacin responsable de garantizar la
interoperabilidad entre productos para redes inalmbricas de fabricantes
diversos, ha definido una especificacin de mercado basado en las
directrices marcadas por el grupo de trabajo 802.11i denominada Wi-Fi
Protected Access (WPA), junto con la correspondiente certificacin de
productos (Panda 2016).
2.2.2.3.1.

Privacidad e Integridad con TKIP

Temporal Key Integrity Protocol (TKIP) es el protocolo elegido con el objetivo


de sustituir a WEP y solucionar los problemas de seguridad que ste

plantea. Como caractersticas mejoradas destacar la ampliacin (Panda


2016).
2.2.2.3.2.

Autenticacin mediante 802.1X/EAP

El cometido principal del estndar 802.11x es encapsular los protocolos de


autenticacin sobre los protocolos de la capa de enlace de datos y permite
emplear el protocolo de autenticacin extensible (EAP) para autentificar al
usuario de varias maneras.
IEEE 802.1x define 3 entidades:
El solicitante (suplicant), reside en la estacin inalmbrica.
El autenticador (authenticator), reside en el AP.
El servidor de autenticacin, reside en un
Authoization, Accounting) como RADIUS.

servidor AAA (Authentication,

EAP comprende 4 tipos de mensajes:


Peticin: empleado para enviar mensajes desde el AP al cliente.
Respuesta: empleado para enviar mensajes desde

el cliente al AP.

xito: emitido por el AP, significa que el acceso est permitido.


Fallo: enviado por el AP cuando para indicarle al Suplicante que se
deniega la conexin.
Proceso de Autenticacin, tras la asociacin:
Se enva el AP-Request/Identity desde el Autenticador al Suplicante.
El suplicante responde con EAP-Response/Identity al Autenticador, el cual
lo pasa al Servidor de Autenticacin.
Se tuneliza el Challenge/Response y si resulta acertado el Autenticador
permite al Suplicante acceso a la red condicionando por las directrices
del Servidor de Autenticacin
El funcionamiento base del estndar 802.11x se centra en la denegacin de
cualquier trfico que no sea hacia el servidor de autenticacin hasta que el
cliente no se haya autenticado correctamente. Para ellos el autenticador crea
un puerto por cliente que define dos caminos, uno autorizado y otro no;
manteniendo el primero cerrado hasta que el servidor de autenticacin le
comunique que el cliente tiene acceso al camino autorizado.
El solicitante, cuando pasa a estar activo en el medio, selecciona y se
asocia a un AP. El autenticador (situado en el AP) detecta la asociacin del
cliente y habilita un puerto para ese solicitante, permitiendo nicamente el

trafico 802.1x, el resto de trfico se bloquea. El cliente enva un mensaje


EAP Stara. El autenticador responde con un mensaje EAP Request
Indetity para obtener la identidad del cliente, la respuesta del solicitante
EAP Response contiene su identificador y es retransmitido por el
autenticador hacia el servidor de autenticacin. A partir de ese momento el
solicitante y el servidor de autenticacin se comunicarn directamente,
utilizando un cierto algoritmo de autenticacin que pueden negociar. Si el
servidor de autenticacin acepta la autentificacin, el autenticador pasa el
puerto del cliente a un estado autorizado y el trfico ser permitido (Panda
2016).
2.2.2.3.3.

EAP. TLS

Requiere de la posesin de certificados digitales por parte del cliente y el


servidor de autenticacin; el proceso de autenticacin comienza con el envo
de su identificacin (nombre de usuario) por parte del solicitante hacia el
servidor de autenticacin, tras esto el servidor enva su certificado al
solicitante que, tras validarlo, responde con el suyo propio. Si el
certificado del solicitante es vlido, el servidor responde con el nombre de
usuario antes enviado y se comienza la generacin de la clave de cifrado, la
cual es enviada al AP por el servidor de autenticacin para que pueda
comenzar la comunicacin segura (Panda 2016).
2.2.2.3.4.

Vulnerabilidades en EAP TLS

En la fase de identificacin el cliente manda el mensaje EAP Identity sin


cifrar, permitiendo a un atacante ver la identidad del cliente que est tratando
de conectarse.
2.2.2.3.5.

PEAP Y EAP TTLS

El mayor inconveniente que tiene el uso de EAP TLS es que tanto el


servidor de autenticacin como los clientes han de poseer su propio
certificado digital, y la distribucin entre un gran nmero ellos puede ser
difcil y costosa. Para corregir este defecto se crearon PEAP (Protected
EAP) Y EAP -Tunneled TLS que nicamente requieren certificado en el
servidor.
La idea base de estos sistemas es que, empleando el certificado del servidor
previamente validado, el cliente pueda enviar sus datos de autenticacin
cifrados a travs de un tnel seguro. A partir de ese momento, y tras
validar el servidor al solicitante, ambos pueden generar una clave de
sesin (Panda 2016).
2.2.2.3.6.

Ataque WPA PSK

El nico ataque conocido contra WPA PSK es del tipo fuerza bruta o
diccionario; pese a la existencia de ese ataque la realidad es que el
rendimiento del ataque es tan bajo y la longitud de la passphrase puede ser

tan larga, que implementarlo de forma efectiva es prcticamente imposible.


Los requisitos para llevar a cabo el ataque son:
Un archivo con la captura del establecimiento
y el AP.

de conexin entre el cliente

El nombre de ESSID.
Un archivo de diccionario.
Se puede auditar la fortaleza de las contraseas empleadas en un sistema
realizando ataques de diccionario o de fuerza bruta, en este ltimo
casoempleando herramientas al uso para crear todas las combinaciones de
caracteres posibles (Panda 2016).
2.2.2.4. Portales cautivos
Sistema creado para permitir la validacin de usuarios en nodos Wireless,
Ampliamente empleado para proporcionar conexin regulada a los usuarios
de establecimientos pblicos, hoteles, aeropuertos, etc.
En un sistema con portal cautivo se definen dos partes diferenciadas: la
zona pblica y la privada.
La zona pblica se compone, normalmente, de nodos Wireless que
posibilitan la conexin de cualquier Terminal; en cambio el acceso la zona
privada, normalmente Internet, se encuentra regulado por un sistema de
autenticacin que impide la navegacin hasta que el usuario se valida.
El sistema de portales cautivos se compone en lneas generales, de una
serie de APs conectados a un GATEWAY colocado antes de la zona privada,
un servidor web donde colocar el portal y una base de datos donde
almacenar los usuarios y el servicio de autenticacin.
En el momento de en que un usuario no autenticado decide conectarse a la
zona privada el Gateway comprueba si dicho usuario est autenticado; para
ello se basa en la posesin de tokens temporales gestionados por http. Si
dicho usuario no posee un token vlido, el Gateway redirecciona la
conexin hacia el portal donde al usuario se le solicitarn un usuario y
contrasea vlidos para asignarle un token, Una vez obtenido un token el
Gateway permitir la conexin hacia la zona privada (Panda 2005).
2.2.2.4.1.

Vulnerabilidades en portales cautivos

Debido a las caractersticas de la zona abierta de los sistemas que


implantan este sistema de portales, se permite la asociacin con el AP a
cualquier cliente y el trfico entre los clientes y el AP no va; por este
motivo se puede capturar el trfico de las conexiones con la zona privada.
Por otra parte es posible implementar ataques de tipo spoofing o hijacking
mientras el token que emplea el usuario legtimo sea vlido.

2.2.2.5. Rogue AP
Punto de acceso no autorizado. Este tipo de ataques consiste, a nivel
bsico en colocar un punto de acceso bajo nuestro control cerca de las
instalaciones de la vctima de forma que los clientes asociados o por asociar
a esa red se conecten a nuestro AP en lugar de uno legtimo de la vctima
debido a la mayor seal que recibe del nuestro.
Una vez conseguida la asociacin al Rogue AP, el atacante puede provocar
ataques de tipo DoS, robar datos de los clientes como usuarios y
contraseas de diversos sitios Web o monitorizar las acciones del cliente.
Este tipo de ataques se ha empleado tradicionalmente para:
Crear puertas traseras corporativas.
Espionaje industrial
2.2.2.5.1.

Rogue AP Bsico

El ROGUE AP puede consistir en un AP modificado o un porttil con el


software adecuado instalado y configurado. Este software ha de consistir en:
Servidor http, servidor DNS, servidor DHCP y un portal cautivo con sus
correspondientes reglas para redirigir el trfico al portal. Todo este proceso
de instalacin y configuracin se puede simplificar bastante mediante
Airsnarf, herramienta que automatiza el proceso de configuracin y arranque
de un Rogue AP.
Sin embargo hace falta algo ms para poder montar un Rogue AP, se
requiere que la tarjeta Wireless sea compatible con HostAP, un driver
especfico que permite colocar la tarjeta en modo mster, necesario para que
nuestro terminal pueda comportase como si fuese un AP. Si queremos
montar un Rogue AP sobre un Windows deberemos encontrar una tarjeta
compatible con SoftAP para poder cambiar el modo a mster, y emplear
Airsnarf para configurar los distintos servicios.
El proceso de configuracin que lleva a cabo Airsnarf consiste en colocar el
portal cautivo y arrancar el servidor http, configurar el servidor DHCP para
que proporciones IP, Gateway y DNS al cliente; evidentemente el Gateway y
el servidor DNS ser el terminal del atacante convertido en Rogue AP. Por
ltimo se configura el servidor DNS para que resuelva todas las peticiones
con la IP del atacante, de forma que se puedan redireccionar todas hacia el
portal cautivo del Rogue AP.
Una vez el usuario introduce su usuario y contrasea en el portal cautivo, el
atacante ya las tiene en su poder. Lo normal es cambiar la apariencia del
portal cautivo para que sea igual a la del portal del sistema al que se est
suplantando.

Otra opcin es dejar navegar al usuario normalmente pero redirigir


determinadas pginas a otras copias locales con el fin de obtener usuarios y
contraseas. Para ello se puede modificar el servidor DNS para resolver
aquellas pginas que nos convengan a nuestra direccin local donde
tendremos preparada una copia falsa de la pgina (Panda 2016).

2.2.2.5.2.

Rogue RADIUS

Por este nombre se conocen aquellos montajes que, aparte del Rogue AP
clsico, incorporan un servidor RADIUS en el terminal del atacante. Para
este fin se emplea comnmente un servidor Free RADIUS adecuadamente
configurado para responder a las peticiones de los usuarios legtimos.
Este tipo de montaje se emplea contra sistemas que cuentan con servidores
de autenticacin y redes securizadas mediante EAP de forma que el
atacante pueda suplantar todos los dispositivos y servidores presentes en el
sistema legtimo de forma convincente, autenticador y servidor de
autenticacin (Panda 2016).
2.2.2.5.3.

Rogue RADIUS VS EAP

EAP - TLS pretende mejorar la seguridad de EAP mediante la implantacin


de certificados digitales instalados en todos los clientes y servidores. De esta
manera se aade la necesidad de poseer un certificado vlido para
completar la autenticacin. Tras el intercambio de certificados entre el
suplicante y el servidor de autenticacin, estos negocian un secreto comn
que se emplea para cifrar el resto de las comunicaciones a partir de ese
momento.
EAP- TTLS (EAP- Tunneled - TLS) aade a las caractersticas de seguridad
de EAP- TLS el establecimiento de un canal de comunicacin seguro para el
intercambio de las credenciales de usuario. De esta forma se incrementa la
seguridad frente a ataques de sniffing que pretendan hacerse con estos
datos.
Por otra parte elimina la necesidad de contar con certificados en todos los
clientes, que conlleva un proceso de distribucin y mantenimiento engorroso
y caro.
De esta forma, el proceso de autenticacin pasa por una primera fase de
asociacin del suplicante con el autenticador y una segunda en la que el
servidor de autenticacin enva su certificado al suplicante que, una vez
validado, emplea para crear un tnel de comunicacin seguro por donde
enviar las credenciales y finalizar la autenticacin.

Tras montar un Rogue AP con un Rogue RADIUS el atacante puede


desasociar a un cliente y cuando este cliente se intenta conectar, se
asociar al Rogue AP por ofrecer esta mayor intensidad de seal. Una vez
asociado se repetir el proceso de autenticacin mediante EAP TLS/ TTLS
- PEAP pero contra el Rogue RADIUS bajo nuestro control. De esta forma
podremos (Panda 2016):
Desasociar usuarios
Recolectar usuarios y contraseas
Recolectar las credenciales de los usuarios
Suplantar a otros usuarios en la red legtima
2.2.2.5.4.

Defensa frente a Rogue APs

En la tarea de defender nuestros sistemas frente a este tipo de ataques nos


encontramos con dos frentes a defender: el cliente y la infraestructura.
Comencemos por el cliente. El peligro al que se enfrenta el usuario de un
terminal mvil es la asociacin a un Rogue AP de forma voluntaria o no. Es
de sobra conocida la habilidad de Windows XP para manejar las conexiones
inalmbricas por s mismo, y es precisamente esta caracterstica la ms
apreciada por los atacantes pues el sistema operativo se basa slo en la
intensidad de la seal y el SSID para asociarse a un AP u a otro. Es por ello
que los terminales as configurados son presa fcil de los Rogue AP.
El grupo Shmoo, creador entre otros de AIRSNARF, ha desarrollado una
herramienta que monitoriza la conexin Wireless del terminal donde est
instalado para detectar ataques mediante Rogue APs.
Para ello vigila:
Autenticaciones/Desautenticaciones y operaciones masivas.
Firma de Rogue APs conocidas
Aumento repentino de la intensidad de la seal junto a un cambio de AP.
Estas tcnicas no son definitivas pero aumentan sensiblemente la seguridad
frente a este tipo de ataques.
2.2.2.6.

WPA2

WPA2 (Wi-Fi Protected Access 2), es compatible con su antecesor WPA,


proporciona a los administradores de red un alto nivel de fiabilidad que slo
los usuarios autorizados pueden acceder.

Est basado en el estndar IEEE 802.11i ratificado, WPA2, proporciona


seguridad a escala mediante la aplicacin del Instituto Nacional de
Estndares y Tecnologa (NIST) FIPS 140-2 algoritmo de encriptacin AES.
WPA2 se puede activar en dos versiones: WPA2- Personal y WPA2Enterprise.
La primera protege el acceso no autorizado de la red mediante la utilizacin
de una contrasea, y la segunda verifica los usuarios de la red a travs de un
servidor respectivamente.
Es un sistema para proteger las redes inalmbricas (Wi-Fi); creado para
corregir las vulnerabilidades detectadas en WPA, as mismo est basada en
el nuevo estndar 802.11i. WPA, por ser una versin previa, que se podra
considerar de "migracin", no incluye todas las caractersticas del IEEE
802.11i, mientras que WPA2 se puede inferir que es la versin certificada del
estndar 802.11i. El estndar 802.11i fue ratificado en junio de 2004.
La alianza Wi-Fi llama a la versin de clave pre-compartida WPA-Personal y
WPA2-Personal y a la versin con autenticacin 802.1x/EAP como WPAEnterprise y WPA2-Enterprise.
Los fabricantes comenzaron a producir la nueva generacin de puntos de
accesos apoyados en el protocolo WPA2 que utiliza el algoritmo de cifrado
AES (Advanced Encryption Standard). Con este algoritmo ser posible
cumplir con los requerimientos de seguridad del gobierno de USA FIPS140-2. "WPA2 est idealmente pensado para empresas tanto del
sector privado cmo del pblico. Los productos que son certificados para
WPA2 le dan a los gerentes de TI la seguridad que la tecnologa cumple
con estndares de interoperatividad" declar Frank HazlikManaging Director
de la WiFi Alliance. Si bien parte de las organizaciones estaban aguardando
esta nueva generacin de productos basados en AES es importante resaltar
que los productos certificados para WPA siguen siendo seguros de acuerdo
a lo establecido en el estndar 802.11i (Panda 2016).

2.2.3. Metodologa COBIT 4.1.


2.2.3.1. Estructura de la Metodologa COBIT 4.1.
COBIT 4.1 define las actividades de Tecnologas de Informacin (TI) en un
modelo genrico de procesos, estos son cuatro dominios fundamentales de
la metodologa y tiene distribuidos treinta y cuatro procesos y doscientos
catorce objetivos de control generales (IT Governance Institute 2007).

Planear y Organizar.
Adquirir e Implementar.
Entregar y Dar Soporte.
Monitorear y Evaluar.

Figura N 06 Marco de Trabajo de COBIT


4.1 FUENTE: (IT GOVERNANCE INSTITUTE
2007)
Los objetivos principales de estos dominios son:

Planear y Organizar (PO)


Este dominio cubre las estrategias y las tcticas, y tiene que ver con
identificar la manera en que TI puede contribuir de la mejor manera al logro
de los objetivos del negocio. Adems, la realizacin de la visin
estratgica requiere ser planeada, comunicada y administrada desde

diferentes perspectivas. Finalmente, se debe implementar una estructura


organizacional y una estructura tecnolgica apropiada.
Los objetivos de control de este dominio son:
PO1 Definir un Plan Estratgico de TI
PO2 Definir la Arquitectura de la Informacin PO3
Determinar la Direccin Tecnolgica
PO4 Definir los Procesos, Organizacin y Relaciones de TI
PO5 Administrar la Inversin en TI
PO6 Comunicar las Aspiraciones y la Direccin de la Gerencia PO7
Administrar Recursos Humanos de TI
PO8 Administrar la Calidad
PO9 Evaluar y Administrar los Riesgos de TI PO10
Administrar Proyectos

Adquirir e Implementar (AI)


Las soluciones de Tecnologas de Informacin necesitan ser identificadas,
desarrolladas o adquiridas as como la implementacin e integracin en los
procesos del negocio. Adems, el cambio y el mantenimiento de los
sistemas existentes est cubierto por este dominio para garantizar que las
soluciones satisfacen los objetivos del negocio.
Los objetivos de control de este dominio son:
AI1 Identificar soluciones automatizadas AI2
Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnolgica AI4
Facilitar la operacin y el uso
AI5 Adquirir recursos de TI AI6
Administrar cambios
AI7 Instalar y acreditar soluciones y cambios

Entregar Y Dar Soporte (DS)


Este dominio cubre la entrega en s de los servicios requeridos, lo que
incluye la prestacin del servicio, la administracin de la seguridad y de la
continuidad, el soporte del servicio a los usuarios, la administracin de los
datos y de las instalaciones operacionales.
Los objetivos de control de este dominio son:

DS1 Definir y administrar los niveles de servicio


DS2 Administrar los servicios de terceros
DS3 Administrar el desempeo y la capacidad
DS4 Garantizar la continuidad del servicio DS5
Garantizar la seguridad de los sistemas DS6
Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de servicio y los incidentes
DS9 Administrar la configuracin
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fsico
DS13 Administrar las operaciones

Monitorear Y Evaluar (ME)


Todos los procesos de TI deben evaluarse de forma regular en el tiempo en
cuanto a su calidad y cumplimiento de los requerimientos de control. Este
dominio abarca la administracin del desempeo, el monitoreo del control
interno, el cumplimiento regulatorio y la aplicacin del gobierno. Los
objetivos de control de este dominio son:
ME1 Monitorear y Evaluar el Desempeo de TI.
ME2 Monitorear y Evaluar el Control Interno. ME3
Garantizar el Cumplimiento Regulatorio.
ME4 Proporcionar Gobierno de TI (IT Governance Institute 2007).

2.2.4. Auditora.
2.2.4.1. Definicin
El trmino de Auditora empleada en el rea financiera, con frecuencia slo
se la consideraba como una evaluacin, cuyo nico fin era detectar errores y
sealar fallas.
Pero la auditora y el control van ms all de detectar fallas.
La auditora no slo detecta errores: es un examen crtico que se realiza
con objetivo de evaluar la eficiencia y eficacia de una seccin o de un
organismo, y determinar acciones alternativas para mejorar la organizacin
y lograr los objetivos propuestos (Defliese y AICPA 1997).
Algo importante de la auditora es que se evala para mejorar lo existente,
corregir y proponer alternativas de solucin (CGRP 2005).

Por lo que la auditora no se reduce a la simple evaluacin y sealamiento


de errores, actualmente la auditora se realiza a distintas reas y desde
distintos puntos de vista.
2.2.4.2. Clases de auditora
2.2.4.2.1.

Auditora Total: Afecta a todos los elementos de la empresa.


Auditora Parcial: Se concentra en determinados elementos de la
empresa.

2.2.4.2.2.

Segn el sujeto que la efecta es:

Auditora Interna: Est a cargo de empleados de la propia empresa,


encuadrados en un departamento directamente dependiente de la
direccin general.
Auditora Externa: Est a cargo de auditores profesionales, ajenos a la
empresa y totalmente independientes.

2.2.4.2.4.

Por su frecuencia es:

Auditora Permanente: Se realiza peridicamente a lo largo del


ejercicio econmico.
Auditora Ocasional: Se realiza de forma espordica.

2.2.4.2.3.

Por su amplitud son:

Por su contenido y fines es:

Auditora de Gestin: Afecta a la situacin global de la empresa.


Auditora Financiera: Examen y verificacin de los estados financieros de
la empresa, para emitir una opinin fundada sobre el grado de
fiabilidad de dichos estados.
Auditora Contable: Analiza la adecuacin de los criterios empleados
para recoger los hechos derivados de la actividad de la empresa y su
representacin, mediante apuntes contables, en los estados financieros.
Auditora Operacional: Determina hasta qu punto una organizacin,
unidad o funcin dentro de una organizacin, cumple los objetivos
establecidos por la gerencia, as como identificar las condiciones que
necesiten mejora.

Se extiende a todas las reas o campos de trabajo como ser:

Auditora Organizativa: analiza as la estructura organizativa de la


empresa es la adecuada, segn las necesidades y problemas de la
misma.
Auditora Informtica: Examen y verificacin del correcto funcionamiento

y control del sistema informtico de la empresa.


En otras palabras, se acepta el trmino de auditora para cualquier
actividad que implique revisin, evaluacin, anlisis, estudio, exposicin de
deficiencias y propuesta de medidas para solucionar o eliminar las mismas,
en muchos casos, las fronteras entre los tipos de auditora no estn bien
definidas (CGRP 2005).
2.2.5. Auditora Informtica.
Segn Ron Weber en Auditing Conceptual Foundations and Practice, la
auditora informtica es la revisin y evaluacin de los controles, sistemas y
procedimientos de la informacin de los equipos de computo, su utilizacin,
eficiencia y seguridad de la organizacin que participa en el procesamiento
de la informacin, a fin de que por medio del sealamiento de cursos
alternativos se logre una utilizacin ms eficiente confiable y segura de la
informacin que sirva para una adecuada toma de decisiones (Echenique
2001).
La Auditora Informtica es una funcin que ah sido desarrollada para
asegurar la salvaguarda de los activos de los sistemas de computadoras,
mantener la integridad de los datos y lograr los objetivos de la organizacin
en forma eficaz y eficiente (Echenique 2001).

2.2.5.1. Tipos de Auditora Dentro De La Auditora Informtica.


Dentro de la Auditora Informtica existen varios tipos de auditora, entre
ellas la auditora fsica, auditora de direccin, auditora del desarrollo,
auditora de mantenimiento, auditora de seguridad y otros.
o Auditora Fsica: verifica, evala y comprueba la funcionalidad,
racionalidad y seguridad de los medios fsicos.
o Auditora de Direccin: el auditor examina el proceso de planificacin
de sistemas de informacin y evala si es razonablemente.
o Auditora del Desarrollo: verifica y evala todo el ciclo de vida del
software excepto: la explotacin, el mantenimiento y el retiro del
servicio o aplicacin cuando esta tenga lugar.
o Auditora de Seguridad, Evala las medidas de proteccin de datos y
de los sistemas computarizados, involucrando en forma global
Hardware y Software, las medidas de proteccin a ser utilizadas y los
planes de contingencia preparados para enfrentar problemas con o
sin conocimiento de causa.

Al finalizar el trabajo de auditora se obtiene un informe del estado de la


institucin o unidad auditada, en el desarrollo de la auditora el auditor
obtiene los papeles de trabajo o documentacin, que son parte de la
evidencia que ayuda a sustentar su opinin (Echenique 2001).
2.2.5.2. Informe de Auditora.
En todos los casos en que un auditor realiza una revisin, debe expresar
una opinin. La opinin, diagnostico o dictamen es la expresin emitida
acerca del resultado del proceso de auditora (Echenique 2001).
Existen cuatro formas de dictaminar:

Dictamen favorable o limpio.


La opinin calificada como favorable, sin salvedades o limpia debe
manifestarse de forma clara y precisa, es el resultado de un trabajo
realizado sin limitacin de alcance y sin incertidumbre, de acuerdo con la
normativa legal y profesional.
Si existen circunstancias que afecten de alguna manera, y no son lo
suficientemente importantes como para generar una opinin adversa, se
debe incluir un prrafo explicativo y establecer una opinin con salvedades.

Opinin con salvedades.


Se reitera lo dicho en la opinin favorable, al respecto de las salvedades
cuando sean significativas en relacin con los objetivos de auditora,
describindose con precisin la naturaleza y razones, se realiza segn las
circunstancias siguientes.

Limitaciones al alcance del trabajo realizado, restricciones por parte del


auditado.
Incertidumbre cuyo resultado no permita una previsin razonable.
Irregularidades significativas.
No hay suficiente evidencia comprobatoria.
No hay notas aclaratorias.

Opinin desfavorable o advera.


Establece que no presenta razonablemente los resultados de las
operaciones de la entidad, de conformidad con principios generalmente
aceptados.
Las excepciones son tan importantes que no le permite emitir una opinin
con salvedades, por lo que se incluye los motivos o razones tcnicas que le
orienten a emitir este tipo de dictamen y los efectos que significan.

La opinin desfavorable o adversa es aplicable en el caso de:

Identificacin de irregularidades.
Incumplimiento de la normativa legal y profesional que afecten
significativamente a los objetivos de la auditora informtica estipulados,
incluso con incertidumbre; todo ello en la evaluacin de
conjunto
y
reseando detalladamente las razones correspondientes.
Opinin denegada o abstencin de opinin.
Establece que el auditor no expresa una opinin, normalmente por los
siguientes motivos:
Incertidumbre significativa de un modo tal que impida al auditor formarse
una opinin.
Irregularidades.
Limitacin en el alcance de la auditora.
La existencia de incertidumbre cuando su importancia
es significativa.
La trascendencia que tiene el riesgo de que la empresa no pueda seguir
en operacin.
Falta de informacin.
Incumplimiento de normativa legal y profesional.
2.2.5.3. Hallazgo.
Son las presuntas deficiencias o irregularidades identificadas como resultado
de la aplicacin de los procedimientos de auditora, los mismos que con
criterios de materialidad o significacin econmica debidamente
desarrollados, referenciados y documentados constarn en los papeles de
trabajo.
En la redaccin de los hallazgos de auditora, se debe utilizar lenguaje
sencillo y fcilmente entendible, tratando los asuntos en forma objetiva,
concreta y concisa.
La comunicacin se efecta por escrito en forma personal y reservada, a la
persona directamente vinculada con el hallazgo, debiendo acreditarse su
recepcin (CGRP 2015).
Los elementos son:
a) Sumilla
Es el ttulo o encabezamiento que resume la observacin.
b) Condicin
Este trmino se refiere al hecho irregular o deficiencia determinada, cuyo
grado de desviacin debe ser demostrada y sustentada con evidencias.
c) Criterio
Es la norma o estndar tcnicoprofesional, alcanzable en el contexto
evaluado, que permiten al auditor tener la conviccin de que es necesario

superar una determinada accin u omisin de la entidad, en procura de


mejorar la gestin. Los ms comunes criterios a ser empleados en la
auditora son: las normas jurdicas vigentes, las normas tcnicas o
estndares profesionales, las opiniones de expertos, indicadores de
gestin,ndices de desempeo de aos anteriores o de entidades
comparables bajo circunstancias iguales, los elementos de la estructura de
control interno, recomendaciones de las normas tcnicas de control interno
para el sector pblico y los criterios de probidad administrativa.
d) Causa
Es la razn fundamental por la cual ocurri la condicin, o el motivo por el
que no se cumpli el criterio o norma. Su identificacin requiere de la
habilidad y juicio profesional del auditor y es necesaria para el desarrollo de
una recomendacin constructiva que prevenga la recurrencia de la
condicin.
e) Efecto
Es la consecuencia real o potencial cuantitativo o cualitativo, que ocasiona la
observacin, indispensable para establecer su importancia y recomendar a
la Administracin que tome las acciones requeridas para corregir la
condicin. Siempre y cuando sea posible, el auditor debe revelar en su
informe la cuantificacin del efecto (CGRP 1999).

2.2.5.4. Tcnicas De Auditora.


Los mecanismos mediante los cuales los auditores recopilan la evidencia de
auditora. Las tcnicas de auditora consisten en: comparacin, clculo,
confirmacin, indagacin, inspeccin, observacin y examen fsico (CGRP
1998).
2.2.5.5. Tcnicas De Verificacin Fsica
Inspeccin, es el examen fsico ocular de activos, obras, documentos y
valores, con el objeto de establecer su existencia y autenticidad. La
aplicacin de esta tcnica es de mucha utilidad, especialmente en cuanto a
la constatacin de efectivo, valores, activo fijo y otros equivalentes.
Generalmente, se acostumbra a calificarla como una tcnica combinada,
dado que en su aplicacin utiliza la indagacin, observacin, comparacin,
rastreo, tabulacin y comprobacin (CGRP 1998).
2.2.5.6. Tcnicas De Verificacin Ocular
Comparacin, es el acto de observar la similitud o diferencia existente entre
dos o ms elementos. Dentro de la fase de ejecucin de la auditora se
efecta la comparacin de resultados, contra criterios aceptables,
facilitando de esa forma la evaluacin por el auditor y la elaboracin de
observaciones, conclusiones y recomendaciones.

Observacin, es el examen ocular realizado para cerciorarse cmo se


ejecutan las operaciones. Esta tcnica es de utilidad en todas las fases de la
auditora, por cuyo intermedio el auditor se cerciora de ciertos hechos y
circunstancias, en especial las relacionadas con la forma de ejecucin de las
operaciones, apreciando personalmente, de manera abierta o discreta, cmo
el personal de la entidad ejecuta las operaciones.
Indagacin, es el acto de obtener informacin verbal sobre un asunto
mediante averiguaciones directas o conversaciones con los funcionarios
responsables de la entidad. La respuesta a una pregunta formulada por el
auditor comprende una porcin insignificante de elementos de juicio en los
que puede confiarse, pero las respuestas a muchas preguntas que se
relacionan entre s pueden suministrar un elemento de juicio satisfactorio si
todas son razonables y consistentes. Es de especial utilidad la indagacin en
la auditora de gestin cuando se examinan reas especficas no
documentadas; sin embargo, sus resultados por s solos no constituyen
evidencia suficiente y competente.
Entrevistas, pueden ser efectuadas al personal de la entidad auditada o
personas beneficiarias de los programas o actividades a su cargo. Para
obtener buenos resultados debe prepararse apropiadamente, especificar
quines sern entrevistados, definir las preguntas a formular, alertar al
entrevistado acerca del propsito y puntos a ser abordados. Asimismo, los
aspectos considerados relevantes deben ser documentados y/o
confirmados por otras fuentes y su utilizacin aceptada por la persona
entrevistada.
Las Encuestas, pueden ser tiles para recopilar informacin de un gran
universo de datos o grupos de personas. Pueden ser enviadas por correo u
otro mtodo a las personas, firmas privadas y otros que conocen del
programa o el rea a examinar. Su ventaja principal radica en la economa
en trminos de costo y tiempo; sin embargo, su desventaja se manifiesta en
su inflexibilidad, al no obtenerse ms de lo que se pide, lo cual en ciertos
casos puede ser muy costoso. La informacin obtenida por medio de
encuestas es poco confiable, bastante menos que la informacin verbal
recolectada en base a entrevistas efectuadas por los auditores. Por lo tanto,
debe ser utilizada con mucho cuidado a no ser que se cuente con
evidencia que la corrobore (CGRP 1998).

2.2.5.7. ISO 27001.


Este estndar internacional fue preparado para proporciona un modelo
para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar un Sistema de Gestin de Seguridad de la Informacin (SGSI). La
adopcin de un SGSI debe ser una decisin estratgica para una
organizacin. El diseo e implementacin del SGSI de una organizacin es

influenciado por las necesidades y objetivos, requerimientos de seguridad, los


procesos empleados y el tamao y estructura de la organizacin
(ISO/IEC 2005).

III.
3.1.

MATERIALES Y MTODOS

Tipo y Diseo de la Investigacin.


La investigacin por ser de carcter aplicativa, se utiliz para la
contrastacin de la hiptesis correspondiente, el diseo en sucesin o lnea
(Tabla N 05) donde se tuvo la participacin de un grupo: el experimental, el
cual fue evaluado y analizado antes y despus de aplicado el estmulo
(Buenas prcticas para auditar redes inalmbricas en el rubro hotelero de la
ciudad de Cuso).
Las conclusiones fueron establecidas por comparacin entre la situacin
antes de la aplicacin de la variable estimulo, y la situacin despus de la
aplicacin de esta variable.
(Antes)
Auditora de
redes
inalmbricas
basadas en la
experiencia
demoraba 3
semanas.

(Despus)
(Estmulo)

Auditora de
Buenas
redes
---->
prcticas
inalmbricas
---->
para auditar
utilizando
redes
Buenas
inalmbricas
prcticas
demora 2
semanas.
Tabla N 05: Diseo de la Investigacin.

Sin embargo actualmente no se cuenta con una gua de buenas prcticas


que sirva de ayuda al auditor con experiencia y sin las herramientas
necesarias para la auditora en redes inalmbricas, en la cual los
encargados del control la tomen de apoyo para realizar sus labores,
realizndose el proceso de auditora basados en la experiencia y de la
mano con herramientas de monitoreo WLAN, realizndose slo el
monitoreo de canales de emisin, nivel de seal y tipos de claves, tomando
ms tiempo del que debera al no tener una gua de apoyo en la auditora a
la red inalmbrica.

3.2.

Poblacin, Muestra de Estudio y Muestreo.


Poblacin:
La poblacin objeto est dado por las empresas hoteleras que cuentan con
red inalmbrica en la Ciudad de Cusco, la cual hacen un total de 10
hoteles, comprobando su existencia y funcionamiento con visitas a las
instalaciones de forma personal.

Muestreo:
5 empresas hoteleras aceptaron la aplicacin de la encuesta, mas
slo una acept la aplicacin de la investigacin, El Gran Hotel
Cusco .
NOMBRE
Elvis Obando
Juan Carlos
Medina
Alan Cusi

HOTEL
Garza Hotel
Hotel Costal del
Sol
Gran Hotel Cusco

Carlos Sebastiani

Hotel Las Musas

Roberto Bolvar

CARGO
Jefe de Sistemas
Jefe de Sistemas
Systems Manager

Administrador
Externo
Hotel Amrica
Jefe de Sistemas
Tabla N 06: Poblacin de Hoteles.

Objeto de estudio: empresas


inalmbricas de la ciudad de Cusco.

hoteleras

con

redes

Muestra: Debido del temor al cambio, la pequea cantidad


de hoteles que cuentan con redes inalmbricas y al
compromiso que se pudo llegar con el nico hotel, El Gran
Hotel Cusco, se consider la misma que acept la aplicacin
de la investigacin.

3.3.

Hiptesis.
La elaboracin de buenas prcticas para auditar redes
inalmbricas permitir mejorar la ejecucin de los
procesos de auditora a redes inalmbricas.

3.4.

Variables.
Variables Independientes:
Buenas prcticas para auditar redes inalmbricas.
Variables Dependientes:
Ejecucin de los procesos de auditora a redes inalmbricas.

3.5.

Indicadores.
La Tabla N07 muestra los indicadores que se utilizarn para
validar la hiptesis y determinar el cumplimiento de los
objetivos de la tesis.

Direccin
Bolognesi 756
Av. Balta 399
Av Cusco 501
Los Faiques
No. 101 Urb.
Santa
Victoria
Luis Gonzales

Tabla
N 07:

Indicador

Descripcin

Tiempo de
Tiempo dedicado a
auditora a la
la auditora de la
red
red inalmbrica
inalmbrica
del hotel.
del hotel.
Nmero de
Nos indicar la
metodologas,
cantidad
de metodologas,
manuales y/o
manuales y/o buenas
buenas
prcticas utilizadas en
prcticas
aplicadas para
auditora a la red
auditar redes
inalmbrica.
inalmbricas.
Nmero de
Nos indicar la
herramientas
cantidad
de herramientas
aplicadas para
utilizadas en la
auditar la red
a la red inalmbrica.
inalmbrica.
Nivel de
Nos indicar el nivel
experiencia
de experiencia del
del personal
personal en auditora
en auditora
a redes inalmbricas.
de redes
inalmbricas.
Indicadores de la Investigacin.
3.6.

Unidad
de
medid
a
Entero:
Nmero de
semanas.

Entero:
Cantidad

Entero:
Cantidad

Alto
Medio
Bajo

Mtodos, Tcnicas e Instrumentos de Recoleccin de datos.


Mtodos
Los mtodos utilizados en la tesis fueron el anlisis, la encuesta y la
entrevista, la cual permitieron establecer una relacin con el objeto de
estudio. El anlisis nos permiti hacer una revisin de metodologas,
normas y buenas prcticas para auditar redes inalmbricas del territorio
nacional e internacional. La entrevista y la encuesta han sido de gran
utilidad para recoger informacin sobre aspectos muy especficos, acerca
del nivel de experiencia del personal y las buenas prcticas implementadas
en las redes inalmbricas de las empresas hoteleras de la ciudad de Cusco.
Tcnicas empleadas
Las tcnicas empleadas han sido la entrevista, dirigidas a los encargados
del rea de telecomunicaciones.
Instrumentos

Despus de seleccionar los mtodos que fueron empleados para las


buenas prcticas para auditar redes inalmbricas en las empresas
hoteleras, se elaboraron instrumentos para la aplicacin e implementacin
del trabajo, los cuales consisten en checklist y cuestionarios (estos
constituyen la herramienta propuesta que ayuda a profesionales
interesados en aplicar el presente trabajo), as como tambin la entrevista y
la encuesta, que nos permiti recoger informacin adicional del rea de
telecomunicaciones.

3.7.

Plan de Procesamiento para Anlisis de Datos


Para medir la variable independiente: Buenas prcticas para auditar redes
inalmbricas, se hizo uso de la entrevista y el anlisis comparativo entre las
metodologas, estndares, normas y modelos existentes en el medio
nacional e internacional con empresas hoteleras que presentaban red
inalmbrica implementada.
Para medir la variable dependiente: Ejecucin de los procesos de auditora
a redes inalmbricas, se hizo uso de la encuesta y la entrevista, haciendo el
estudio con los 5 hoteles, basndose en frecuencias de auditoras a la red
inalmbrica, estndares, metodologas y herramientas basados para realizar
dichas auditoras.

3.8.

Procesamiento de la Informacin
Se recopil la siguiente informacin para este punto con ayuda de las
encuestas y entrevistas aplicadas al responsable del rea de
telecomunicaciones del Gran Hotel Cusco, el cual manifest los siguientes
problemas que ha tenido desde la fecha que se instal la red inalmbrica
hasta el presente.
Problemas ms frecuentes dados desde la instalacin de la red inalmbrica
hasta el momento:
1.

2.

3.

Diseo de la red inalmbrica, generacin de tiempo y dinero adicional


en su modificacin o rediseo, debido a que no se basaron en una gua,
norma, metodologa o buenas prcticas para realizar el diseo de la red
inalmbrica acorde a sus necesidades.
Escalabilidad, en el 2004 ante la llegada de la fiesta del futbol de la
Copa Amrica a Cusco, el hotel no imagino la numerosa llegada de
equipos de futbol, periodistas y turistas. Lo cual le provoco un gran
problema para solucionar la escalabilidad de la red inalmbrica.
Alcance y cobertura de la seal dbil, en la totalidad de las
habitaciones, para ser ms precisos en el piso 7 es muy dbil, y fuga de
seal fuera de los lmites del hotel, esto es debido a la falta de medidas
preventivas respecto a la infraestructura (muros, columnas, etc.) que
actan como obstculos, mala ubicacin de la mayora de los equipos
que conforman la red, el no haber tenido en cuenta las interferencias y

4.

5.

6.
7.

distancias que perturban el buen funcionamiento de la seal


inalmbrica, adems debido a que no se basaron en una gua, norma,
metodologa o buenas prcticas para la implementacin de la red
inalmbrica.
El ancho de banda, que les proporciona su proveedor de Internet es de
1 MB, permite trabajar con normalidad a sus pasajeros, trabajando con
aplicaciones VPNs, descargas de msica y video, chat, etc, pero el
problema surge al momento de conexiones simultneas de pasajeros y
personas ajenas al hotel, con un aproximado de 100 120 conexiones
al da.
Con respecto a la seguridad, los mecanismos no cubren en su
totalidad, debido a que tienen problemas con conexiones de fuera de los
lmites del hotel, adems debido a que no se basaron en una gua,
norma, metodologa o buenas prcticas para la seguridad de la red
inalmbrica.
Los estndares de red que utilizan son 802.11b y 802.11g.
La mayora de equipos que utilizan para la seguridad de su WLAN son
de las marcas Linksys y 3com en la calidad del cable UTP CAT 6.

Despus de haber revisado y analizado los problemas, recolectados tanto


de las entrevistas como tambin de las encuestas se lleg a las siguientes
conclusiones:

3.9.

El hotel requiere una mayor cobertura en sus instalaciones de la red


inalmbrica, por lo que es necesario redisear la actual red
inalmbrica en funcin del alcance y cobertura, a su vez con la
infraestructura del hotel.

Ante un crecimiento de la red inalmbrica, se debe prever a futuro un


crecimiento.

Los estndares 802.11b y 802.11g son ms utilizados por la


velocidad mxima de transmisin que utiliza, esto hace que sea
suficiente para la mayora de las aplicaciones.

La seguridad es muy importante, debido a que se debe tener un


mejor control sobre los usuarios, ancho de banda, procesos, etc.

Metodologas.

3.9.1.Metodologas para la elaboracin de la Buenas Prcticas.


Para el desarrollo del presente trabajo de investigacin, utilic diferentes mtodos y
tcnicas segn la etapa.
El mtodo utilizado en el presente trabajo de investigacin, est basado en el
mtodo cientfico.
Se hizo un estudio a 5 hoteles de la regin, entrevistando a los encargados de las
respectivas reas de telecomunicaciones y sistemas, teniendo como resultado un
nivel alto de experiencia.

Revis diferentes metodologas, normas y buenas prcticas para auditar WLANs,


que describo en el marco terico para elaborar las buenas prcticas.
Dichas metodologas y normas son las siguientes:

ISO 27002 - (anteriormente denominada ISO17799).COBIT 4.1


Metodologa para administrar redes Sergio Untiveros.
Seguridad en redes inalmbricas - Geannina Jackeline Aguirre Briones.
Estudio, diseo e implementacin de una red inalmbrica en el instituto
tecnolgico superior aeronutico. Patricio Espn
Lista de verificacin de datos del centro de seguridad fsica. The
SANS Institute
Las diez mejores prcticas de ENISA en el campo de la conciencia de
seguridad de la informacin.
Consultora estratgica inalmbrica Red-M
Plan de cinco pasos para la seguridad de su empresa Wlan - Core
Competence
Osstmm 2.3 WIRELESS ISECOM Pete Herzog
Information Networks Planning and Design (INPD).

De cada de una de las 11 metodologas y normas se describe sus objetivos y como


me han servido en la definicin de la mejores prcticas para una auditora de redes
inalmbricas.
El modelo ISO IEC 27002 es la norma dedicada a la seguridad de la informacin,
lo que permite alinear de mejor manera las mejores prcticas, la clusula
fundamental para garantizar la seguridad fsica es: Seguridad fsica y ambiental,
pero no se debe dejar de lado aspectos organizacionales que ayuden con esta
clusula. En consecuencia para el Dominio de Seguridad se selecciona 9 de las 11
clusulas que tiene la norma ISO IEC 27002, se excluye 2 clusulas completas y
los objetivos de control y sub controles que estn dirigidos a la parte de seguridad
lgica, teniendo as clusulas y controles exclusivamente para el apoyo de la
seguridad fsica de los recursos de informacin.
Del modelo internacional COBIT 4.1, se utiliz debido a que hace un anlisis y
seleccin de objetivos de control, controles detallados que contemplan aspectos de
seguridad fsica. Cabe aclarar que varios aspectos de COBIT ya son contemplados
en el modelo ISO IEC 27002, pero existen aspectos que no son tomados en
cuenta, las cuales se adicionan a las clusulas y objetivos de control del modelo
ISO IEC 27002.
Del modelo Metodologa para Administrar Redes Sergio Untiveros, se utiliz
debido a que presenta como objetivo, una visin global para disear y administrar
redes inalmbricas sin dejar de lado la seguridad, familiarizndose con la
terminologa utilizada y los diferentes riesgos y tipos de ataques informticos a los

cuales est expuesta, as como tambin introduce niveles bsicos y avanzados


de seguridad en la implementacin de una red inalmbrica.
Del modelo "Seguridad en redes inalmbricas" - Geannina Jackeline Aguirre
Briones, se utiliz debido a que hace un anlisis de la visin global del estado de
seguridad en las redes inalmbricas, familiarizndose con la terminologa utilizada y
los diferentes riegos y tipos de ataques informticos a los cuales est expuesta la
red inalmbrica, introduciendo niveles bsicos y avanzados de seguridad en la
implementacin de la red inalmbrica. Describiendo as los elementos que
participan en la solucin como los protocolos de red y funcionalidades necesarias
para garantizar la seguridad de la red inalmbrica.
Del modelo Estudio Diseo e Implementacin de una red inalmbrica en el
Instituto Tecnolgico Superior Aeronutico. Patricio Espin. Se utiliz debido al
propsito fundamental que es el de disear e implementar una red inalmbrica
paso a paso, con el fin de que poder hacer uso el servicio de Internet e ingresar
a la red administrativa del instituto.
Del modelo Lista De Verificacin De Datos Del Centro De Seguridad Fsica. The
SANS Institute, el presente documento se utiliz debido al portafolio que presenta
como lista de verificacin informal compilados para crear conciencia sobre los
problemas de seguridad fsica en el entorno del centro de datos. Siendo de vital
importancia al momento de auditar los Especialistas en Seguridad de la Informacin
utilicen esta lista para determinar las debilidades en la seguridad fsica de los
centros de datos que su organizacin utiliza. Abarca aspectos como la penetracin
fsica ofreciendo al hacker el acceso a los datos sensibles, la ingeniera social
y el acceso fsico a los puertos de la consola se facilitan (118-119).
Del modelo Las Diez Mejores Prcticas De Enisa En El Campo De La Conciencia
De Seguridad De La Informacin., se utiliz en base a que hace un anlisis de los
aspectos clave en el campo de la conciencia de la seguridad de la informacin y la
comunicacin (TIC) en las empresas. Para ello, las mejores prcticas pueden ser
utilizadas para seguridad de la informacin como una gua para las medidas
bsicas y para sensibilizar al personal de los riesgos en la seguridad de la
informacin y explicar las diez reglas de oro.
Del modelo Consultora estratgica inalmbrica de Red-M., mediante este
documento se propone definir exactamente cmo, cundo y dnde se utiliza
Wireless en la organizacin, para asegurarse de alinear totalmente la estrategia
Wireless con la estrategia de negocio. Permiti consolidar los objetivos de control
para el Dominio de Diseo.
Del modelo Plan De Cinco Pasos Para La Seguridad De Su Empresa Wlan de
Core Competence, se utiliz en base a que hace un anlisis de cinco pasos
esenciales para la salvaguardia de los clientes inalmbricos y de datos para la
auditora y el control de conexiones Wi-Fi, recomendando las mejores prcticas
para garantizar la seguridad y la integridad de las redes empresariales.

Del modelo OSSTMM 2.9 WIRELESS de ISCOM Pete Herzog. Se utiliz este
manual debido a que es un estndar profesional para pruebas de seguridad en
cualquier medio de afuera hacia adentro, y un conjunto entendible de test. Como
pruebas de seguridad continuarn desarrollndose para ser una vlida y respetada
profesin. Estos son una seria de pasos que deben estar en observacin y
revisados durante la realizacin de una prueba completa. El cuadro metodolgico
que es el camino optimo de direccin de esto con parejas de probadores.
Del modelo Information Networks Planning and Design for David Etheridge Errol
Simn se utiliz debido a que presenta objetivos ambiciosos como: explicar el
proceso y proponer una metodologa para el anlisis de informacin de la red y el
diseo de una visin de sistemas orientados. La metodologa es precedida y
apoyada por una discusin a fondo de las necesidades de comunicacin y las
tecnologas de redes. Los autores tambin abordan cuestiones de organizacin y
gestin que estn influenciados por las redes de informacin.

De acuerdo a estas consideraciones, las buenas prcticas propuestas evalan de


forma completa los dominios de Diseo, Administracin y Seguridad de la red
inalmbrica de acuerdo a los conceptos ya mencionados de las metodologas,
estndares y normas nacionales e internacionales.
Para cada buena prctica definida se propone su objetivo o propsito de la buena
prctica, actividades o tareas a desarrollar, herramientas y un Checklist que estn
de acuerdo a los conceptos que maneja, para esto se realiza lo siguiente:
El diseo y construccin de dominios diseo, administracin y seguridad de
las buenas prcticas para auditar redes inalmbricas.
El diseo y construccin de las buenas prcticas para auditar WLAN por
cada dominio.
El diseo y construccin del objetivo de la buena prctica para auditar
WLAN.
El diseo y construccin de las actividades o tareas de la buena prctica.
El diseo y construccin de las herramientas que apoyar la labor de la
auditora.
El diseo y construccin del Checklist de la buena prctica para apoyar la
labor del auditor.
3.9.2.Metodologas para la aplicacin de la auditora.
Para la aplicacin de la auditora, hojas de trabajo e informe de auditora se bas
en el estndar de International Standards for the Profesional Practice of Internal
Auditing Copyright 2001 by The Institute of Internal Auditors, tales como:
-

En cuanto a la fase de planificacin de la auditora me bas en NAGU 2.10.


(Planificacin General) y NAGU 2.20. (Planeamiento de la Auditora),

En cuanto a la fase de ejecucin e informe, me bas en NAGU 4.10.


(Elaboracin del Informe) y NAGU 4.40. (Estructura del Informe)

Entre las tcnicas de auditora se utilizaron tcnicas de verificacin ocular como la


observacin, tcnicas de verificacin oral como indagacin, entrevistas y
encuestas, tcnicas de verificacin fsica como inspeccin, adems de la utilizacin
de herramientas asistidas por el computador como: InSSIDer y Xirrus.
A continuacin una breve explicacin de las metodologas utilizadas para la
aplicacin de la auditora:
PROCESO DE LA AUDITORIA

PLANEAMIENTO
REVISION
GENERAL

REVISION
ESTRATEGI
CA

EJECUCION
CONDICIO
N

CRITERIO

CAUSA

EFECTO

INFORME
Figura N 07: Proceso de la auditora
FUENTE: [CONTRERAS LLALLICO, 2010]
A) PLANEAMIENTO: Plan de auditora. Programa de
auditora. NAGU 2.10: PLANIFICACIN GENERAL
Objetivos:
Alcance:
Metodologa a utilizar:
NAGU 2.20: PLANEAMIENTO DE LA AUDITORA
Objetivos del examen. Son los resultados que se esperan alcanzar
Alcance del examen. Grado de extensin de las labores de auditora.
Descripciones de las actividades de la entidad.

Normas aplicables a la entidad.


Informes a emitir y fecha de entrega
Identificacin de las reas crticas.
Personal nombre y categora de los auditores.
Funcionarios de la entidad a examinar.
Presupuesto de tiempo.
Participacin de otros profesionales.
Papeles de trabajo,

B) EJECUCIN: Comunicacin de hallazgos. Borrador de


informe. HALLAZGO: Condicin, criterio, causa, efecto
C) FORMULACION DEL INFORME
NAGU 4.10: ELABORACIN DEL INFORME:
Informe: Emisin del informe
Supervisin de la estructura y contenido del borrador del informe
administrativo y debido respaldo en papeles de trabajo.
Evaluacin de los comentarios de la entidad y supervisin del informe
administrativo final.
Supervisin de las observaciones, conclusiones, recomendaciones y el
proceso de determinacin de las responsabilidades, administrativas, civiles
o penales.
Supervisin del informe especial de ser el caso.
Revisin final y suscripcin de los informes.
Trmite de aprobacin y remisin del Informe a la entidad.

NAGU 4.40: CONTENIDO DEL INFORME.


ESTRUCTURA DEL INFORME
I. INTRODUCCIN
1. Origen del examen
2. Naturaleza y objetivos del examen
3. Alcance del examen
4. Antecedentes, base legal de la entidad
5. Comunicacin de hallazgos

6. Memorndum de control interno


7. Otros aspectos de importancia.
II. OBSERVACIONES.
III. CONCLUSIONES (observaciones)
IV. RECOMEDACIONES (Conclusiones)
V. ANEXOS
Firma
Sntesis Gerencial

3.10.Dominios y/o escenarios de las Buenas Prcticas.


En esta seccin veremos los escenarios que contemplan las buenas prcticas para
auditar redes inalmbricas.
Basndome en la encuesta realizada a los 5 hoteles de la ciudad de Cusco y la
entrevista que se tuvo con el encargado del rea de telecomunicaciones, se pudo
analizar la informacin, y se determin tres dominios que cubran en su totalidad la
red inalmbrica, que son el diseo, la administracin y la seguridad de la red
inalmbrica de la empresa.
En cada dominio describo su finalidad y qu aspectos contempla, como se puede
mostrar a continuacin:
1. Dominio Diseo.
Para este dominio se realiz el anlisis de metodologas orientadas al
diseo, infraestructura y hardware de las WLANs, alineadas a la verificacin
de planes, normas, fuentes de diseo, implementacin, migracin de una
WLAN; infraestructura, examinar la ubicacin, temperatura, infraestructura,
limites de seal de la red y equipos de comunicacin sean adecuadas
permitiendo un funcionamiento ptimo de la red empresarial; Hardware,
examinar que los equipos de la WLAN soportadas en la empresa sean los
adecuados para el funcionamiento de la misma, y sean acordes con las
necesidades de la empresa, y finalmente se obtuvo un marco de trabajo de
auditora de diseo de las WLANs. Se determinaron objetivos de control
orientados a:
1. Anlisis de la empresa.
2. Anlisis tecnolgico de la empresa.
3. Diseo Fsico de la Red
4. Diseo Lgico de la Red.
5. Planes de Implementacin.

2. Dominio Administracin de la Red.


Para este dominio se realiz el anlisis de metodologas orientadas a la
administracin de las WLANs, alineadas a verificar, comprobar, analizar,
examinar la continuidad de la operacin constante de la WLAN soportadas
en la empresa; obteniendo finalmente un marco de trabajo de auditora de

administracin de WLANs. Se determinaron objetivos de control orientados


a:
1. La administracin de recursos informticos.
2. La administracin de recursos humanos.
3. La administracin de comunicaciones y operaciones.
4. La administracin de control de accesos.

3. Dominio Seguridad.
Para este dominio se realiz el anlisis de metodologas orientadas a la
seguridad de las WLANs, alineadas a verificar, comprobar, analizar,
examinar la seguridad de las operaciones, transacciones de informacin
constante de la WLAN, abarcando pruebas de seguridad externa, que va de
un ambiente no privilegiado a uno privilegiado, asimismo examinar que
existan controles, procedimientos y polticas de seguridad que permitan
monitorear las operaciones, transacciones de informacin constante de la
WLAN, obteniendo finalmente un marco de trabajo de auditora de
hardware de WLANs.
Se determinaron objetivos de control orientados a:
1. Poltica de seguridad de la informacin en la WLAN.
2. Organizacin de la seguridad de la informacin en la WLAN.
3. Seguridad WLAN.
4. Gestin de incidentes de seguridad de informacin en la WLAN.
IV.

RESULTADOS

4.1.Diseo y construccin de las buenas prcticas para auditar redes


inalmbricas.
A continuacin se muestra el diseo y construccin de las buenas prcticas para
auditar redes inalmbricas siguiendo la metodologa vista en el punto 3.9.1.
4.1.1Caractersticas de las buenas prcticas para auditar redes
inalmbricas. Las buenas prcticas propuestas tienen tres caractersticas
que se detallan a continuacin.
Los requisitos establecidos en las Buenas Prcticas para auditar redes
inalmbricas son genricas y estn previstos a ser aplicables en toda
institucin hotelera o independiente del tipo, tamao o su naturaleza.
Est enfocada a los dominios de diseo, administracin y seguridad de la
red inalmbrica.
Adecuado a nuestra realidad, ya que las buenas prcticas considera las
recomendaciones de metodologas, normas y documentos nacionales e
internacionales en Auditora WLAN.

De acuerdo a estas consideraciones, las buenas prcticas propuestas evalan de


forma completa los dominios de diseo, administracin y seguridad de la red
inalmbrica de acuerdo a los conceptos ya mencionados de las metodologas,
estndares y normas nacionales e internacionales.
Para cada buena prctica definida se propone su objetivo o propsito de la buena
prctica, actividades o tareas a desarrollar, herramientas y un checklist que estn
de acuerdo a los conceptos que maneja, para esto se realiza lo siguiente:
El diseo y construccin de dominios diseo, administracin y seguridad de
las buenas prcticas para auditar redes inalmbricas.
El diseo y construccin de las buenas prcticas para auditar WLAN por
cada dominio.
El diseo y construccin del objetivo de la buena prctica para auditar
WLAN.
El diseo y construccin de las actividades o tareas de la buena prctica.
El diseo y construccin de las herramientas que apoyar la labor de la
auditora.
El diseo y construccin del Checklist de la buena prctica para apoyar la
labor del auditor.
4.1.2Definicin de las buenas prcticas para auditar redes inalmbricas.
En este punto se van a mostrar y detallar los dominios diseo,
administracin y seguridad, y por cada dominio las buenas prcticas para
auditar redes inalmbricas basndome en las metodologas, normas y
documentos existentes en el medio nacional e internacional.
Para ms detalle de los estndares, buenas prcticas, metodologas y
guas tomadas en cuenta para la definicin de las buenas prcticas para
auditar redes inalmbricas ver Anexo N04.
4.1.2.1 Dominio Diseo.
Buena Prctica Dis001: Anlisis de la Empresa
Objetivo: Verificar informacin general y relevante que permita tener una
perspectiva general de la empresa respecto a su modelo de negocio.
Actividades:
- Analizar informacin general como giro de la empresa, ubicacin geogrfica,
estructura orgnica, distribucin fsica actual (plano arquitectnico).
- Revisar objetivos de las empresas como: Misin, visin, anlisis FODA.
- Analizar la arquitectura del sistema, su descomposicin funcional (reas de
la empresa), arquitectura del proceso de la informacin, anlisis de los
problemas encontrados.

Herramientas:
HERRAMIEN
Formato
De Anlisis
De La
Empresa

DISPONIBILI

TIPO

DESCRIPCIN
Plantilla que permitir
Anexo N 05
Fsico
hacer un
levantamiento de
informacin propia de
Tabla N 08: Formato de Anlisis delalaorganizacin.
empresa.

Checklist

1
2
3
4
5
6
7

Buena Prctica DIS001: Anlisis de la Empresa


La empresa ha definido formalmente su misin y visin?
Cuentan con un anlisis FODA?
Cuentan con un manual de organizacin y funciones?
La empresa tiene en claro sus objetivos?
Cuenta con un plan estratgico?
Los cambios tecnolgicos estn acordes con el
plan estratgico?
La empresa cuenta con el plano arquitectnico actualizado
de la distribucin fsica actual?
TOTAL

S N

N/

Tabla N 09: Checklist de Buena Prctica DIS001


Buena Prctica DIS002: Anlisis tecnolgico de la empresa.
Objetivo: Verificar informacin general y relevante que permita tener una
perspectiva tecnolgica de la empresa.
Actividades:
- Verificar si se cuentan con un inventario de los equipos existentes y
aplicaciones de escritorio, etc.
- Verificar si los componentes de red y equipos de conexin son acorde a las
necesidades de la organizacin y satisfacen a los usuarios.
- Verificar si los elementos de la red estn trabajando sin problemas.
- Verificar cobertura, interferencia, canal y ancho de banda de la seal
inalmbrica.
- Verificar si presentan saturacin los canales de la red inalmbrica.

Herramientas:
HERRAMIE
MSIA 5.1
Analizador
de
inventario
de
Total
network
inventory
2.0.1
Inventario
de
estacione
s
Inventario
de
dispositivo
s
Cuestionario
para el
anlisis
tecnolgico
de la

DISPONIBILID
http://www.microsoft.
com/spain/softlegal/
m sia/default.aspx
http://www.softinventi
ve.com/es/products/t
o tal-networkinventory/

TIPO
Softwa
re
Gratuit
o
Softwa
re
Gratuit
o

ANEXO N 06

Fsico

ANEXO N 06

Fsico

ANEXO N 07

Fsico

DESCRIPCIN
Herramienta diseada
para
realizar
un
inventario de software.
Solucin de escaneo
de redes, inventario de
software y hardware y
auditora de PC.
Plantilla que permitir
hacer un levantamiento
de informacin
de
estaciones de trabajo.
Plantilla que permitir
hacer un levantamiento
de informacin de los
dispositivos
inalmbricos.
Cuestionario
que
permitir realizar un
anlisis

tecnolgico
Tabla N 10: Herramientas de Buena
Prctica DIS002

Checklist
N

1
2
3
4
5
6
7
8
9
1
0
1
1
1
2
1
3
1
4
1
5
1
6
1
7
2
2
2
3

Buena Prctica DIS002: Anlisis tecnolgico de la empresa


Cuentan con un inventario de los equipos existentes?
Se cuenta con una lista de las aplicaciones de
escritorio, proceso, etc.?
El ancho de banda es acorde con las necesidades de
la organizacin?
La topologa definida es acorde con las necesidades de
la organizacin?
El estndar con el que est trabajando es acorde con
las necesidades de la organizacin?
El cifrado de la red inalmbrica es la adecuada?
La autenticacin de la red inalmbrica es la adecuada?
La red inalmbrica trabaja con ms de un canal?
Presenta problemas con la cobertura de los puntos de
acceso en las reas con mayor concentracin de usuarios?
Presenta fuentes de interferencia en la seal inalmbrica?
La red inalmbrica presenta problemas de saturacin con
sus canales?
Las cantidades de ancho de banda utilizada por cada uno
de los enlaces es la ptima?
Servidor Principal: Controlador
De Dominio Y DNS?
Servidor Secundario: Proxy,
Firewall, Radius, Enrutamiento,
Los
equipos
de Vlan?
Servidor Base Datos?
conexin son los Servidor De Archivos E Impresin?
ptimos, tales como:
Router?
Switch Principal?
Switch Secundario?
Puntos de acceso?
Adaptadores De Red?
Los componentes de red que ms solicitudes hacen y
atienden estn trabajando sin problemas, como estaciones
de trabajo, puertos y servicios?
Los Puntos de acceso implementados cubren con su
seal inalmbrica todas las reas de la organizacin?
TOTAL
Tabla N 11: Checklist de Buena Prctica DIS002

S
I

N
O

N/A

Buena Prctica DIS003: Diseo fsico de la red


Objetivo: Verificar informacin general y relevante que permita tener una
perspectiva del diseo fsico de la red de la empresa.
Actividades:
-

Verificar si la ubicacin de los equipos de red es la adecuada.


Revisar el nivel de saturacin de los canales.
- Verificar los canales de emisin son los adecuados.
Verificar la topologa de la red, estndar inalmbrico, las frecuencias y los
protocolos son las adecuadas.
Verificar la configuracin de los equipos de red es la adecuada.
Verificar que se realicen pruebas de conectividad fsica.
Verificar si el nmero de puntos de acceso cubren toda la red.
Verificar el alcance de la red inalmbrica dentro y fuera de las instalaciones.
Verificar si la sala de equipos de comunicacin presenta un ambiente
adecuado.
Verificar si se aplic alguna norma, documento o buenas prcticas para la
implementacin de la sala de servidores.
Verificar la interconexin de la red inalmbrica a la red cableada o Internet.
- Verificar la compatibilidad de los equipos de red.
Verificar la correcta administracin de los equipos de red y comunicacin.

Herramientas:
HERRAMIE
AirWave
VisualRF
Report

Network
Event
Viewer
AirWave
Wireless
Site Plan

DISPONIBILIDA

TIPO

DESCRIPCI
Herramienta para
el auditor que da
http://www.arubanetworks.
Softwar
una visin
com/products/manageme
e
precisa de toda
nt
Licenci
la red sin tener
-securityad o
que abandonar
softwaresu escritorio.
2/airwave/visualrf/
Controlador
de
APs que permite
http://network-eventgestionar eventos
Softwa
viewer.softonic.com/desc
de red como
re
ar gar
alarmas,
Gratuit
cobertura,
o
localizacin de
usuarios, etc.
Softwar
http://www.moonblinkwifi.c
Herramienta
e
om/airwavetech.cfm
de
Licenci
monitorizaci
Tabla N 12: Herramientas de
Prctica DIS003
adBuena
o

Checklist
Buena Prctica DIS003: Diseo fsico de la red
1
2
3
4
5
6
7
8
9
1
0
1
1
1
2
1
3
1
4
1
5
1
6
1
7
1
9
2
0
2
1
2
2
2
3
2
4
2
5

La ubicacin de los equipos de comunicacin es


la adecuada?
Los canales de emisin de la seal es la adecuada?
El nivel de saturacin de los canales?
La topologa definida es acorde con las necesidades de
la empresa?
La topologa existente satisface las necesidades de los
usuarios?
El estndar inalmbrico propuesto satisface las
necesidades de ancho de banda actual?
Los protocolos inalmbricos propuestos satisfacen
las necesidades de la empresa?
La configuracin de seguridad de los equipos de red es
la adecuada?
La red presenta puntos muertos de seal?
El nmero de Puntos de acceso cubren toda la red?
Estn ubicados correctamente los puntos de acceso?
La configuracin de los equipos, contraseas,
autenticacin es la adecuada?
El alcance de la red inalmbrica dentro y fuera de
las instalaciones es la adecuada?
La sala de equipos de comunicacin presenta un
ambiente adecuado?
Sistema de aire acondicionado?
Sistema elctrico y de respaldo de
Se diseo la
energa
sala de
UPS?de deteccin y extincin contra
Sistema
servidores con:
incendios?
Sistema de cmaras de seguridad?
Se aplic alguna norma, documento o buenas prcticas
para la implementacin de la sala de servidores?
Se verific la interconexin de la red inalmbrica a la red
cableada es la adecuada?
La red presenta problemas con la compatibilidad en
los equipos de red y comunicacin?
Presenta un esquema de cobertura de la red?
Frecuentemente los clientes inalmbricos pierden
conexin con la red?
En ocasiones al navegar por internet los clientes
inalmbricos se han quejado de que las pginas cargan
muy realizan
lentamente?
Se
pruebas de envo y recibo de archivos para
detectar fallos?

S
I

N
O

N
/A

2
6
2
7
2
8
2
9
3
0
3
1
3
2
3
3
3
4
3
5
3
6
3
7

Ante un problema de conexin o seal inalmbrica se


revisa el nmero de usuarios conectados a la red
inalmbrica?
Presenta
problemas de compatibilidad en los equipos de
red?
Los puntos de acceso estn apagados durante parte del
da cuando no est en uso?
La funcin Reset de los puntos de acceso es utilizado
slo por personal autorizado y slo cuando sea
absolutamente necesario?
Los puntos de acceso se restauran con los ajustes de
seguridad ms recientes despus de la funcin de reinicio?
Las interfaces de gestin de los puntos de acceso tienen
la autenticacin de usuarios?
Todos los puntos de acceso tienen fuertes contraseas
administrativas?
Todas las contraseas administrativas se cambian
con regularidad y se almacena de forma segura?
Los routers inalmbricos, Gateways y puntos de acceso
no almacenan la contrasea de administrador en texto
plano en la base de informacin de gestionada (MIB) por
defecto?
Los
Puntos de acceso se encuentran ubicados en zonas
seguras, de tal forma que se pueda evitar la sustraccin
por personas ajenas?
Se realiz una inspeccin del lugar para medir y
establecer la cobertura del punto de acceso para la
organizacin luego de la instalacin?
Los puntos de acceso fueron implementados lejos de
redes inalmbricas cercanas para evitar una posible
denegacin de servicio por causa problemas de
interferencia?
TOTAL
Tabla N 13: Checklist de Buena Prctica DIS003

Buena Prctica DIS004: Diseo lgico de la red.


Objetivo: Verificar informacin general y relevante que permita tener una
perspectiva del diseo lgico de la red de la empresa.
Actividades:
Verificar si las cuentas de usuario por dominio y equipos es la adecuada.
- Verificar que se realicen pruebas de conectividad lgica.
Verificar si la autenticacin de los usuarios es la correcta.
Verificar si los niveles de acceso a los recursos compartidos es la recomendada.
- Verificar la tasa de transferencia de la red inalmbrica.
Verificar si se determin el sistema operativo correcto de red para equipos de
comunicacin y estaciones de trabajo basado en las necesidades de la
organizacin.
Verificar si el protocolo de red es el adecuado.
Verificar si se suministraron
herramientas necesarias
para poder implementar mecanismos para acceso remoto.
Verificar la configuracin, autenticacin y cifrado de los equipos de
comunicaciones.

Herramientas:
HERRAMIE

Secure shell

Administraci
n Remota
EMCO
Comandos
Ping y
Traceroute
.

DISPONIBILID
http://openssh.softon
i c.com/
http://en.kioskea.net/
d
ownload/download1423-ssh-securehttp://emcosoftware.
c om/remoteadministration

TIPO
Softwa
re
Gratuit
o

Softwar
e
Licencia
do

DESCRIPCIN
Herramienta
para estaciones de
trabajo es flexible
cliente
SSH
que
permite conectarse de
forma
segura
a
Herramienta
para la
implementacin
remota que ayuda a
los
administradores
del
sistema
para
ejecutar los paquetes
yComandos
scripts
ayudarn
a realizar pruebas de
conectividad lgica.

Dispositivos
Comando
de
s
comunicaci
n
Tabla N 14: Herramientas de Buena Prctica DIS004

Checklist
Buena Prctica DIS004: Diseo lgico de la red
1
2
3
4
5
6
7
8
9
1
0
1
1
1
2
1
3
1
4

1
5
1
6
1
7
1
8
1
9
2
0
2
1

Los nombres de cuentas de usuario de dominio estn


estandarizados?
Todos los usuarios tienen su cuenta de usuario?
Se realizan pruebas punto a punto entre entidades
finales?
Se realizan pruebas salto por salto entre entidad origen y
cada elemento intermedio?
Los dispositivos de red inalmbrica interfieren con
otros dispositivos electrnicos en las frecuencias similares,
tales como telfonos inalmbricos, microondas, etc.
Los usuarios presentan restricciones para el acceso a la
red inalmbrica?
Los usuarios presentan problemas para reconocer la red
inalmbrica?
La empresa cuenta o utiliza un modelo basado en
dominios?
El
sistema operativo de red para equipos de
comunicacin y estaciones de trabajo est basado en las
necesidades de la empresa o es el adecuado?
Se determin como protocolo de red TCP/IP?
Se da mantenimiento a las cuentas de usuario?
Los usuarios son autenticados para poder acceder a los
recursos compartidos?
Se
lo nivel
d acce
a lo recurs
s
es
e so
s
os
determin
Se suministraron herramientas necesarias para poder
implementar mecanismos de integridad como MD5, entre
otras?
Configuracin, autenticacin y cifrado de
equipos inalmbricos
El servicio set identifier (SSID) por defecto del punto de
acceso ha sido cambiado?
La cadena de caracteres SSID es fcil de adivinar y
refleja informacin sobre la empresa (nombre, ubicacin,
funcin, productos...)?
El router inalmbrico, punto de acceso o puerta de
enlace utiliza el 'Nombre de red' o SSID por defecto?
Las claves se almacena en texto plano?
Los protocolos de gestin inseguros e innecesarios en
los puntos de acceso han sido desactivados?
Los parmetros por defecto han sido cambiados en los
puntos de acceso?
Los tamaos de clave de cifrado son de por lo menos 128
bits, o lo ms grande posible?

S
I

N
O

N.
A.

Las claves por defecto son reemplazadas por claves


2
nicas ms seguras?
2
El firewall ha sido correctamente configurado y se ha
2 instalado entre la infraestructura de la red cableada y la
3 red inalmbrica?
Mediante la red inalmbrica es posible acceder a la
2
red cableada?
4
Hay dispositivos en la red inalmbrica que estn siempre
2
en partes sensibles de la red cableada?
5
Las tecnologas WLAN tienen los ltimos parches
2
de seguridad y actualizaciones?
6
Los usuarios se autentican (RADIUS local, Kerberos...)
2
con nombre de usuario y contrasea para la red WLAN?
7
La autenticacin de red es susceptible a la reproduccin
2 de autenticaciones anteriores para tener acceso a recursos
8 de red?
Se utiliza IPSec en lugar del predeterminado WEP como
2
el protocolo de seguridad?
9
3 Se utiliza el protocolo de autenticacin 802.1x?
0 Un algoritmo de cifrado ms seguro que el algoritmo RC4
3
por defecto est en uso (3DES o AES)?
1
La autenticacin del usuario a la WLAN es obtenida a
3 travs de mtodos ms seguros (datos biomtricos,
2 tarjetas inteligentes, autenticacin de dos factores, PKI,
3 RSA...)?
Si no es totalmente necesario el DHCP, est desactivado.
3 El acceso se concede nicamente a las mquinas cliente
3
con direcciones MAC registradas?
4
Todas las funciones de seguridad posible que se
3
proporcionan en la arquitectura estn en uso?
5
Todos los clientes inalmbricos tienen software antivirus
3
instalado?
6
3 Todos los clientes inalmbricos tienen firewall instalado?
7
TOTAL
Tabla N 15: Checklist de Buena Prctica DIS004

Buena Prctica DIS005: Planes de implementacin.


Objetivo: Verificar informacin relevante sobre la implementacin WLAN.
Actividades:
Verificar si la organizacin cuenta con el suficiente recurso humano para
implementar la red.
Verificar
si
se desarrollaron,
documentaron e
informaron planes de contingencia y planes de implementacin de red.
Verificar si se hizo un estudio de compatibilidad de hardware y software existente
con el instalado.
Verificar si se documentan los cambios para futuras referencias.
Verificar si existe un presupuesto asignado para la red inalmbrica.
Verificar
la
calendarizacin
de actividades en la
implementacin.
Verificar las pruebas de implementacin de la red diseada.
Checklist

1
2
3
4
5
6
7
8
9
1
0
1
1

Buena Prctica DIS005: Planes de implementacin


S N N.
I O A.
La implementacin de la red inalmbrica fue realizada por
personal calificado?
Existe un plan o calendarizacin de implementacin de
red?
Existe
un plan de administracin de red?
Existe un plan de contingencia?
Existe un plan financiero?
Existe un estudio previo para asegurar que el software que
ser instalado es compatible con los componentes ya
existentes?
Se notific anticipadamente a los usuarios sobre
la implementacin o algn cambio en la red?
Se documenta todo cambio para futuras referencias?
Se cumpli con los tiempos para cada actividad
presentado en el calendario de actividades?
Se realizaron pruebas de conectividad al culminar
la implementacin?
El presupuesto asignado para la red inalmbrica fue
suficiente?
TOTAL
Tabla N 16: Herramientas de Buena Prctica DIS005

4.1.2.2.

Dominio: Administracin
Buena Prctica ADM001: Administracin de recursos informticos.
Objetivo: Verificar la administracin y proteccin apropiada de los recursos y
asegurar que la informacin reciba un apropiado nivel de proteccin.
Actividades:
-

Verificar la existencia de un inventario de los equipos inalmbricos.


Verificar la existencia de procedimientos para el uso aceptable de los
equipos inalmbricos.
Verificar las actualizaciones de los equipos inalmbricos.
Verificar la clasificacin de la informacin en trminos de su valor,
sensibilidad, criticidad y modo de suministrarla a los empleados.
Verificar el desarrollo e implementacin de procedimientos de manejo de
informacin en la red inalmbrica.

Herramientas
HERRAMIE
Network
Event
Viewer
MSIA 5.1
Analizador
de
Inventario
de
Total
Network
Inventory
2.0.1
Inventario
de
estaciones
de trabajo.
Inventario
de equipos
inalmbrico
s

DISPONIBILI

TIPO

http://networkeventviewer.softonic.c
o m/descargar

Softwar
e

http://www.micros
o
ft.com/spain/softle
g
http://www.softinv
e
ntive.com/es/prod
u cts/totalnetworkANEXO N 06

Softwa
re
Gratuit
o
Softwa
re
Gratuit
o
Fsico

DESCRIPCIN
Herramienta
que
le
permite al auditor y
usuario controlar los APs,
para
gestionar
alarmas,
cobertura,
localizacin
de
usuarios,
Herramienta
diseada
para realizar un inventario
de su software.

Solucin de escaneo de
redes,
inventario
de
software y hardware y
auditora de PC.
Plantillas que le permite
al auditor realizar un
inventario
de
las
estaciones de trabajo.
Plantillas que le permite
ANEXO N 06
Fsico
al auditor realizar un
inventario de los equipos
inalmbricos.
Tabla N 17: Herramientas de Buena Prctica ADM001

Checklist

1
2
3

4
5
7
8
1
0
1
1
1
3
1
4
1
5
1
6
1
7
1
8
1
9
2
0
2
1
2
3

Buena Prctica ADM001: Administracin de


recursos informticos.
RESPONSABILIDAD POR LOS
RECURSOS.
INVENTARIO
DE RECURSOS
Todos los equipos inalmbricos son claramente
identificados?
Se
realiza y mantiene un inventario de los
equipos inalmbricos?
El inventario de los recursos incluye toda la
informacin necesaria para la recuperacin ante un
desastre?
USO ACEPTABLE DE LOS EQUIPOS
INALMBRICOS
Son documentados e implementadas polticas de uso de
los equipos inalmbricos?
Se informa al personal sobre las polticas de uso de
los equipos inalmbricos?
El personal cumple con las polticas de uso de los
equipos inalmbricos?
Se aplican las ltimas actualizaciones a todos los
equipos inalmbricos que la soporten?
Las actualizaciones para los equipos inalmbricos
se despliegan sobre una base regular?
Todos los dispositivos inalmbricos se han configurado
correctamente de forma que no hay dispositivos no
autorizados en la red?
Los registros de acceso contienen dispositivos no
autorizados con acceso a la red inalmbrica?
ADMINISTRACIN DE LOS EQUIPOS
INALMBRICOS
Los puntos de acceso estn apagados durante parte del
da cuando no est en uso?
La funcin Reset de los puntos de acceso es utilizado
slo por personal autorizado y slo cuando sea
absolutamente necesario?
Los puntos de acceso se restauran con los ajustes de
seguridad ms recientes despus de la funcin de reinicio?
Las interfaces de gestin de los puntos de acceso tienen
la autenticacin de usuarios?
Todos los puntos de acceso tienen fuertes contraseas
administrativas?
Todas las contraseas administrativas se cambian
con regularidad y se almacena de forma segura?
Los routers inalmbricos y puntos de acceso no
almacenan la contrasea de administrador en texto plano
en la base de informacin gestionada (MIB) por defecto?
Se tiene configurado VPN para usuarios de red remotos?
Toda configuracin va web impulsada por el router o
punto

S
I

N
O

N
/A

2
4
2
5
2
6
2
7
2
8

de acceso est desactivada?


La configuracin de puntos de acceso y routers
inalmbricos slo pueden realizarse a travs de acceso al
puerto
serial?
La
gestin
del trfico de puntos de acceso est en una
subred dedicada?
La configuracin SNMP en los puntos de acceso ha
sido configurada con los menores privilegios (slo lectura)?
Si no se utiliza SNMP2 se desactiva?
El punto de acceso gestiona el trfico protegido con
SNMPv3 o criptografa equivalente?
TOTAL
Tabla N 18: Checklist de Buena Prctica ADM001

Buena Prctica ADM002: Administracin de recursos humanos.


Objetivo: Verificar que los empleados tengan claro sus responsabilidades y
obligaciones sobre la red inalmbrica y poder reducir el riesgo de robo, fraude o
mal uso de los equipos inalmbricos, a su vez estn conscientes de amenazas e
inquietudes de la seguridad inalmbrica, y caso tengan que dejar el empleo
salgan de manera ordenada.
Actividades:
- Verificar que se hallan definido y documentado los roles y responsabilidades
de los empleados para la red inalmbrica.
- Comprobar que se halla firmado los trminos y condiciones de su contrato de
empleo, estableciendo sus roles y responsabilidades y las de la organizacin
concerniente a la red inalmbrica.
- Verificar la aplicacin de la seguridad inalmbrica por parte de los empleados.
- Comprobar la capacitacin de los empleados en polticas y procedimientos de
seguridad inalmbrica.
- Verificar el establecimiento de un procedimiento disciplinario formal para
empleados que han cometido una falta o violacin a la seguridad inalmbrica.
- Verificar la asignacin y definicin clara de las responsabilidades del
empleado al finalizar o cambiar el empleo ante la red inalmbrica.
- Verificar la devolucin de los equipos inalmbricos en posesin por parte de
los empleados al finalizar su empleo.
- Verificar el retiro de los derechos de acceso a la red inalmbrica a los
empleados al finalizar su empleo.

CHECK LIST

1
2
3

4
5
6

Buena Prctica ADM002: Administracin de recursos


humanos.
PREVIO A LA CONTRATACIN
ROLES Y RESPONSABILIDADES
Son definidos los roles y responsabilidades de los
empleados sobre la red inalmbrica?
Son documentados los roles y responsabilidades de los
empleados sobre la red inalmbrica?
Estos roles y responsabilidades de los empleados estn
de acuerdo a las necesidades de la organizacin?
TRMINOS Y CONDICIONES DE EMPLEO
Los empleados acuerdan y firman los trminos y
condiciones del contrato de empleo?
El contrato de empleo establece las responsabilidades
del empleado y las de la organizacin concerniente a la red
inalmbrica?
Se aclara, establece y firman acuerdos de confidencialidad
o no divulgacin aquellos que tendrn acceso a la red
inalmbrica?

S N
I O

N
/A

7
8
9

1
0
1
1
1
2
1
3
1
4
1
5
1
6
1
7
1
8

1
9
2
0
2
1

DURANTE EL EMPLEO
DURANTE EL EMPLEO
Se verifica y solicita que los empleados apliquen seguridad
inalmbrica de acuerdo con las polticas y procedimientos
de seguridad?
Todos los empleados son capacitados para el desempeo
de sus funciones sobre la WLAN?
Se motiva a los empleados para cumplir con polticas de
seguridad inalmbrica?
TOMA DE
EDUCACI
Y ENTRENAMIE
N
NTO
CONCIENCIA, SOBRE
SEGURIDAD
WLAN
Todos
los empleados
son capacitados regularmente en
concientizacin y actualizacin de polticas y procedimientos
de seguridad inalmbrica relevantes para su funcin?
Se realizan capacitaciones a los empleados de modo que
le permita reconocer problemas e incidentes en la red
inalmbrica?
PROCESO DISCIPLINARIO
Se sigue un proceso disciplinario formal para empleados
que han cometido una falta en la red inalmbrica?
Se inicia el proceso disciplinario despus de una previa
verificacin de que ah ocurrido una falta en la red
inalmbrica?
El proceso disciplinario asegura un tratamiento correcto y
justo para los empleados sospechosos?
En casos de mala conducta los procesos permiten el
retiro inmediato de sus derechos y obligaciones?
PERSONAL DE LIMPIEZA
El equipo de limpieza es restringido a la sala
de telecomunicaciones para evitar algn sabotaje?
Si el personal de limpieza debe tener acceso a la sala
de telecomunicaciones es acompaado por personal de la
misma rea?
Se permite el acceso a los visitantes a la sala
de telecomunicaciones sin aprobacin escrita?
FINALIZACIN O CAMBIOS DE EMPLEADO
FINALIZACIN DE RESPONSABILIDADES
Estn claramente definidas y asignadas las
responsabilidades para llevar a cabo la finalizacin o cambio
del empleo? DE RECURSOS
RETORNO
Todos los empleados devuelven todos los equipos
inalmbricos de la organizacin que estn a su cargo al
finalizar
sude
empleo?
En
caso
que los empleados compran o usan su propio
equipamiento se asegura que la informacin es transferida a
la organizacin?
ELIMINACIN DE DERECHOS DE ACCESO

2
2
2
3
2
4

Los derechos de acceso a la red inalmbrica son


retirados, anulados o se ajustan al finalizar su empleo?
Los derechos de acceso a la red inalmbrica e
instalaciones son reducidos o eliminados antes de terminar
o
cambiar
el empleo?
Se
cambian
todas las contraseas de cuentas que siguen
activas a la finalizacin o cambio de empleados?
TOTAL
Tabla N 19: Checklist de Buena Prctica ADM002

Buena Prctica ADM003:


operaciones inalmbricas.

Administracin

de

comunicaciones

Objetivo: Verificar la correcta y segura operacin de la red inalmbrica, para


mantener la integridad y disponibilidad de la informacin a los usuarios,
previniendo la divulgacin no autorizada, modificacin o interrupcin de las
comunicaciones y operaciones inalmbricas.
Actividades:
- Verificar el registro de todos los cambios a la red inalmbrica.
- Verificar la documentacin, mantenimiento y disponibilidad de procedimientos
de operacin inalmbrica a los usuarios.
- Verificar la asignacin y distribucin de roles y responsabilidades a los
usuarios, para reducir las oportunidades de modificacin no autorizada o no
intencional o mal uso de la red inalmbrica.
- Verificar la existencia de copias de respaldo de configuracin de los equipos
inalmbricos.
CHECK LIST

1
2

3
4

5
6
7
8

Buena Prctica ADM003: Administracin de


comunicaciones y operaciones inalmbricas.
PROCEDIMIENTOS Y
RESPONSABILIDADES
OPERACINALES
GESTIN DE CAMBIOS
Los cambios en la WLAN estn controlados?
Se establecen responsabilidades de gestin para
asegurar el control de manipulacin de equipos
inalmbricos?
DISTRIBUCIN DE OBLIGACIONES
Los roles y responsabilidades son asignados y
distribuidos para
reducir
las oportunidades de
modificaciones no autorizadas, no intencionales o mal uso
de lacontrola
red inalmbrica?
Se
que ninguna persona pueda acceder,
modificar o utilizar los recursos WLAN sin autorizacin o
sin ser detectado?
RESPALDO
RESPALDO DE INFORMACIN
Se hacen copias de respaldo de configuracin de
equipos inalmbricos y se pone a prueba?
Se realizan registros exactos y completos de las copias
de respaldo de equipos inalmbricos?
Presenta procedimientos documentados de restauracin
de copias de respaldo?
Las copias de respaldo de configuracin de equipos
inalmbricos se almacenan fuera del edificio o a una
distancia suficiente para evitar daos o desastre que
ocurra en la organizacin?
L
copi
d respal
d configuraci
d equip
as
as
e do
e n
e os

S
I

N
O

N
/A

1
0

inalmbricos se almacenan en un ambiente seguro y


vigilado?
Las copias de respaldo de configuracin de equipos
inalmbricos se eliminan de forma segura y sin riesgo
usando procedimientos cuando ya no son requeridos?
TOTAL
Tabla N 20: Checklist de Buena Prctica ADM003

Buena Prctica ADM004: Administracin de control de accesos


OBJETIVO: Verificar el acceso de usuarios autorizados y no autorizado a
la red inalmbrica.
ACTIVIDADES:
- Comprobar la existencia de polticas de control de acceso.
- Comprobar la existencia de procedimientos formales para el registro y
cancelacin de usuarios.
- Verificar la asignacin, uso y restriccin de privilegios a la red
inalmbrica.
- Comprobar la existencia de un proceso formal y documentado de
seguridad para la seleccin, asignacin, uso y control de contraseas.
- Comprobar el uso de buenas prcticas de seguridad,
- Verificar que las estaciones de trabajo desatendidas tengan proteccin
apropiada.

Herramientas:
HERRAMIENT
Recomendacion
es en relacin a
la gestin y
establecimiento
de contraseas.
MaxPassword

Password
Generator

Password
Strength
Analyser and
Generator

DISPONIBILID
ANEXO N 08

TIPO
Fsico

http://www.max2k.com
/

Softwar
e

http://gratis.portalprog
r
amas.com/Password
- Generator.html

Softwar
e

DESCRIPCIN
Recomendaciones
para el usuario, que le
van ayudar en la
seleccin
de
contraseas seguras.
Aplicacin disponible
para
el
usuario,
diseada para generar
passwords seguros al
azar.
Aplicacin
disponible
para
el
usuario,
permite
generar

contraseas aleatorias
muy seguras y muy
difciles de
romper
combinando
diferentes
Aplicacin disponible
para el auditor y
http://passwordusuario,
permite
strength-analysercomprobar
la
Softwar
andseguridad
de
las
e
generator.softonic.co
contraseas, si no
m
queda satisfecho, crear
/
nuevas
contraseas.
Tabla N 21: Herramientas de Buena
Prctica
ADM004

Checklist

1
2
3

4
5
6
7

8
9

1
0
1
1
1
2
1
3
1
4

Buena Prctica ADM004: Administracin de control de


accesos
CONTROL DE ACCESOS
POLTICAS
CONTR
D
ACCE
A L
R
OL
E
SO
A
E
DE
Se establece, documenta y revisa polticas de seguridadD
de control de acceso a la red inalmbrica?
Las reglas de control acceso a la red inalmbrica
consideran reglas aplicables y opcionales?
Las reglas de control de acceso a la red inalmbrica
son
apoyadas
por
procedimientos
formales
y
responsabilidades claramente definidas?
GESTIN DE ACCESOS A
USUARIOS A LA RED
INALMBRICAS
REGISTRO DE USUARIOS
A LA RED INALMBRICA
Existe un procedimiento formal para registrar y suprimir el
acceso de usuarios a la red inalmbrica?
Se comprueba que el nivel de acceso a la red inalmbrica
concedido es apropiado y acorde con el cargo que tiene el
empleado en la organizacin?
Se proporciona a los usuarios una declaracin escrita de
sus derechos de acceso a la red inalmbrica?
Se remueve o bloquea inmediatamente los derechos de
acceso a la red inalmbrica de usuarios que han cambiado
roles o trabajos, o dejan la organizacin?
REVISIN DE DERECHOS DE ACCESO DE
SeUSUARIOS
revisa los derechos de acceso a la red inalmbrica
de usuarios en intervalos regulares usando un proceso
formal?
Las
asignaciones de privilegios a la red inalmbrica son
comprobadas al momento de iniciar su primera sesin y a
intervalos regulares para asegurar que los privilegios no
autorizados no son obtenidos?
RESPONSABILIDADES DE LOS
USO DEUSUARIOS
CONTRASEAS
Se exige a los usuarios que sigan buenas prcticas de
seguridad en la seleccin y empleo de contraseas?
Cuando el usuario tiene acceso a mltiples servicios o
sistemas y tiene una sola contrasea de calidad se
asegura el nivel de proteccin?
Se cambia las contraseas en intervalos regulares de
tiempo y se asegura de no reutilizar las contraseas?
EQUIPOS DE USUARIOS DESATENDIDOS
Los usuarios aseguran que el equipamiento desatendido
tiene la proteccin apropiada?
Se aconseja a los usuarios a finalizar su sesin activa
cuando

S
I

N
O

N
/A

1
5
1
6

4.1.2.3.

han terminado de usar el servicio y hacer uso de una


contrasea o llave para bloquearlo?
La informacin sensible o crtica est protegida cuando el
computador est desocupado?
Los computadores y terminales estn apagados o
protegidos mediante mecanismos de cierre de pantallas y
bloqueo de teclado?
TOTAL
Tabla N 22: Checklist de Buena Prctica ADM004
Dominio: Seguridad

Buena Prctica SEG001: Poltica de seguridad de las TICs.


Objetivo: Verificar el apoyo y direccin de las polticas de seguridad en la red
inalmbrica de acuerdo a los requisitos de la organizacin.
Actividades:
- Verificar la existencia de un documento de poltica de seguridad en la red
inalmbrica.
- Verificar que se haya comunicado las polticas de seguridad a los usuarios
de la red inalmbrica.
- Verificar que se revise y actualice las polticas de seguridad en la red
inalmbrica en intervalos planificados o cuando exista cambios significativos
para asegurar su continuidad, actualizacin adecuada y eficacia.

Herramientas:
HERRAMIEN
Recomendacion
es para la
concientizacin
en seguridad
deinformacin

DISPONIBILI

TIPO

DESCRIPCI
Formato disponible
para
el
usuario, es una
gua
Anexo N 09
FISICO
de
para la seguridad en
la inalmbrica.
red
Tabla N 23: Herramientas de Buena Prctica SEG001

Checklist:

Buena Prctica SEG001: Poltica de seguridad de la TICs


1
2

DOCUMENTOS DE POLTICA DE SEGURIDAD


DE LAS TICS
Presenta
polticas de seguridad para la red inalmbrica?
Se han implementado dichas polticas de seguridad para
la red inalmbrica?

S
I

N
O

N
/A

3
4
5
6
7
8
9
1
0
1
1
1
2
1
3
1
4
1
5
1
6
1
7

1
8
1
9
2
0

La Poltica de Seguridad sobre la red inalmbrica es


aprobada por la direccin, publicada y comunicada?
Se puntualiza dentro de la organizacin los objetivos,
alcance e importancia de la seguridad en la red
inalmbrica?
Se asignan roles y responsabilidades para cada una de
las actividades de las polticas de seguridad?
Se monitorea la correcta ejecucin de las polticas de
seguridad?
Se asegura que las polticas de seguridad son
accesibles, correctas, entendidos y actualizados?
Las polticas de seguridad estn estandarizadas e
integradas
para permitir una administracin y mejora?
Se asegura de que las polticas de seguridad se
implementan y comunican a todo el personal relevante?
Se lleva un control del porcentaje del personal que
entiende las polticas de seguridad?
Se lleva un control del porcentaje del personal que
cumple con las polticas de seguridad?
Las polticas de seguridad incluyen el monitoreo,
deteccin y reporte de las vulnerabilidades e incidentes de
seguridad?
Tiene el propsito de apoyar a los
objetivos y principios de seguridad en la
red inalmbrica de acuerdo con la
estrategia del negocio y los objetivos de
la empresa?
Incluye
controles de seguridad para la red
inalmbrica?
El
Presenta una breve explicacin de los
documento
principios, normas y el cumplimiento de
de
Poltica requisitos de importancia?
de seguridad Define responsabilidades generales y
en
la red especificas de seguridad en la red
inalmbrica
inalmbrica para el reporte de incidentes
de seguridad?
Presenta documentos de referencia
adicionales que apoyan al documento de
poltica de seguridad en la red
REVISIN DE inalmbrica?
LAS POLTICAS DE SEGURIDAD
EN LAS un
TICs
Existe
responsable encargado de realizar el
mantenimiento y revisin del documento de poltica de
seguridad en la red inalmbrica?
Se programan revisiones peridicas del documento de
poltica de seguridad en la red inalmbrica?
La direccin conserva un registro de las revisiones
hechas al documento de poltica de seguridad en la red
inalmbrica?
TOTAL
Tabla N 24: Checklist de Buena Prctica SEG001

Buena Prctica SEG002: Organizacin de la seguridad


inalmbrica. Objetivo: Verificar la gestin de seguridad inalmbrica dentro de
la organizacin.
Actividades:
- Verificar la coordinacin de las actividades de seguridad inalmbrica.
- Verificar la definicin clara de todas las responsabilidades de la seguridad
inalmbrica.
- Verificar la identificacin y revisin de los acuerdos de confidencialidad o no
divulgacin para la proteccin de la informacin en la WLAN.
- Verificar la identificacin de riesgos en la red inalmbrica.
- Verificar los requisitos de seguridad inalmbrica identificados, antes de dar
acceso a la informacin y a recursos de la organizacin.
- Verificar la gestin de todos los acuerdos con los empleados que involucran
acceso, proceso, comunicacin o gestin de la informacin de la organizacin
mediante la WLAN.
Buena Prctica SEG003: Implementacin de la seguridad inalmbrica
Objetivo: Verificar el acceso fsico y lgico no autorizado, daos e interferencias
a los dispositivos inalmbricos de la organizacin, a su vez la prdida, dao,
robo o compromiso de los mismos.
Actividades:
- Verificar el permetro de seguridad WLAN, comprobando que la seal no es
alcanzada fuera de la organizacin.
- Verificar que existan controles fsicos de entrada
- Verificar la proteccin y ubicacin de los dispositivos inalmbricos en una
zona segura
- Verificar el control de acceso y habilidad para interceptar o interferir con la
comunicacin inalmbrica.
- Verificar que no existan interferencias con otros dispositivos inalmbricos.
- Verificar la posibilidad de capturar y obtener informacin desde los
dispositivos inalmbricos.
- Verificar el cifrado en uso.
- Verificar que protocolos de autenticacin utiliza la red inalmbrica.
- Verificar que protocolos de encriptacin utiliza a red inalmbrica.
- Verificar
que
tipos de
proteccin
utiliza la red
inalmbrica.

Herramientas:
HERRAMIEN
TA

Backtrack

Insider

DISPONIBILIDA
D
http://www.re moteexploit.org/Ba
ckTrack/

http://inssider.
softonic.com/
descargar

Herramienta
completa de
clculo de
prdida de
seal WIFI

http://www.pa
ramowifix.net
/antenas/calc
uloenlacewla n.html

Xirrus
Wifi
Inspect

http://xirrus- wi-fi-

TIPO

Softw
are

Softw
are

Softw
are
Softw
are

inspector.soft
onic.com/

DESCRIPCIN
Herramienta que le permite al auditor
realizar pruebas de penetracin y
seguridad, permitiendo
descubrir
vulnerabilidades.
Es una herramienta que permite al
auditor monitorizar la calidad de la
seal de redes inalmbricas, y
controlar de un modo grfico la
intensidad de la seal.
Clculo de prdida de potencia,
propagacin, recepcin, en espacio
abierto a 2.45Ghz, propagacin
difraccin
Funcin

de
localizacin
con sonidos. Grfico con
historial de
potencia de la seal. Exportacin de
redes a archivos CSV. Atajos a
pruebas de calidad de la conexin

Calcula
prdida de
seal y
potencia

http://hwagm.
elhacker.net/c
alculo/calcula
ralcance.htm

Softw
are

Herramienta que le permite al auditor


realizar un clculo de la prdida de
seal y potencia.

Datos de
prdidas
de seal

http://camyna
.com/2006/05/
31/prdida- de-senalwifi/

Softw
are

Herramienta que le permite al auditor


realizar un clculo de la prdida de
seal y potencia.

Softw
are

El Wireshark WPA pre compartida Key


Generator es una herramienta til
para el usuario, ofrece una manera
fcil de convertir una frase de
contrasea WPA y SSID a la de 256bit pre- compartida ("raw") clave que
se utiliza para la derivacin de claves

WPA PSK
(Raw
Key) Generator

http://www.wi
reshark.org/to
ols/wpa- psk.html

Tabla N 26: Cuadro de herramientas de Buena Prctica SEG003


Buena Prctica SEG004: Gestin de incidentes de seguridad inalmbrica.
Objetivo: Verificar que sean comunicados de manera que permita tomar una
accin correctiva oportuna a los eventos y debilidades de seguridad inalmbrica.

Actividades:
- Verificar la existencia de informes de eventos de seguridad inalmbrica a
travs de canales de gestin apropiados lo ms rpido posible.
- Verificar que los empleados anoten y reporten cualquier debilidad de
seguridad inalmbrica observada o sospechada.
- Verificar la existencia de responsabilidades y procedimientos para asegurar
una respuesta rpida, eficiente, y ordenada a los incidentes de seguridad
inalmbrica.
- Verificar la recoleccin, retencin y presentacin de evidencia cuando se ha
dado una accin de seguimiento contra un empleado despus de un incidente
de seguridad inalmbrica.
Checklist

1
2
3

4
5
6
7
8

Buena Prctica SEG004: Gestin de incidentes de


S N
seguridad de la informacin en la WLAN
I O
REPORTE DE EVENTOS DE
SEGURIDAD DE LA INFORMACIN
Los eventos de seguridad inalmbrica son reportados tan
pronto es posible?
Los empleados son conscientes y reportan los eventos
de seguridad inalmbrica?
Se tiene establecido un encargado a quien se reporte los
eventos de seguridad inalmbrica?
INFORME DE DEBILIDADES DE SEGURIDAD
INALMBRICAS
Los empleados saben identificar y comunicar cualquier
debilidad de seguridad inalmbrica observada o sospechada
en la organizacin?
El mecanismo de reporte es fcil, accesible y est
disponible?
Se advierte a los empleados que ser responsabilidad
legal para quien realice pruebas a fin de demostrar la
existencia de debilidades de seguridad inalmbrica?
Se prohbe la realizacin de pruebas a fin de demostrar
la existencia de debilidades de seguridad inalmbrica?
Se hace un seguimiento a un empleado recolectando y
presentando evidencia despus de un incidente de
seguridad inalmbrica.
TOTAL
Tabla N 28: Checklist de Buena Prctica SEG004

N
/

4.2. Caso de aplicacin Gran Hotel Cusco


4.2.1.EJECUCIN. Comunicacin de hallazgos. Borrador de informe.
Se ejecut en el periodo quincena Noviembre 201 5 finales Noviembre
2015, con el respaldo del personal del hotel, el Ing. Miguel Casusol
Gerente de sistemas de la organizacin. Se realizaron entrevistas con
diferentes objetivos cada una, en la primera y segunda fue un bosquejo
general de la situacin actual del hotel, haciendo preguntas abiertas en las
que el gerente de sistemas explicaba como inicio la implementacin de la
red inalmbrica, su migracin y crecimiento, los inconvenientes que tuvo en
el transcurso de la implementacin. Sin dejar de lado habl de los
equipos de comunicacin con los que inici la red inalmbrica, su
crecimiento a los equipos que actualmente cuentan y la ubicacin de los
mismos.
En las entrevistas siguientes se aplicaron las buenas prcticas, se dividi en
tres partes, diseo, administracin y seguridad, en cada parte se utiliz
aproximado de 1 a mximo 2 das en aplicacin por mdulo, en esos dos
das se desarrollaban las actividades de cada mdulo Diseo,
Administracin y Seguridad, se aplicaban los checklist y herramientas de
monitoreo de red en caso sea necesario.
Respecto al dominio diseo se verific los planes, normas, fuentes de
diseo, implementacin, se examin la ubicacin,
temperatura,
infraestructura, lmites de seal de la red y equipos de telecomunicacin del
Gran Hotel Cusco.
Respecto al dominio administracin se verific, comprob, analiz y
examin la continuidad de las operaciones constantes basadas en la
administracin de los recursos informticos, humanos, de comunicaciones y
operaciones y los controles de accesos en la WLAN.
Respecto al dominio de seguridad se verific las operaciones, transacciones
de informacin constante de la WLAN, asimismo se examin que existan
controles, procedimientos y polticas de seguridad que permitan monitorear
las operaciones, transacciones de informacin constante de la WLAN.
Al finalizar el desarrollo de la auditora se presenta el resultado que fueron
04 hallazgos, los cuales son falta de seguridad en la seal inalmbrica del
hotel, contraseas de los equipos de comunicacin no son cambiadas
peridicamente y no son almacenadas en lugar seguro, puntos de acceso
no adecuados para la red inalmbrica y el limitado ancho de banda; de los
cuales se detalla su titulo del hallazgo, condicin, criterio, causa, efecto y
recomendacin (ANEXO N03).

4.3. Informe: Emisin del informe


El caso de aplicacin fue realizado en el periodo quincena Noviembre 2015
finales Noviembre 2015 en el Gran Hotel Cusco, con el respaldo del personal del
hotel, el Ing. Miguel Casusol Gerente de sistemas de la organizacin.
En la presente auditora se realizaron cuatro etapas, la 1ra Etapa de planificacin
general basada en NAGU 2.10, la 2da Etapa de planeamiento de la auditora
basada en NAGU 2.20, la 3ra Etapa de ejecucin y la 4ta Etapa de contenido del
informe basada en NAGU 4.40
Al principio como primer punto se realiz la planificacin general (Anexo n01),
luego se identific objetivos, alcance y metodologa a utilizar.
Como segundo punto el planeamiento de la auditora (Anexo n02), donde se
identific los objetivos del examen, alcance del examen, descripciones de las
actividades de la entidad, informes a emitir y fecha de entrega, personal nombre,
funcionarios de la entidad a examinar, presupuesto de tiempo y papeles de
trabajo.
Como tercer punto tenemos a la ejecucin de la auditora (Anexo n03), donde se
identificaron los hallazgos, comunicacin de los mismos con su respectiva
condicin, criterio, causa y efecto.
Para luego pasar al 4to y ltimo punto que es el informe (Anexo n03), identificando
origen del examen, naturaleza y objetivos del examen, alcance del examen,
antecedentes, base legal de la entidad, comunicacin de hallazgos, observaciones,
conclusiones (observaciones), recomendaciones (Conclusiones), ANEXOS y Firma.
V.

DISCUSION

Las soluciones de una red inalmbrica otorgan una serie de beneficios y


posibilidades hoy en da. Estas deben ser bien conocidas por las empresas para
identificar con suficiente anticipacin las oportunidades que les brindan, tanto para
crear productos mejores, ms competitivos y de mayor valor, como para explorar
nuevas rutas de gestin en los negocios, para que sean competitivos en costes,
ms innovadores o se adapten mejor a las nuevas condiciones del entorno o del
mercado. La conectividad, la localizacin o la identificacin a distancia son las
funciones bsicas que los sistemas inalmbricos brindan.
Sin embargo, a todas estas bondades tambin aparecen problemas como es el de
diseo, administracin y seguridad en la red inalmbrica, los cuales son elementos
que han sido inconveniente para que en la actualidad grandes empresas tengan
problemas con el uso de esta tecnologa, y a su vez materia de investigacion en la
presente tesis.

En este captulo se har un anlisis de los resultados de la aplicacin de las


buenas prcticas para auditar redes inalmbricas, en Gran Hotel Cusco. El anlisis
estar enfocado a evaluar los indicadores planteados en el captulo III. Estos
indicadores son:
o Tiempo de auditora a la red inalmbrica del hotel.
o Nmero de metodologas, manuales y/o buenas prcticas aplicadas
para auditar redes inalmbricas.
o Nmero de herramientas aplicadas para auditar la red inalmbrica.
o Nivel de experiencia del personal en auditora de redes inalmbricas.
5.1 Casos analizados
En el presente trabajo de investigacin se obtuvo una gua de buenas prcticas que
incluyen los dominios de diseo, administracin y seguridad, una solucin segura
para la red inalmbrica, en base buenas prcticas con sus respectivas actividades o
tareas a desarrollar acompaado de herramientas de auditora, un cuestionario y un
checklist de forma que se podr as desarrollar una auditora Wlan, basndome en
marcos, metodologas y buenas prcticas adicionales como Information Networks
Planning and Design (INPD), Osstmm Wireless 2.9, Metodologa Para Administrar
Redes, Instituto Superior Aeronutico, ISO 27002, COBIT 4.1, RED M, LVD
Centro seguridad fsica. Tras revisar los siguientes casos se obtuvo que:
CASO N 01: Wi-Fi RF AUDIT
Wi-Fi RF AUDIT se centra slo en responder a los problemas de acceso
del usuario, rendimiento y servicio, tratar con los problemas de seguridad,
planificacin para el crecimiento, integracin de nuevas tecnologas,
comprobacin de una red nueva o existente y establecer una lnea de base
de diseo para la instalacin de nuevas redes Wi-Fi no ayudando en
mucho al desarrollo de las buenas prcticas y limitndose slo a la parte de
administracin WLAN.
En base que las buenas prcticas desarrolladas tienen un campo ms
amplio, y para complementar las mismas, se recurri de marcos
adicionales.
CASO N 02: Plan de cinco pasos para la seguridad del Enterprise WLAN
Plan de cinco pasos para la seguridad del enterprise WLAN se centra slo
en disear una infraestructura para garantizar la seguridad e integridad de
una WLAN en cinco pasos esenciales, que consisti en la salvaguardia de
los clientes inalmbricos, control de conexiones Wi-Fi, auditora de la
actividad inalmbrica y la aplicacin y cumplimiento de las polticas
inalmbricas no ayudando en mucho al desarrollo de las buenas prcticas y
limitndose slo a la parte de seguridad WLAN.

En base que las buenas prcticas desarrolladas tienen un campo ms


amplio, y para complementar las mismas, se recurri de marcos
adicionales.
CASO N 03: Wi-Fi Wireless LAN de Auditora de Seguridad.
Wi-Fi Wireless LAN de auditora de seguridad se centra slo en garantizar
la seguridad WLAN, que consisti en la revisin de cuentas de seguridad
Wi-Fi conteniendo una variedad de pruebas, encontrando debilidades en
sus puntos de acceso haciendo uso de las ltimas herramientas de gestin
de WLAN para averiguar si la WLAN est transmitiendo fuera de las
paredes de la organizacin de manera incontrolada e insegura, conocidas
como redes de los puntos de acceso deshonestos (Networks Rogue) no
ayudando en mucho al desarrollo de las buenas prcticas y limitndose
slo a la parte de Seguridad WLAN.
En base que las buenas prcticas desarrolladas tienen un campo ms
amplio, y para complementar las mismas, se recurri de marcos
adicionales.
CASO N 04: Audit Briefing
Audit Briefing se centra slo en auditora de informacin, dicha informacin
reunida tena por objetivo proporcionar el conocimiento de problemas de
seguridad de los clientes, que se deben tener en cuenta en la planificacin
para su uso no ayudando en mucho al desarrollo de las buenas prcticas.
En base que las buenas prcticas desarrolladas tienen un campo ms
amplio, y para complementar las mismas, se recurri de marcos
adicionales.
CASO N 05: OSSTMM Wireless 2.9
OSSTMM Wireless 2.9 se centra slo en mtodo aceptado para la
realizacin de pruebas de seguridad completa, siendo un conjunto de
reglas y normas. Este manual es un estndar profesional que consiste en
pruebas de seguridad aplicadas a cualquier medio de afuera hacia adentro,
incluyendo reglas de contrato, la tica para el probador profesional, las
legalidades de la seguridad de pruebas, y un conjunto de test de seguridad;
las pruebas de seguridad externas van de un ambiente no privilegiado a
uno privilegiado, para evitar/vulnerar los componentes de seguridad,
procesos, y alarmas para ganar acceso privilegiado ayudando y
aportando un gran porcentaje al desarrollo de las buenas prcticas,
abarcando la parte de Seguridad WLAN.
En base que las buenas prcticas desarrolladas tienen un campo ms
amplio, y para complementar las mismas, se recurri de marcos
adicionales.

5.2 Anlisis comparativo (indicadores)

En la Tabla N 30 y N 31 se puede observar un resumen, caso por caso


de los dominios de las buenas prcticas.
CA
SO
1
2
3
4
5
Tot

CASO
Buenas
Prcticas
Total

CASO
Persona
l del
Hotel
Buenas
Prctica
s

Sin Buenas Prcticas


Tot
Dise
Administrac Seguri
al
X
X
1

X
X
1

X
X
1

X
X
X
0
X
X
1

4
0
2
2
Tabla N 30. Resumen comparativo de los casos
Con Buenas Prcticas
Total
Dise
Administraci
Segurid
3

1
1
1
3
Tabla N 31. Resumen comparativo de Buenas Prcticas

Tipo de
Auditoria
Auditoria a
la red
inalmbrica
.

Aplicacin de
Auditoria
Auditora a la red
inalmbrica del
Gran Hotel Cusco

Tiemp
o
3
semana
s

Reducci
n de
Tiempo
0

Buenas prcticas
Auditoria a
para auditar la red
2
la red
1
inalmbrica del
semana
SEMANA
inalmbrica
Gran Hotel Cusco
s
.
Tabla N 32. Resumen comparativo de reduccin de tiempo entre
Auditoria del personal del hotel y Buenas
Prcticas.

Respecto al indicador tiempo de desarrollo de auditora, actualmente una


auditora WLAN variar de 3 a ms semanas, aplicando las buenas prcticas esto se
puede reducir a 2 semanas, como fue el caso de aplicacin del Gran Hotel
Cusco.
Respecto al indicador nmero de metodologas, manuales y/o buenas prcticas
aplicadas para auditar redes inalmbricas, el 10% de empresas hoteleras de
Cusco que presentan WLAN utilizan alguna buena prctica, y ya con el
desarrollo de las buenas prcticas las empresas estn interesadas en utilizarlas,

teniendo como objetivo aumentar a un 70% - 80% de empresas hoteleras en


utilizar buenas prcticas.
Respecto al indicador nmero de herramientas aplicadas para auditar la red
inalmbrica, en la actualidad slo el 20% de hoteles que son el Gran Hotel
Cusco y Costa del Sol son los nicos que utilizan herramientas para el
monitoreo de la WLAN, y ante el desarrollo de las buenas prcticas los hoteles
crecer la necesidad de la utilizacin de las mismas para administrarlas, Diseo y
Seguridad WLAN.
Respecto al indicador nivel de experiencia del auditor, en base al estudio realizado
a los 5 hoteles de la regin, actualmente el nivel de experiencia es alto, porque
realizan auditoras habituales, y el propsito de la tesis es que las empresas
realicen auditoras frecuentes respaldandose en las buenas prcticas desarrolladas.
Por lo tanto en base a esto se logr facilitar el trabajo a los auditores, apoyar la
labor de la auditora y reducir el tiempo de la misma.
VI.

PROPUESTA

Para llegar al producto final de la investigacin, la cual engloba mi propuesta


para El Gran Hotel Cusco (Caso de estudio para aplicacin real) se sigui una
serie de etapas.
Inicialmente se encuest a cinco empresas hoteleras, en las cules se pudo
hacer la aplicacin de una encuesta y entrevista, para saber la situacin de la
red inalmbrica, periodo de auditoras y si se basaron en buenas prcticas, y as
como tambin de informacin de nuestro inters para la elaboracin de la gua
de buenas prcticas para auditar redes inalmbricas.
Se realiz la revisin de las metodologas, normas y buenas prcticas nacionales
e internaciones para auditar WLANs que son utilizadas en la actualidad.
De acuerdo a los conceptos ya mencionados de las metodologas, estndares y
normas nacionales e internacionales, las buenas prcticas propuestas, se
proponen dominios como dominios de diseo, administracin y seguridad de la
red inalmbrica, que evalan de forma completa cada uno de ellos. Para cada
dominio se determinaron buenas prcticas, proponiendo para cada una su
objetivo o propsito de la buena prctica, actividades o tareas a desarrollar,
apoyadas de herramientas de software y fsicas, cuestionarios y checklist,
teniendo como resultado la propuesta siguiente:
En la parte del dominio diseo se propone 5 buenas prcticas, cada una con su
respectivo checklist, incluidos herramientas de apoyo, con un total de 11
herramientas.
Dominio Diseo

Checklis

Herramientas

Buena Prctica Dis001: Anlisis de la


empresa

Formato De Anlisis De La
Empresa

Buena Prctica Dis002: Anlisis


tecnolgico de la empresa.

MSIA 5.1 Analizador de


Inventario de Software
Total Network Inventory
2.0.1
Inventario de dispositivos
inalmbricos
Inventario de estaciones.

Buena Prctica DIS003: Diseo fsico


de la red

AirWave VisualRF Report


Network Event Viewer
AirWave Wireless Site Plan
Secure Shell
Administracin Remota
EMCO
Comandos Ping y
Traceroute

Buena Prctica DIS004: Diseo lgico de


la red

Buena Prctica DIS005: Planes de


implementacin

Tabla N 33. Dominio Diseo y Buenas Prcticas.


En la parte del dominio administracin se propone 4 buenas prcticas, cada una
con su respectivo Checklist, incluidos herramientas de apoyo, con un total de 9
herramientas.
Dominio Administracin

Checklis

Buena Prctica ADM001:


Administracin de recursos
informticos

Buena Prctica ADM002: Administracin


de recursos humanos

Buena Prctica ADM003: Administracin


de comunicaciones y operaciones
inalmbricas

Herramientas
Network Event Viewer
MSIA 5.1 Analizador de
Inventario de Software
Total Network Inventory
2.0.1
Inventario de dispositivos
inalmbricos
Inventario de estaciones de
trabajo.

Recomendaciones en
relacin a la gestin y
establecimiento de
contraseas
MaxPassword
Password Generator
Password Strength Analyser
and Generator

Buena Prctica ADM004: Administracin


de control de accesos

Tabla N 34. Dominio Administracin y Buenas Prcticas.

En la parte del dominio seguridad se propone 4 buenas prcticas, cada una con
su respectivo checklist, incluidos herramientas de apoyo, con un total de 4
herramientas.
Dominio Seguridad

Checkli

Buena Prctica SEG001: Poltica


de seguridad de las TICs

Buena Prctica SEG002:


Organizacin de la
seguridad inalmbrica

Buena Prctica SEG003:


Implementacin de la seguridad
Inalmbrica

Buena Prctica SEG004: Gestin


de incidentes de seguridad
inalmbrica
Tabla N 35.

Herramientas
Recomendaciones Para
La Concientizacin En
Seguridad De Informacin

BackTrack
InSSIDER
Xirrus Wifi Inspector

Dominio Seguridad y Buenas Prcticas.

Por lo tanto mi tesis desarroll tres dominios: Dominio diseo, dominio


administracin y dominio seguridad, en total 13 buenas prcticas, habiendo
revisado un nmero de 11 marcos entre Metodologas, guas, frameworks, etc.
proponiendo adems 20 herramientas para apoyar la ejecucin de los procesos de
auditora de una red inalmbrica en las empresas del rubro hotelero.
Para el caso real de aplicacin se realizaron visitas a el Gran Hotel Cusco,
entrevistando al gerente de sistemas, y aplicando los checklist, herramientas de
apoyo, como InSSIDer, Xirrus Wi-Fi Monitor y Backtrack para monitorear los
canales, SSID, tipo de red, tipo de seguridad, inspeccionando la infraestructura de
red, hardware y software en general. Asimismo, se realiz la aplicacin de cada
mdulo por da aplicando el checklist y herramientas de apoyo, y al finalizar la
aplicacin de los tres mdulos se paso al procesamiento de informacin y
elaboracin de informe preliminar, la cual present cuatro hallazgos, y en cada uno
se detallan las normas trasgredidas, efecto, causa, y recomendaciones o acciones
a tomar, para ms detalle revisar Anexo 03 Informe de Auditora.
Como resultado del caso real de aplicacin de las buenas prcticas se
determinaron 04 hallazgos, las cuales se centran en el SSID irradiado presentaba
informacin del hotel, bajo nmero de conexiones soportadas por los puntos de
acceso, saturacin de canales de emisin, bajo ancho de banda e incompatibilidad
de equipos de telecomunicacin.
La auditora result favorable con salvedades, porque parte de las situaciones
encontradas transgredieron las normas aqu utilizadas. Adems el gerente de
sistemas mantiene actualizada el inventario de los equipos de comunicacin,
mantiene la cobertura de la red en un 70% del hotel, mantiene un ambiente
adecuado para los equipos de comunicacin, presenta planes de contingencia, se
realizan copias de seguridad de los equipos de comunicacin, mantiene polticas de
seguridad para los equipos de comunicacin, monitorea frecuentemente la red
inalmbrica para detectar as intrusos y canales que estn interfiriendo con los de

los puntos de acceso en funcionamiento. Por parte del personal estn definidos
los roles y responsabilidades para cada uno de ellos, recibiendo capacitacin
constante en seguridad inalmbrica, y verificando que apliquen esta. Respecto a la
seguridad los controles de acceso estn monitoreados, asignando roles y
responsabilidades para cada actividad, proporcionando recursos necesarias para la
seguridad inalmbrica, y ante un problema de seguridad, es reportado tan pronto
sea posible mediante mecanismos fciles, accesibles y fcil de usar.
Finalmente, con la gua propuesta de buenas prcticas para auditar la red
inalmbrica, los auditores podrn realizar auditoras sin problema alguno,
basndose en los dominios propuestos, desarrollando cada buena prctica,
realizando las actividades de cada una de estas, aplicando las herramientas de
apoyo, y desarrollando el checklist, para asi finalmente poder detectar problemas,
deficiencias y debilidades de la WLAN.

VII.

CONCLUSIONES

Las conclusiones presentadas en este apartado se basan en las teoras formuladas


en la discusin de esta investigacin, las cuales al concretarse enmarcaran la
solucin de los problemas descritos en los resultados de esta investigacin,
logrando por tanto mejorar la auditora WLAN. Por tanto se concluye que la gua
propuesta de buenas prcticas para auditar redes inalmbricas permitir:

Al realizar un estudio de las empresas del rubro hotelero de la ciudad de Cusco, se


pudo aplicar las buenas prcticas al hotel en estudio, logrando hacer un anlisis
de las redes inalmbricas actuales, encontrando una sobre posicin de canales
en un 36% y en el mismo canal un 15% de los canales en el espectro de
emisin e insuficiente ancho de banda, en la cual dieron sugerencias y
controles que permitieron reducirla a un 10% cada una de ellas permitiendo
mejorar la disponibilidad, confiabilidad e integridad de la informacin, facilitando
que las personas vuelvan a seguir con sus actividades.

Cotejando las metodologas, manuales y buenas prcticas nacionales e


internacionales, tales como; ISO 27001, ISO 27002, NAGU, Metodologa para
Administrar Redes, Seguridad en Redes Inalmbricas, Consultora estratgica
inalmbrica y OSSTMM 2.9 WIRELESS, se pudo identificar 8 buenas prcticas
en promedio, logrando desarrollar 5 nuevas prcticas para as obtener
finalmente 13 buenas prcticas agrupadas en tres dominios: Diseo,
administracin y seguridad, haciendo posible aplicar y lograr mayor
eficiencia y eficacia en el proceso de auditora a las redes inalmbricas en el
rubro hotelero.

Las herramientas estuvieron hay, pero al momento de complementarlas dieron


resultados que sirvieron del uno para el otro, y poder seguir avanzando en las
mejoras que se dieron como monitoreo de canales, tipo de encriptacin y
nombre del SSID, detallando as en cada buena prctica herramientas como
InSSIDER, Xirrus Wi-Fi Monitor, formatos y checklist ayudando al auditor en la
ejecucin de la auditora a la red inalmbrica.

Con el desarrollo de las buenas prcticas se pudo mejorar el proceso de auditora a


la red inalmbrica, facilitando y apoyando la labor del auditor con experiencia y
sin las herramientas necesarias para el desarrollo de auditoras a redes
inalmbricas, adems de reducir el tiempo de ejecucin de una auditora que
bajo de 3 a 2 semanas, logrando una importante disminucin de tiempo y por
ende en consecuencia de dinero y personal.

Con el desarrollo de las buenas prcticas para auditar redes inalmbricas se


aplic a una entidad hotelera de la ciudad de Cusco, siendo el resultado
favorable con salvedades, recomendando mejoras en su red inalmbrica.
Finalmente el cumplimiento de las conclusiones enunciadas como beneficios que
superan los problemas descritos en esta investigacin permiti establecer la
siguiente conclusin general: logra facilitar la labor del auditor con experiencia en
el desarrollo de auditoras a redes inalmbricas en el rubro hotelero y optimizar
ampliamente el tiempo en el desarrollo de una auditora WLAN en el rubro hotelero.

VIII.

REFERENCIAS BIBLIOGRFICAS

(Arteaga
2009)

Arteaga, M. 2009. Metodologas de control interno, seguridad y


auditora informtica. Articulo. Colombia

(Red M
2002)

Red M 2002. Wi-Fi RF Audit. . http://www.red-m.com/wpcontent/uploads/2009/10/Wi-Fi_RF_Audit1.pdf (ltimo acceso: 29 de


Marzo de 2009).

(CORE
2006)

(Cypress
2008)

(AuditNet
2005)

Core Competence Inc. 2006. Plan de cinco pasos para la seguridad


del Enterprise WLAN.
http://fiercemarkets.tradepub.com/free/w_ai05/pf/w_ai05.pdf (ltimo
acceso: 2 de Julio de 2009).
Cypress Solution. 2008. Wi-Fi Wireless LAN de Auditora de
Seguridad. http://www.cypress-india.com/case-study/Wi- Fi
%20Wireless%20LAN%20Security%20Audit.pdf (ltimo acceso: 28
de Octubre de 2009).
AuditNet. 2005. Audit Briefing.
www.auditnet.org/docs/WLANAuditBriefing.doc (ltimo acceso: 04 de
Abril de 2009).

Herzog 2003)

ISECOM, y Peter Herzog. 2003. OSSTMM Wireless 2.9.


http://isecom.securenetltd.com/osstmm.en.2.9.wireless.pdf (ltimo
acceso: 02 de Marzo de 2009).

(Oliver y
Escudero
1999)

Miquel Oliver y IEEE. 1999. Redes de rea local inalmbricas


segn el estndar IEEE 802.11. Catalua: BURAN.

(ISECOM y

(34
TELECOM
2005)

34TELECOM. 2005. Normalizacin IEEE para WLAN.


http://www.34t.com/box-docs.asp?doc=639 (ltimo acceso: 23 de
Febrero de 2009).

(Cisco 2009)

Cisco. 2009. CCNA 1 and CCNA2 - Wireless LANs V1.2. CUSCO:


USS Inc.

(Briones y
Geannina
2005)

Briones, A., y J. Geannina. 2005. Seguridad en redes


inalmbricas. TESIS. Guayaquil - Ecuador: Escuela Superior
Politcnica Del Litoral.

(Panda 2005)

PANDA,
SOFTWAR

E. 2005. Seguridad en redes inalmbricas. Unites States of


America: Panda Software International S.L.,

(IT

Amrica: Suite.

IT
Governance
Institute.
2007. Cobit
4.1. Estados
Unidos de
Governance
Institute
2007)

Philip L. Defliese y AICPA.1997. Auditora Montgomery. Mxico:


Limusa.
Contralora General de la Republica del Per. 2005. Normas
Generales de Auditora Gubernamentales. Per.
Echenique, J. A. 2001. Auditora en Informtica. MADRID: KARMA.

(Defliese y
AICPA 1997)

Contralora General de la Repblica. 1998. Manual De Auditora


Gubernamental MAGU. Per.

(CGRP 2005)

ISO/IEC 27001. 2005. Tecnologa de la Informacin Tcnicas de


Seguridad Sistema de Gestin de Seguridad Requerimientos.

(Echenique
2001)
(CGRP 1998)
(ISO/IEC
2005)
(CGRP 1999)

Contralora General de la Republica del Per. 1999. RESOLUCION


DE CONTRALORIA N 141-99-CG. El Peruano, Noviembre 29.

IX.

ANEXOS

ANEXO N 01
Planeamiento de la auditora - Planificacin general Planificacin
General.
A) Objetivos:
Verificar y auditar la red inalmbrica del Gran Hotel Cusco, en cuanto a su
diseo, administracin y seguridad.
B) Alcance:
Se auditar slo la red inalmbrica del Gran Hotel Cusco.
C) Metodologa a utilizar:
Se realizarn entrevistas al gerente de sistemas del Gran Hotel, as mismo
se aplicar cuestionarios y checklist para el levantamiento de informacin
relevante para la auditora de la red inalmbrica.
Adems se realizar la verificacin e inspeccin de la ubicacin y estado de
los equipos de telecomunicacin en las instalaciones del hotel.
Por ltimo se utilizarn
inalmbricas.

las buenas prcticas para auditar

redes

ANEXO N 02
Planeamiento De La Auditora
Planeamiento de la Auditora.
A) Objetivos del examen.
Ante el desarrollo de la auditora obtendremos un enfoque de la situacin
actual de la red inalmbrica del hotel, en lo que respecta a la parte del
diseo, administracin y seguridad de la red inalmbrica, y as plantear las
recomendaciones del caso.
B) Alcance del examen.
Se realizarn entrevistas al gerente de sistemas del Gran Hotel, dando un
alcance de la situacin actual de la red y los equipos de red de forma
narrativa que se encontraban al alcance. Luego se pasar a realizar un
Checklist que abarcarn los dominios de Diseo, Administracin y
Seguridad de la red inalmbrica del hotel.
En cuanto al Diseo se auditar:

Anlisis de la empresa.
Anlisis tecnolgico de la empresa.
Diseo fsico de la red.
Diseo lgico de la red.
Planes de implementacin.

En cuanto a la Administracin se auditar:


Administracin de recursos informticos.
Administracin de recursos humanos.
Administracin de comunicaciones y operaciones inalmbricas.
Administracin de control de accesos.
En cuanto a la Seguridad se auditar:

Poltica de seguridad de las Tics.


Organizacin de la Seguridad Inalmbrica.
Implementacin de la Seguridad Inalmbrica.
Gestin de incidentes de seguridad inalmbrica.

C) Descripciones de las actividades de la entidad.


El Gran Hotel Cusco, es un hotel cmodo y sofisticado se encuentra en una
amplia avenida, a slo minutos del centro de Cusco y del aeropuerto. Su

ubicacin cntrica es ideal para los viajeros de negocios as como para


aquellas personas que vienen a experimentar los excepcionales museos y
sitios arqueolgicos de la costa desrtica del norte, todo queda muy cerca.
El gran hotel cuenta con 129 habitaciones, cada habitacin cuentan con
Acceso a internet Wi-Fi de alta velocidad gratis, Aire acondicionado,
Televisin por cable, Telfono, Secadora de pelo, Caja de seguridad, TV con
cable con pantalla LCD, Caja de seguridad y Minibar. Es ideal tanto para los
viajeros de negocios como de placer. Las habitaciones sern
completamente rediseadas para el ao 2012, y hay Wi-Fi de alta velocidad
en todo el hotel, como 7 salas de reuniones / eventos y un centro de
negocios totalmente equipado para clientes corporativos. La piscina al aire
libre, spa y el sauna lo convierten en un lugar ideal que lo invita a relajarse
en una ciudad transitada.
Presenta como misin ser una empresa dedicada a brindar servicios y
productos de primera calidad que satisfagan las necesidades a sus
diferentes tipos de clientes, contando con personal altamente calificado,
infraestructura adecuada para proporcionarles una estada excelente.
Presenta como visin ser una empresa reconocida en el mundo del
Turismo, proyectndose hacia la consolidacin en el mercado hotelero
regional, a travs de la construccin de una infraestructura de calidad,
convenios con instituciones nacionales e internacionales que le permitan
proporcionar mejores servicios a clientes cada vez ms exigentes contando
para esto con tecnologa de punta y con sistemas de informacin integrados
y estratgicos.

D) Informes a emitir y fecha de entrega.


Se emitir un informe final a la entidad, incluyendo los hallazgos ms
representativos y las recomendaciones respectivas.

E) Personal nombre.
Alan Cusi Calvo.

F) Funcionarios de la entidad a examinar. Gerente


de Sistemas del Gran Hotel Cusco.
G)Presupuesto de tiempo.

N
1
2
3
4
5

ACTIVIDAD

DIAS HOMBRE
2
2
6

Planificacin General
Planeamiento de la auditora
Ejecucin de Auditora (Auditoria de diseo,
administracin y seguridad de la red inalmbrica)
Comunicacin de Hallazgos
Elaboracin del Informe de Auditora
TOTAL

2
3
15

Tabla N 32. Presupuesto de Tiempo.

H) Papeles de trabajo
N

1
2
3
4
5
6
7

CODIGO
P/T

PAPEL DE TRABAJO

Encuesta a Hoteles: Garza Hotel,


Hotel Las Musas, Hotel Amrica,
Gran Hotel y Costa del Sol.
Checklist aplicadas al gerente de
sistemas.
Anlisis de la situacin actual en
base a las encuestas y entrevistas.
Aplicacin de Checklist del Dominio
Diseo, Administracin y Seguridad
al gerente de sistemas.
Falta de seguridad en la seal
inalmbrica del hotel.
Canales de emisin de la red
inalmbrica
Bajo ancho de banda de la red
inalmbrica

1.1.1
1.1.2.
1.1.3.

FORMUL

REVISOR

ACC

EGT

ACC

EGT

ACC

EGT

ACC

EGT

ACC

EGT

ACC

EGT

ACC

EGT

1.1.4.
1.1.5.
1.1.6.
1.1.7.

Tabla N 33. Papeles de Trabajo.

UBICACIN

Anexo
N01
Anexo
N02
Anexo
N03
Anexo
N04
Anexo
N05
Anexo
N06
Anexo
N07

ANEXO N 03
Informe de Auditora.
I. INTRODUCCIN
1. Origen del examen
La presente auditora denominada Buenas prcticas para auditar redes
inalmbricas en el Gran Hotel Cusco, se realiza en cumplimiento al plan de
auditora en el marco de aplicacin de Tesis de Pregrado (Anexo N 01).
Como resultado de la auditora se evidenciaron indicios razonables de deficiencias
en la red inalmbrica, por lo que en cautela de los intereses de el Gran Hotel Cusco
y en cumplimiento a la NAGU 4.40 Emisin del Informe, se est emitiendo el
presente Informe, el mismo que constituye prueba pre constituida para el inicio de
las acciones correctivas.
2. Naturaleza y objetivos del examen
La auditora realizada est orientada a la red inalmbrica del hotel, presentando
como objetivo enfocarse a parte de diseo, administracin y seguridad de la Wlan,
teniendo en cuenta que la correcta funcionalidad de estas tres conllevan al buen
funcionamiento de la red inalmbrica, y en consecuencia tener a sus clientes
contentos con el servicio del hotel.
3. Alcance del examen
La auditora, se desarroll de conformidad a las normas de auditora
gubernamental, OSSTMM Wireless 2.9., ISO/IEC 27002:2005 y COBIT 4.1,
dentro del mbito del Gran Hotel Cusco, revisando en forma selectiva
la documentacin que obra en el rea de sistemas, abarcando el periodo
comprendido quincena Noviembre finales de Noviembre 2011.
La evaluacin abarca la revisin efectuada a la documentacin de la red
inalmbrica en sus dominios de diseo, administracin y seguridad.
4. Antecedentes, base legal de la entidad
4.1. Antecedentes
El gran Hotel Cusco promueve el servicio a pasajeros nacionales y extranjeros,
dndoles un servicio personalizado en hospedaje, fomentando el bienestar de los
mismos desde que llegan hasta que se van.
4.2.Ubicacin Geogrfica
El Hotel abre sus puertas al pblico por primera vez el 7 de mayo de 1995,
contando con una clientela menor. Conforme paso el tiempo se fue haciendo de un
nombre conocido en la ciudad contando cada vez con clientes ms selectos.
Localizndose en la Av. Cusco n 501 Cusco - Cusco Per.

4.3.Subsistemas de informacin
actuales MDULO HOTELERO
Este subsistema denominado por la empresa como Mdulo Hotelero se
encarga de manejar toda la parte hotelera como lo que son:
Reservaciones, cuartelara, restaurante, bar, lavandera.
Fue diseado en Fox Pro 2.6 para D.O.S. y an no se encuentra integrado
con el resto de mdulos.
MDULO DE ALMACN
En este mdulo se ven todas las partes referentes a los inventarios de los
productos que luego sern remitidos al mdulo hotelero para su control en
los sub almacenes.
En este mdulo se controla lo que ingresa al hotel; pero el control an es
deficiente.
MDULO DE CONTABILIDAD
En este mdulo se concentra toda la parte contable de la empresa, aqu se
manejan todos los libros (Libro mayor, libro diario, etc.) para luego ser
procesada y saber qu es lo que se va a cancelar en la SUNAT.
MDULO DE PLANILLAS
En este mdulo se maneja toda la informacin de los pagos de los
trabajadores de la empresa, as como descuentos, incentivos y otros que
van a dar el sueldo total de los trabajadores.
5. Comunicacin de hallazgos
Las observaciones determinadas fueron comunicadas por escrito en calidad de
hallazgos al gerente de sistemas de la organizacin.

II. OBSERVACIONES. Todos los hallazgos, criterio y condicin.


HALLAZGO N01
FALTA DE SEGURIDAD EN LA SEAL INALMBRICA DEL HOTEL.
CONDICIN
Al realizar la auditora se pudo apreciar que la seal inalmbrica del hotel
mostraba informacin del hotel y no presenta ningn tipo de seguridad como son
contraseas o autenticacin.
CRITERIO

Segn el manual de buenas prcticas OSSTMM Wireless 2.9. En el apartado 2.


Pruebas Inalmbricas 802.11dice:
46. Verificar que el router inalmbrico, punto de acceso o Gateways no usa
el 'Nombre de Red' o el SSID por defecto como Wired Equivalent Privacy
(WEP) clave de cifrado. Ya que desde el SSID un atacante remoto podra
determinar la llave WEP y descifrar el trfico.
51. Verificar que todas las caractersticas de seguridad de los productos WLAN
se han habilitado, incluyendo la autenticacin criptogrfica y caractersticas
secretas WEP.
52. Verificar que la encriptacin de las llaves son de tamao al menos 128 bits o
tan grande como posible.
54. Asegurar que un Firewall configurado correctamente haya sido instalado
entre la infraestructura Cableada y la red inalmbrica.
58. Verificar que los usuarios son autenticados con Nombre de Usuario y
Contrasea a WLANS y qu tipo de la autenticacin es usado (RADIO,
Kerberos.).
61. Para mejorar la seguridad en casos donde esta es apoyada, verificar
que un protocolo de autenticacin, como 802.1x, es usado en la parte
superior de WEP.

CAUSA
Se opto por esto por motivos de que los pasajeros tenan problemas ante la
conexin a la red inalmbrica, no ubicaban el SSID y/o ingresaban mal la clave,
confundan los dgitos y nmeros, es por eso que se opto por emitir la seal libre sin
seguridad alguna.
EFECTO
Esto hace posible que cualquier usuario dentro o fuera de los lmites del hotel se
pueda conectar sin problema, aprovechando del ancho de banda y perjudicando a
los pasajeros del hotel ponindola lenta y en consecuencia quejas de los
pasajeros.
HALLAZGO NRO 02
CONTRASEAS DE LOS EQUIPOS DE COMUNICACIN NO SON
CAMBIADAS PERIDICAMENTE Y NO SON ALMACENADAS EN
LUGAR SEGURO
CONDICIN
Al llevar a cabo la entrevista y el desarrollo del checklist, se pudo detectar las
contraseas no han sido cambiadas por un periodo largo, y las mismas que son
almacenadas en un texto en la misma computadora del gerente de sistemas en la
organizacin.

CRITERIO
Segn el manual de buenas prcticas OSSTMM Wireless 2.3. En el apartado 2.
Pruebas Inalmbricas 802.11dice:
27. Verificar que los Puntos de Acceso (Access Point) sean restaurados a los
ltimos ajustes de seguridad despus de la caracterstica de RESET haya
sido usada.
28. Verificar que el manejo de interfaces para los puntos de acceso tengan la
autenticacin de usuario.
29. Verificar que todos los puntos de acceso tienen contraseas administrativas
difciles.
30. Verificar que todas las contraseas administrativas son cambiadas con
regularidad y seguramente almacenadas.
32. Si el router inalmbrico o el punto de acceso permiten configuracin remota,
verifique que este inhabilitado.
33. Si es posible, verifique que toda la configuracin conducida por web del
router o punto de acceso sea inhabilitado (inutilizado).
Respecto a la gestin y administracin de claves el estndar ISO/IEC 27002:2005
11.3.1Uso de Contraseas que dice: Se debera exigir a los usuarios el uso de las
buenas prcticas de seguridad en la seleccin y uso de las contraseas.. Sobre el
uso de claves secretas dice:
a) Mantener confidenciales las claves secretas;
b) Evitar mantener un registro (por ejemplo, papel, archivo en software o
dispositivo manual) de las claves secretas, a no ser que este se pueda
mantener almacenado de manera segura y el mtodo de almacenaje haya
sido aprobado;
c) Cambio de claves secretas cuando haya el menor indicio de un posible
peligro en el sistema o la clave secreta;
d) Seleccionar claves secretas de calidad con el largo mnimo suficiente que
sean:
1)
Fciles de recordar;
2) No se basen en nada que otro pueda adivinar fcilmente u
obtener utilizando la informacin relacionada con la persona; por
ejemplo, nombres, nmeros telefnicos y fechas de nacimiento, etc.
3) No sean vulnerables a los ataques de diccionarios (es decir, que no
consista de palabras incluidas en los diccionarios);
4) Libre de caracteres consecutivos idnticos, todos numricos o todos
alfabticos;
e) Cambio de las claves secretas a intervalos regulares o en base al nmero
de accesos (las claves secretas para las cuentas privilegiadas se debieran
cambiar con mayor frecuencia que las claves secretas normales), y evitar el
re-uso de reciclaje de claves secretas antiguas;
f) Cambiar la clave secreta temporal en el primer registro de ingreso;
g) No incluir las claves secretas en ningn proceso de registro automatizado;
por ejemplo, almacenado en un macro o funcin clave;

h) No compartir las claves secretas individuales;


i) No usar la misma clave personal para propsitos comerciales y nocomerciales
Si los usuarios necesitan tener acceso a mltiples servicios, sistemas o
plataformas, y requieren mantener mltiples claves secretas separadas, se
les debiera advertir que pueden utilizar una sola clave secreta de calidad
(ver d) en el prrafo anterior) para todos los servicios donde se le asegura al
usuario que se ha establecido un nivel de proteccin razonable para el
almacenaje de la clave secreta dentro de cada servicio, sistema o
plataforma.

CAUSA
Por motivos de uniformidad de claves y fcil acceso a los equipos de comunicacin
se opt por una sola clave para todos, pero la misma es almacenada en un archivo
.txt en la misma computadora del gerente de sistemas.
EFECTO
Las claves corren el riesgo de ser captadas desde la misma computadora del
usuario por personas inescrupulosas, y si esto se diera corren el riesgo todos los
equipos de comunicacin al tener acceso a los mismo y ser manipulados y
reconfigurados.
HALLAZGO NRO 03
PUNTOS DE ACCESO
INALMBRICA.

NO

ADECUADOS

PARA

LA

RED

CONDICIN
Al desarrollar la auditora se inici con una entrevista al gerente de sistemas del
Gran Hotel, la cual fue grabada en un audio, desarrollando el checklist
indicndonos que actualmente los equipos no presentan uniformidad en marcas,
provocando una incompatibilidad de configuraciones entre las mismas, limitaciones
en la cantidad de conexiones, cobertura, canales de emisin, seguridad e
implementar tecnologa emergente con la actual.
Respecto a la cobertura, alcanza zonas de alto trnsito de pasajeros como el lobby,
terraza, del 1ro - 6to piso, excepto en el 7mo piso, que la seal es muy dbil o nula
en ocasiones. La ubicacin de los equipos se determin a criterio propio con
asesora del proveedor de los equipos de comunicacin, se colocaron 2 puntos
de acceso por cada lado de la parte externa, siendo un total de 4 puntos de acceso
en las afueras del hotel con lnea de vista a las habitaciones, y en el interior se
colocaron 8 puntos de acceso, presentando un total de 12 APs.
Nmero insuficientes de conexiones, soportando promedio de 60 conexiones
simultneas, provocando un Reset a los AP cada vez que llegan a su mximo. A
nivel general en conexiones simultneas diarias es de 50-80 conexiones en todo el
hotel, y de 100-110 conexiones en todo el da, que generalmente se da de Martes

Viernes que son periodos de alta ocupabilidad y Sbado Lunes de baja


ocupabilidad.
CRITERIO
Respecto a la compatibilidad de equipos de comunicacin hoy en da existen
organizaciones que se dedican a la creacin de protocolos y estndares para
equipos de comunicacin, que nos dice que la red inalmbrica debe estar
disponible, basndose en equipos compatibles y puedan trabajar bien sin ningn
problema al momento de realizar su trabajo, al no darse esto se estara
transgrediendo la norma:
-

ISO/IEC 27002:2005 6.1.4. Proceso de Autorizacin de Recursos para


el Tratamiento de la Informacin que dice: Donde sea necesario, el hardware y
el software debiera de ser chequeado para asegurar que son compatibles con
otros componentes del sistema
Previamente al adquirir un equipo de comunicacin se haga un estudio y
anlisis de las caractersticas y configuraciones, comparando con los equipos
de otras marcas a adquirir o con los equipos que presenta la organizacin, y
constatar que tienen caractersticas compatibles y configurables de las cuales
se le pueda sacar el mximo provecho a los mismos.
Debido a la naturaleza de la tecnologa de radio, las seales de radio
frecuencia pueden desvanecerse o bloquearse por la accin de materiales
ambientales. La ubicacin de los puntos de acceso debe ser libre de
interferencias, ya que estos rayos no pueden atravesar los objetos slidos.

Segn el manual de buenas prcticas OSSTMM Wireless 2.3. En el apartado 2.


Pruebas Inalmbricas 802.11 para los canales de emisin nos dice:
16. Verificar que todos puntos de acceso en la red inalmbrica estn en menos de
5 canales el uno aparte del otro y desde puntos de acceso en redes
inalmbricas vecinas para evitar posible problemas de negacin de servicio
causado por interferencia.

CAUSA
Motivo por el cual se dio la incompatibilidad de los equipos una fue los motivos
econmicos, otra fue por la falta de informacin exacta de sus caractersticas, de un
previo estudio de los equipos actuales con los que se iban adquirir y si eran
compatibles las caractersticas de importancia que se quera configurar en la red
inalmbrica ya sea seguridad o cobertura. En lo que respecta a la cobertura el
criterio principal es lo difcil de infraestructura del hotel, al presentar columnas de
gran magnitud y falta de reas abiertas.
EFEECTO
Los principales efectos que experimenta la red inalmbrica en estos momentos es:
-

Incompatibilidad de equipos de comunicacin.


Cobertura mnima o nula en reas con menor concentracin de usuarios.

Nmero de conexiones insuficientes soportadas por los Puntos de acceso.


Riesgo de falta y/o prdida de conexin de los pasajeros cuando requieran o
estn utilizando la red inalmbrica, provocando descontento e incomodidad al
interrumpir su conexin en momentos que estn trabajando con la misma.
Inaplicabilidad de tecnologa comn a todos los equipos, como de Vlans, QoS.

HALLAZGO NRO 04 LIMITADO ANCHO DE BANDA


CONDICIN
Al desarrollar el Checklist el gerente de sistemas nos transmiti esa incomodidad por
parte de los pasajeros, y nos reforz con una entrevista lo mismo, que al
utilizar la red inalmbrica para Video y/o VPN, experimentan una baja en el
ancho de banda, tomando en cuenta que presentan un contrato por 1Mbps.
El hotel actualmente cuenta con 129 habitaciones, llegando a un promedio de
ocupabilidad de 70 habitaciones, en tiempo de alta ocupabilidad que son de
martes viernes, y sbado-lunes de baja ocupabilidad. Haciendo uso de la red
inalmbrica un promedio de 50-60 pasajeros al mismo tiempo. En lo que respecta al
caf bar un aproximado de 15 pasajeros se conectan simultneamente, y 40
conexiones al da, dando un promedio aproximado de 80-90 conexiones
simultneas y 100 conexiones en el da en todo el hotel. Generalmente las
aplicaciones que utilizan los pasajeros son de acceso al correo, navegacin en
internet, videos, audio y VPN.
CRITERIO
La red inalmbrica debe trabajar con ancho de banda que cubra cualquier
necesidad del pasajero, sea e-mail, Video o VPN, debido a que es un hotel 4
ESTRELLAS, se hospedan autoridades del estado, comitivas de futbol,
profesionales, altos ejecutivos, etc, que tienen como necesidad primordial el VPN,
Video, correo, etc, y debiendo el hotel cubrir esa necesidad sin mayor problema.
CAUSA
Por motivos econmicos no se ha optado por un ancho de banda mayor, debido a
que se cubre las principales necesidades de pasajeros como es de e-mail, carga y
descarga de archivos.
EFECTO
Demora en la conexin VPN, carga de audio y video.

III.

CONCLUSIONES (observaciones) las recomendaciones

Como resultado de la auditora ejecutada en El Gran Hotel Cusco por el periodo


2015 se ha llegado a las conclusiones siguientes:
1. Se ha emitido el Informe de Auditora el cual se presenta como favorable con
salvedades de la red inalmbrica del Gran Hotel Cusco al 20 de Diciembre del
2015. Pues parte de las situaciones encontradas transgredieron las normas aqu
utilizadas, adems manteniendo el gerente de sistemas un inventario de los
equipos de comunicacin, manteniendo cobertura de la seal en mayor parte del

hotel, adecuado ambiente para los equipos de comunicacin, constante monitoreo


de la seal inalmbrica.
2. De la revisin e inspeccin de la red inalmbrica se determin las siguientes
conclusiones:
-

Los equipos de comunicacin no son los ptimos para el uso que el hotel
necesita.
Por parte del personal queda por documentar los roles y responsabilidades y
recibir capacitacin frecuente en seguridad inalmbrica.

IV. RECOMEDACIONES (Conclusiones) opinin general


En merito a las observaciones y conclusiones expuestas en el presente Informe se
recomienda lo siguiente:
AL GERENTE DE SISTEMAS DEL GRAN HOTEL CUSCO:

Durante el desarrollo de la auditora al Gran Hotel Cusco, se pudo encontrar que se


requera de la implementacion de un servidor controlado, para la autenticacion y
accesso a la red de los usuarios.

Para la puesta en marcha de la solucin planteada ante la auditora se


recomienda que existan servidores de autenticacin Radius con el estndar de
autenticacin 802.1x, que a modo de sugerencia para abaratar costos pueden
ser FreeRADIUS pudindose observar que no requiere de un hardware de
gama alta, o licenciados, y sean clientes del servidor.

Recomendable que los puntos de acceso trabajen de modo cliente-servidor, que


tengan un controlador Wireless, y que los mismos sean clientes del
controlador.

Para mejorar el ancho de banda se recomienda la implementacin de un proxyfirewall transparente, de modo que se pueda facilitar y agilizar la
implementacin de la misma, sin necesidad de configurarlo en cada terminal
usuario. A modo de sugerencia si se desea abaratar costos podra ser un Squid.

Desarrollar auditoras peridicas, de manera prioritaria en el dominio diseo, donde


se encontr la mayor cantidad de hallazgos, sin dejar de lado los dominios
de administracin y seguridad.

Finalmente tomar en cuenta y/o hacer el levantamiento de las sugerencias en la


presente auditora asignando un persona responsable de vigilar y revisar las
observaciones halladas.

V. ANEXOS
Anexo N01
Nombre de la entidad: GRAN HOTEL CUSCO
Ttulo del P/T: LISTA DE ENCUESTAS A HOTELES GARZA
HOTEL, HOTEL LAS MUSAS, HOTEL AMERICA, GRAN HOTEL Y
COSTA DEL SOL
Fecha o periodo cubierto: Abril 2016 Mayo 2016
Detalles del trabajo realizado: Se realiz en el periodo detallado la
encuesta a los hoteles de la ciudad de Cusco para poder determinar si
presentaban una red inalmbrica en su organizacin, y de esa forma
poder determinar con que hoteles trabajar.
Resultados del trabajo: Al concluir con la encuesta se pudo determinar
que 5 hoteles contaban con una red inalmbrica en la organizacin.
Conclusiones: Se pudo determinar 5 hoteles de la ciudad contaban con
una red inalmbrica en la organizacin, y que tenan un personal a su
cargo.

Hecho por:

CUSI CALVO ALAN

Fecha:
Revisado
por:
Fecha:

MAYO 2016
Ing. Everth Gallegos Torres
JUNIO 2016

ndice o cdigo del P/T: 1.1.3.


Iniciales del que formul: ACC
Iniciales del revisor: EGT

Anexo N02
Nombre de la entidad: GRAN HOTEL CUSCO
Ttulo del P/T: CHECKLIST APLICADAS AL GERENTE DE SISTEMAS.
Fecha o periodo cubierto: Mayo 2016 Junio 2016
Detalles del trabajo realizado: Se realiz en el Gran Hotel Cusco, se hizo
una entrevista al Gerente de sistemas en la cual se fue aplicando los
checklist de los dominios diseo, administracin y seguridad, en la cual
cada checklist presentaba un apartado de observaciones si en caso
quera hacer alguna aclaracin o algn agregado en dicha parte, as en
lo mismo en los siguientes dominios de administracin y seguridad.
Resultados del trabajo: Al concluir con los Checklist de los dominios
diseo, administracin y seguridad, se pudo obtener un alcance mejor de
la situacin de la organizacin.
Conclusiones: La situacin de la red inalmbrica presenta algunas
deficiencias en las cuales se debe mejorar, las cuales sern detalladas
en los apartados de resultados de la Tesis.
Hecho por:

CUSI CALVO ALAN

Fecha:
Revisado
por:
Fecha:

MAYO 2016
Ing. Everth Gallegos Torres
JUNIO 2016

ndice o cdigo del P/T: 1.1.3.


Iniciales del que formul: ACC
Iniciales del revisor: EGT

Anexo N03
Nombre de la entidad: GRAN HOTEL CUSCO
Ttulo del P/T: ANLISIS DE LA SITUACIN ACTUAL EN BASE A
LAS ENCUESTAS Y ENTREVISTAS.
Fecha o periodo cubierto: Mayo 2016 Junio 2016
Detalles del trabajo realizado: Se realiz en el Gran Hotel Cusco, se hizo
una entrevista al Gerente de sistemas, la misma que fue grabada con su
consentimiento en su oficina, en la que se le hizo pregunta abiertas
para que pueda ir describiendo la situacin actual del hotel.
Resultados del trabajo: Al concluir con la encuesta se pudo determinar
que 5 hoteles contaban con una red inalmbrica en la organizacin.
Conclusiones: La situacin de la red inalmbrica presenta algunas
deficiencias en las cuales se debe mejorar, las cuales sern detalladas
en los apartados de resultados de la Tesis.
Hecho por:

CUSI CALVO ALAN

Fecha:
Revisado
por:
Fecha:

MAYO 2016
Ing. Everth Gallegos Torres
JUNIO 2016

ndice o cdigo del P/T: 1.1.3.


Iniciales del que formul: ACC
Iniciales del revisor: EGT

Anexo N04
Nombre de la entidad: GRAN HOTEL CUSCO
Ttulo del P/T: APLICACIN DE CHECKLIST DEL DOMINIO
DISEO, ADMINISTRACIN Y SEGURIDAD AL GERENTE DE
SISTEMAS.
Fecha o periodo cubierto: Abril 2016 Mayo 2016
Detalles del trabajo realizado: Se realiz en el Gran Hotel CUSCO, se
hizo una entrevista al Gerente de sistemas, la misma que fue grabada
con su consentimiento y en la cual se fue aplicando los Checklist de los
dominios diseo, administracin y seguridad, en la cual cada checklist
presentaba un apartado de observaciones si en caso quera hacer
alguna aclaracin o algn agregado en dicha parte, as en lo mismo en
los siguientes dominios de administracin y seguridad.

Resultados del trabajo: Al concluir con el Checklist se pudo determinar


que presenta algunas deficiencias que tomar en cuenta para mejorar la
red inalmbrica en la organizacin.
Conclusiones: Se pudo determinar 5 hoteles de la ciudad contaban con
una red inalmbrica en la organizacin, y que tenan un personal a su
cargo.
Hecho por:

CUSI CALVO ALAN

Fecha:
Revisado
por:
Fecha:

MAYO 2016
Ing. Everth Gallegos Torres
JUNIO 2016

ndice o cdigo del P/T: 1.1.3.


Iniciales del que formul: ACC
Iniciales del revisor: EGT

Anexo N05

Nombre de la entidad: GRAN HOTEL CUSCO


Ttulo del P/T: FALTA DE
INALMBRICA DEL HOTEL.

SEGURIDAD

EN

LA

SEAL

Fecha o periodo cubierto: Mayo 2016 Junio 2016


Detalles del trabajo realizado: Se realiz en el Gran Hotel Cusco, se
hizo una entrevista al Gerente de sistemas, en la cual con su
coordinacin tambin se hizo un escaneado a la seal inalmbrica,
en la cual se pudo constatar que la misma no presentaba seguridad
alguna, demostrndolo con los siguientes grficos.
Resultados del trabajo: Al concluir el escaneado de la seal
inalmbrica se pudo obtener las siguientes imgenes:

Figura N 08: Monitoreo de la red Inalmbrica del Gran Hotel


Cusco con la herramienta InSSIDER 2.0.
Fuente: Elaboracin Propia.
El siguiente grfico podemos apreciar que la red no presenta
cifrado.

Figura N 09: Monitoreo de las redes Inalmbricas del Gran


Hotel CUSCO con la herramienta de Windows y Conexin a
GranHotel_WF2
Fuente: Elaboracin Propia.
Ante tal caso de no presentar cifrado, se puedo apreciar que
se puede hacer conexin a la red:

Figura N 10: Navegacin en la Red Inalmbrica


GranHotel_WF2.
Fuente: Elaboracin Propia.

Conclusiones: Se pudo determinar que en la organizacin, la


red inalmbrica no presenta ningn tipo de seguridad.

Hecho por:

CUSI CALVO ALAN

Fecha:
Revisado
por:
Fecha:

MAYO 2016
Ing. Everth Gallegos Torres
JUNIO 2016

ndice o cdigo del P/T: 1.1.3.


Iniciales del que formul: ACC
Iniciales del revisor: EGT

Anexo N06
Nombre de la entidad: GRAN HOTEL CUSCO
Ttulo del P/T: CANALES DE EMISIN DE LA RED INALMBRICA.
Fecha o periodo cubierto: Mayo 2016 Junio 2016
Detalles del trabajo realizado: Se realiz en el Gran Hotel
Cusco, se hizo un monitoreo a los canales de emisin de la
seal inalmbrica, en la cual se pudo constatar que
presenta superposicin de canales, demostrndolo con los
siguientes grficos.
Resultados del trabajo: Al concluir el escaneado de la seal
inalmbrica se pudo obtener las siguientes imgenes:
Al realizar la inspeccin del lugar, se constat que la seal
inalmbrica trabaja con 5 canales, 1, 7, 9, 10 y 11, los
mismos que son utilizados por redes vecinas, de la misma
manera el gerente de sistemas realiza un monitoreo de la red
para revisar los canales que se estn interfiriendo y los
canales disponibles para migrar a esos libres.
Despus del monitoreo de la red inalmbrica de la
organizacin, se prueba que trabaja con los canales 1,
7, 9, 10 y 11, y que las redes vecinas tambin trabajan
en canales similares y la superposicin de los mismos
con canales vecinos.

Figura N 11: Monitoreo de los canales superpuestos


y libres en el espectro del Hotel con herramienta
InSSIDER.
Fuente: Elaboracin Propia.

Conclusiones: Se pudo determinar que en la organizacin, la red


inalmbrica no presenta ningn tipo de seguridad.

Hecho por:

CUSI CALVO ALAN

Fecha:
Revisado
por:
Fecha:

MAYO 2016
Ing. Everth Gallegos Torres
JUNIO 2016

ndice o cdigo del P/T: 1.1.3.


Iniciales del que formul: ACC
Iniciales del revisor: EGT

Anexo N07

Nombre de la entidad: GRAN HOTEL CUSCO


Ttulo del P/T: BAJO ANCHO DE BANDA DE LA RED INALMBRICA.
Fecha o periodo cubierto: Mayo 2016 Junio 2016
Detalles del trabajo realizado: Se realiz en el Gran Hotel Cusco,
despus de hacer conexin con la red inalmbrica, se prob el
ancho de banda, y efectivamente, al momento de hacer uso del
servicio de Video, la red experimenta una baja en el ancho de
banda, pero para servicio de correo al momento de descarga y
subida de archivos no hay problemas.
Resultados del trabajo: Al concluir con la navegacin de la
seal inalmbrica se pudo obtener las siguientes imgenes:
Conclusiones: Se pudo determinar que en la organizacin el
ancho de banda de la red inalmbrica es bajo.
Hecho por:

CUSI CALVO ALAN

Fecha:
Revisado
por:
Fecha:

MAYO 2016
Ing. Everth Gallegos Torres
JUNIO 2016

ndice o cdigo del P/T: 1.1.3.


Iniciales del que formul: ACC
Iniciales del revisor: EGT

ANEXO N 04

OBJETIVOS DE CONTROL
PROPUESTOS

Objetivos de control propuestos.

Segn los modelos,


normas y/o
metodologas

DISEO
1

1. ANLISIS DE MODELO DE NEGOCIO DE LA


EMPRESA
A. Descripcin de la Empresa.
B. Revisin de objetivos de las empresas
C. Paso de la informacin vital.
D. Arquitectura del Sistema
2. ANLISIS TECNOLGICO DE LA EMPRESA.
A. Localizacin de los equipos existentes en los hoteles.
B. Listado de las aplicaciones
C. Red actual.
1.1. Planeacin y Diseo de la red.
2.2. Monitoreo del Rendimiento.
2. Anlisis previo
3. DISEO FSICO DE LA RED.
A. Objetivos y Metas
B. Alcance de la Red
C. Identificar el Modelo de Red y la funcin de los nodos
de la red

Information Networks Planning


and Design (INPD)
INPD
INPD
INPD
INPD
INPD
INPD
INPD
INPD
Met. Para Administrar Redes.
Met. Para Administrar Redes.
Instituto Superior Aeronutico
INPD
INPD
INPD
INPD

D. Diseo de la Red de rea Local


E. Componentes de hardware de red y equipos de
conexin

INPD

F. Identificacin de la seguridad fsica requerida por la red


G. Esquema del diseo fsico de la red WLAN
2. Anlisis previo
4. DISEO LGICO DE LA RED.
A. Sistema Operativo de Red
B. Protocolos de Red
C. Determinacin del esquema de Red
D. Configuracin de los equipos de red
E. Determinacin de la organizacin de usuario y equipos
F. Recursos Compartidos y niveles de acceso a los
recursos compartidos

INPD
INPD
Instituto Superior Aeronutico
INPD
INPD
INPD
INPD
INPD
INPD

G. Implementacin de la Seguridad Lgica de la red


H. Polticas de seguridad de la Red.
3. Configurar el protocolo TCP/IP
5. PLANES DE IMPLEMENTACIN.
1.3. Instalaciones y Administracin del Software y
Hardware.

INPD
INPD
Instituto Superior Aeronutico
INPD

A. Plan de Implementacin.
B. Plan de administracin.
C. Plan de Contingencia.
D. Plan Financiero.
E. Anlisis De Beneficios

INPD
INPD
INPD
INPD
INPD

INPD

INPD

Met. Para Administrar Redes.

2. Anlisis previo (P. 6 y P.7)

Instituto Superior Aeronutico

5. Propiedades configurables en el punto de acceso

Instituto Superior Aeronutico

6. Conexin con la red local cableada e internet


Evaluar la configuracin, autenticacin y cifrado de redes
inalmbricas

Instituto Superior Aeronutico


Osstmm Wireless 2.Pruebas de
Capa Fsica de WLAN 802.11

Evaluar clientes inalmbricos

Osstmm Wireless 2.Pruebas de


Capa Fsica de WLAN 802.11

ADMINISTRACIN
1

ADMINISTRACIN DE RECURSOS INFORMATICOS


3.1. Responsabilidad por los recursos.

ISO 27002 7.1

3.2. Clasificacin de la informacin

ISO 27002 7.2 equivalente

Definir la arquitectura de la informacin


Evaluar el acceso administrativo a los dispositivos
inalmbricos

a COBIT 4.1 PO2


Osstmm Wireless 2.Pruebas de
Capa Fsica de WLAN 802.11

ADMINISTRACIN DE RECURSOS HUMANOS


4.1. Previo al empleo

ISO 27002 8.1 equivalente

Administrar recursos humanos de TI

a COBIT 4.1 PO7

4.2 DURANTE EL EMPLEO

ISO 27002 8.2 equivalente

Administrar recursos humanos de TI

a COBIT 4.1 DS7 y se


adiciona el

Educar y entrenar a los usuarios

Sub control COBIT 4.1 PO7.

4.3. FINALIZACIN O CAMBIOS DE EMPLEADO

ISO 27002 8.2 equivalente

Administrar recursos humanos de TI

a COBIT 4.1 PO7

2. SECCION DE PERSONAS.
ADMINISTRACIN DE COMUNICACIONES
Y OPERACINES

LVD Centro seguridad fsica.

10.1. Procedimientos y responsabilidades operacionales

ISO 27002 10.1 se toma tal


cual la norma lo presenta.

10.5. Respaldo

ISO 27002 10.5 se adiciona


sub controles de

Administracin de la informacin

COBIT 4.1 DS11 casi


equivalente.

10.7. Manejo de medios.

ISO 27002 10.7 se toma tal


cual la norma lo presenta.

ADMINISTRACIN DE CONTROL DE ACCESOS


11.1. Requisitos del negocio para el control de accesos

ISO 27002 11.1 excluyendo


seguridad lgica.

11.2. Gestin de accesos de usuarios

ISO 27002 11.2

11.3. Responsabilidad de los usuarios.

ISO 27002 11.3

SEGURIDAD
1

POLITICA DE SEGURIDAD INFORMACIN


1.1. Poltica de Seguridad de la informacin

ISO 27002 5

Comunicar las aspiraciones y la direccin de la gerencia.

COBIT 4.1 PO6

Definir un plan estratgico de TI

COBIT 4.1 PO1

Definir los procesos, organizacin y relaciones de TI.

COBIT 4.1 PO4

Las diez mejores prcticas de Seguridad de Informacin.

ENISA
Osstmm Wireless 2.Pruebas de
Capa Fsica de WLAN 802.11

Evaluar el equipamiento, firmware y actualizaciones


2

ORGANIZACIN DE LA SEGURIDAD DE
LA INFORMACIN
2.1. Organizacin Interna

ISO 27002 6.1 equivalente

Definir y administrar los niveles de servicio

a COBIT 4.1 DS1

2.2. Partes externas

ISO 27002 6.2 equivalente

Administrar los servicios de terceros.

a COBIT 4.1 DS2

PASO 1: Proteger los clientes inalmbricos

RED - M

PASO 2: Transito seguro de datos

RED - M

PASO 3: Controlar el uso de la red corporativa

RED - M

PASO 4: Auditora de actividad inalmbrica

RED - M

PASO 5: Aplicar directiva inalmbrica

RED - M

SEGURIDAD FSICA Y AMBIENTAL


5.1. reas Seguras

ISO 27002 9.2 equivalente

Administrar el ambiente fsico

a COBIT 4.1 DS12

5.2. Seguridad del equipo

ISO 27002 9.2 se toma tal cual


la norma lo presenta.

1. SECCION DE LA PROPIEDAD

LVD Centro seguridad fsica.

GESTIN DE INCIDENTES DE SEGURIDAD DE


INFORMACIN

13.1. Informe sobre los eventos y debilidades de seguridad de la informacin

ISO 27002 13.1 se adiciona el


control COBIT 4.1 DS8

13.2. Gestin de los incidentes y mejoras de seguridad de la informacin,


Administrar los problemas.

ISO 27002 13.2 se adiciona el


control COBIT 4.1 DS8

CUMPLIMIENTO DE SEGURIDAD
15.1. Cumplimiento de requisitos legales (NO VA)

ISO 27002 15.1 equivalente

Garantizar el cumplimiento regulatorio

a COBIT 4.1 ME3

15.2. Cumplimiento con normas y polticas de seguridad y cumplimiento


tcnico

ISO 27002 15.2 se toma tal cual


la norma lo presenta.

15.3. Consideraciones de la auditora de sistemas.

ISO 27002 15.3 se


complementa con sub

Monitorear y evaluar el control interno.

controles COBIT 4.1 ME2

6. ADMINISTRACIN DE LA SEGURIDAD

Metodologa para administrar Redes 5.

Tabla N 34. Objetivos de Control Propuestos.

ANEXO N 05
FORMATO DE ANLISIS DE LA
EMPRESA
1.

Descripcin de la Empresa

1.1.
1.2.
1.3.
1.4.

Nombre de la Empresa:
Giro de la Empresa:
Ubicacin Geogrfica:
Estructura Orgnica (reas de la empresa):

1.5.
1.6.

Distribucin Fsica Actual del Hotel (PLANO DEL HOTEL)


Descripcin de las reas de desarrollo del proyecto

2.
2.1.
2.2.
2.3.

Revisin de objetivos de la empresa


Misin:
Visin:
Anlisis FODA:
FORTALEZAS

OPORTUNIDADES

DEBILIDADES

AMENAZAS

3.

Paso de la Informacin Vital (Basndose en el punto 1.4)

4.

Arquitectura del Sistema

4.1.

Descomposicin Funcional (Basndose en el punto 1.4)

4.2.

Arquitectura del proceso de la informacin

4.3.

Anlisis de los problemas encontrados

ANEXO N 06
INVENTARIO DE EQUIPOS DE TELECOMUNICACION
INVENTARIO DE ESTACIONES
N
1
2
3

STA

Ultimo

Ultimo

Nombr

Ubicac

Adapta

Clasifica

: : :

INVENTARIO DE PUNTOS DE ACCESO


N
AP
1
: : : :
2
3

ESS

N AP
Tipos de

MAC
Protocolos
1 : : : :
2 :
3

ANALISIS DE LA RED

IP

Nombre

SSID
Beacon

Ubica

Encriptacin
802.11

Clasifica

P
S

802.
1X

TOPOLOGA:
ESTNDAR
MODELO DE RED
EQUIPOS DE COMUNICACIN
DISEO FISICO

DISEO LOGICO

CONFIGURACION DE
EQUIPOS DE RED

Nombre del Equipo

Ubicacin

Sistema Operativo:
Protocolos de Red:
Puntos de acceso (Por
cada uno):

Nombre:
Direccin IP:
Mascara de Red:

Tipo
EAP

Otr
os

ANEXO N 07
CUESTIONARIO PARA EL ANLISIS TECNOLOGICO DE LA
ORGANIZACIN
rea de evaluacin: Gerencia de Tecnologas de Comunicacin
Nombres Y Apellidos:
Cargo: Gerente de Sistemas
Objetivo: Anlisis tecnolgico de la organizacin.
PREGUNTAS
1.- Con cuntos nodos de red trabaja la red inalmbrica?
A) 1 5 Pcs

B) 6 10 Pcs

C) 11 20 Pcs

D) 21 ms Pcs

2.- Con cuntos canales trabaja la red inalmbrica?


A) 1

B) 2

C) 3

D) 4

E) 5

3.- Con qu canales trabaja la red?


1

12

13

10

11

4.- Qu topologa inalmbrica utiliza?


A) Red Inalmbrica Ad-Hoc o Grupo De Trabajo Independiente
B) Red de Infraestructura o Grupo De Trabajo Extendido
C) Otro
5.- Con qu estndar trabaja la red cableada?
100baseT

1000BaseT

1000base SX

1000BaseLX

10GigabitEthernet

6.- Cul es el rea de la red inalmbrica?


A) 200 399 m2

B) 400 799 m2

C) 800 1499 m2 D) 1500 Mas m2

7.- Qu estndar inalmbrico utiliza?


802.11a

802.11b

802.11g

802.11n

8.- Qu tipo de frecuencia inalmbrica utiliza?


A) 2.4 Ghz

B) 5 Ghz

C) Ambos

9.- Qu tipo de cifrado trabaja la red?


a)
b)
c)
d)
e)
f)
g)

Privacidad equivalente a la cableada (WEP)


Acceso Protegido Wi-Fi (WPA)
Acceso Protegido Wi-Fi 2 (WPA2)
Estndar avanzado de encriptacin (AES)
Control de Integridad de Mensajes (MIC)
Rotacin Clave de Broadcast (BKR)
N.A.

10.- Qu tipo de autenticacin trabaja la red inalmbrica?


a) Ligero protocolo de autenticacin extensible (LEAP)?
b) Protocolo de autenticacin extensible protegido (PEAP)?
c) Servicio al Usuario de Acceso Telefnico Remoto (RADIUS)?
d) N.A.

ANEXO N 08
RECOMENDACIONES EN RELACIN A LA GESTIN Y
ESTABLECIMIENTO DE CONTRASEAS.
Para gestionar correctamente la seguridad de las contraseas, se recomienda a los
usuarios tener en cuenta las siguientes pautas para la creacin y establecimiento de
contraseas seguras:
Poltica y acciones para construir contraseas seguras:
1. Se deben utilizar al menos 8 caracteres para crear la clave. Esto conlleva a la
mejora del tiempo para descubrir la clave se vea aumentado.
2. Se recomienda utilizar en una misma contrasea dgitos, letras y caracteres
especiales.
3. Es recomendable que las letras alternen aleatoriamente maysculas y
minsculas. Hay que tener presente el recordar qu letras van en mayscula y
cules en minscula.
4. Elegir una contrasea que pueda recordarse fcilmente y es deseable que
pueda escribirse rpidamente, preferiblemente, sin que sea necesario mirar el
teclado.
5. Las contraseas hay que cambiarlas con una cierta regularidad. Y, a la vez, hay
que procurar no generar reglas secuenciales de cambio. Por ejemplo, P. ej.:
pasar de 01Juitnx a 02Juitnx.
6. Utilizar signos de puntuacin si el sistema lo permite. P. ej.: Tr-.3Fre. En este
caso de incluir otros caracteres que no sean alfa-numricos en la
contrasea, hay que comprobar primero si el sistema permite dicha eleccin y
cules son los permitidos. Dentro de ese consejo se incluira utilizar smbolos
como: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
7. Existen algunos trucos para plantear una contrasea que no sea dbil y se
pueda recordar ms fcilmente. Por ejemplo se pueden elegir palabras sin
sentido pero que sean pronunciables, etc. Nos podemos ayudar combinando
esta seleccin con nmeros o letras e introducir alguna letra mayscula. Otro
mtodo sencillo de creacin de contraseas consiste en elegir la primera letra
de cada una de las palabras que componen una frase conocida, de una
cancin, pelcula, etc. Con ello, mediante esta sencilla mnemotecnia es ms
sencillo recordarla. Ej.: Com mucho chocolate el domingo 3, por la tarde,
resultara la contrasea: cmCeD3-:xLt. En ella, adems, se ha introducido
alguna mayscula, se ha cambiado el por en una x y, si el sistema lo
permite, se ha colocado algn signo de puntuacin (-).

Acciones que deben evitarse en la gestin de contraseas seguras:


1. Se debe evitar utilizar la misma contrasea siempre en todos los sistemas o
servicios.
2. No utilizar informacin personal en la contrasea: nombre del usuario o de sus
familiares, ni sus apellidos, ni su fecha de nacimiento. Y, por supuesto, en
ninguna ocasin utilizar datos como el DNI o nmero de telfono.
3. Hay que evitar utilizar secuencias bsicas de teclado (por ejemplo: qwerty,
asdf o las tpicas en numeracin: 1234 98765)
4. No repetir los mismos caracteres en la misma contrasea. (ej.: 111222).
5. Hay que evitar tambin utilizar solamente nmeros, letras maysculas o
minsculas en la contrasea.
6. No se debe utilizar como contrasea, ni contener, el nombre de usuario
asociado a la contrasea.
7. No utilizar datos relacionados con el usuario que sean fcilmente deducibles, o
derivados de estos. (ej.: no poner como contrasea apodos, el nombre del actor
o de un personaje de ficcin preferido, etc.).
8. No escribir ni reflejar la contrasea en un papel o documento donde quede
constancia de la misma. Tampoco se deben guardar en documentos de texto
dentro del propio ordenador o dispositivo (ej.: no guardar las contraseas de las
tarjetas de dbito/crdito en el mvil o las contraseas de los correos en
documentos de texto dentro del ordenador),
9. No se deben utilizar palabras que se contengan en diccionarios en ningn
idioma. Hoy en da existen programas de ruptura de claves que basan su
ataque en probar una a una las palabras que extraen de diccionarios: Este
mtodo de ataque es conocido como ataque por diccionario.
10.
No enviar nunca la contrasea por correo electrnico o en un sms.
Tampoco se debe facilitar ni mencionar en una conversacin o comunicacin de
cualquier tipo.
11. Si se trata de una contrasea para acceder a un sistema delicado hay que
procurar limitar el nmero de intentos de acceso, como sucede en una tarjeta de
crdito y cajeros, y que el sistema se bloquee si se excede el nmero de
intentos fallidos permitidos. En este caso debe existir un sistema de recarga de
la contrasea o vuelta atrs.
12. No utilizar en ningn caso contraseas que se ofrezcan en los ejemplos
explicativos de construccin de contraseas robustas.
13. No escribir las contraseas en ordenadores de los que se desconozca su
nivel de seguridad y puedan estar monitorizados, o en ordenadores de uso
pblico (bibliotecas, cibercafs, telecentros, etc.).
14. Cambiar
las
contraseas
por
defecto
proporcionadas
por
desarrolladores/fabricantes.

ANEXO N 09
RECOMENDACIONES PARA LA CONCIENTIZACION EN
SEGURIDAD DE INFORMACIN.
1. Utilice una contrasea
Utilice una contrasea
segura
Utilice una contrasea segura para proteger sus datos: Use al menos ocho
caracteres y combinar letras (maysculas y minsculas), nmeros y
smbolos. Cuanto mayor sea la diversidad de caracteres en su contrasea,
ms difcil es adivinar.
No utilice informacin personal como su nombre, el Nombre de su hijo o un
cumpleaos, la persona ya sabe o puede saber fcilmente. Adems, trate
de evitar las palabras de lenguaje comn, ya que algunos hackers utilizan
programas que tratan de cada palabra en el diccionario.
Cambie su contrasea
Si tiene la impresin de que se ha accedido ilegalmente en su sistema,
cambie inmediatamente su contrasea.
Mantenga su contrasea en secreto
Su contrasea es nica y debe ser comunicada a nadie.
Si es posible, trate de memorizar las contraseas. Disear una estrategia
sobre la manera de recordar las contraseas.
Si usted anote sus contraseas, almacenar de forma segura. Archive la
grabacin de sus contraseas donde usted tambin archivara los datos
que protegen las contraseas.
Use contraseas diferentes
Utilizar para cada cuenta en lnea a la que tienen acceso a una contrasea
diferente (o al menos usar varias contraseas diferentes). Si utiliza la
misma contrasea para varias cuentas, un atacante que obtenga acceso a
una de sus cuentas, el acceso a todas sus cuentas.
2. Proteja su computadora
Mantener alejado de su escritorio accesos no autorizados, cuando usted
pone su orden de ir a una reunin, un breve descanso o del almuerzo.
No deje que otras personas utilicen su dispositivo de almacenamiento USB
en una computadora infectada, especialmente si son de carcter privado,
no seguro tarjetas de memoria.
No instale ningn software ilegal o no autorizada, porque entonces
comprometer la seguridad de datos y violar la ley. Programas desconocidos
fuera de la red puede llevar a su organizacin a riesgos de seguridad.

No incluye las unidades privadas, los reproductores de msica y memorias


USB a su estacin de trabajo.
No conecte su ordenador porttil a la red de su organizacin, ya que
podran estar infectados con virus o malware.
3. Tenga cuidado al tratar con el correo electrnico e Internet
No abra mensajes de correo electrnico y archivos adjuntos de remitentes
desconocidos.
No abrir hipervnculos de correos electrnicos sospechosos.
Avance e-mails si es necesario. Considere, sin embargo, antes de borrar el
historial de mensajes.
Use slo los documentos en formato PDF en conjunto para asegurar que los
archivos no puedan ser modificados.
La informacin confidencial debera ser codificada, antes de ser enviada por
correo electrnico.
Tenga cuidado al navegar por Internet.
No dar ninguna informacin en foros de Internet sobre su organizacin y su
trabajo.
No escribir un blog, donde sus puntos de vista y las opiniones se podra
interpretar como los de su organizacin.
No descargar documentos y materiales, cuyas fuentes no son confiables.
Evite abrir el material con contenido ilegal u ofensivo, descargar, guardar o
enviar.
Recuerde que los sitios de Internet que tiene acceso desde la estacin de
trabajo, se puede rastrear.
4. Tenga cuidado cuando se trata de dispositivos porttiles en su
organizacin: Ordenadores porttiles, memorias USB, telfonos mviles
y Blackberrys
Ordenadores porttiles
No instale ningn software ilegal o no autorizada, porque entonces
comprometer la seguridad de datos y violar la ley.
Abandone conexiones inalmbricas, si no lo necesita.
Conecte su porttil con regularidad a la red de su organizacin para
actualizar los controles de seguridad.
Haga una copia de seguridad de los datos almacenados en su
computadora porttil.
Proteger al salir de su equipo contra el acceso no autorizado cuando usted
va ir a una reunin, un breve descanso o el almuerzo.
No permita que otras personas usen su memoria USB infectada en su
computadora porttil, especialmente si son de carcter privado, no seguro
tarjetas de memoria
No deje su computadora porttil desatendida.
No deje su computadora porttil visible en su coche.

Memoria USB
Utilice una memoria USB encriptada.
Guardar datos de la empresa slo hasta cierto punto en su memoria USB,
especialmente si, es una organizacin privada.
Conecte su memoria USB a su llavero, con el fin de no perderlos, debido a
su pequeo tamao, se pierden muy fcilmente o pueden ser robados con
facilidad. Adems, una mayor capacidad de almacenamiento aumenta, el
riesgo de acceso no autorizado a datos expuestos. Las unidades flash USB
se guardan generalmente en bolsos, mochilas, bolsas para porttiles,
chaquetas o los bolsillos del pantaln o dejarlo slo en el lugar de trabajo.
Ms recientemente se ha repetido los incidentes, desde memorias USB
perdido una y otra vez, se mueve y prestado sin permiso o incluso
robados.
Establecer que las tarjetas de memoria USB de los usuarios, se ejecute en
modo de slo lectura para evitar la transmisin del virus: Algunas unidades
flash USB presentan un interruptor o un bloqueo para apagar el dispositivo
en modo lectura para activar el modo nico que impide escribir en el
disco o el cambio de los datos almacenados en el ordenador anfitrin.
Inspeccione visualmente el dispositivo de memoria USB a un anlisis antivirus si ha copiado los archivos de un ordenador que no es de confianza o
no autorizado.
Antes de conectar su dispositivo de memoria USB a la PC de otra persona,
borre todos los archivos que no hay necesidad de ese proceso.
Establecer copias de seguridad para restaurar a la memoria USB los datos
almacenados cuando sea necesario.
Telfonos mviles y Blackberrys
Abandone conexiones inalmbricas (es decir, Bluetooth y WLAN), si no los
utilizan. Con la ayuda de la tecnologa Bluetooth permite que los
dispositivos electrnicos para comunicarse a travs de corto alcance de
redes inalmbricas entre s. Algunos telfonos mviles con Bluetooth se
ven afectados por los errores de software que permiten Bluejacking y
bluesnarfing. Bluejacking hace el envo annimo de tarjetas de visita
electrnicas que contienen un mensaje a los dispositivos con capacidad
Bluetooth. Bluejacking es operado para enviar mensajes no solicitados.
Bluesnarfing es operado a fin de que los datos personales (por ejemplo,
Acceso a la informacin de contacto) en un telfono mvil y copiarlos en
otro telfono mvil.
No deje sus telfonos mviles y Blackberrys desatendido. Recuerde que de
lo contrario podra perder datos.
5. Tenga cuidado al tratar con datos
Identificar cada documento con cada cdigo de clasificacin.
Proteger los datos sensibles con una contrasea para que no puedan ser
alterados o suprimidos por personas no autorizadas.

Mantenga su escritorio en orden y no dejar informacin sensible por ah.


Disponer de los documentos con cuidado.
No abandone datos sensibles en mediante el uso de salas de conferencia o
de reunin, para que no sean accesibles para las personas que utilizan la
sala despus de ti.
Impresin segura: Los datos de impresin, copiado y escaneo slo si es
realmente necesario. No deje que el documento quede sobre la impresora.
Siempre destruir los documentos que contengan datos sensibles o
marcados como confidencial.
No coloque los datos en su disco duro local.
Asegrese de que cada tercera persona que trabaja con usted, ha firmado
un acuerdo de confidencialidad antes de tomar los datos confidenciales que
le sea accesible.
6. Visitante
Todos los visitantes deben estar registrados y conectados al llegar y al salir
del edificio una vez ms la sesin.
Todos los visitantes deben obtener un pase de visitante, se debe usar
durante su visita a las instalaciones de la empresa en cualquier momento.
Acompaar a los visitantes en cualquier momento durante su estancia,
edificios corporativos. Permitir a los visitantes en las oficinas de vigilancia,
puede llevar a riesgos.
7. Incidentes de registro y la prdida o dao de los dispositivos porttiles
de su organizacin
Notificar al departamento de TI para la asistencia de cualquier prdida o
dao a los dispositivos porttiles para su organizacin (telfonos mviles,
PDAs y memorias USB).
Notificar al departamento de TI de su organizacin si tiene un dispositivo
porttil de su organizacin encontr.
Reporte cualquier violacin e incidentes relacionados con la seguridad de la
informacin, incluso si usted no est seguro.
Informe si en su escritorio aparece algo sospechoso o si una aplicacin es
de repente ya no est disponible, sin que su departamento de TI ha
informado de antemano.
8. Proteger sus datos fuera de su organizacin.
Asegurar su ordenador y sus datos sensibles guardados en todo momento
cuando se est fuera de su organizacin para evitar el robo o prdida.
Tenga especial cuidado cuando se trata de los datos pblicos.
Prestar atencin que otras personas puedan escuchar lo que usted dice.
Hacer que la informacin sensible de su organizacin no est al alcance de
todos.

Si usted est viajando o trabajando desde una estacin de trabajo


a distancia, asegrese de que nadie puede mirar por encima del
hombro. Protjase contra el hombro-surf.
9. Se adhieran a las normas y procedimientos de su organizacin en
relacin con la seguridad de la informacin
Atenerse a las normas y procedimientos de su organizacin en relacin
con la seguridad de la informacin.
Garantizar la confidencialidad, integridad y disponibilidad de los datos.
Prestar atencin a los requisitos legales, como las restricciones de
derechos de autor, derechos de propiedad intelectual, derechos de
privacidad y las licencias de software.
Notificar inmediatamente si observa que los colegas hayan violado las
normas y procedimientos de su organizacin en relacin con la
seguridad de la informacin.
10. Contribuir mediante la retroalimentacin para mejorar las normas
de seguridad establecidas y las soluciones.
Contribuir a una mejora de las normas de seguridad establecidas y
las soluciones.
Fomentar la compra de software adicional si lo necesita para su
trabajo.
Formule preguntas o hacer sugerencias tendentes a mejorar los
estndares de seguridad y soluciones.

Glosario
AES

Advanced Encryption Standard

BSSI

Basic Service Set Identifier

CTS

Clear to Send

DHCP

Dynamic Host Configuration

Protocol DSSS

Direct Sequence Spread

Spectrum EAP

Extensible Authentication

Protocol
ESS

Extended Service Set

FHSS

Frequency Hoping Spread

Spectrum GNU

GNU Not UNIX

IBSS

Independent Basic Service Set

IEEE

Institute of Electrical and Electronics

Engineers IP Internet Protocol


ITU-T

International Telecommunication Unit


Telecommunication Standardization Sector

IV

Initialization Vector

LAN

Local Area Network

LDAP

Lightweight Directory Access

Protocol MAC
PHP

Medium Access Control

PHP (Personal Home Page Tools) Hypertext Pre-

processor PSK

Pre-shared Key

OSI

Open Systems Interconnection

RADIUS

Remote Authentication Dial-In User

Server RTS Request to Send


SSID

Service Set Identity

TCP

Transport Control Protocol

TKIP

Temporal Key Integrity Protocol

UDP

User Datagram Protocol

WEP

Wired Equivalent Privacy

Wi-Fi

Wireless Fidelity

WLAN

Wireless Local Area

Network WPA

Wi-Fi Protected

Access
AICPA

American Institute of Certified Public Accountants

ISO 27001

Sistemas de Gestin de la Seguridad de la Informacin.

BIBLIOGRAFA

http://anaranjo.galeon.com/tipos_audi.htm
http://definicion.de/auditora-fiscal/
http://assets.mheducation.es/bcv/guide/capitulo/8448178971.pdf
http://guillermoperdomo.blogspot.pe/2011/06/guia-para-la-elaboracion-del-

informe.html
http://definicion.de/informe-tecnico/
http://www.grantthornton.com.pe/auditoria-interna.html?
gclid=COCL3bnv_8wCFc9ahgod8TsP7Q
http://anaranjo.galeon.com/tipos_audi.htm
http://www.monografias.com/trabajos17/auditoria/auditoria.shtml
https://prezi.com/lxdswr2pdgnm/planificacion-de-la-auditoria/
http://ceepur.org/es-pr/Paginas/Oficina-Auditoria-Interna-Tipos-Auditorias.aspx